WhatsApp-Entscheidung: Ende der Straflosigkeit für GAFAM in Europa?

Legal Watch Nr. 38 – August 2021

WhatsApp-Entscheidung: Ende der Straflosigkeit für GAFAM in Europa? In einer früheren Meldung berichteten wir über die Schwierigkeiten, auf europäischer Ebene eine Einigung hinsichtlich der Umsetzung der Datenschutz-Grundverordnung zu erzielen. 

Die jüngste Entscheidung der irischen Regulierungsbehörde in Bezug auf WhatsApp zeigt weitere Fortschritte bei der durch die DSGVO geschaffenen Zusammenarbeit zwischen den Aufsichtsbehörden.

Die am 2. September gegen WhatsApp verhängte Verwaltungsstrafe in Höhe von 225 Millionen Euro durch Irland folgt mehreren Wendungen innerhalb des Europäischen Datenschutzausschusses (EDSA).

Im Rahmen des Streitbeilegungsverfahrens nach Artikel 65 der DSGVO zwang der Ausschuss Irland, seine Schlussfolgerungen zu überprüfen : Es musste daher den Tatbestand erweitern, die Höhe der Geldbuße deutlich erhöhen und die Whatsapp eingeräumten Fristen zur Umsetzung der Entscheidung verkürzen.

Bei der Berechnung der Geldbuße war der Ausschuss der Ansicht, dass nicht nur der Umsatz von WhatsApp, sondern auch der des Mutterkonzerns Facebook berücksichtigt werden müsse.

Außerdem wurde berücksichtigt, dass im Falle mehrerer Verstöße im Zusammenhang mit derselben Datenverarbeitung die Verstöße zusammengerechnet werden sollten – wobei jedoch die in der DSGVO vorgesehene Obergrenze von 41 TP3T Umsatz nicht überschritten werden darf.

Es ist zu beachten, dass die Geldbuße, so hoch sie auch erscheinen mag, nur 0,081 TP3B des Umsatzes von Facebook ausmacht.

Das gibt Anlass zum Nachdenken, wenn man bedenkt, dass die irischen Behörden ursprünglich mit einer Geldstrafe von 50 Millionen Euro gerechnet hatten.

Erinnern wir uns daran Die luxemburgische Datenschutzbehörde verhängte Anfang August eine Geldstrafe von 746 Millionen Euro gegen Amazon., die höchste jemals im Rahmen der DSGVO verhängte Geldstrafe.

Im Mittelpunkt der Untersuchung stand die Frage, ob WhatsApp seinen Informationspflichten gegenüber seinen Nutzern sowie Nichtnutzern, deren Daten ebenfalls erhoben werden, nachkommt.

Die Informationsmitteilungen wurden als komplex erachtet, sodass es unmöglich sei, die vom Unternehmen verfolgten berechtigten Interessen richtig zu verstehen.

Die Nutzung der Funktion „Zugriff auf Kontakte“ durch die Nutzer erfolgt völlig undurchsichtig für die besagten Kontakte, deren Daten verarbeitet werden, obwohl sie die Anwendung nicht unbedingt selbst nutzen.

Der Ausschuss kommt daher zu dem Schluss, dass die Verstöße nicht nur gegen die Artikel 12, 13 und 14 der DSGVO hinsichtlich der Informationspflichten, sondern auch so schwerwiegend sind, dass sie einen Verstoß gegen Artikel 5 Absatz 1 Buchstabe a der DSGVO hinsichtlich des allgemeinen Transparenzgrundsatzes darstellen.

Die vom Ausschuss bekräftigte Entscheidung der irischen Behörde stellt für die für die Datenverarbeitung Verantwortlichen einen nützlichen Meilenstein im Hinblick auf die Informationspflichten der DSGVO dar.

Die folgenden Richtlinien werden beibehalten:

–           Vermeiden Sie die Streuung von Informationen auf verschiedenen Seiten, die vom Benutzer das Klicken auf mehrere Links erfordern, sowie endlose Dropdown-Menüs und die Konzentration von Informationen an einem Ort.

–           Beschreiben Sie die Verarbeitungsvorgänge, die erhobenen Daten und die Rechtsgrundlage für jeden angegebenen Zweck.

Geben Sie diese Informationen auch für jeden Dritten an, der Zugriff auf die Daten hat.

Die Anzeige dieser verschiedenen Elemente in Tabellenform kann zu einem besseren Verständnis beitragen.

–           Informationen bereitstellenn betreffend „Nichtnutzer“ in einer separaten und leicht zugänglichen Weise.

–           Geben Sie die Umstände an, unter denen die Daten aufbewahrt werden / gelöscht, mit konkreten Abbildungen.

–           Geben Sie die Rechtsgrundlage an Erlauben der Übermittlung von Daten außerhalb der Europäischen Union und Angeben der alternativen Rechtsgrundlage, falls kein Angemessenheitsbeschluss vorliegt.

Ein allgemeiner Verweis auf eine Webseite der Europäischen Kommission ist nicht ausreichend.

.

Und auch

Frankreich:

Die CNIL setzt ihre Compliance-Maßnahmen in Bezug auf Cookies fort.

