Analysieren Sie Ihr Publikum, um besser zu kommunizieren ... was sind die Regeln?

Legal Watch Nr. 49 – Juli 2022

Analysieren Sie Ihr Publikum, um besser zu kommunizieren ... was sind die Regeln? Heutzutage ermöglichen Medien und soziale Netzwerke Unternehmen, ihr Publikum zu analysieren, um es gezielter anzusprechen, ihr Image zu verbessern und ihre Marketingstrategie anzupassen.

Daher ist es möglich und wird immer häufiger, ein Unternehmen für „Social Media Monitoring“ zu beauftragen, das das Internet durchforstet, die relevantesten Gespräche in den sozialen Netzwerken verfolgt und seinen Kunden an ihre Bedürfnisse angepasste Berichte und Analysen liefert.

Obwohl es sich bei den so analysierten Daten um öffentliche Daten handelt, handelt es sich häufig um personenbezogene Daten, die weiterhin durch die DSGVO geschützt sind, unabhängig davon, ob es sich um Influencer, Journalisten oder andere in sozialen Netzwerken aktive Personen handelt.

Wer muss diese Pflichten erfüllen?

Bei der Beauftragung eines externen Partners zur Bewertung der Wahrnehmung des Unternehmens in den sozialen Medien gilt das Kundenunternehmen als Verantwortlicher für die beauftragte Dienstleistung und das Medienbeobachtungsunternehmen als Subunternehmer.

Die Auswirkungen sind erheblich, da es um die Haftung für die Erfassung, Verarbeitung und Speicherung von Social-Media-Daten geht.

Es empfiehlt sich daher, beim Abschluss eines solchen Vertrags mehrere Punkte zu prüfen, um sicherzustellen, dass die Praktiken des Unternehmens, das die „Medienbeobachtung“ durchführt, mit der DSGVO im Einklang stehen:

• Wo befindet sich das Unternehmen?

Wenn das Unternehmen seinen Sitz außerhalb der EU hat, ist es wichtig, das anwendbare Recht zu prüfen, insbesondere wenn das Unternehmen nicht in einem Land ansässig ist, das ein angemessenes Schutzniveau bietet.

In diesem Fall muss er spezielle Garantien zum Schutz der Daten nutzen, meist Standardvertragsklauseln.

• Gibt das Unternehmen den Namen und die Kontaktdaten seines Datenschutzbeauftragten bekannt?

• Veröffentlicht es seine Datenschutzbestimmungen auf seiner Website oder kann es diese auf Anfrage zur Verfügung stellen?

Bitte beachten Sie, dass hierbei zwischen der Datenschutzerklärung der Website und der Datenverarbeitungsrichtlinie für Medienbeobachtungsdienste zu unterscheiden ist.

• Sind die folgenden Angaben in diesem Dokument und/oder dem Vertrag enthalten?

• jeweilige Rolle als Subunternehmer oder Datenverantwortlicher, Umfang der Verantwortlichkeiten jeder Person;

• Bedingungen für die Erhebung personenbezogener Daten, Quelle der Daten, Art der erhobenen Daten und Ort der Speicherung, Art und Weise, in der diese Daten gegebenenfalls aggregiert oder pseudonymisiert werden;

• Rechtsgrundlage;

• Aufbewahrungsfrist der Daten;

• Sicherheits- und Vertraulichkeitsmaßnahmen;

• Übermittlung von Daten außerhalb der EU;

• Informationen für betroffene Personen und Möglichkeiten zur Ausübung ihrer Rechte.

Am besten vertrauen Sie den Unternehmen, die Ihnen die größtmögliche Detailliertheit zu diesen verschiedenen Elementen bieten.

Dies entbindet das Kundenunternehmen nicht davon, als Verantwortlicher selbst weitere Maßnahmen zu ergreifen.

Insbesondere im Hinblick auf die Unterrichtung der Betroffenen kann davon ausgegangen werden, dass eine direkte Unterrichtung mit einem unverhältnismäßigen Aufwand verbunden ist.

Der Datenschutzrichtlinie der Website kann jedoch ein Informationshinweis hinzugefügt werden, der die Öffentlichkeit allgemein über die durchgeführten Zielgruppenanalysen informiert, die verschiedenen Verantwortlichkeiten und Rechte angibt und für weitere Einzelheiten auf die Website des externen Partners verweist.

Und auch

Frankreich:

Die CNIL veröffentlichte am 19. Juli ihre Position zu erweiterten Kameras und fordert eine umfassende Reflexion über den richtigen Einsatz dieser Instrumente im öffentlichen Raum.

