Autor: Secur-Data

Veröffentlicht am von

91 Millionen Euro Bußgeld für Meta

Die irische Datenschutzbehörde (DPC) hat Meta erneut mit einer Strafe belegt – diesmal in Höhe von 91 Millionen Euro. Grund dafür war ein Sicherheitsvorfall im Jahr 2019, bei dem Meta ca. hundert Millionen Passwörter unverschlüsselt auf seinen Servern speicherte.

Die DPC begann im April 2019 mit der Untersuchung, nachdem Meta den Vorfall gemeldet hatte. Dabei stellte sich heraus, dass Meta aufgrund unzulänglicher Sicherheitsmaßnahmen gegen die DSGVO verstoßen hatte. Das Risiko war erheblich, da unbefugte Dritte dadurch auf Social-Media-Konten und möglicherweise auch auf sensible Informationen zugreifen konnten. Zusätzlich meldete Meta den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden und dokumentierte ihn nicht korrekt.

Graham Doyle, der stellvertretende Kommissar der DPC, betonte, dass es allgemein als Standard gilt, Passwörter niemals unverschlüsselt oder im Klartext zu speichern, da dies mit hohem Missbrauchsrisiko verbunden ist.

Meta erklärte, dass der Fehler in den Passwortmanagement-Prozessen nach einer internen Überprüfung im Jahr 2019 entdeckt und umgehend behoben wurde. Es gebe keine Hinweise darauf, dass die Passwörter missbraucht oder unbefugt abgerufen wurden.

Die Geldstrafe ist höher als ein früheres Bußgeld von 17 Mio. EUR, das Meta 2022 für einen Vorfall erhielt, bei dem bis zu 30 Mio. Nutzer betroffen waren. Dies spiegelt eine Tendenz zu höheren Bußgeldern wider, die sich zunehmend durchsetzt und darauf abzielt, Unter­nehmen stärker für den Schutz von Nutzerdaten zur Verantwortung zu ziehen.

Veröffentlicht am von

Zweiter Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die am 25. Mai 2018 in Kraft trat, markierte einen entscheidenden Schritt im europäischen Datenschutzrecht. Ziel der Verordnung ist es, den Schutz personenbezogener Daten innerhalb der EU zu stärken und gleichzeitig den freien Datenverkehr im Binnenmarkt zu gewährleisten. Am 25. Juli 2024 veröffentlichte die Europäische Kommission ihren „Zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO)“. Dieser Bericht gibt Aufschluss über den aktuellen Stand der Umsetzung der DSGVO, analysiert Herausforderungen und identifiziert Handlungsfelder für die Zukunft.

Gemäß Art. 97 der DSGVO ist die Europäische Kommission verpflichtet, dem Europäischen Parlament und dem Rat alle vier Jahre über die Anwendung der Verordnung zu berichten. Diese Berichte dienen nicht nur der Evaluierung der bisherigen Umsetzung, sondern sollen auch Möglichkeiten zur Anpassung und Weiterentwicklung aufzeigen. Der erste Bericht, der im Juni 2020 veröffentlicht wurde, lieferte erste Erkenntnisse zur Implementierung und Anwendung der DSGVO in den Mitgliedstaaten. Der zweite Bericht baut auf diesen Erkenntnissen auf und reflektiert die Entwicklungen und Erfahrungen der vergangenen vier Jahre.

Die wichtigsten Punkte

Bestätigt wird, dass die DSGVO im Wesentlichen ihre Ziele erreicht hat. Sie hat das Bewusstsein für den Schutz personenbezogener Daten in der EU erheblich gesteigert und die Rechte der Bürgerinnen und Bürger gestärkt. Unternehmen und Organisationen haben ihre Daten­schutz­praxis verbessert, und eine Harmonisierung der Datenschutzvorschriften in der gesamten EU hat stattgefunden.

Die Kommission stellt fest, dass die DSGVO sowohl auf europäischer als auch auf globaler Ebene Maßstäbe gesetzt hat. Viele Länder außer­halb der EU haben ähnliche Daten­schutz­ge­setze erlassen oder ihre bestehenden Gesetze an die DSGVO angepasst, um den Handel mit der EU zu erleichtern und einen vergleichbaren Datenschutzstandard zu gewährleisten.

Durchsetzung und Sanktionen

Ein zentrales Thema des Berichts ist die Durchsetzung der DSGVO. Die Kommission hebt her­vor, dass seit 2018 mehrere hochkarätige Fälle von Datenschutzverletzungen aufgedeckt wurden, die zu signifikanten Bußgeldern geführt haben. Insbesondere gegen große Technologiekonzerne wurden teils sehr hohe Geldstrafen verhängt und der Stellenwert der DSGVO-Compliance verdeutlicht. Dies erfolgte u.a. für Ver­stöße gegen die Rechtmäßigkeit und Sicherheit der Verarbeitung, Verstöße gegen die Verarbeitung besonderer Kategorien personenbezo­ge­ner Daten und Verletzungen der Rechte des Einzelnen.

Ein Beispiel ist die Verhängung einer Geldstrafe in dreistelliger Millionenhöhe gegen ein globales Unternehmen, das gegen Vorschriften zur Datenübermittlung in Drittländer verstoßen hatte. Der Fall unterstreicht die strengen Anforderungen der DSGVO an den internatio­nalen Datentransfer und die Not­wendigkeit, robuste Datenschutzmaßnahmen im Unternehmen zu implementieren.

Die Durchsetzung in Zahlen:

  • EU-Datenschutzbehörden haben über 20.000 Untersuchungen aus eigener Initiative eingeleitet.
  • Insgesamt gehen bei ihnen mehr als 100.000 Beschwerden pro Jahr ein.
  • Über 20.000 Beschwerden wurden im Wege der gütlichen Einigung beigelegt. Diese wird am häufigsten in Österreich, Ungarn, Luxemburg und Irland angewandt.

