Datenschutz Monatlich: Februar 2023

Der monatliche Datenschutzbericht ist wieder da, mit pikanten Neuigkeiten: Der Europäische Datenschutzausschuss hat sich mit einigen wichtigen Dingen beschäftigt, Google sieht sich mit einer weiteren Kartellklage in den USA konfrontiert, und mehr. Oh, und die US-Flugverbotsliste wurde gestohlen - ja, Sie haben richtig gelesen.

Michelin chose Simple AnalyticsJoin them

Tauchen wir ein!

Wichtiger Fall von Datentransfer geht an EDPB

In einem weiteren Kapitel der Datentransfer-Saga wird der Europäische Datenschutzausschuss (das Gremium, das sich aus allen europäischen Datenschutzbehörden sowie dem Europäischen Datenschutzbeauftragten zusammensetzt) das letzte Wort über die Untersuchung der irischen Datenschutzbehörde zu den Datentransfers von Meta Ireland haben. Die Behörde hatte bereits im Juli letzten Jahres einen Beschluss zur Unter bindung von Datenübermittlungen an Facebook gefasst, doch andere Datenschutzbehörden erhoben Einspruch, so dass der EDSB die Angelegenheit mit einer verbindlichen Entscheidung abschließen wird.

Da es sich um einen viel beachteten Fall handelt, an dem der EDSB beteiligt war, wird das Ergebnis sicherlich erhebliche Auswirkungen auf die Art und Weise haben, wie die Datenschutzbehörden ähnliche Fälle behandeln werden. Die Entscheidung des Gremiums wird eine interessante Lektüre sein und uns einen Einblick geben, wie die einzelnen Datenschutzbehörden zu dem kontroversen Thema der Datenübermittlung stehen.

Die rechtlichen Probleme mit Datenübermittlungen sind inzwischen eine lange Geschichte. Wenn Sie neugierig sind, haben wir hier darüber geschrieben.

Flugverbotsliste gestohlen

Die US-Verkehrssicherheitsbehörde untersucht derzeit das Leck in der 2019er Version der Flugverbotsliste des Bundes. Der Hack wurde von einem Schweizer Hacktivisten behauptet, der die Liste angeblich auf einem ungesicherten Server der US-Fluggesellschaft CommuteAir gefunden hat. Die Hacktivistin hat die Liste nicht veröffentlicht, sagte aber, sie werde sie ausgewählten Journalisten und Forschern zur Verfügung stellen.

Die Flugverbotsliste ist eine Liste bekannter oder mutmaßlicher Terroristen, die nicht an Bord von Flügen gehen dürfen. Die Liste ist höchst umstritten und wurde wegen ihrer mangelnden Transparenz und der Voreingenommenheit gegenüber der muslimischen religiösen Minderheit vielfach kritisiert. Nach Angaben der Hacktivistin enthält die in ihrem Besitz befindliche Version die Namen und Geburtsorte von mehr als einer Million Personen, sowohl von US-Bürgern als auch von Ausländern.

Kartellrechtsklage gegen Google

Das US-Justizministerium und die Generalstaatsanwälte von acht Staaten haben eine Kartellklage gegen Googles Muttergesellschaft Alphabet Inc. eingereicht, um das Unternehmen zu zerschlagen und seine Kontrolle über den digitalen Werbemarkt zu verringern.

Google ist kein Neuling in Sachen Kartellrecht: Eine Klage wegen des Monopols von Google auf dem Internetsuchmarkt wurde vom DOJ im Jahr 2020 eingereicht und abgewiesen. Auch andere große Technologieunternehmen stehen unter Beschuss: Meta ist in zwei Gerichtsverfahren verwickelt, bei denen es um seine beherrschende Stellung auf dem Markt für soziale Netzwerke und um die geplante Übernahme des VR-Unternehmens Within geht. Und vor kurzem hat die Federal Trade Commission Microsoft vor Gericht gebracht, um die Übernahme des Videospielunternehmens Activision Blizzard zu verhindern.

Insgesamt scheint das DOJ unter der Regierung Biden eine sehr proaktive Haltung in Kartellfragen einzunehmen, was in Zukunft zu interessanten Entwicklungen führen könnte.

DPC verhängt Geldstrafe gegen Meta und kündigt rechtliche Schritte gegen EDPB an

Wie in der Januar-Ausgabe des Privacy Monthly berichtet, hat die irische Datenschutzbehörde (DPC) gegen Meta Ireland eine Geldstrafe in Höhe von 390 Millionen Euro verhängt, weil das Unternehmen Facebook- und Instagram-Nutzer unrechtmäßig mit personalisierter Werbung anspricht. Die ersten (und sehr milden) Entscheidungen der Datenschutzbehörde wurden vom Europäischen Datenschutzausschuss im Rahmen des Streitbeilegungsverfahrens überprüft und größtenteils aufgehoben, was die Behörde veranlasste, neue Entscheidungen zu erlassen.

Die Geschichte ist noch nicht ganz zu Ende. Der EDSB hat später einen dritten, fast identischen Streitfall im Zusammenhang mit Whatsapp beigelegt. Dies führte dazu, dass die Datenschutzbehörde am 12. Januar eine weitere Geldstrafe in Höhe von 5 Millionen Euro gegen das zu Meta gehörende WhatsApp Irland verhängte - ein eher geringer Betrag angesichts der Zahl der betroffenen Nutzer. Die Datenschutzbehörde kündigte außerdem rechtliche Schritte vor dem Europäischen Gerichtshof an, um die Anordnung des Europäischen Datenschutzausschusses zur weiteren Untersuchung der Datenverarbeitung durch Meta aufzuheben. Nach Ansicht des Datenschutzbeauftragten stellt die Anordnung einen Verstoß gegen seine Unabhängigkeit dar, da der EDSB nicht befugt ist, die Ermittlungen einer Datenschutzbehörde anzuordnen.

