Legal Watch Nr. 72 – Juni 2024.  

Kommunikation und Marketing in den sozialen Medien: Welche Regeln gelten für Profis?

Soziale Netzwerke stellen einen Datenpool dar, der zur gezielten Ansprache potenzieller Kunden genutzt werden kann.

Die Nutzung dieser Daten, ob öffentlich zugänglich im sozialen Netzwerk oder durch die Schaffung eines Kontaktnetzwerks, unterliegt weiterhin dem Gesetz.

Es muss den Grundsätzen der DSGVO und der europäischen Richtlinie über elektronische Kommunikation (ePrivacy-Richtlinie) entsprechen.

Die Regeln sind beispielsweise unterschiedlich, wenn Sie ein Unternehmen („B2B“) oder eine natürliche Person („B2C“) kontaktieren.

Die Erwartungen der Menschen variieren auch je nachdem, ob bereits eine Beziehung besteht oder nicht: Achten Sie besonders darauf, Informationen über Personen zusammenzutragen, die nicht Teil Ihres Kontaktnetzwerks sind (z. B. durch Sammeln von Namen potenzieller Kunden in Diskussionsgruppen).

Es ist wichtig, drei wesentliche Grundsätze zu beachten: Transparenz, Achtung der Rechte der betroffenen Personen und Reaktionsfähigkeit auf ihre Anliegen.

• Bitte geben Sie Informationen über die erhobenen Daten an.

Es wird empfohlen:

• Um den Auswirkungen einer Online-Kommunikationsmaßnahme, wie beispielsweise einer E-Mail-Kampagne, vorzubeugen, indem am Ende der Nachricht ein Hinweis hinzugefügt wird, der insbesondere die Herkunft der Daten und den Zweck der Kommunikation erläutert.
• Um einen Artikel oder einen funktionalen Link bereitzustellen, der zu einer Informationsseite über den Datenverantwortlichen und die Rechte der betroffenen Personen führt.
• Um eine einfache Kontaktmöglichkeit (spezielle E-Mail-Adresse, Kontaktformular oder private Nachricht in sozialen Netzwerken) anzubieten, um Anfragen auf Auskunft, Berichtigung oder Löschung von Daten zu ermöglichen.
• Die Rechte des Einzelnen sind zu respektieren, und gegebenenfalls ist dessen Zustimmung einzuholen.

Manche Prospektionsmethoden können aufdringlicher sein als andere.

Auf LinkedIn beispielsweise ermöglicht InMail (gegen Gebühr) das direkte Versenden von Nachrichten an den Posteingang jedes Nutzers, der nicht zu Ihrem Kontaktnetzwerk gehört.

Manche Marketing-Software ermöglicht auch den Import von Kontakten (einschließlich Profilen und Fotos) aus sozialen Netzwerken wie LinkedIn, Facebook, Twitter, Viadeo, YouTube oder Klout zur Weiterverarbeitung.

Diese Akquisetechniken müssen den Regeln des E-Mail-Marketings entsprechen, wie sie in der DSGVO und der ePrivacy-Richtlinie vorgesehen sind.

Es werden daher folgende Grundsätze in Erinnerung gerufen:

• Die Einhaltung des Opt-in-Verfahrens bzw. die Einholung der vorherigen Zustimmung des Empfängers der Werbung ist erforderlich: Dies gilt für den Versand von B2C-Werbung per E-Mail, SMS, MMS, automatisierten Anrufen oder Fax.
• Achtung des Widerspruchsrechts, das die Zusendung von Werbebotschaften erlaubt, wenn der Empfänger der Werbung nicht widersprochen hat: Dies ist der Fall bei „B2B“-Werbung, die per E-Mail versendet wird, und bei „B2C“-Werbung, die per Post oder Telefon versendet wird.
• Organisieren Sie die Bearbeitung der Anfragen der betroffenen Personen.