Trotz dieser Erfolge weist der Bericht auch auf Unterschiede in der Durchsetzung zwischen den Mitgliedstaaten hin. Während einige Länder proaktive Maßnahmen ergriffen haben, sind andere aufgrund begrenzter Ressourcen oder unterschiedlicher rechtlicher Interpretationen langsamer in der Umsetzung und Durchsetzung der DSGVO. Dies führt zu einer ungleichen Handhabung und möglicherweise zu Lücken im Datenschutz innerhalb der EU.

Zusammenarbeit der Aufsichtsbehörden

Ein weiterer wesentlicher Punkt des Berichts betrifft die Zusammenarbeit zwischen den nationalen Datenschutzbehörden. Die DSGVO sieht Mechanismen wie das Kohärenzverfahren und den Europäischen Datenschutzaus­schuss (EDSA) vor, um sicherzustellen, dass die Verordnung einheitlich angewendet wird.

Hier einige Zahlen zum Einsatz der Kooperationsinstrumente durch die Behörden:

  • Federführende Datenschutzbehörden haben rund 1.500 Beschlussentwürfe herausgegeben, von denen 990 zu endgültigen Beschlüssen führten, mit denen ein Verstoß gegen die DSGVO festgestellt wurde.
  • Datenschutzbehörden aus 18 Mitgliedstaaten erhoben „maßgebliche und begründete Beschwerden“ gegen Beschlüsse der federführenden Aufsichtsbehörde.
  • Die Datenschutzbehörden haben fast 1.000 „formelle“ Amtshilfeersuchen und rund 12.300 „informelle“ Ersuchen
  • Fünf gemeinsame Maßnahmen wurden eingeleitet, an denen Datenschutzbehörden aus sieben Mitgliedstaaten beteiligt waren.

Der Bericht zeigt, dass die Zusammenarbeit zwischen den Aufsichtsbehörden in vielen Fällen funktioniert, es aber auch Heraus­forderun­gen gibt, insbesondere bei grenzüberschreitenden Fällen. Ein Beispiel dafür sind langwierige Entscheidungsprozesse in Fällen, die mehrere Länder betreffen, wie z.B. die Untersuchung von großen Technologieunternehmen, deren Geschäftstätigkeiten sich über mehrere Mitglied­staa­ten erstrecken. Die Koordination dieser Fälle erfordert erheblichen Aufwand und kann zu Verzögerungen bei der Durchsetzung führen. Aus diesem Grund nahm die Kommission im Juli 2023 einen Vorschlag für eine Verordnung über Verfahrensregeln an. Dieser Vorschlag soll die DSGVO ergänzen, indem er detaillierte Regeln für grenzüberschrei­tende Beschwerden und die Zusammenarbeit zwischen den Datenschutzbehörden festlegt.

Technologische Entwicklungen und Herausforderungen

Seit dem Beschluss der DSGVO hat sich die Technologie rapide weiter­entwickelt, was neue Herausforderungen für den Datenschutz nach sich zieht. Der Bericht behandelt intensiv die Auswirkungen von Technologien wie Künstliche Intelligenz (KI), Big Data und Internet der Dinge (IoT) auf den Datenschutz. Diese neuen Verarbeitungsmethoden haben das Potenzial, große Mengen an personenbezogenen Daten zu verarbeiten und neue Risiken für die Privatsphäre zu bewirken.

Um die DSGVO in dieser Hinsicht zu ergänzen und konkretisieren, hat die EU eine Reihe von Initiativen angenommen, um bestimmte Ziele der Digitalpolitik zu verfolgen. Einige Beispiele:

  • Das Gesetz über digitale Dienste
    (Digital Services Act, DSA) zielt darauf ab, ein sicheres Online-Umfeld für Einzel­personen und Unternehmen zu schaffen. Es untersagt Online-Plattformen, Werbung basierend auf Profiling zu schalten, wenn dafür „besondere Kategorien personen­bezogener Daten“ verwendet werden.
  • Das Gesetz über digitale Märkte
    (Digital Markets Act, DMA) zielt darauf ab, digitale Märkte gerechter und wettbewerbs­­orientierter zu gestalten. Es verbietet Betrei­bern, die als Gatekeeper eingestuft wurden, personenbezogene Daten zwi­schen ihren zentralen Plattform­diensten und anderen Diensten zu „verknüpfen“ und „intern zu verwenden“, es sei denn, der Nutzer hat ausdrücklich zugestimmt.
  • Das KI-Gesetz (Artificial Intelligence Act, AI Act) definiert die EU-Datenschutzbestim­mungen in speziellen Bereichen, in denen Künstliche Intelligenz zum Einsatz kommt, wie etwa bei biometrischer Fernidenti­fi­zierung, der Analyse besonderer Daten­kate­gorien zur Bias-Erkennung sowie der Weiterverarbeitung personenbezo­ge­ner Daten in KI-Reallaboren.

Daraus ergibt sich für Unternehmen auch die Notwendigkeit, datenschutzfreundliche Techno­logien zu entwickeln und einzusetzen. Bei­spielsweise enthält die DSGVO den Grundsatz der Datenminimierung, der sicherstellen soll, dass nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind. Unternehmen müssen daher bei der Gestaltung ihrer Systeme und Prozesse Anforderungen des Datenschutzes von Anfang an berücksichtigen („Privacy by Design“).

Praktisches Beispiel: Ein Unternehmen, das KI-basierte Personalisierung in seinem Online-Shop nutzt, muss sicherstellen, dass die verwendeten Algorithmen transparent dargestellt und erhobene Daten auf das notwendige Minimum beschränkt werden. Zudem muss sicher­gestellt werden, dass die Nutzer klar und verständlich über die Datenverarbeitung informiert wurden und ihre Einwilligung erteilt haben.

