Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

die Verarbeitung und der Austausch von personenbezogenen Daten nimmt im Zuge des digitalen Wandels stetig zu. Die Anforderungen, die an die Datenverarbeitung zu stellen sind, ergeben sich innerhalb der EU vor allem aus der Datenschutzgrundverordnung (DSGVO). Diese soll die Grundrechte und Grundfreiheiten von Betroffenen in ausreichendem Maße schützen. Gleichzeitig darf dabei der freie Verkehr personenbezogener Daten in der EU nicht unangemessen eingeschränkt oder verboten werden. In diesem Spannungsfeld bewegt sich auch das Anonymisierungsprojekt der Stiftung Datenschutz. Für anonymisierte Datensätze bieten sich deutlich größere Einsatzmöglichkeiten, da durch das Entfernen des Personenbezugs der Geltungsbereich des Datenschutzrechts und damit der vielfältigen strikten Vorgaben verlassen wird. Der Prozess der Anonymisierung wird in der DSGVO allerdings nicht näher geregelt und auch im Übrigen fehlt es an offiziellen Vorgaben oder Leitlinien, was bisweilen zu Unsicherheiten bei der praktischen Umsetzung führte. Um diesen Unsicherheiten zu begegnen, sollten im Rahmen des Anonymisierungsprojektes auf Basis bereits vorhandener Verfahren und Kriterien, Leitlinien und Handlungsvorschlägen, einheitliche Orientierungspunkte für Verantwortliche entwickelt werden. Diese sollen wiederum als Ausgangsbasis für Verhaltensregeln zum Anonymisieren nach Art. 40 DSGVO dienen. Die Ergebnisse des Projekts, die sowohl die gesetzlichen als auch die aufsichtsbehördlichen Anforderungen an die Anonymisierung berücksichtigen und bewerten, werden am 07.12.2022 im Rahmen einer Veranstaltung der Stiftung Datenschutz in Bonn vorgestellt.

In unserem Datenschutz-Newsletter informieren wir Sie regelmäßig über aktuelle datenschutzrechtliche Entwicklungen. Wie gewohnt finden Sie auch in dieser Ausgabe Beiträge zu Geschehnissen aus dem Datenschutzrecht, unter anderem die Schlussanträge des Generalanwalts zu den Erfordernissen des immateriellen Schadensersatzanspruchs, die Entscheidung des EuGH zum Umfang der Löschpflicht im Falle des Widerrufs von Einwilligungen sowie das aktuelle Bußgeld der irischen Aufsichtsbehörde gegen den Meta-Konzern.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters bitten wir Sie, uns eine E-Mail an datenschutz@brandi.net zu senden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Zugriff des Arbeitgebers auf E-Mail-Konten von Arbeitnehmern

Zur Ausübung Ihrer Tätigkeit verfügen sehr viele Arbeitnehmer über einen dienstlichen E-Mail-Account. Der anlassbezogene Zugriff auf diese E-Mail-Accounts ist für viele Unternehmen ein relevantes Thema. Konkret stellt sich in der Praxis insoweit häufig die Frage, ob bzw. in welchen Fällen und in welchem Umfang der Arbeitgeber auf die dienstlichen E-Mail-Accounts seiner Mitarbeiter zugreifen darf und welche Anforderungen hierbei zu beachten sind.

Von besonderer praktischer Relevanz ist dabei zum einen der Fall, dass ein Zugriff auf das E-Mail-Postfach eines Mitarbeiters erforderlich ist, um die geschäftliche Korrespondenz des Arbeitnehmers im Falle von dessen Abwesenheit bearbeiten zu können. Zum anderen haben Arbeitgeber in bestimmten Fällen ein Interesse daran, zu überprüfen, ob der E-Mail-Account von einem Mitarbeiter missbräuchlich genutzt wird, etwa zur privaten Kommunikation während der Arbeitszeit oder gar zur Weitergabe von Geschäftsgeheimnissen.