Dies beinhaltet die Planung folgender Punkte:

• Eine typische Reaktion auf Internetnutzer, die beispielsweise ihr Widerspruchsrecht ausüben und/oder Auskunft über ihre Daten verlangen.
• Ein internes Verfahren zur schnellstmöglichen Bearbeitung dieser Anfragen, wobei die in der DSGVO vorgesehene Standardfrist einen Monat beträgt.

Die Reaktionsschnelligkeit und Effektivität der Antwort ist wichtig, da sie zur Online-Reputation des Datenverantwortlichen beiträgt.

 

Die französische Datenschutzbehörde (CNIL) hat angekündigt, im Zusammenhang mit den Olympischen und Paralympischen Spielen Kontrollen durchzuführen. um die Wahrung der Privatsphäre der Zuschauer zu gewährleisten.

Im Fokus stehen insbesondere „erweiterte“ Kamerageräte, QR-Codes für Sperrbereiche, Ticketing-Systeme und Freiwilligendaten.

Die CNIL verzeichnete nach den Europawahlen 167 Meldungen über Verstöße gegen die DSGVO.

Es erinnert die politischen Parteien im Hinblick auf die vorgezogenen Parlamentswahlen an die einzuhaltenden Regeln und teilt ihnen mit, dass es auf Grundlage der Anzahl und Art der im Zusammenhang mit den Wahlen eingehenden Meldungen Kontrollen durchführen wird.

Nach der Veröffentlichung praktischer Leitfäden im vergangenen April Am 10. Juni veröffentlichte die CNIL eine zweite Reihe von Informationsblättern und einen Fragebogen zur Regulierung der Entwicklung von Systemen der künstlichen Intelligenz (KI).

 Diese neuen Tools sollen Fachleuten helfen, Innovation mit der Achtung der Menschenrechte in Einklang zu bringen, und konzentrieren sich insbesondere auf die Rechtsgrundlage des berechtigten Interesses, Transparenz, Menschenrechte, Datenannotation und die Sicherheit bei der Entwicklung eines KI-Systems.

Die Informationsblätter können bis zum 1. September 2024 öffentlich eingesehen werden.

Schließlich untersucht die CNIL dies in einer am 4. Juli veröffentlichten Studie. die Entwicklung von Alternativen zu Tracking-Techniken über Drittanbieter-Cookies und zu deren Folgen (siehe auch weiter unten die Fragen, die Googles „Privacy Sandbox“ aufwirft).

 

Europäische Institutionen und Gremien

Am 1. Juli teilte die Europäische Kommission Meta ihre vorläufigen Ergebnisse mit, wonach deren Werbemodell „Zahlen oder zustimmen“ nicht dem Digital Markets Act entspricht. (DMA, Art. 5 Abs. 2).

Diese Ergebnisse bestätigen die vom Europäischen Datenschutzausschuss (EDPB) im vergangenen April veröffentlichten.

Laut Kommission zwingt diese binäre Wahl die Nutzer dazu, der Kombination ihrer persönlichen Daten zuzustimmen, und bietet ihnen keine weniger personalisierte, aber gleichwertige Version der sozialen Netzwerke von Meta.

Diese vorläufigen Ergebnisse lassen keine Rückschlüsse auf den Ausgang der Untersuchung zu.

Meta hat nun die Möglichkeit, ihr Recht auf Verteidigung wahrzunehmen und schriftlich zu antworten.

Die Kommission wird ihre Untersuchung innerhalb von zwölf Monaten nach Einleitung des Verfahrens, am 25. März 2024, abschließen.

Sollten sich die vorläufigen Feststellungen der Kommission letztendlich bestätigen, könnte die Kommission Geldbußen in Höhe von bis zu 10 % des weltweiten Gesamtumsatzes von Meta und 20 % im Falle wiederholter Verstöße verhängen.

Gemäß der Verordnung über die Datenverwaltung (Data Governance Regulation, DGA) hat die Europäische Kommission die Liste der ersten „Datenintermediäre“ veröffentlicht, die ihr von den Mitgliedstaaten gemeldet wurden.