Einwilligung und Betroffenenrechte

Ein weiteres zentrales Element der DSGVO ist die Stärkung der Betroffenenrechte, insbesondere auf Information, Auskunft, Berichtigung, Löschung und Datenübertragung. Der Bericht stellt fest, dass diese Rechte weitgehend in die Praxis umgesetzt wurden, allerdings gibt es auch hier Herausforderungen.

Viele Unternehmen haben Schwierigkeiten, die Einwilligung der Nutzer auf eine Art und Weise einzuholen, die den Anforderungen der DSGVO entspricht. Einwilligungen müssen ausdrücklich, informiert und freiwillig sein, was in der Praxis oft schwer umzusetzen ist. Der Bericht betont, dass viele Unternehmen ihre Prozesse anpassen mussten, um den strengen Anforderungen gerecht zu werden.

Zum Bewusstsein der Einzelnen für die DSGVO und die Datenschutzbehörden hält der Bericht folgende Zahlen fest:

  • 72 % der Befragten in der gesamten EU gaben an, von der DSGVO gehört zu haben, darunter 40 %, die wissen, worum es sich dabei handelt.
  • In Schweden ist das Bewusstsein mit 92 % am stärksten, während in Bulgarien mit 59 % das Bewusstsein am schwächsten ausgeprägt ist.
  • 68 % der Befragten in der EU geben an, von einer nationalen Behörde gehört zu haben, die für den Schutz ihrer Datenschutzrechte zuständig ist, wobei 24 % aller Befragten angeben, dass sie auch wissen, welche Behörde zuständig ist.

Datentransfers in Drittländer

Die Kommission hält fest, dass der Datentransfer in Drittländer weiterhin eine zentrale Heraus­­­forderung darstellt. Der Bericht hebt her­vor, dass die Kommission intensiv an der Sicherstellung der Angemessenheit solcher Daten­transfers arbeitet, um den Schutz personenbezogener Daten auch außerhalb der EU zu gewährleisten.

Besonders im Fokus stehen die USA. Hier wird der neue Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ erwähnt, der im Juli 2023 in Kraft trat und als wichtiger Schritt zur Erleichterung von Datentransfers in die USA angesehen wird. Die Kommission betont jedoch, dass die kontinuierliche Überwachung und Evaluierung dieses Rahmens erforderlich ist, um sicherzustellen, dass die Datenschutzstandards auch eingehalten werden.

Zusammenfassend weist der Bericht darauf hin, dass trotz Fortschritten weiterhin sorgfältig geprüft werden muss, ob der Schutz personen­bezogener Daten in Drittländern den Anfor­de­rungen der DSGVO entspricht. Insbesondere für die USA bleibt dies ein Bereich erhöhter Aufmerksamkeit, um eine sichere und rechtskonforme Datenverarbeitung zu gewähr­leisten.

Fazit und Ausblick

Der „Zweite Bericht zur Anwendung der Datenschutz-Grundverordnung“ zeigt, dass die DSGVO in den ersten sechs Jahren seit ihrem Inkrafttreten maßgeblich zur Verbesserung des Daten­schutzes in der EU beigetragen hat. Dennoch bleiben verschiedene­ Herausforderungen, insbesondere in Bezug auf die Durchset­zung, die Anpassung an neue Technologien und die Harmonisierung zwischen den Mitgliedstaaten. Die Kommission betont die Notwen­digkeit, die Anwendung der DSGVO kontinuierlich zu überwachen und bei Bedarf anzupassen, um sicherzustellen, dass der Datenschutz auch in einer sich schnell verändernden digitalen Welt gewährleistet bleibt.

 

Veröffentlicht am von

Update zu den Änderungen im Datenschutzgesetz

Eine Entscheidung des Verfassungsgerichtshofs (VfGH) machte die Änderung des Daten­schutzgesetzes notwendig, indem sie die bis­herige Formulierung von § 9 DSG mit Juni 2024 aufhob. Die Entscheidung betrifft die nationale Umsetzung einer der Öffnungsklauseln der DSGVO, die journalistische Tätig­kei­ten von den strengen Datenschutzregelungen ausnimmt.

Art. 85 DSGVO wurde ursprünglich so umgesetzt, dass alle Regelungen der DSGVO für den Bereich der journalistischen Zwecke für unan­wend­bar erklärt wurden. Diese Pauschal­aus­nahme ging dem VfGH jedoch zu weit. Statt­dessen müsse eine gesetzliche Interessens­ab­wägung vorgenommen werden, um den Schutz personen­bezogener Daten und das Recht auf freie Meinungsäußerung angemessen in Einklang zu bringen.

Das neu geregelte Medienprivileg verpflichtet nun auch Medien und deren journalistische Mitarbeiter zur Einhaltung der DSGVO-Bestimmungen. Das Redaktionsgeheimnis bleibt aber geschützt, indem Medien nicht verpflichtet sind, ihre Informations­quel­len bekanntzugeben, zB bei Auskunftsbegehren vor Veröffentli­chung des Beitrags. Neu ist auch, dass Bürgerjournalisten, darunter Privatpersonen und NGOs, von den Regelungen pro­fi­tieren sollen. Die Ausnahmen und Ab­weichungen von der DSGVO für diese Gruppen sind zwar weniger umfassend als für professionelle Medienunter­nehmen und -dienste. Die Regelung soll aber sicherstellen, dass auch nicht-professionelle Jour­nalisten einen Beitrag zur öffentlichen Debatte leisten können.

Eine weitere Änderung des Datenschutzgesetzes kommt im Gefolge eines EuGH Urteils vom 16. 1. 2024 (C-33/22), das klarstellte, dass die DSGVO auch für die Verarbeitung personenbezogener Daten durch parlamentarische Gre­mien gilt. Bei der Änderung handelt sich um die Schaffung eines parlamentarischen Datenschutzkomitees, das ab 2025 als eigenständige Aufsichtsbehörde im Bereich der Gesetzgebung fungieren wird und für den Nationalrat, den Bundesrat, den Rechnungshof und die Volksanwaltschaft zuständig ist.