Zum vollständigen Schwerpunktthema

Neue Standardvertragsklauseln: Frist für Umstellung von Altverträgen endet

Im Juni 2021 hat die Europäische Kommission als Reaktion auf das Urteil „Schrems II“ des Europäischen Gerichtshofs (EuGH, Urt. v. 16.07.2020, Az. C-311/18) neue Standardvertragsklauseln verabschiedet, die nunmehr als geeignete Garantien zur Einhaltung europäischer Datenschutzstandards dienen und zur Absicherung internationaler Datentransfers herangezogen werden sollen. Wir berichteten hierüber bereits umfassend im Schwerpunktthema unseres Datenschutz-Newsletters im Juli 2021. Der in Art. 4 Abs. 4 des Durchführungsbeschlusses vorgesehene Übergangszeitraum von 18 Monaten zur Umstellung der alten Standardvertragsklauseln auf die neuen Klauseln läuft nunmehr Ende des Jahres aus. Konkret können Unternehmen die alten Regelungen nur noch bis zum 27.12.2022 zur Absicherung von Datenübermittlungen in Drittstaaten heranziehen.

Unternehmen sollten deshalb zeitnah prüfen, ob die neuen Standardvertragsklauseln bereits mit allen Dienstleistern und Partnern, die personenbezogene Daten in einen Drittstaat übermitteln oder Daten in einem solchen verarbeiten, abgeschlossen wurden. Sollte dies nicht der Fall sein, hat eine Umstellung von den alten auf die neuen Klauseln bis spätestens zum 27.12.2022 zu erfolgen, da es ansonsten an einer belastbaren Rechtsgrundlage für die Drittstaatenübermittlung fehlt, soweit keine anderen Absicherungsmaßnahmen ergriffen wurden.

(Christina Prowald)

Generalanwalt: Erfordernisse des immateriellen Schadensersatzanspruchs

In dem Vorabentscheidungsverfahren UI gegen Österreichische Post AG hat der Generalanwalt des Europäischen Gerichtshofs (EuGH) am 06.10.2022 seine Schlussanträge veröffentlicht (Schlussanträge v. 06.10.2022, Az. C-300/21). Inhaltlich geht es um die Voraussetzungen des Schadensersatzanspruchs nach Art. 82 DSGVO.

Hintergrund des Vorabentscheidungsverfahrens ist ein vor dem OGH in Österreich geführter Rechtsstreit, in dem der Kläger gegen die Österreichische Post AG einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 1.000 € geltend machte. Die Beklagte hatte Informationen über die politische Einstellung ihrer Kunden ohne deren Einwilligung verarbeitet. Der Kläger, der ebenfalls von der Datenverarbeitung betroffen war, führte aus, dass er über die Datenverarbeitung verärgert, erbost und beleidigt sei und forderte aufgrund dessen Schadensersatz von der Beklagten. Die ihm zugeschriebene Parteiaffinität sei eine Beleidigung und beschämend sowie kreditschädigend. Das Verhalten der Österreichischen Post habe bei ihm großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst. Um zu klären, ob das Vorbringen des Klägers für den Zuspruch von Schadensersatz ausreicht, legte der OGH dem EuGH zunächst die Frage vor, ob der Anspruch nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch erfordert, dass der Kläger einen Schaden erlitten hat oder die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadensersatz bereits ausreicht. Zusätzlich wollte der OGH unter anderem wissen, ob es Voraussetzung für den Zuspruch eines immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufen Ärger hinausgeht.

Der Generalanwalt führte nunmehr aus, dass für die Anerkennung eines Anspruchs auf Schadensersatz, den eine Person wegen eines Verstoßes gegen die DSGVO erlitten hat, die bloße Verletzung der Norm als solche nicht ausreicht, wenn mit dieser kein materieller oder immaterieller Schaden einhergeht. Ohne einen Schaden würde der Schadensersatz die Funktion des Ausgleichs nachteiliger Folgen nicht mehr erfüllen und hätte eher die Rechtsnatur einer Sanktion. Weiter äußerte er sich dahingehend, dass der in der DSGVO geregelte immaterielle Schadensersatzanspruch sich nicht auf bloßen Ärger, zu dem die Verletzung ihrer Vorschriften bei der betroffenen Person geführt haben mag, erstreckt. Werde ein Schadensersatz für schwache, vorübergehenden Gefühle und Emotionen im Zusammenhang mit Verstößen gegen datenschutzrechtliche Vorschriften abgelehnt, werde die betroffene Person nicht völlig rechtlos gestellt; das System der DSGVO biete sodann andere Rechtsbehelfe. Es sei schließlich Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden könne.