Datenintermediäre fungieren als neutrale Dritte, die Einzelpersonen und Unternehmen mit Datennutzern verbinden.

Fünf Unternehmen wurden registriert, drei davon in Frankreich: AGDATAHUB, Hub One DataTrust und M-ITRUST. Die beiden anderen wurden von Finnland und Ungarn (über das AFCDP) benachrichtigt.

Der Europäische Datenschutzausschuss (EDPB) startete am 27. Juni das Projekt „KI-Auditierung“. Ziel ist es, Datenschutzbehörden bei der Überprüfung von KI-Systemen zu unterstützen, indem eine Methodik in Form einer Checkliste zur Prüfung eines Algorithmus definiert und Instrumente vorgeschlagen werden, die deren Transparenz verbessern sollen.

Der Europäische Datenschutzbeauftragte (EDPS) veröffentlichte am 3. Juni seine Leitlinien zum Thema „Generative Künstliche Intelligenz und der Schutz personenbezogener Daten“. um den Institutionen, Organen, Ämtern und Agenturen der EU praktische Ratschläge und Anweisungen zur Verarbeitung personenbezogener Daten bei der Verwendung von Systemen der generativen künstlichen Intelligenz zu geben und um deren Einhaltung der Anforderungen des Rechtsrahmens für den Datenschutz zu erleichtern.

Die Internationale Arbeitsgruppe für Datenschutz in der Technologie (IWGDPT) hat am 5. Juni ein Arbeitspapier zur Gesichtserkennungstechnologie verabschiedet.

Das Dokument beschreibt die Einsatzmöglichkeiten im privaten und öffentlichen Sektor und stellt sowohl die Risiken als auch praktische Empfehlungen für eine datenschutzkonforme Anwendung dar.

Am 20. Juni urteilte der Gerichtshof der Europäischen Union (EuGH) im Fall C-590/22, dass Die Befürchtung einer betroffenen Person, dass ihre personenbezogenen Daten an Dritte weitergegeben wurden, reicht aus, um einen Anspruch auf Entschädigung zu begründen., falls sich diese Befürchtung mit ihren negativen Folgen als begründet erweist.

Es ist nicht erforderlich nachzuweisen, dass diese Daten tatsächlich an Dritte weitergegeben wurden, um diese Entschädigung zu rechtfertigen (via GDPR news).

Der Gerichtshof hat am 20. Juni in den verbundenen Rechtssachen C 182/22 und C 189/22 – Skalierbares Kapital – auch Folgendes geprüft: Der durch eine Verletzung des Schutzes personenbezogener Daten verursachte moralische Schaden ist naturgemäß nicht weniger wichtig als der physische Schaden..

Darüber hinaus müssen personenbezogene Daten tatsächlich von einem Dritten missbraucht worden sein, damit ein Ereignis als Identitätsdiebstahl eingestuft werden kann.

In einem Urteil vom 6. Juni (Bersheda und Rybolovlev gegen Monaco) entschied der Europäische Gerichtshof für Menschenrechte, dass Ermittlungen, die der Untersuchungsrichter auf dem Mobiltelefon eines Anwalts durchführte und die massenhafte und wahllos erfolgte Erhebung personenbezogener Daten – einschließlich Daten, die der Antragsteller zuvor selbst gelöscht hatte – überschritt die Zuständigkeit dieses Richters und wurde nicht durch Schutzmaßnahmen begleitet, die die Achtung des Status und der beruflichen Schweigepflicht des Antragstellers als Rechtsanwalt gewährleisten sollten.

Unter dem Druck der Zivilgesellschaft und der für die Umsetzung des Digital Services Act (DSA) zuständigen europäischen Stelle LinkedIn hat die Anzeigenausrichtung auf Basis sensibler personenbezogener Daten von Nutzern von seiner Plattform entfernt..