Im Zuge der Gesetzesänderung wurden auch die Rechte der Betroffenen angepasst. Die Novelle zum Informationsordnungsgesetz sieht im Einklang mit der DSGVO eine Beschränkung von Auskunfts-, Löschungs- und Berichtigungsrechten vor, um die parlamentarische Arbeit nicht zu beeinträchtigen. Allerdings können in besonderen Fällen Anträge auf Entfernung von Inhalten von der Parlamentswebsite gestellt werden. Der Nationalratspräsident oder die Nationalratsprä­si­den­tin entscheidet über datenschutzrechtliche Anträge, wobei die jeweils zuständigen Daten­schutz­beauftragten und Antragsteller einbe­zogen werden müssen.

Veröffentlicht am von

Schadenersatzforderungen nach der DSGVO: Aktuelle Herausforderungen durch neue Technologien und wegweisende Urteile

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat der europäische Gesetzgeber die Rechte der betroffenen Personen erheblich gestärkt und die Pflichten für Verantwortliche und Auftragsverarbeiter von personenbezogenen Daten ver­schärft. Eine zentrale Neuerung ist das Recht auf Schadenersatz bei Datenschutzverletzungen.

Zunehmende Digitalisierung und der Einsatz moderner Technologien wie Künstliche Intelligenz (KI) bieten Unternehmen spannende Möglichkeiten für Wachstum und Innovation, setzen sie aber gleichzeitig neuen und sich stetig entwickelnden Bedrohungen aus. Wir be­leuchten für Sie aktuelle Probleme und wegweisende Urteile des Europäischen Gerichts­hofs (EuGH) sowie österreichischer Höchstge­richte und geben Ihnen praxisnahe Empfehlun­gen, wie Sie Schadenersatzforderungen vor­beu­gen können.

Rechtsgrundlage und Voraussetzungen für Schadenersatzansprüche

Art. 82 der DSGVO bildet die Grundlage für Schadenersatzansprüche. Demnach hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz. Drei Voraussetzungen müssen erfüllt sein:

  1. Verstoß gegen die DSGVO: Ein rechtswidriger Umgang mit personenbezogenen Daten, zB unrechtmäßige Verarbeitung oder mangelhafte Datensicherheit.
  2. Nachweis eines Schadens: Ein tatsächlich eingetretener materieller (zB finanzieller) oder immaterieller Schaden (zB psychische Belastung) muss nachgewiesen werden.
  3. Kausalität: Der Schaden muss durch den Daten­schutzverstoß verursacht worden sein.

Aktuelle Herausforderungen durch moderne Technologien

Das Aufkommen moderner Technologien wie Künstlicher Intelligenz (KI), Big Data, Internet der Dinge (IoT) und Blockchain eröffnet nicht nur neue Möglichkeiten, sondern führt auch zu erheblichen Datenschutzrisiken. Diese Technologien können Datenschutzverstöße begünsti­gen, die wiederum zu hohen Schadenersatzforderungen führen können.

Im Folgenden werden die spezifischen Risiken neuer Technologien beleuchtet und erläutert, welche datenschutzrechtlichen Herausforderun­­gen mit ihnen verbunden sind.

Künstliche Intelligenz und maschinelles Lernen

KI-Systeme benötigen große Mengen an Daten, um effektiv arbeiten zu können. Diese Daten stammen aus unterschiedlichsten Quellen, oft einschließlich sensibler personenbezoge­ner Informationen. Die Risiken umfassen dabei:

  • Unbefugte Datenverarbeitung: KI-Modelle können personenbezogene Daten ohne aus­reichende rechtliche Grundlage verarbeiten, was einen Verstoß gegen die DSGVO Daher ist wichtig, dass vor dem Einsatz eines KI-Modells die Zwecke und Rechtsgrundlagen der Verarbeitung geklärt werden.
  • Datenlecks und unzureichende Sicherheit: Die Speicherung großer Datenmengen birgt das Risiko von Datenlecks. Ein bekanntes Beispiel ist der Verstoß von Facebook gegen die DSGVO durch die unerlaubte Wei­ter­gabe von Nutzerdaten, der zu erheblichen Schadenersatzforderungen führte (EuGH, C-311/18).
  • Diskriminierung und Bias: KI-Systeme können auf Basis fehlerhafter oder unvollstän­di­ger Daten trainiert werden, was zu diskriminierenden Entscheidungen führen kann. ZB könn­ten Kreditentscheidungen oder Bewerbungsverfahren, die unter Einsatz von KI erfolgen, voreingenommen sein und bestimmte Bevöl­ke­rungs­gruppen benach­teili­gen. Gemäß Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Ver­arbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Um mögliche Schadenersatzansprüche zu vermeiden, ist es wichtig, dass die KI-Ergebnisse durch MitarbeiterIn­nen zumindest kontrolliert werden.
  • Mangelnde Transparenz: Viele KI-Algorithmen arbeiten als „Black Boxes“, deren Funk­tionsweise für Nutzer und sogar für die Betreiber selbst kaum nachvollziehbar ist. Diese Intransparenz kann zu Problemen führen, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung und Löschung geltend machen möchten.

Internet der Dinge (IoT)

IoT-Geräte, die zB in Haushalten, Fahrzeugen oder im Rahmen öffentlicher Infrastrukturen eingesetzt werden, sammeln und übertragen kontinuierlich Daten. Diese Geräte sind häufig nicht ausreichend gegen Cyberangriffe abge­sichert, was zu Datenschutzverletzungen führen kann.

