Personenbezogene Daten: Ist die Nutzung eines Grundrechts handelbar?
Legal Watch Nr. 54 – Dezember 2022
Personenbezogene Daten: Ist die Nutzung eines Grundrechts handelbar? Die Stellungnahme zum Verfahren gegen Meta, die Muttergesellschaft von Facebook, WhatsApp und Instagram, könnte mühsam werden, da sie den Zorn der Datenschutzbehörden auf sich zieht.
Tatsächlich wurde das Unternehmen seit Inkrafttreten der DSGVO von den GAFAM-Unternehmen mit den höchsten Sanktionen belegt und musste gerade eine weitere Geldstrafe in Höhe von 390 Millionen Euro verhängen.
Die jüngsten Entscheidungen des Europäischen Datenschutzausschusses (EDSA), die Anfang dieses Jahres von der irischen Datenschutzbehörde umgesetzt wurden, verdienen jedoch aus mehr als einem Grund unsere Aufmerksamkeit.
Einerseits, weil sie den Epilog eines Wortgefechts zwischen der irischen Datenschutzbehörde und ihren europäischen Pendants darstellen, und andererseits, weil sie den rechtlichen Rahmen für Werbeprofiling in einem Kontext klären, der über den konkreten Fall Meta hinausgeht.
Die Entscheidungen des EDSA vom 6. Dezember wurden im Rahmen des europäischen Streitbeilegungsverfahrens (Artikel 65 der DSGVO) getroffen. zwischen den nationalen Datenschutzbehörden.
Am 4. Januar folgte die Veröffentlichung der endgültigen Stellungnahme der irischen Behörde, die mit den Schlussfolgerungen des EDSA übereinstimmt.
Als Vorreiter in dieser Angelegenheit geriet Irland mit seinen Mitbewerbern in Fragen zu mehreren Datenverarbeitungsvorgängen von Facebook, WhatsApp und Instagram in Konflikt.
Die vom EDSA getroffenen Entscheidungen klären den Streit in drei Hauptpunkten: der Rechtsgrundlage für die Verarbeitung (Art. 6 DSGVO), den Grundsätzen des Datenschutzes (Art. 5 DSGVO) und der Anwendung von Abhilfemaßnahmen, einschließlich Geldbußen.
Von besonderem Interesse für uns ist die Frage nach der Rechtsgrundlage für die Verarbeitung durch das Unternehmen. Meta ist – mit Unterstützung der irischen Behörde – der Ansicht, dass Benutzerdaten zum Zwecke der verhaltensbasierten Werbung (oder zur Serviceverbesserung im Fall von WhatsApp) gesammelt werden könnten, wobei die Rechtsgrundlage die Vertragserfüllung ist.
Es ist zu beachten, dass Meta bis zum Inkrafttreten der DSGVO verhaltensbasierte Werbung durch die Einholung der Einwilligung des Nutzers legitimierte.
Das Unternehmen hat seine Allgemeinen Geschäftsbedingungen am 25. Mai 2018 dahingehend geändert, dass dieser Zweck der gezielten Werbung nun als integraler Bestandteil des angebotenen Dienstes gilt und die Kontrolle der Nutzer über die Verwendung ihrer Daten de facto einschränkt.
Das Unternehmen argumentierte, dass es keine Einwilligung einholen müsse, da dieses Online-Targeting Teil des Dienstes sei, den es den Benutzern biete.
Zur Erinnerung: Die Einwilligung gehört ebenso wie die Notwendigkeit der Daten im Rahmen der Vertragserfüllung zu den sechs Rechtsgrundlagen des Artikels 6(1) der DSGVO, mit denen die Rechtmäßigkeit einer Verarbeitung begründet werden kann.
Sind diese Rechtsgrundlagen austauschbar?
Die europäische Doktrin zu diesem Thema ist eindeutig und wurde gerade bestätigt: Die vertragliche Notwendigkeit muss eng ausgelegt werden und die erhobenen Daten müssen für die Erbringung der Dienstleistung unbedingt erforderlich sein, wie dies beispielsweise bei der Erhebung von Kreditkartendaten für Online-Zahlungen der Fall ist.