Mit Spannung abzuwarten bleibt nunmehr, ob der EuGH sich der Auffassung des Generalanwalts, die auch von vielen deutschen Gerichten vertreten wird, anschließt. Zu hoffen ist, dass die Entscheidung der aktuell bestehenden großen Rechtsunsicherheit Abhilfe leisten kann.

(Christina Prowald)

LG Köln: Schadensersatz wegen unerlaubter Offenlegung von Arbeitnehmerdaten gegenüber dem Arbeitgeber

Das LG Köln hat am 28.09.2022 entschieden, dass die unerlaubte Offenlegung von personenbezogenen Daten eines Arbeitnehmers gegenüber dem Arbeitgeber durch ein anderes Unternehmen einen Schadensersatzanspruch in Höhe von 4.000 € begründet (LG Köln, Urteil v. 28.09.2022, Az. 28 O 21/22).

Der Kläger erwarb einen PKW bei einem Unternehmen. Die Kommunikation mit dem Unternehmen erfolgte auf Wunsch des Klägers über seinen beruflichen E-Mail-Account. Als es schließlich zu Problemen im Rahmen der Finanzierung kam und der Kläger auf Nachrichten nicht reagierte, wandte sich das Unternehmen an den Arbeitgeber des Klägers und erläuterte im Rahmen einer E-Mail die Sachlage. Der Kläger sah sich durch diese E-Mail und die Offenbarung des Sachverhalts gegenüber seinem Arbeitgeber in seinen Rechten verletzt und verlangte Schadensersatz in Höhe von 100.000 €.

Das Gericht führte aus, dass es für die Offenlegung der Vertragsverhältnisse zwischen dem Kläger und der Beklagten gegenüber dem Arbeitgeber des Klägers an einem Rechtfertigungstatbestand fehlte. Insbesondere könne nicht Art. 6 Abs. 1 S. 1 lit. b) DSGVO („Vertragserfüllung“) zur Rechtfertigung herangezogen werden. Mangels Rechtsgrundlage sei die Datenverarbeitung dementsprechend rechtswidrig gewesen. Der Verstoß sei zudem auch derart gravierend gewesen, dass er eine entschädigungspflichtige Persönlichkeitsverletzung des Klägers begründe und eine Schadensersatzpflicht auslöse. Unter Berücksichtigung aller Umstände und Folgen für den Kläger hielt das Gericht jedoch einen Schadensersatz in Höhe von 4.000 € als Kompensation für den entstandenen Schaden für ausreichend.

(Christina Prowald)

EuGH zum Umfang der Löschpflicht im Falle des Widerrufs von Einwilligungen

Der Europäische Gerichtshof hat sich in einem aktuellen Urteil mit dem Umfang der Löschpflicht im Falle des Widerrufs von Einwilligungen beschäftigt und entschieden, dass es in dem Fall, in dem sich verschiedene Verantwortliche auf eine einheitliche Einwilligung stützen, genüge, dass sich der Betroffene für den Widerruf seiner Einwilligung an irgendeinen der Verantwortlichen wendet (EuGH, Urt. v. 27.10.2022 – Az. C-129/21).

In dem der Entscheidung zugrunde liegenden Fall hatte Telenet, ein belgischer Telefondienstanbieter, Kontaktdaten seiner Teilnehmer an Anbieter von Teilnehmerverzeichnissen, unter anderem an den Anbieter Proximus, weitergegeben. Proximus bietet Teilnehmerverzeichnisse und Telefonauskunftsdienste an, die den Namen, die Adresse und die Telefonnummer der Teilnehmer der verschiedenen Anbieter öffentlich zugänglicher Telefondienste enthalten. Proximus leitet die Kontaktdaten auch an einen anderen Anbieter von Teilnehmerverzeichnissen weiter.