  • Datenlecks durch Sicherheitslücken: Schwach­stellen in IoT-Geräten können genutzt werden, um auf personen­bezo­gene Daten zuzugreifen oder diese zu stehlen. Ein prominentes Beispiel sind Hackerangriffe auf Smart-Home-Systeme, bei denen Videoaufnahmen oder Gesundheitsdaten kompromit­tiert wurden.
    Der Cyber Resili­en­ce Act soll Sicher­heitsanforderungen für Hardware- und Software­produkte mit digitalen Elementen regeln, die in der Europäi­schen Union auf den Markt gebracht werden. Hersteller sind nun verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts zu berücksichtigen.
  • Kontrolle über Daten der IoT Geräte:
    Nutzer haben oft keinen Einblick in die Da­tenverarbeitung durch IoT-Geräte und können diese nur schwer kontrollieren. Dies widerspricht dem Transparenz­gebot der DSGVO und kann zu immateriellen Schäden wie Vertrauensverlust und psychi­schen Belastungen führen. Auch für nicht-personenbezogene Daten wird durch die Umsetzung des Data Acts das gleiche Schutz­niveau wie in der DSGVO gewähr­leistet.

Blockchain-Technologie

Die Blockchain-Technologie zeichnet sich durch die Unveränderlichkeit der gespeicherten Daten aus. Dies stellt eine Herausforderung dar, wenn es zB um das Recht auf Löschung und Berichtigung geht.

  • Löschanspruch: Da Blockchain-Daten nicht ohne weiteres gelöscht werden können, kann es schwierig sein, den gesetzlichen Anforderungen der DSGVO gerecht zu werden. Dies kann zu Konflikten führen, wenn Betroffene ihr Recht auf Datenlöschung durchsetzen wollen.
  • Datenminimierung: Die Speicherung von Daten in der Blockchain widerspricht oft dem Prinzip der Datenminimierung, da bereits gespeicherte Daten nicht mehr ge­än­dert oder entfernt werden können. Dies kann rechtliche Konsequenzen haben, wenn es um die langfristige Speicherung personenbezogener Daten geht.

Konkrete Risiken und Folgen für Unternehmen

Datenschutzverletzungen können zu erheblichen finanziellen Belastungen führen. Neben un­mittelbaren finanziellen Folgen können Datenschutzverletzungen das Vertrauen der Kunden und Geschäftspartner erheblich beeinträchtigen. Dieser Vertrauensverlust kann lang­fristig negative Auswirkungen auf die Markt­position eines Unternehmens haben und seine Geschäftstätigkeit gefährden.

Zusätzlich zu Schadenersatzforderungen können Datenschutzverstöße zu hohen Bußgel­dern durch die zuständigen Aufsichtsbehörden führen. Diese Bußgelder können je nach Schwere des Verstoßes bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen.

Prävention und Risikominderung

  • Datenschutz durch Technikgestaltung: Unternehmen müssen den Grundsatz „Privacy by Design“ umsetzen, der vorsieht, Datenschutz­maßnahmen bereits bei der Entwick­lung neuer Technologien und Systeme zu integrieren. Dies umfasst den Ein­satz von Verschlüsselungstechnologien, datenschutzfreundliche Voreinstellungen und regelmäßige Sicherheitsüberprüfungen.
  • Transparente Datennutzung und Einwilligungsmanagement: Transparenz ist ein wesentlicher Aspekt der DSGVO. Unternehmen sollten sicherstellen, dass ihre Kunden umfassend über die Datenverarbeitung informiert wurden und ihre Einwilligung ein­holen, wenn dies erforderlich ist. Ein effektives Datenschutzmanagement hilft, die Rechte der betroffe­nen Personen zu wahren und rechtlichen Problemen vorzubeu­gen.
  • Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Datenschutzfragen sensibilisiert werden. Dies hilft, das Bewusstsein für Datenschutzrisiken zu erhöhen und sicherzustellen, dass personen­bezo­gene Daten gemäß den gesetzlichen Anforderungen verarbeitet werden.
  • Kontinuierliche Überwachung und Anpassung: Datenschutz ist ein kontinuierlicher Prozess. Unternehmen müssen ihre Datenschutz­maßnahmen regelmäßig überprüfen und an neue rechtliche und technologische Entwicklungen anpassen. Die laufende Überwachung und Anpassung hilft, Risiken frühzeitig zu erkennen und zu minimieren.

Abschließend ist zu sagen, dass neue Technologien wie KI, Big Data, IoT und Blockchain viele Vorteile bieten, aber auch erhebliche Datenschutzrisiken nach sich ziehen. Verantwortliche müssen sich der potenziellen Gefahren bewusst sein und geeignete Maßnahmen er­greifen, um Datenschutzverletzungen zu vermeiden und Schadenersatzforderungen vor­zu­beugen. Die Implementierung umfassender Datenschutzstrategien, die Schulung der Mitarbeiter und die kontinuierliche Verbesserung der Datenschutzpraxis kann rechtliche und finanzielle Risiken minimieren und das Ver­trauen der Kunden erhalten. Wegweisende Urteile des EuGH und anderer Höchstgerichte unterstreichen immer wieder die Bedeutung der sorgfältig geplanten und rechtskonformen Datenverarbeitung.

Veröffentlicht am von

Auskunftsrecht genießt Vorrang vor Geschäfts­geheimnis­­interesse eines Glücks­­spiel­an­bieters

Das Oberlandesgericht Wien hat in einem Urteil vom 10. Juni 2024 (GZ 14 R 48/24t) ent­schie­den, dass einer von einem Glücksspielanbieter geschädigten Person das Recht auf Aus­kunft nach Art. 15 DSGVO zusteht. Der Anbieter argumentierte, dass die betroffene Person das Auskunftsrecht lediglich zur Erlangung von Beweismitteln für einen Zivilprozess missbrauchen wolle und daher kein legitimes Auskunfts­begehren vorliege. Das Gericht wiederholte die Auffassung des EuGH, dass ein Auskunftsersuchen auch dann zulässig ist, wenn es daten­schutz­fremde Ziele verfolgt. Da es aber seit der Veröffentlichung des EuGH-Urteils noch keine Entschei­dung eines österreichischen Höchstgerichts gibt, erklärte das Gericht die ordentliche Revision für zulässig.