Sie sprach über eine zweite Reihe von förmliche Mitteilungen im Sommer gegen mehrere Online-Verkäufer, große Plattformen der digitalen Wirtschaft, lokale Behörden und den Bankensektor.

Sie hat auch sanktioniert Am 27. Juli zahlte die Firma Figaro 50.000 Euro zur Hinterlegung von Werbe-Cookies ohne die Zustimmung der Internetnutzer.

Sie nutzt diese Gelegenheit, um an die Aufteilung der Verantwortung zwischen Site-Herausgebern und ihren kommerziellen Partnern zu erinnern.

Ein Computerfehler hat zugänglich gemacht die persönlichen Daten von rund 700.000 Menschen, die einen Covid-Test gemacht haben.

Dieser Sicherheitsverstoß verdeutlicht die schwankende Zuverlässigkeit der von Apothekern genutzten Transferdienste zur Versorgung der SI-DEP-Plattform der Regierung.

Während die SI-DEP-Plattform selbst sicher ist, ist dies nicht bei jeder Middleware der Fall.

Die Generaldirektion für Gesundheit (DGS) hat den Apothekern eine E-Mail geschickt, um sie an die zugelassene und mit SI-DEP kompatible Software zu erinnern.

Der von Francetest, der in dem am 31. August öffentlich gemachten Fehler identifiziert wurde, war nicht Teil davon.

Die CNIL erinnern im aktuellen Kontext des Schuljahresbeginns werden die Anforderungen erläutert, die im Rahmen des Einsatzes von Biometrie in Schulen zu erfüllen sind.

Darin wird die Handkonturerkennung für den Zugang zu Schulkantinen untersucht und die Anforderungen an Information, Einwilligung und Datensicherheit dargelegt.

Sie ergänzt, dass die Verweigerung der Verarbeitung biometrischer Daten und damit des anderweitigen Zugangs zur Mensa dem betroffenen Schüler keinen Schaden zufügen dürfe.

Europa:

Verbraucherkredit: Der Europäische Datenschutzbeauftragte (EDSB) hat am 26. August eine Stellungnahme zum Richtlinienvorschlag der Europäischen Kommission veröffentlicht.

Ursache sind neue Methoden der Bonitätsprüfung mittels digitaler Technologien.

Wenn derartige Bewertungen für die Kreditvergabe an den Verbraucher von wesentlicher Bedeutung sind, fordert der EDSB, bestimmte Daten von den Bewertungsverfahren auszunehmen.

Der EDSB möchte, dass das Verbot neben Gesundheits- und Social-Media-Daten auch auf alle sensiblen Daten (beispielsweise in Bezug auf Religion und politische Meinungen) sowie auf die Browserdaten von Internetnutzern ausgeweitet wird.

Der Controller weist außerdem darauf hin, dass die Rolle von Drittanbietern, die Kreditanalysedienste anbieten, und die Zertifizierung von Systemen der künstlichen Intelligenz in diesem Sektor besser reguliert werden müssen.

Gesichtserkennung: Europarat veröffentlicht Leitlinien zur Bereitstellung eines Referenzmaßstabs für Regierungen, Entwickler von Gesichtserkennungssystemen, Hersteller, Dienstanbieter und Unternehmen, die Gesichtserkennungstechnologien verwenden.

Ziel ist es sicherzustellen, dass bei ihrem Einsatz die Menschenwürde, die Menschenrechte und die Grundfreiheiten, einschließlich des Rechts auf Schutz personenbezogener Daten, nicht verletzt werden.

Italien: Die Datenschutzbehörde (Garante) hat Deliveroo mit einer Geldstrafe von 2,5 Millionen Euro belegts wegen der intransparenten Verwendung eines Algorithmus zur Verwaltung seiner Zusteller und der unverhältnismäßigen Erhebung ihrer personenbezogenen Daten unter Verletzung der Grundsätze der Rechtmäßigkeit, Transparenz, Minimierung und Beschränkung der DSGVO.

Internationales:

Die Volksrepublik China verabschiedete am 20. August ein Gesetz zum Schutz personenbezogener Daten (PIPL).

Dieses Gesetz tritt am 1. November 2021 in Kraft. 

Ziel ist nicht nur der Schutz individueller Daten, sondern auch die staatliche Sicherheit und die wirtschaftlichen Interessen des Landes im Hinblick auf GAFAM.

Das Gesetz enthält strenge Verpflichtungen hinsichtlich der lokalen Datenspeicherung und Beschränkungen für internationale Übertragungen.

Die Machtübernahme der Taliban in Afghanistan hat auch Auswirkungen auf den Datenschutz.

Mehrere Dateien, darunter auch das vom Innen- und Verteidigungsministerium verwaltete, würden besonders sensible Informationen enthalten.

Dabei handelt es sich um Polizei- und Armeedaten von einer halben Million Menschen: Name, Vorname, aber auch Identifikationsnummer verknüpft mit einem biometrischen Profil, Berufsdaten und familiäre Beziehungen sowie die persönlichen Daten zweier „Ältester“ von Stämmen, die bei der Rekrutierung als Bürgen fungieren.

Alle diese Informationen können, wenn sie den Besitzer wechseln, dabei helfen, Verbindungen zwischen lokalen Gemeinschaften und ethnischen Gruppen aufzuzeigen.