Einer der Teilnehmer forderte Proximus auf, seine Kontaktdaten in dessen und von Dritten herausgegebenen Teilnehmerverzeichnissen nicht aufzuführen. Proximus änderte daraufhin den Status des Teilnehmers dahingehend, dass dessen Kontaktdaten nicht mehr zu veröffentlichen waren. In der Folge erhielt Proximus jedoch von Telenet eine Aktualisierung der Daten des fraglichen Teilnehmers, in der die Daten als „nicht vertraulich“ ausgewiesen waren. Die Daten wurden von Proximus nach einem automatisierten Verfahren dergestalt registriert, dass sie erneut in den Teilnehmerverzeichnissen erschienen.

Auf die Beschwerde des Teilnehmers hin verhängte die belgische Datenschutzbehörde gegen Proximus ein Bußgeld in Höhe von 20.000 Euro. Gegen die Entscheidung der Behörde legte Proximus beim Appellationshof Brüssel, der im weiteren Verlauf des Verfahrens dem EuGH verschiedene Fragen zur Klärung vorlegte, ein Rechtsmittel ein.

Der EuGH entschied, dass für die Veröffentlichung von personenbezogenen Daten in einem öffentlichen Teilnehmerverzeichnis die Einwilligung des Teilnehmers erforderlich sei. Diese erstrecke sich auf jede weitere Verarbeitung der Daten durch dritte Unternehmen, die auf dem Markt für öffentlich zugängliche Telefonauskunftsdienste und Teilnehmerverzeichnisse tätig sind, sofern diese Verarbeitung denselben Zweck verfolge. Die Einwilligung setze nicht voraus, dass der Betroffene zum Zeitpunkt ihrer Erteilung die Identität aller Anbieter von Verzeichnissen, die seine personenbezogenen Daten verarbeiten werden, kenne. Die Teilnehmer müssten aber die Möglichkeit haben, die Löschung ihrer personenbezogenen Daten aus den Teilnehmerverzeichnissen zu erwirken. Der EuGH bestätigt diesbezüglich, dass ein Verantwortlicher wie Proximus geeignete technische und organisatorische Maßnahmen ergreifen müsse, um die anderen Anbieter von Teilnehmerverzeichnissen, denen er Daten geliefert habe, über den Widerruf der Einwilligung des Betroffenen zu informieren. Ein solcher Verantwortlicher müsse außerdem den Telefondienstanbieter, der ihm die personenbezogenen Daten übermittelt habe, informieren, damit dieser die zu übermittelnde Liste der personenbezogenen Daten anpasse. Wenn sich nämlich verschiedene Verantwortliche auf eine einheitliche Einwilligung des Betroffenen stützen, genüge es, dass sich der Betroffene für den Widerruf seiner Einwilligung an irgendeinen der Verantwortlichen wende. Der EuGH entschied außerdem, dass ein Verantwortlicher angemessene Maßnahmen zu treffen habe, um Suchmaschinenanbieter über den bei ihm eingegangenen Antrag des Teilnehmers eines Telefondienstanbieters auf Löschung seiner personenbezogenen Daten zu informieren.

Die Entscheidung des EuGH zeigt, dass für die Betroffenen die Ausübung ihres Rechts auf Löschung möglichst vereinfacht werden soll. Im Falle eines Löschbegehrens nach dem Widerruf einer Einwilligung haben Verantwortliche die Daten daher nicht nur bei sich selbst zu löschen, sondern unter Umständen auch weitere Verantwortliche hierüber zu informieren.

(Johanna Schmale)

DSK: Bewertung zu Microsoft 365

Die Datenschutzkonferenz (DSK), der Zusammenschluss der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, hat am 24.11.2022 eine Bewertung zu Microsoft 365 veröffentlicht. Die DSK stellte fest, dass der Nachweis, Microsoft 365 datenschutzkonform zu betreiben, vom Verantwortlichen durch den von Microsoft bereitgestellten Datenschutznachtrag vom 15. September 2022 nicht erbracht werden könne. Solange es an der notwendigen Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke fehle und deren Rechtmäßigkeit nicht belegt werde, könne der Nachweis nicht erbracht werden. Grundlage für diese Entscheidung war der Bericht der Arbeitsgruppe DSK „Microsoft-Onlinedienste“.