Der Fall begann, als ein Geschädigter vom Glücks­spiel­anbieter Auskunft über seine personenbezogenen Daten forderte, um eine mög­liche Rückforderungsklage vorzubereiten. Der Anbieter verweigerte diese Auskunft mit der Begründung, dass dem Kläger kein Auskunftsrecht nach Art. 15 DSGVO zustehe. Er argumen­tierte, der Kläger wolle nur Beweismittel für einen drohenden Zivilprozess erlangen und nicht die Rechtmäßigkeit der Datenverarbeitung über­prüfen, was das Aus­kunfts­recht rechtsmiss­bräuchlich mache. Darüber hinaus gab der Anbieter an, dass die angeforderten Informationen einem berechtigten Geheimhaltungs­inter­esse gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO unterlägen, da eine Schwä­chung seiner Rechtspo­siti­on drohe.

Das Oberlandesgericht Wien lehnte diese Argumentation ab. Es betonte, dass das berechtigte Geheimhaltungsinteresse des Anbieters gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO zwar die Rechte und Freiheiten anderer Personen, einschließlich Geschäfts- und Betriebsgeheimnissen schützen solle, jedoch nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird. Dies werde insbesondere im letzten Satz von Erwägungsgrund 63 der DSGVO deutlich gemacht.

In der Begründung verweist das Gericht auf das EuGH-Urteil (C-307/22) vom 26. Oktober 2023. In einem ähnlich gelagerten Fall hatte der EuGH entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unent­geltlich eine erste Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, auch dann gilt, wenn der Antrag mit anderen als den in Satz 1 von ErwGr 63 DSGVO genannten Zwecken begründet wird. Es wurde klargestellt, dass betroffene Personen das Recht auf freien Zugang zu ihren Daten haben, ohne dass sie ihren Antrag begründen müssen. Eine Ausnahme be­steht nur, wenn der Antrag offenkundig unbegründet oder exzessiv ist.

Veröffentlicht am von

EDSA gibt Stellungnahme zu „Pay or Okay“-Modellen ab

Am 17. April 2024 veröffentlichte der Europäische Datenschutzausschuss (EDSA) auf Antrag der Datenschutzbehörden der Niederlande, Norwegens und Hamburgs eine Stellungnah­me. Der Inhalt der Erklärung betrifft die Legiti­mität der Einwilligung zur Verarbeitung personenbezogener Daten zu Werbezwecken im Rahmen von „consent or pay“-Modellen, wie sie von vielen großen Online-Plattformen eingesetzt werden. In der Stellungnahme, die von der EDSA-Vorsitzenden Anu Talus präsentiert wurde, wird die Bedeutung einer echten Auswahlmöglichkeit für die Nutzer hervor­gehoben. Die derzeitigen Modelle zwingen Individuen häufig dazu, entweder sämtliche Nutzungsdaten freizugeben oder eine Gebühr zu entrichten. In der Folge stimmen die meisten Nutzer der Daten­verarbeitung zu, ohne die vollständigen Auswir­kun­gen ihrer Entscheidung zu begreifen.

Der EDSA ist der Meinung, dass diese Modelle in den meisten Fällen nicht den Anforderungen an eine gültige Einwilligung entsprechen. Dies ist insbesondere dann der Fall, wenn den Nutzern lediglich die Wahl zwischen der Zustim­mung zur Datenverarbeitung für verhaltensbezogene Werbezwecke und der Ent­richtung einer Gebühr bleibt.

Die Stellungnahme betont, dass diese kostenpflichtige Alternative zur Verarbeitung perso­nen­bezogener Daten für Werbezwecke nicht als Standard betrachtet werden sollte. Stattdessen sollten Online-Plattformen in Erwägung ziehen, dem Betroffenen eine „gleichwertige Alternative“ anzubieten, die nicht mit einer Gebühr verbunden ist. Diese sollte frei von verhal­tensbezogener Werbung sein und weniger oder gar keine personenbezogenen Daten verarbeiten.

Des Weiteren wird betont, dass die Einholung der Einwilligung die Verantwortlichen nicht von der Einhaltung der Grundsätze der Daten­schutz-Grundverordnung (Art. 5 DSGVO) ent­bin­det. Insbesondere Zweckbindung, Datenmi­ni­mierung und Verarbeitung nach Treu und Glauben müssen gewahrt bleiben. Online-Platt­formen sind zudem verpflichtet, die Notwendigkeit und Verhältnismäßigkeit ihrer Ver­arbeitung nachzuweisen.

Der EDSA legt darüber hinaus Kriterien zur Bewertung der Einwilligung in diesen Fällen fest, darunter Konditionalität, Nachteil, Leistungsungleichgewicht und Granularität. Demnach müssen die Verantwortlichen prüfen, ob die Gebühr angemessen ist und ob die Verweigerung der Zustimmung negative Konsequenzen für die betroffene Person nach sich ziehen kann.

Außerdem sieht der EDSA eine Prüfung des Machtungleichgewichts zwischen Individuen und dem Verantwortlichen vor. Faktoren wie die Marktposition der Plattform, die Abhängigkeit der Nutzer von den Diensten und die Zielgruppe der Plattform sollten dabei berücksichtigt werden.

Nun arbeitet der EDSA weiter an Leitlinien für „consent or pay“-Modelle mit breiterem Anwendungsbereich und wird eine enge Zu­sammenarbeit mit Interessenträgern anstreben, um ein ausgewogenes und rechtskon­formes Vorgehen sicherzustellen.

Veröffentlicht am von

TC-String als personenbezogenes Datum eingestuft

Am 7. März 2024 hat der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabent­schei­dungsverfahrens eine wegweisende Entscheidung (C-604/22) getroffen, die erhebliche Aus­wirkungen auf die Online-Werbeindustrie hat. Das Urteil betrifft das „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe und stellt fest, dass der TC-String als personenbezogenes Datum anzusehen ist.