Der EDSA kam bereits in seiner Stellungnahme vom 8. Oktober 2019 zu Online-Diensten zu dem Schluss, dass verhaltensbasierte Werbung kein notwendiger Bestandteil von Online-Diensten sei.
Ein Online-Händler, der beispielsweise anhand der Besuche seiner Website Profile über die Vorlieben und Lebensstilentscheidungen eines Benutzers erstellen möchte, kann sich zur Erstellung dieser Profile nicht auf den Abschluss eines Kaufvertrags berufen.
Auch wenn Profiling im Vertrag ausdrücklich erwähnt wird, ist es allein aufgrund dieser Tatsache nicht „erforderlich“ für die Vertragserfüllung.
Möchte der Online-Händler dieses Profiling durchführen, muss er sich auf eine andere Rechtsgrundlage stützen.
Diese Position wurde vom EDSA in seinen Leitlinien vom 13. April 2021 zum Targeting von Social-Media-Nutzern bestätigt.
Es ist jedoch festzustellen, dass immer mehr Online-Dienste als kostenlos dargestellt werden, während sie in Wirklichkeit mit Benutzerdaten bezahlt werden, die das Gegenstück zum Online-Dienst darstellen.
Können wir also „mit unseren Daten bezahlen“?
Die Frage der Datenvertragsgestaltung ist nicht neu, stellt sich heute jedoch mit einer gewissen Dringlichkeit.
Auch wenn die Werbung der Unterstützung des Dienstes dient, wird die Verarbeitung zu Zwecken des Direktmarketings grundsätzlich als etwas anderes angesehen als der objektive Zweck des Vertrags zwischen der betroffenen Person und dem Diensteanbieter. Dies bedeutet, dass es dem Nutzer freistehen muss, der gezielten Werbung zuzustimmen oder nicht.
Im Jahr 2017 warnte der Europäische Datenschutzbeauftragte in einer Stellungnahme zu Verträgen für die Bereitstellung digitaler Dienste „vor jeder neuen Bestimmung, die den Gedanken einführen würde, dass Menschen mit ihren Daten auf dieselbe Weise bezahlen können wie mit Geld.“
Tatsächlich können Grundrechte wie das Recht auf Schutz personenbezogener Daten nicht auf die alleinigen Interessen der Verbraucher reduziert werden, und personenbezogene Daten können nicht als einfache Ware betrachtet werden.
Manche werden der Meinung sein, dass die Zahlung mit Ihren Daten nicht bedeutet, dass Sie auf Ihre Grundrechte verzichten.
Bemerkenswert ist auch die zweideutige Haltung der CNIL zum Thema „Paywalls“, die den Zugang zu einer Website von einer Zahlung abhängig machen, wenn der Benutzer die Verwendung von Cookies ablehnt. Die Kommission erklärt auf ihrer Website, dass sie diese Fragen von Fall zu Fall prüft.
Müssen wir daher erwarten, dass Meta Nutzern, die Werbeprofilierung ablehnen, Gebühren berechnet?
Wie die NGO NOYB, die die Beschwerde gegen Meta eingelegt hat, zu Recht betont, betrifft der vom EDSA beigelegte Streit nur dieses Profiling und hat keine Auswirkungen auf andere Formen der Werbung, wie etwa kontextbezogene Werbung, die auf dem Inhalt einer Seite basiert.
Die Position des EDPB wird sicherlich Auswirkungen auf die Finanzen von Meta haben, schließt Werbung jedoch nicht vollständig aus.
Im Gegenteil, es sollte einen gesunden Wettbewerb zwischen Meta und anderen Online-Dienstanbietern sowie zwischen Unternehmen, die irischem Recht unterliegen, und Unternehmen mit Sitz in anderen Teilen Europas wiederherstellen.
Und auch
Frankreich:
Am 19. Dezember 2022 sanktionierte die CNIL das Unternehmen MICROSOFT IRELAND OPERATIONS LIMITED in Höhe von 60 Millionen Euro wegen illegaler Verwendung von Cookies auf seiner Suchmaschine „bing.com“.
Dem Unternehmen wird vorgeworfen, keinen Mechanismus implementiert zu haben, der es den Nutzern ermöglicht, Cookies ebenso einfach abzulehnen wie zu akzeptieren.
