Macht der Datenschutz eigentlich auch Ferien?

Die Temperaturen steigen – die Urlaubszeit hat begonnen. Die Sommerzeit ist wohl bekanntlich Reisezeit. Dies lädt dazu ein, die üblichen Sorgen und Themen für einige Zeit beiseite zu legen. Doch stellt sich dabei die Frage – macht der Datenschutz eigentlich auch Ferien und begibt sich in seinen wohlverdienten Urlaub? Oder nimmt er routiniert seinen Lauf? Dieser Blogbeitrag gibt einen kurzen Überblick über die aktuellen datenschutzrechtlichen Geschehnisse.

Neues auf europäischer Ebene

• Nachdem der Druck auf die EU-Kommission stetig gewachsen ist, stellte diese nun einen Entwurfsplan vor, wie sexualisierte Gewalt gegen Kinder im Netz bekämpft werden könnte. Dieser Entwurf ging an den Rat der EU und das Europaparlament. Die Brüsseler EU-Kommissarin möchte damit erreichen, dass sich die Täter nicht länger in der Anonymität des Internets verstecken können, um somit Kinder künftig besser zu schützen. Unternehmen sollen verpflichtet werden, sexualisierte Gewalt gegen Kinder auf ihren Plattformen zu erkennen, zu melden und daraufhin zu entfernen. Es treffen demnach der Schutz von Kindern und der Schutz von Daten aufeinander. Um Kontaktversuche Pädokrimineller zu verhindern, sollen Webseitenanbieter in Erfahrung bringen können, ob gerade ein Erwachsener oder ein Kind ihren Service nutzt.
• Das Aus für Instagram und Facebook in Europa? Die irische Data Protection Commission hat einen Entscheidungsentwurf gemäß Art. 60 DSGVO an Datenschutzbehörden in der gesamten EU versandt. Dieses Verfahren dient der Zusammenarbeit von Datenschutzaufsichtsbehörden bei grenzüberschreitenden Datenverarbeitungen im One-Stop-Shop-Verfahren. Resultat dessen ist die Verpflichtung der federführende Datenschutzbehörde, im konkreten Fall also die irische Data Protection Commission, zur Zusammenarbeit mit den übrigen betroffenen Datenschutzbehörden. Hintergrund ist dabei die Kooperationspflicht der Datenschutzaufsichtsbehörden und die Schaffung eines Konsenses hinsichtlich der Einordung und des zukünftigen Umgangs mit dem entsprechenden datenschutzrechtlichen Sachverhalt. In einem Entscheidungsentwurf übermittelt die betroffene Aufsichtsbehörde demnach die zweckdienlichen und notwendigen Informationen bezüglich des zu beurteilenden Sachverhalts samt eines Beschlussentwurfs zur Stellungnahme. Die irische Datenschutzbehörde führt in ihrem Entscheidungsentwurf aus, sie wolle den Social-Media-Plattformen Facebook und Instagram den Transfer personenbezogener Daten aus der EU in die USA untersagen. Bislang konnten Plattformen wie Facebook und Instagram ihren Datentransfer auf die Standardvertragsklauseln (SCC) stützen. Nach Ansicht der irischen Datenschutzbehörde (so auch die Schrems II-Entscheidung des EuGH) sei dies aufgrund des ungenügenden Datenschutzniveaus in den USA künftig nicht mehr möglich. Die europäischen Datenschutzbehörden haben nun einen Monat Zeit eine Stellungnahme hierzu abzugeben.
• Das Europäische Parlament hat dem Digital Services Act und dem Digital Market Act zugestimmt. Diese ermöglichen eine strengere Regulierung von US-Internetriesen wie Apple oder Amazon in der Europäischen Union. Der Digital Service Act hat dabei die Verbraucher im Blick. Er regelt die Pflichten digitaler Dienste, welche als Vermittler fungieren und Verbrauchern den Zugang zu Dienstleistungen, Inhalten und Waren ermöglichen. Weitere dort behandelte Themen sind Falschinformation, illegale Inhalte und Hassreden. Zudem werden Internetplattformen verpflichtet, zukünftig die wichtigsten Parameter ihrer Empfehlungsalgorithmen offenzulegen. Der Digital Market Act hingegen hat den Wettbewerb und die Unternehmen im Blick. Ziel ist es, einen fairen Wettbewerb zu ermöglichen und Markteintrittshürden zu verringern. Große Unternehmen wie Meta, Microsoft, Apple, Amazon oder Alphabet dominieren mit ihrer Marktmacht als sogenannte Gatekeeper den Markt. Als Gatekeeper werden digitale Plattformen mit einer besonders starken Marktstellung (Umsatz von mehr als 6,5 Milliarden Euro im Jahr oder Kapitalmarktwert von 65 Milliarden Euro) bezeichnet. Zusätzlich müssen sie in der EU mehr als 45 Millionen monatliche Nutzer und mehr als 10.000 gewerbliche Anbieter aufweisen. Diese Gatekeeper stehen künftig in der Verpflichtung, geschäftlichen Nutzern Zugriff auf ihre Daten innerhalb der Plattform zu gewähren. Auch Messengerdienste wie WhatsApp oder iMessage müssen sich zukünftig dafür öffnen, auch Nachrichten von anderen Anwendungen zu empfangen ( Interoperabilität). Zudem wird es den großen Konzernen nicht mehr möglich sein, ihre eigenen Dienste oder Produkte besser zu bewerten als diejenigen der Konkurrenten. Letztlich sollen Nutzerinnen und Nutzer auch nicht mehr daran gehindert werden können, vorinstallierte Software und Apps ohne Probleme zu deinstallieren oder Anwendungen und App-Stores Dritter zu nutzen.