Die Kommission weist auf die Gefahr einer umfassenden Überwachung und Analyse hin, die als Reaktion darauf das Verhalten der Menschen auf der Straße oder beim Einkaufen verändern könnte.

Sie weist darauf hin, dass das französische Gesetz den Einsatz von Augmented-Reality-Kameras durch öffentliche Behörden zur Aufdeckung und Verfolgung von Straftaten nicht zulässt, und ist der Ansicht, dass es notwendig sei, rote Linien zu ziehen, um diese Kameras niemals zum Zweck der „Bewertung“ von Personen einzusetzen.

Am 26. Juli veröffentlichte die CNIL Empfehlungen zur Alterskontrolle auf Websites: Darin wird die Entwicklung effektiverer und datenschutzfreundlicherer Lösungen im Hinblick auf die Verwendung von Bankkarten und Gesichtserkennung gefordert.

Es unterstützt auch die Entwicklung der Rolle vertrauenswürdiger Dritter.

Die CNIL verhängte am 21. Juli zudem eine Geldstrafe von 175.000 Euro gegen das Unternehmen Ubeeqo International. Autovermietung, insbesondere weil sie durch die nahezu permanente Geolokalisierung ihrer Kunden einen unverhältnismäßigen Eingriff in deren Privatsphäre verursacht hat.

Europa:

Die beiden europäischen Verordnungen zu digitalen Märkten und digitalen Diensten (DMA und DSA) wurden am 5. Juli vom Europäischen Parlament mit sehr großer Mehrheit angenommen.

Der DMA wurde im Juli ebenfalls endgültig vom Rat genehmigt, während die Genehmigung des DSA im November erwartet wird.

Die Kommission erwägt bereits die Einrichtung einer spezialisierten Abteilung, um die Einhaltung des DMA durch die digitalen Giganten sicherzustellen.

Der Europäische Datenschutzausschuss (EDSA) reagierte in einem Schreiben vom 28. Juli an mehrere NGOs auf die Erhebung personenbezogener Daten durch TikTok.

Es unterstreicht das rasche Handeln der irischen, italienischen und spanischen Aufsichtsbehörden nach der Ankündigung von TikTok, die Zustimmung der Nutzer zum Versand personalisierter Werbung nicht mehr einzuholen (wobei das berechtigte Interesse von TikTok und seinen Partnern zur Rechtsgrundlage wurde).

Im Anschluss an diese Maßnahmen gab TikTok bekannt, dass es diese Änderung der Rechtsgrundlage aussetzen werde.

Der Ausschuss nahm außerdem gemeinsam mit dem Europäischen Datenschutzbeauftragten (EDSB) Stellung zu der vorgeschlagenen Verordnung zur Verhütung und Bekämpfung des sexuellen Missbrauchs von Kindern.

Der Vorschlag zielt darauf ab, verschiedenen Webdiensten Verpflichtungen im Zusammenhang mit der Erkennung, Meldung, Entfernung und Sperrung von Online-Material mit sexuellem Kindesmissbrauch (CSAM) und der Kontaktaufnahme mit Kindern aufzuerlegen.

Die Aufsichtsbehörden weisen darauf hin, dass sie diese Verbrechen als besonders schwerwiegend und abscheulich erachten, weisen jedoch darauf hin, dass der einschneidende Charakter des Vorschlags in seiner jetzigen Form für den Einzelnen und damit für die Gesellschaft als Ganzes größere Risiken bergen könnte als für die von der CSAM verfolgten Kriminellen.

Der EDSA und der EDSB haben ihre Stellungnahme zum Vorschlag der Europäischen Kommission für den Europäischen Gesundheitsdatenraum (EHDS) abgegeben.

Der Vorschlag zielt darauf ab, eine „Europäische Gesundheitsunion“ zu schaffen, indem „das Potenzial, das ein sicherer Austausch, eine sichere Nutzung und Wiederverwendung von Gesundheitsdaten bietet, voll ausgeschöpft wird“.

In der Stellungnahme werden insbesondere die Risiken hervorgehoben, die mit der Sekundärnutzung elektronischer Gesundheitsdaten verbunden sind. Diese kann zwar Vorteile für das Gemeinwohl bringen, birgt jedoch auch Risiken für die Rechte und Freiheiten des Einzelnen.

Der EDSA hat am 12. Juli seine Position zu Übermittlungen nach Russland veröffentlicht.

Der Ausschuss äußert sich nicht zur Entwicklung des Datenschutzniveaus in diesem Land seit Kriegsbeginn, weist jedoch darauf hin, dass Übermittlungen von Fall zu Fall einer Folgenabschätzung unterzogen werden müssen.