Alle Entscheidungen verdeutlichen die radikalen Meinungsverschiedenheiten zwischen dem Datenschutzbeauftragten und anderen Datenschutzbehörden, wobei zahlreiche Behörden die Ansichten des Datenschutzbeauftragten ablehnen und auf eine weitaus strengere Auslegung der Datenschutz-Grundverordnung drängen. Die rechtlichen Schritte des Datenschutzbeauftragten werden die Reibungen mit seinen europäischen Kollegen wahrscheinlich noch verstärken.

Ja, dies war ein arbeitsreicher Monat für den EDPB. Letztes Jahr richtete der Ausschuss eine Task Force für Cookie-Banner ein, um die Reaktion auf die zahlreichen Beschwerden zu koordinieren, die von der Nichtregierungsorganisation noyb gegen betrügerische Cookie-Banner eingereicht wurden. Am 17. Januar veröffentlichte die Task Force ihren Bericht.

Das Dokument befasst sich mit häufigen Fällen von irreführendem Design in Cookie-Bannern, z. B. wenn der Benutzer gezwungen wird, zusätzliche Schritte zu unternehmen, um Cookies abzulehnen, oder die Ablehnungsoption kaum sichtbar ist. Die Task Force war sich weitgehend einig, dass solche Praktiken illegal sind. Das Dokument ist für die Datenschutzbehörden nicht rechtsverbindlich, aber in der Praxis könnte es ein Schritt in Richtung eines harten Durchgreifens gegen betrügerische Banner auf europäischer Ebene sein.

Wenn Sie mehr wissen möchten, lesen Sie den Bericht in unserem Blog.

Nach einer Klage des irischen Rats für Bürgerrechte und einem Austausch mit dem EU-Bürgerbeauftragten hat sich die Europäische Kommission verpflichtet, die Untersuchung von groß angelegten, grenzüberschreitenden GDPR-Fällen in ganz Europa regelmäßig zu überwachen. Die Datenschutzbehörden der einzelnen Mitgliedstaaten werden alle zwei Monate über ihre Fortschritte bei solchen Fällen berichten. Die Kommission wird einen eigenen Bericht über die erhaltenen Informationen veröffentlichen, um der Öffentlichkeit einen Einblick in den Stand der Durchsetzung der Datenschutzgrundverordnung zu geben.

Viele wichtige Datenschutzverfahren gegen große Technologieunternehmen gehen auf grenzüberschreitende Beschwerden zurück, und die Beilegung dauert oft lange. Die jüngsten Bußgelder des Datenschutzbeauftragten gegen Meta sind ein gutes Beispiel dafür - die Beschwerden wurden bereits 2018 geahndet! Hoffentlich wird das neue Meldesystem die Dinge beschleunigen.

Französische Aufsichtsbehörde auf Bußgeldtour

Die französische Datenschutzbehörde (CNIL) war in letzter Zeit recht aktiv, und es gab schlechte Nachrichten für Big Tech. Innerhalb eines Monats wurden sowohl TikTok als auch Microsoft wegen der nicht konformen Verwendung von Cookies und irreführenden Cookie-Bannern mit Geldbußen belegt (in Höhe von 8 Mio. EUR bzw. 60 Mio. EUR), und Apple wurde mit einer Geldstrafe von 8 Mio. EUR belegt, weil es Nutzer von iOS 14.6 zu Werbezwecken illegal verfolgt hatte.

Der Zeitpunkt ist sehr passend: Die Entscheidungen gegen TikTok und Microsoft passen perfekt zu dem kürzlich veröffentlichten Bericht der EDPB-Taskforce für Cookie-Banner. Die CNIL ist eine einflussreiche Datenschutzbehörde und ihre Entscheidungen werden hoffentlich ein Beispiel für andere Behörden sein, die Fälle von Cookies streng behandeln.

EU geht möglicherweise hart gegen politische Werbung vor

Der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) des Europäischen Parlaments hat sich auf einen Verordnungsentwurf zur Verschärfung der Regeln für politische Werbung geeinigt. Die Mitglieder des Parlaments schlagen außerdem vor, Nicht-EU-Unternehmen die Finanzierung politischer Werbung in der EU zu verbieten.

Sollte die Union dem IMCO-Entwurf folgen, wäre politische Werbung nur noch auf der Grundlage personenbezogener Daten erlaubt, die ausdrücklich für diesen Zweck zur Verfügung gestellt wurden. Dies würde der gezielten politischen Werbung in sozialen Netzwerken den Garaus machen - und angesichts des Cambridge-Analytica-Skandals ist das wahrscheinlich auch gut so.

TikTok-CEO will vor dem Kongress aussagen

TikTok-CEO Shou Zi Chew hat sich bereit erklärt, im März vor dem Energie- und Handelsausschuss des US-Kongressesauszusagen. Herr Chew wird versuchen, den Kongress zu beruhigen und die Behauptungen zu widerlegen, dass die App Nutzerdaten an die Kommunistische Partei Chinas weitergibt.

Die angeblichen Sicherheitsprobleme von TikTok sind schon seit Jahren ein kontroverses Thema. Die Trump-Administration versuchte, TikTok zu verbieten, aber seine Durchführungsverordnung wurde vor Gericht angefochten und später von der Biden-Administration widerrufen. Die angeblichen Sicherheitsprobleme von TikTok sind seither ein heißes Thema. TikTok ist in 24 Bundesstaaten und auf einigen Regierungsgeräten verboten, und der Ausschuss für auswärtige Angelegenheiten des US-Repräsentantenhauses wird diesen Monat über ein Verbot von TikTok abstimmen.