Ermittlungsverfahren und Kontrollen

• Der Verbraucherzentrale Bundesverband (vzbv) hat beim Landgericht Berlin Klage gegen Tesla erhoben. Zuvor hatte der vzbv Tesla aufgrund ihres sog. „Wächter-Modus“ im Dezember 2021 abgemahnt. Dieser soll verdächtige Aktivitäten rund um das Auto erfassen, wenn es an bestimmten Orten geparkt und abgeschlossen wird. Das System könne laut Tesla, verdächtige Bewegungen erkennen und entsprechend der „Schwere der Bedrohung“ reagieren. Bei einer „erheblichen Bedrohung“ begännen die Kameras mit der Aufzeichnung und die Alarmanlage werde aktiviert. Gleichzeitig erhielten Nutzerinnen und Nutzer eine Benachrichtigung über den Vorfall in ihrer Tesla-App. Das permanente Aufzeichnen der Kameras führt allerdings in der Regel auch zu einer Aufzeichnung unbeteiligter Passanten. Laut vzbv sei eine datenschutzkonforme Nutzung des Wächter-Modus‘ praktisch unmöglich. Nutzerinnen und Nutzer müssten von Passantinnen und Passanten, welche zufällig das Fahrzeug passierten, eigentlich Einwilligungen für die Verarbeitung ihrer personenbezogenen Daten einholen. Das Nutzen der Wächter-Funktion stelle somit einen Verstoß gegen das Datenschutzrecht dar. Der vzbv wirft Tesla in diesem Zusammenhang vor, dass dem Nutzer die praktische Unmöglichkeit der datenschutzkonformen Nutzung der Wächter-Funktion verschwiegen würde.
• Ein Whistleblower hat private und geschäftliche Daten des rechtsextremen Attila Hildmann an die Hacker-Gruppierung „Anonymous“ weitergeleitet - deshalb wird nun wegen Verletzung des Datenschutzes gegen ihn ermittelt. Laut Aussagen der Generalstaatsanwaltschaft Berlin laufe das Verfahren aufgrund „des Verdachts der Weitergabe von persönlichen Daten an eine im Internet agierende Gruppe“. Der Whistleblower hatte Hildmann in IT-Angelegenheiten unterstützt. Im Herbst vergangenen Jahres setzte sich der Whistleblower von Hildmann ab und übermittelte einen über zwei Terabyte großen Datensatz an privaten und geschäftlichen Daten an „Anonymous“. Die Internet-Aktivisten hatten die Daten ebenfalls der Generalstaatsanwaltschaft Frankfurt am Main zur Verfügung gestellt, da sie Straftaten von Hildmann und seinen Anhängern vermuteten. Nach Informationen des Rechercheformats „STRG_F“ gab „Anonymous“ allerdings nur einen Teil der Daten an die Ermittler der Staatsanwaltschaft weiter.
• Aufgrund der bundesweiten massiven Zunahme von Cyberattacken auf E-Mail-Accounts von Unternehmen betreiben Datenschutzaufsichtsbehörden aus Berlin (BlnBDI), Bayern (BayLDA) und anderen Bundesländern aktuell zwei Präventionsprüfungen bei Unternehmen. Diese beinhaltet zum einen die Absicherung von E-Mail-Accounts zum Schutz vor Cyberattacken und Phishing; zum anderen beabsichtigen die Datenschutzbehörden die Prüfung der Rechtmäßigkeit von Auftragsverarbeitungsverträgen nach Art. 28 DSGVO, welche von unterschiedlichen Webhosting-Dienstleistern angeboten werden. Hinsichtlich der E-Mail-Accounts wurden zufällig ausgewählte Unternehmen dazu aufgefordert, einen Fragebogen hinsichtlich der Sicherheitsanforderungen der E-Mail-Accounts gemäß Art. 32 DSGVO zu beantworten. Laut BayLDA gäbe es in der Regel zwei Gründe für erfolgreiche Angriffe: unsachgemäße Bedienung (zum Beispiel aufgrund mangelndem Sicherheitsbewusstsein bei den Beschäftigten) und/oder fehlerhafte Konfiguration und Absicherung der E-Mail-Accounts. Diese Risiken könnten nach Ansicht des BayLDA verringert oder sogar gänzlich vermieden werden. Hierfür sollen Nutzerinnen und Nutzer ein allgemeines Sicherheitsbewusstsein („Awareness“) entwickeln und darauf aufbauend gewisse Sicherheitsschritte, wie etwa die Zwei-Faktor-Authentifizierung, stärkere Passwörter oder aber die administrative Pflege der Accounts, einführen. Das BayLDA hat zudem eine Unterstützung zur Absicherung von E-Mail-Accounts veröffentlicht.