Der Gerichtshof der Europäischen Union hat am 1. August ein wichtiges Urteil zum Umfang des Schutzes sensibler Daten veröffentlicht.

Der Begriff der „besonderen Kategorien“ personenbezogener Daten sollte weit ausgelegt werden, insbesondere um sicherzustellen, dass das Ziel des Art. 9 Abs. 1 DSGVO erreicht wird.

Das betreffende litauische Gesetz zur Vermeidung von Interessenkonflikten und Korruption sah die Veröffentlichung des Namens des Partners des Amtsträgers vor.

Das Gericht befand, dass diese Informationen Aufschluss über das Sexualleben oder die sexuelle Orientierung des Beamten und seiner Partnerin geben könnten.

In Norwegen hat die Datenschutzbehörde eine Zusammenarbeit mit Gewerkschaften zur Überwachung der Kameraüberwachung am Arbeitsplatz aufgenommen.

Der Beschwerdeausschuss der Behörde stimmte außerdem zu, dass ein übernehmendes Unternehmen die Verantwortung für den Datenverantwortlichen vor dem Erwerb übernimmt, und bestätigte die Entscheidung, das Unternehmen wegen unzulässiger Kreditauskunft unter Verstoß gegen Artikel 6 Absatz 1 DSGVO mit einer Geldbuße von ca. 12.000 € zu belegen (über GDPRhub).

Die niedersächsische Datenschutzbehörde hat gegen Volkswagen ein Bußgeld in Höhe von einer Million Euro wegen Datenschutzverstößen beim Einsatz eines Testfahrzeugs mit Kameras verhängt. soll Fahrerassistenz- und Unfallvermeidungssysteme verbessern.

Der Testwagen wurde ohne sichtbare Informationen im Überwachungsfeld der Kameras gefahren.

Die dänische Datenschutzbehörde hat die Gesundheitsdatenbehörde gerügt, weil sie ihre Arzneimitteldatenbank nicht getestet hat. um Fehler in der Servicearchitektur zu erkennen, die zu einem Datenverstoß führten, von dem 267 Personen betroffen waren (über GDPRhub).

Die DPA rügte außerdem die Gemeinde Helsingør für die Verwendung von Google Chromebooks und „Google Workspace for Education“ in Grundschulen.

Sie hat diese Verarbeitung untersagt, bis sie mit der DSGVO in Einklang gebracht wird, und alle damit verbundenen Datenübertragungen in die Vereinigten Staaten (über GDPRhub) ausgesetzt.

In diesem Zusammenhang werden Studenten und Mitarbeiter in den Niederlanden für ihre Internetsuchen jetzt zu DuckDuckGo und nicht mehr zu Google Search weitergeleitet.

Die slowenische Datenschutzbehörde hat eine Vereinbarung zwischen einem Cloud-Dienstanbieter und seinen Kunden neu klassifiziert: Sie stellte fest, dass kein Verantwortlicher-/Auftragsverarbeiterverhältnis, sondern vielmehr eine geteilte Verantwortung vorlag., da beide Parteien Entscheidungen über die Zwecke und Mittel der Verarbeitung getroffen haben (über GDPRhub)

Die Vergabekammer Baden-Württemberg weist darauf hin, dass die Übermittlung personenbezogener Daten in ein Drittland (außerhalb der EU) nach der DSGVO unzulässig ist., auch wenn der entsprechende Server von einem Unternehmen mit Sitz in der EU betrieben wird, sofern es Teil eines amerikanischen Konzerns ist.

Internationales:

Die NGO Data Rights und ihre kenianischen Partnerorganisationen, die Kenya Human Rights Commission und das Nubian Rights Forum, verklagen IDEMIA, ein führendes französisches Unternehmen für biometrische Technologie, vor dem Pariser Gericht..

Diese Organisationen werfen IDEMIA vor, in seinem Überwachungsplan zur Erfassung biometrischer Daten der Bevölkerung für die Entwicklung eines nationalen digitalen Identifikationssystems in Kenia die Menschenrechte nicht berücksichtigt zu haben.

Die Daily Mail vom 13. Juli diskutiert Chinas Einsatz künstlicher Intelligenz zur „Verbesserung“ der Funktionsweise seiner Gerichte: Computer würden vermeintliche menschliche Fehler in einem Urteil korrigieren und von den Richtern verlangen, der Maschine eine schriftliche Erklärung vorzulegen, wenn sie mit den Korrekturen der KI nicht einverstanden sind.

Großbritannien und die Vereinigten Staaten werden im Oktober im Rahmen einer CLOUD-Vereinbarung zwischen den beiden Ländern mit dem Austausch von Daten im Zusammenhang mit polizeilichen Ermittlungen beginnen.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.