Die CNIL begründet diesen Betrag mit dem Umfang der Verarbeitung, der Anzahl der betroffenen Personen und den Gewinnen, die das Unternehmen aus Werbeeinnahmen erzielt, die indirekt aus den durch Cookies gesammelten Daten generiert werden.
Am 30. November 2022 verhängte die CNIL eine Strafe von 300.000 Euro gegen das Unternehmen FREE.
Bei den Kontrollen wurden mehrere Verstöße festgestellt, insbesondere bei den Betroffenenrechten (Auskunftsrecht und Recht auf Löschung) und bei der Datensicherheit: So wies die Kommission auf die geringe Stärke der Passwörter, die Speicherung und Übermittlung der Passwörter im Klartext sowie die Weiterverbreitung von rund 4.100 schlecht aufbereiteten „Freebox“-Boxen hin.
Darüber hinaus wies es das Argument zurück, dass die Quellen der personenbezogenen Daten des für die Verarbeitung Verantwortlichen als „Geschäftsgeheimnisse“ betrachtet werden sollten.
In einer Veröffentlichung vom 5. Dezember 2022 erinnert die CNIL an die Regeln, die beim Verkauf einer Kundendatei zu kommerziellen Zwecken einzuhalten sind: Die Datei darf nur die Daten aktiver Kunden enthalten und darf höchstens drei Jahre nach Beendigung der Geschäftsbeziehung gültig bleiben. Ein Verkauf der Daten von Kunden, die der Weitergabe ihrer Daten nicht widersprochen oder darin eingewilligt haben, ist nur zulässig. Der Käufer muss die Wahrung der Rechte des Einzelnen gewährleisten (insbesondere klare Informationen und Einwilligung zur elektronischen Kundenwerbung).
Die CNIL hat dies am 4. Januar endlich sanktioniert APPLE INTERNATIONALER VERTRIEB bis zu 8 Millionen Euro weil sie die Zustimmung französischer iPhone-Nutzer, die die alte Version von iOS 14.6 verwenden, nicht eingeholt haben, bevor sie für Werbezwecke verwendete Kennungen auf ihren Geräten hinterlegt und/oder geschrieben haben.
Europa:
Die schwedische EU-Ratspräsidentschaft hat am 14. Dezember ihre Prioritäten für die nächsten sechs Monate veröffentlicht: Digitale Technologien stehen nicht ganz oben auf der Tagesordnung., angesichts der aktuellen Debatten über die wirtschaftliche und energetische Sicherheit und Widerstandsfähigkeit im Kontext des russisch-ukrainischen Konflikts.
Schweden gibt jedoch an, dass es die begonnenen Arbeiten zur Datenverordnung („Datengesetz“), zur Verordnung „Datenschutz und elektronische Kommunikation“ sowie zum Vorschlag für eine Verordnung über einen europäischen Gesundheitsdatenraum fortsetzen wird.
Ziel dieser Entscheidung ist es, eine dauerhafte Rechtsgrundlage für Datenübermittlungen zwischen der EU und den USA zu schaffen, nachdem der Gerichtshof der EU im Juli 2020 in der Rechtssache „Schrems II“ den „Privacy Shield“ für ungültig erklärt hatte.
Bevor eine endgültige Entscheidung getroffen werden kann, muss der Entwurf noch vom Europäischen Datenschutzausschuss (EDSA) geprüft und vom Ausschuss der Vertreter der EU-Mitgliedstaaten genehmigt werden.
Auch das Europäische Parlament hat ein Recht, Angemessenheitsbeschlüsse zu überprüfen.
Die Europäische Kommission veröffentlichte am 15. Dezember 2022 eine Erklärung zu digitalen Rechten und Grundsätzen für das digitale Jahrzehnt.
Die Erklärung soll politischen Entscheidungsträgern bei ihrer Vision der digitalen Transformation folgende Leitlinien an die Hand geben: eine bürgerzentrierte digitale Transformation, die Solidarität und Inklusion fördert, an die Bedeutung der Entscheidungsfreiheit im Umgang mit Algorithmen und Systemen der künstlichen Intelligenz erinnert und insbesondere für Kinder und Jugendliche mehr Sicherheit und Selbstbestimmung ermöglicht, während gleichzeitig das Recht auf Privatsphäre und die Kontrolle des Einzelnen über seine Daten gewährleistet wird.