Aus dem Bericht ergibt sich, dass unter anderem die Frage, in welchen Fällen Microsoft als Auftragsverarbeiter tätig ist und in welchen als Verantwortlicher, nicht abschließend geklärt werden konnte. Nach Art. 5 Abs. 2 DSGVO müssen Verantwortliche positiv nachweisen, dass sie die datenschutzrechtlichen Vorgaben der DSGVO einhalten (sog. Rechenschaftspflicht). Dies ist Verantwortlichen im Fall von Microsoft 365 jedoch nicht möglich, solange Microsoft personenbezogene Daten für eigene Zwecke verwendet, hierzu jedoch keine weiteren Informationen zur Verfügung stellt. Fehlt es an entsprechenden Informationen, können etwa Informationspflichten nach Art. 13 und 4 Nr. 11 DSGVO nicht erfüllt werden. Darüber hinaus wurden auch die nach wie vor bestehenden weitreichenden Rechte Microsofts zur Offenlegung von Daten „zur Erfüllung rechtlicher Verpflichtungen“ sowie die nicht ausreichenden Schutzmaßnahmen für Datenübermittlungen in die USA seitens der Arbeitsgruppe kritisiert.

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Dr. Lutz Hasse, äußerte sich zu der Festlegung der DSK wie folgt: „Meine Aufsichtsbehörde wird nun – wie die anderen Datenschutzaufsichtsbehörden auch – mit den Verantwortlichen im öffentlichen und nicht-öffentlichen Bereich den Kontakt suchen, um eine verhältnismäßige Umsetzung dieser Rechtslage zu erörtern. Hierbei werden zeitliche Aspekte und alternative Pfade Gegenstand der Erörterung sein.“

(Christina Prowald)

EDSB: Übereinkommen für Künstliche Intelligenz

Am 13.10.2022 hat der Europäische Datenschutzbeauftragte (EDSB) seine Stellungnahme zu der Empfehlung der Europäischen Kommission für einen Beschluss des Rates zur Ermächtigung zur Aufnahme von Verhandlungen im Namen der Europäischen Union über ein Übereinkommen des Europarats über künstliche Intelligenz, Menschenrechte, Demokratie und Rechtstaatlichkeit vom 18.08.2022 veröffentlicht.

Bereits im September 2019 wurde ein erster Ausschuss für Künstliche Intelligenz eingesetzt. Ein neuer Ausschuss erhielt sodann im April 2022 den Auftrag, bis November 2023 ein geeignetes Rechtsinstrument für Künstliche Intelligenz auszuhandeln. Parallel durchläuft der Vorschlag der europäischen Kommission für eine KI-Verordnung aus April 2022 derzeit das Gesetzgebungsverfahren.

In seiner Stellungnahme begrüßt der EDSB, Wojciech Wiewiórowski, die Aufnahme der Verhandlungen über das Übereinkommen: „Das Übereinkommen ist eine Gelegenheit, das erste rechtsverbindliche internationale Instrument über künstliche Intelligenz gemäß den EU-Standards und –Werten zu Menschenrechten, Demokratie und Rechtsstaatlichkeit zu entwickeln. Um dies zu erreichen, sollte die Konvention angemessene, starke und eindeutige Garantien zum Schutz von Personen enthalten, die von der Nutzung von KI-Systemen betroffen sein könnten.“

Darüber hinaus spricht der EDSB die folgenden Handlungsempfehlungen aus:

  • 1. Die allgemeinen Ziele sollten den Schutz und die Rechte von Personen, die von der Nutzung der KI-Systeme betroffen sein können, in den Vordergrund stellen. Das Übereinkommen soll mit dem bestehenden Rechtsrahmen der EU zum Datenschutz in Einklang stehen.
  • 2. KI-Systeme, die unannehmbare Risiken für den Einzelnen mit sich bringen, sollen verboten werden. Konkret soll der Einsatz von KI für bestimmte Zwecke, wie etwa die soziale Bewertung von Personen und die biometrische Identifizierung von Personen in öffentlich zugänglichen Räumen, nicht zulässig sein.
  • 3. Ein besonderes Augenmerk sollte zudem auf die Überwachung des Einsatzes von KI-Systemen gelegt werden. Es sollten Verfahrensgarantien zum Schutz von Personen vorgesehen werden, die von der Verwendung von KI-Systemen betroffen sein können.