Das IAB Europe ist ein Verband, der Unternehmen der digitalen Werbe- und Marketing­indu­strie auf europäischer Ebene vertritt. Seine Mitglieder, darunter Medien- und Technologieunternehmen, nutzen das TCF, um Einwilli­gungen für die Erhebung und Verarbeitung von Daten zu verwalten. Das TCF bietet einen Standard für die Abfrage und Übermittlung von Nutzereinwilligungen.

Dabei wird ein „Transparency and Consent String“ (TC-String) generiert, der die Einwilligungs­­präferenzen des Nutzers kodiert. Dieser TC-String wird von den Mitgliedsun­terneh­men des IAB Europe genutzt, um personalisierte Werbung auszuspielen. Neben dem TC-String wird auch ein Cookie – euconsent-v2 – auf dem Gerät des Nutzers hinterlegt.

Die belgische Datenschutzbehörde hatte zuvor festgestellt, dass die Speicherung des TC-Strings in Verbindung mit der IP-Adresse des Nutzers gegen die DSGVO verstößt. Das EuGH bestätigte diese Ansicht und stellte fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Laut EuGH enthält der TC-String benutzerspezifische Einstellungen, die wenn sie mit anderen Identifikatoren wie IP-Adressen verknüpft werden, zur Identifizierung einer bestimmten Person führen können.

Darüber hinaus sieht der EuGH das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche für die im Rahmen des TCF verarbeiteten Daten an. Dies bedeutet, dass sie Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssen.

Das Urteil hat weitreichende Konsequenzen für Unternehmen, die das TCF nutzen. Es wird erwartet, dass erhebliche Änderungen bei der Einholung von Einwilligungen und der Generierung des TC-Strings erforderlich sind.

 

Veröffentlicht am von

5 Jahre DSGVO – Die Evaluierung

Die Datenschutz-Grundverordnung (DSGVO) ist seit ihrer Geltung im Mai 2018 das zen­trale Element des europäischen Datenschutzrechts. Anlässlich ihrer zweiten Evaluie­rung 2024 werden zahlreiche Diskussionen zur Effektivität und den Auswirkungen dieser Verordnung geführt. Einige dieser Punkte möchten wir für Sie hier festhalten.

Die Rolle des Datenschutzbeauftragten hat sich als unerlässlich für Unternehmen erwiesen. Die damit verbundene Querschnittskompe­tenz wird vor allem von KMU geschätzt, da er in vielen Bereichen teure Fachberater ersetzen kann. Er be­rät den Verantwortlichen bei der gesetzeskonformen Planung und Durchführung im ge­sam­ten Lebenszyklus der Verarbei­tung personenbezogener Daten und prüft die Effektivität der getroffenen Schutzmaßnahmen, beispielsweise durch interne Audits.

Die DSGVO schreibt Verantwortlichen, insbesondere in den Art. 5, 24 und 32 DSGVO, beträchtliche Pflichten vor, die sie bei der Verarbeitung personenbezogener Daten einzu­hal­ten haben. Diese Pflichten beinhalten präventive technische und organisatorische Maßnah­men (TOM) sowie die stetige Prüfung und Aktualisierung dieser Maßnahmen. Überschie­ßen­de Bürokratie und risikounabhängige Auflagen erschweren die Wahrnehmung dieser Aufgaben. Hinzu kommt, dass die Entwickler digitaler Lösungen von der DSGVO weitgehend unberührt bleiben, was zu einer (oft nicht verhältnismäßigen) Verlagerung der Belastungen zum Verantwortlichen führt.

Die mit der Umsetzung der DSGVO verbundene Bürokratie schlägt sich in verschiedenen Dokumentations-, Organisations- und Hinweispflichten nieder. Sie erhöhen Aufwand und Kosten, da auch typische, weit verbreitete Verarbeitungen personenbezogener Daten eine Kette an Pflichten auslösen.

Nehmen wir als Beispiel die Verarbeitung von Personalstammdaten in einem Unternehmen: Für eine rechtmäßige Verarbeitung ist zunächst eine Rechtsgrundlage nach Art. 6 DSGVO zu wählen. Diese Verpflichtung wird durch die Dokumentation nach Art. 5 Abs. 2 DSGVO (Rechen­schaftspflicht), die Informationspflichten nach Art. 13-14 DSGVO und die Erfassung der Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO erwei­tert. Jede dieser Verpflichtungen unterliegt eigenen Modalitäten, da jedes Mal Zweck und Adressat wechseln.

Diese Anforderungen stellen für Unternehmen oft eine erhebliche finanzielle Belastung dar. Besonders für KMU erscheinen die Herausforderungen aus der DSGVO oft überwältigend. Sie verfügen im Allgemeinen nicht über die Ressourcen und das notwendige Fachwissen, um den komplexen Vorgaben gerecht zu werden. Dies kann auch zu einem Wettbewerbs­nachteil gegenüber größeren Unternehmen führen. Es wäre daher wünschenswert, dass zukünftige Anpassungen eine differenziertere Betrachtung der Unternehmensgröße und angemessene Erleichterungen für KMU vorsehen.

Ein weiterer bedeutender Aspekt in Zeiten der zunehmenden Digitalisierung ist die Haftung der Hersteller digitaler Anwendungen und Lösungen. Die DSGVO legt fest, dass sowohl Verantwortliche als auch Auftragsverarbeiter zur Einhaltung der Verordnung verpflichtet sind. Datenschutzrecht­liche Probleme dort zu lösen, wo sie häufig entstehen, nämlich beim Hersteller, hat der EU-Gesetzgeber bei der Formulierung des Art. 25 DSGVO verabsäumt.