Nach einem Jahr der Untersuchung hat die EU-Bürgerbeauftragte ihre Entscheidung vom 19. Dezember 2022 bezüglich der Beschwerde des Irish Council for Civil Liberties (ICCL) gegen die Europäische Kommission wegen unzureichender Überwachung der Anwendung der DSGVO in Irland veröffentlicht.
Diese Entscheidung unterstreicht die Notwendigkeit einer besseren Überwachung des Fortgangs jedes Big-Tech-Falls, der vor die irische Datenschutzkommission gebracht wird, durch die Europäische Kommission.
In einem Urteil vom 8. Dezember hat der Gerichtshof der Europäischen Union die Bedingungen geklärt, unter denen europäische Bürger von Google die Entfernung der sie betreffenden Suchergebnisse erwirken können.
In dem Fall ging es um zwei Investmentmanager, die Google aufgefordert hatten, die Ergebnisse einer unter ihrem Namen durchgeführten Suche aus dem Verzeichnis zu entfernen. Diese enthielt Links zu bestimmten Artikeln, in denen ihr Anlagemodell kritisiert wurde.
Das Gericht entschied, dass „das Recht auf freie Meinungsäußerung und Information nicht berücksichtigt werden kann, wenn sich zumindest ein Teil – und zwar nicht unerheblicher – der in den referenzierten Inhalten enthaltenen Informationen als unrichtig erweist.“ Wer unrichtige Ergebnisse aus Suchmaschinen entfernen lassen möchte, muss ausreichende (und vernünftige) Beweise dafür vorlegen, dass die über sie gemachten Angaben falsch sind.
Die niederländische Datenschutzbehörde veröffentlichte am 22. Dezember eine Erklärung zu ihren Befugnissen zur Überwachung von Algorithmen in Fragen der Transparenz, Diskriminierung und Willkür.
Auch in den Niederlanden zeigt eine Studie der niederländischen Datenschutzgruppe Incogni dass viele beliebte Shopping-Apps, darunter auch die von Amazon, fragwürdige Praktiken hinsichtlich der Weitergabe von Zugriffsberechtigungen an Werbebibliotheken aufweisen, wodurch Werbenetzwerke indirekt auf das Gerät zugreifen können.
Griechische Autorität Die Datenschutzbehörde hat gegen Vodafone PANAFON SA eine Geldstrafe von 150.000 Euro verhängt, weil das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Sicherheit seiner elektronischen Kommunikationsdienste ergriffen hat.
Die isländische Behörde Die Datenschutzbehörde hat eine Autowerkstatt angewiesen, einem Auskunftsersuchen nach Artikel 15 der DSGVO nachzukommen und der betroffenen Person Daten zu allen Reparaturen und Dienstleistungen bereitzustellen, die an ihrem Auto durchgeführt wurden, während es sich in ihrem Besitz befand.
Die portugiesische Behörde Die Datenschutzbehörde hat die Stadtverwaltung von Setúbal gerügt und mit einer Geldstrafe von 170.000 Euro belegt. Grund dafür ist die Verletzung des Integritäts- und Vertraulichkeitsgrundsatzes, des Grundsatzes der Speicherbegrenzung und der Informationspflichten gemäß Artikel 13 der DSGVO sowie die unterlassene Ernennung eines Datenschutzbeauftragten im Zusammenhang mit der Erhebung personenbezogener Daten ukrainischer Flüchtlinge, die eine Telefon-Helpline in Portugal nutzten.
Die portugiesische Datenschutzbehörde verhängte außerdem Sanktionen gegen das Nationale Statistikinstitut wegen Nichteinhaltung der DSGVO, unter anderem wegen der Übermittlung personenbezogener Daten aus der Volkszählung 2021 in die Vereinigten Staaten und wegen der unterlassenen Durchführung einer Datenschutz-Folgenabschätzung.