Hintergrund der Prüfung der Rechtmäßigkeit von Auftragsverarbeitungsverträgen und der damit einhergehenden Kontrolle von Webhosting-Dienstleistern sind vermehrte Behördenanfragen von Unternehmen aufgrund der Feststellung, dass die von Webhosting-Dienstleistern eingesetzten Musterverträge häufig nicht den Anforderungen des Art. 28 DSGVO entsprechen. Um Verantwortliche und Webhoster beim Abschluss von rechtskonformen Auftragsverarbeitungsverträgen künftig zu unterstützen, prüft die BlnBDI die Musterverträge von ausgewählten Webhostern aus Berlin. Weitere Datenschutzaufsichtsbehörden, beispielsweise Rheinland-Pfalz, Sachsen oder Bayern, beteiligen sich ebenfalls an dieser koordinierten Prüfung. Für die künftige Prüfung von Auftragsverarbeitungsverträgen hat die BlnBDI zudem eine Checkliste und Nutzungshinweise veröffentlicht.

Bußgelder im Juli 2022

• Das US-amerikanische Unternehmen Clearview AI hat am 13.07.2022 von der griechischen Datenschutzbehörde ein Bußgeld i.H.v. 20 Mio. Euro auferlegt bekommen (Die britische und italienische Datenschutzbehörde hatten zuvor ebenfalls Bußgelder i.H.v. 9 Mio. bzw. 20 Mio. Euro gegen Clearview AI verhängt) Clearview AI bietet einen Service an, durch den mittels künstlicher Intelligenz biometrische Profile von Personen erstellt werden können. Die hierfür erforderlichen Daten werden aus Fotos der Betroffenen extrahiert. Zu diesem Zweck unterhielt das Unternehmen eine Datenbank mit mehreren Milliarden Bildern von Gesichtern, die aus öffentlichen Internetquellen (v.a. sozialen Medien und Online Videos) aus aller Welt zusammengetragen wurden ( Screen Scraping). Die so erstellten Profile können dabei zusätzlich mit Informationen, wie dem Standort, angereichert werden. Nach Auffassung der griechischen Datenschutzbehörde wurden die im Besitz des US-Unternehmens befindlichen personenbezogenen Daten ohne Vorliegen einer tauglichen Rechtsgrundlage und damit unrechtmäßig verarbeitet. Clearview hatte die Betroffenen Personen zudem weder ordnungsgemäß über die Verarbeitung informiert noch einen Vertreter in der EU benannt.
• Die chinesische Cyberspace-Aufsichtsbehörde hat gegen DiDi, dem chinesischen Pendant zu Uber, am 21.07. 2022 ein Bußgeld von umgerechnet circa 1,17 Milliarden Euro verhängt. Grund dafür waren Verstöße gegen die chinesischen Gesetze zur Netzwerksicherheit, zur Datensicherheit und zum Schutz persönlicher Informationen. Des Weiteren wurden zwei leitende Mitarbeiter von DiDi jeweils mit Bußgeldern i.H.v. 144.903 Euro belegt. Wenige Tage nach DiDis Börsengang in New York im Jahr 2021 waren bereits die Ermittlungen aufgenommen worden.
• Last but not least wurde am 26.07.2022 durch die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen ein Bußgeld in Höhe von 1,1 Millionen Euro gegen Volkswagen verhängt. Grund dafür waren Datenschutzverstöße in Zusammenhang mit dem Einsatz eines Dienstleisters bei Probefahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. Das Fahrzeug war 2019 in eine Verkehrskontrolle der österreichischen Polizei geraten, wobei die Kameraausstattung des Fahrzeugs festgestellt worden war. Hintergrund der Kameras war die Aufzeichnung des Verkehrs zu Zwecken der Fehleranalyse. An dem Fahrzeug waren entgegen Art. 13 DSGVO keine Hinweisschilder mit Kamerasymbol und den weiteren vorgeschriebenen Informationen für die betroffenen Personen angebracht. Volkswagen hatte zudem mit dem Unternehmen, welches die Probefahrten durchführte, keinen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO geschlossen. Des Weiteren wurde vor dieser Verarbeitung auch keine Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO durchgeführt. Mit dieser hätten die möglichen Risiken einer Verarbeitung personenbezogener Daten vorab entsprechend bewertet werden müssen.

Ob Kontrollen durch Datenschutzaufsichtsbehörden, Ermittlungsverfahren oder Bußgelder in Millionenhöhe - wie dieser Blogbeitrag zusammenfassend zeigt, ist in den letzten Wochen einiges im Datenschutz passiert. Der Datenschutz macht daher augenscheinlich keine Ferien. Es bleibt abzuwarten, welche (spannenden) Neuigkeiten uns in den kommenden Wochen erwarten. Stay tuned!