(Christina Prowald)

Datenleck bei Toyota: Hacker erbeuten vermutlich Daten von 300.000 Kunden

Der Autohersteller Toyota teilte am 07.10.2022 mit, dass wahrscheinlich knapp 300.000 E-Mail-Adressen von Kunden sowie die zugehörigen Verwaltungsnummern von Hackern offengelegt wurden (Pressemitteilung v. 07.10.2022). Nach einer Untersuchung kam der Automobilhersteller zu dem Schluss, dass keine Anzeichen für einen Datenmissbrauch vorliegen, man einen unrechtmäßigen Zugriff aber auch nicht ausschließen könne. Ursache des Vorfalls war der Umstand, dass ein Teil des Quellcodes der T-Connect-Webseite versehentlich öffentlich auf Github zugänglich war. Der Quellcode enthielt auch ein Zugangsschlüssel zum Datenbankserver, auf dem die Daten der Kunden gespeichert waren. Von dem Datenleck betroffen sind Autofahrer, die den Toyota-Onlinedienst T-Connect nutzen. T-Connect ist die offizielle Konnektivitäts-App des Automobilherstellers, über die das Infotainment-System des Fahrzeugs mit einem Smartphone verbunden werden kann und Fahr- und Fahrzeugdaten abgerufen werden können. Das Unternehmen teilte mit, dass keine anderen Daten wie Namen, Telefonnummern, Kreditkartendaten oder andere Informationen von dem Vorfall betroffen seien.

In der Vergangenheit war es bereits mehrfach zu Datenlecks und Datenschutzvorfällen bei dem japanischen Konzern gekommen. Im März 2019 erbeuteten Hacker Daten von 3,1 Millionen Kunden. Im Februar 2022 musste die Produktion teilweise stillgelegt werden, nachdem ein Zulieferer von einer Cyberattacke betroffen war.

(Christina Prowald)

Irland: Bußgeld gegen Meta wegen Facebook-Scraping

Die irische Datenschutz-Aufsichtsbehörde (DPC) teilte am 28.11.2022 mit, dass ein Bußgeld in Höhe von 265 Millionen Euro sowie eine Reihe von Abhilfemaßnahmen gegen die Meta Platforms Ireland Limited (Meta) verhängt wurden (Pressemitteilung v. 28.11.2022). Inhaltlich ging es um die Einhaltung der datenschutzrechtlichen Vorgaben der DSGVO im Bereich Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen. Bemängelt wurde, dass Daten von Facebook- und Instagram-Nutzern in großem Stil online zugänglich waren. Die Entscheidung der DPC bezieht sich auf eine Funktion, mittels derer Nutzer Freunde finden können, indem sie in ihrem Smartphone gespeicherte Kontakt in die Facebook- bzw. Instagram-App importieren.

Die Datenschutz-Aufsichtsbehörde leitete die zugrunde liegende Untersuchung bereits im April 2021 ein, nachdem in den Medien bekannt geworden war, dass Datensätze, einschließlich Name, Telefonnummer und E-Mail-Adresse, von nahezu 533 Millionen Nutzern aus mehr als 100 Ländern online verfügbar waren. Im Rahmen der Untersuchung wurden insbesondere die Tools „Facebook Search“, „Facebook Messenger Contact Importer“ und „Instagram Contact Importer“ geprüft und bewertet. Ein Schwerpunkt der Untersuchung lag dabei auf der Umsetzung der technischen und organisatorischen Maßnahmen nach Art. 25 DSGVO. Im Rahmen der Untersuchung erfolgte auch eine Abstimmung und Zusammenarbeit mit den anderen Datenschutz-Aufsichtsbehörden der EU, die der Entscheidung der DPC zustimmten. Facebook teilte mit, dass die Möglichkeit zum Scraping von Telefonnummern bereits unterbunden wurde und die Entscheidung geprüft werde.

(Christina Prowald)