Die italienische Behörde Die Datenschutzbehörde hat Alpha Exploration eine Geldbuße in Höhe von 2.000.000 Euro auferlegt, weil das Unternehmen das soziale Netzwerk Clubhouse unter Verstoß gegen die Bestimmungen der DSGVO zu Rechtmäßigkeit und Transparenz betreibt, die mit der Verarbeitung verbundenen Risiken nicht bewertet und einen EU-Vertreter ohne das erforderliche Mandat ernannt hat, im Namen des Verantwortlichen zu handeln.
Die italienische Datenschutzbehörde verhängte außerdem eine Geldstrafe von 500.000 Euro gegen den Telekommunikationsbetreiber Vodafone Italia, weil dieser personenbezogene Daten ohne Rechtsgrundlage für Direktmarketingzwecke verarbeitet, allgemeine Einwilligungen für separate Datenverarbeitungsvorgänge eingeholt und Informationen zur Verarbeitung personenbezogener Daten in unverständlicher Weise bereitgestellt hatte.
Spanische Autorität Die Datenschutzbehörde verhängte gegen einen 16-jährigen Teenager eine Geldstrafe von 5.000 Euro, weil er über WhatsApp empfangene Videos und Fotos verwendet hatte, um einen 13-jährigen Minderjährigen zu erpressen, der keine gültige Einwilligung geben konnte. Die Datenschutzbehörde ordnete außerdem an, dass der Teenager alle anderen personenbezogenen Daten der betroffenen Person löschen und über die diesbezüglich ergriffenen Maßnahmen berichten solle.
Internationales
VEREINIGTE STAATEN: Epic Games, Hersteller des Videospiels Fortnite, muss mehr als eine halbe Milliarde Dollar zahlen wegen Verstoßes gegen den Children's Privacy Protection Act (COPPA), Änderung der standardmäßigen Datenschutzeinstellungen und Verleitung von Benutzern zu unerwünschten Käufen.
Die Vergleiche der Federal Trade Commission mit Epic Games wurden am 15. Dezember von der FTC veröffentlicht.
In einer Veröffentlichung vom 29. Dezember Der Guardian berichtet, dass der chinesische Überwachungskamerahersteller Hikvision eine Softwareplattform zur Unterstützung der Polizei entwickelt hat. um die Aktivitäten der Demonstranten zu verfolgen.
Die chinesische Polizei könnte somit Warnmeldungen für verschiedene Arten von Demonstrationen einrichten, etwa für „Ansammlungen von Menschenmengen, die die Ordnung auf öffentlichen Plätzen stören“, „illegale Versammlungen, Prozessionen, Demonstrationen“ und die Androhung von „Petitionen“.
Die OECD-Länder haben am 14. Dezember 2022 das erste zwischenstaatliche Abkommen zum Datenschutz verabschiedet. beim Zugriff auf personenbezogene Daten zu Zwecken der nationalen Sicherheit und Strafverfolgung.
Die Grundsätze definieren, wie der gesetzliche Rahmen den Zugriff der Regierung regelt, welche rechtlichen Standards bei Zugriffsanfragen angewendet werden, wie der Zugriff genehmigt wird und wie die daraus resultierenden Daten verarbeitet werden, sowie die Bemühungen, Transparenz gegenüber der Öffentlichkeit zu gewährleisten.
Von der technische Lösungen Es werden Maßnahmen entwickelt, die es sowohl den Benutzern ermöglichen, die Verwendung ihrer Daten zu kontrollieren, als auch den Datenverantwortlichen, Online-Daten im Einklang mit den Datenschutzgrundsätzen zu verwalten.
Zusätzlich zur Global Privacy Control, die derzeit im Kontext des Online-Einwilligungsmanagements immer mehr Anwendung findet, bietet die Einwilligungsmanagement-Plattform CookieFirst den Nutzern erweiterte Kontrolle über Dienste von Drittanbietern und die von ihnen gesetzten Cookies und nutzt in der EU ansässige Subunternehmer für die Datenspeicherung.
Anne Christine Lacoste
Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.
DE_AT 
FR 
EN 
DE 
ES 
EL 
IT 
HR 
PT 
NL 
ET 
FI 
LV 
LT 
SK 
SL