Die Problematik zeigt sich deutlich anhand von Art. 25 Abs. 2 DSGVO: Verantwortliche stehen vor der praktischen Herausforderung, angemessene technische und organisatorische Maß­nah­men zu implementieren, oft fehlt es aber an geeigneter Hard- bzw. Software. Diese wird von externen Herstellern bereitgestellt, die nur bestimmte Konfigurations­mög­lich­keiten zur Ver­fügung stellen. In Bezug auf diese Konfigurationen gilt selbstverständlich die Verpflich­tung aus Art. 25 Abs. 2 DSGVO, datenschutzfreundliche Optionen zu wählen. Insgesamt führt dies dennoch zum mangelhaften Schutz personenbezogener Daten, da der Verantwortliche, auch aufgrund seiner benachteiligten Ver­handlungsposition gegenüber dem Hersteller, nur über begrenzte Einflussmöglichkeiten verfügt.

Zusammenfassend lässt sich sagen, dass die DSGVO seit ihrem Inkrafttreten überwiegend positive Veränderungen bewirkt hat. Dennoch verbleiben Herausforderungen, insbesondere im Hinblick auf die damit verbundene Bürokratie und die oft unverhältnismäßige Belastung der KMU. Die kontinuierliche Überprüfung und Anpassung der Verordnung, klare Leitlinien und Haftungsverpflichtungen für Entwickler könnten dazu beitragen, die DSGVO effizienter und praxistauglicher zu gestalten.

EDSA-Bericht zur Rolle des Datenschutzbeauftragten

Im Laufe des vergangenen Jahres haben sich 25 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum (EWR) an einer Untersuchung zum Thema Benennung und Position des Datenschutz­beauf­trag­ten beteiligt. Mehr als 17.000 Antworten von verschie­denen Organi­sationen und Datenschutzbeauftragten sowohl aus dem öffentlichen als auch dem privaten Sektor wurden analysiert. Der Bericht verleiht einen interessanten Einblick in Arbeit und Position von Datenschutzbeauftragten fünf Jahre nach Geltung der DSGVO.

Die geäußerten Bedenken und Herausforderungen betreffen unter anderem unzu­rei­chen­de Ressourcen oder Fachkennt­nisse der Datenschutzbeauftragten, mangelnde Unabhängig­keit, fehlende Berichtsmöglichkeiten an die Unternehmensführung oder gar das Unterlassen der Bestellung eines Datenschutzbeauftragten trotz gesetzlicher Verpflichtung. Dabei variieren die Ausprägung und Intensität dieser Herausforderungen zwischen den Mitgliedstaaten der EU. Ebenfalls einen Unterschied macht es, ob der Datenschutzbeauftragte im privaten oder öffentlichen Sektor, wo vor allem die Freigabe finanzieller Ressourcen komplexer sein kann, tätig ist.

Zusätzlich enthält der Bericht Empfehlungen, die Organisationen und Datenschutzbe­auftragten bei der Bewältigung der festgestellten Herausforderungen unterstützen können.

Veröffentlicht am von

EuGH-Urteil zur Verhängung von Geldbußen (Deutsches Wohnen)

Der Europäische Gerichtshof (EuGH) hat kürzlich in einem Urteil (Rechtssache C-807/21) entschieden, dass Geldbußen gegen juristische Personen wie Unternehmen grundsätzlich zulässig sind. Im spezifischen Fall der „Deutsche Wohnen SE“ könnte das zuvor aufgehobene Bußgeld von über 14 Mio. EUR wieder wirksam werden.

Der Deutsche Wohnen SE wurde vorgeworfen, dass sie personenbezogene Daten von Mietern ihrer Tochterunternehmen unrechtmäßig lange gespeichert hat. Diese Daten, einschließlich sensibler Informationen wie Identitäts­nach­weise, Steuer-, Sozial- und Krankenversi­cherungs­daten, waren auch nach dem Auszug der Mieter noch einsehbar, obwohl die Aufbewahrungs­fristen abgelaufen waren. Nach einem ersten Hinweis der Aufsichtsbehörde im Jahr 2017 wurde 2019 ein Bußgeld verhängt, da die Deutsche Wohnen SE es vorsätzlich versäumte, diese Daten zu löschen.

Nach deutschem Recht (§ 30 OWiG) wurde aber argumentiert, dass eine Ordnungswürdigkeit nur von einer natürlichen Person begangen und dieser zugerechnet werden kann, nicht jedoch einer juristischen Person. Der Fall gelangte vor das Kammergericht Berlin, das dem EuGH folgende Fragen vorgelegt hat:

  1. Kann ein Bußgeldverfahren gegen ein Unternehmen durchgeführt werden, ohne dass ein Fehlverhalten einer identifizierten natürlichen Person festgestellt wird?
  2. Muss das Unternehmen den durch einen Mit­arbeiter vermittelten Verstoß schuldhaft begangen haben oder reicht ein objektiver Verstoß gegen die DSGVO aus, um das Unternehmen zu bestrafen („strict liability“)?

Der EuGH stellte fest, dass laut Art. 83 Abs. 3 iVm Art. 4 Z 7 DSGVO auch juristische Personen für Datenschutzverstöße verantwortlich sein können. Es sei nicht zwingend erforderlich, die natürliche Person zu identifizieren, die den Ver­stoß begangen hat. Jedoch betonte der EuGH, dass Vorsatz oder Fahrlässigkeit eine Rolle spielen müssen, um Geldbußen gemäß der DSGVO zu verhängen.

Es bleibt abzuwarten, wie das Berliner Kammer­gericht den Nachweis von Vorsatz und Fahr­lässig­keit im Fall der Deutschen Wohnen bewerten wird. Das Urteil hat potenziell weit­reichende Aus­wirkungen auf die Handhabung von Bußgeldverfahren gegen Unterneh­men und die Bewertung von Vorsatz und Fahrlässigkeit bei juristischen Personen nach geltendem Recht.