Diese Art von gezielten Angriffen wurde als Verstoß gegen das DSA angesehen.

Das Unternehmen Meta bestätigte Mitte Juni, dass es seine Pläne, seine KI-Systeme mit Nutzerdaten aus der EU und Großbritannien zu trainieren, vorerst aussetzt.

Das Projekt zielte auf Nutzerdaten von Facebook, Instagram und Threads ab.

Diese Entscheidung folgt dem Vorgehen der irischen Datenschutzkommission, die im Namen mehrerer Datenschutzbehörden in der EU und insbesondere der Hamburger Behörde handelt.

 

Neuigkeiten aus den Mitgliedsländern Europas.

Belgische Polizei Am 3. Juni wurde gegen ein Unternehmen, das einer Aufforderung zur Löschung von Daten nicht nachgekommen war und weiterhin Direktmarketing-E-Mails verschickt hatte, eine Geldstrafe von 172.000 Euro verhängt.

Die Argumente des Datenverantwortlichen, mit denen die Schuld auf den Datenschutzbeauftragten abgewälzt werden sollte, wurden von der Datenschutzbehörde nicht berücksichtigt: Es ist die Verantwortung des Datenverantwortlichen, auf Auskunftsersuchen zu reagieren und sicherzustellen, dass der Datenschutzbeauftragte über ausreichende Ressourcen verfügt.

In GriechenlandDie APD verhängte Geldbußen in Höhe von 400.000 Euro gegen das Innenministerium und 40.000 Euro gegen ein Mitglied des Europäischen Parlaments wegen des Versands unerwünschter politischer Mitteilungen. Die E-Mail-Adressen der betroffenen Personen waren dem MdEP vom Innenministerium zur Verfügung gestellt worden.

In Luxemburg, Die APD war der Ansicht, dass die Verwendung von Videoüberwachung zur Rechtfertigung der Entlassung eines Mitarbeiters gegen den Grundsatz der Zweckbindung der DSGVO verstößt, wenn die Überwachung ursprünglich zur Gewährleistung der Sicherheit der Mitarbeiter installiert worden war.

In den Niederlanden, Ein Gericht hat Microsoft, LinkedIn und Xandr untersagt, Tracking-Cookies auf Webseiten Dritter ohne Zustimmung der Nutzer zu platzieren, und hat für jeden Tag der Nichtbeachtung der Entscheidung eine Geldstrafe von 1.000 Euro pro Unternehmen verhängt.

Das Gericht urteilte, dass diese Plattformen weiterhin für die Einholung gültiger Einwilligungen verantwortlich seien, selbst wenn sie diese Einholung an Drittanbieter-Websites delegieren, die ihre Tracking-Technologien integrieren.

In DänemarkDie APD rügte die Stadt Kopenhagen, weil sie es versäumt hatte, den potenziellen Zugriff von 37.500 nicht autorisierten Mitarbeitern auf die personenbezogenen Daten von 3,7 Millionen Menschen zu verhindern.

Lettische APD Gegen ein Unternehmen, das Fotodienstleistungen in einem Vergnügungspark anbot, wurde eine Geldstrafe von 1.000 Euro verhängt.

Das Unternehmen fertigte Fotos von Besuchern auf der Grundlage stillschweigender Einwilligung an, was nicht als positive Maßnahme angesehen werden kann.

In ItalienDie APD hat ein Unternehmen mit einer Geldstrafe von 100.000 Euro wegen der illegalen Verarbeitung von Telefonnummern zu Telemarketingzwecken belegt.

Die APD vertrat die Auffassung, dass ein Datenverantwortlicher seine Verantwortung und Pflichten gemäß DSGVO nicht mittels einer Vertragsklausel an einen Unterauftragnehmer übertragen kann.

Schwedische ODA Die Avanza Bank AB wurde wegen Verstoßes gegen Artikel 5(1)(f) und Artikel 32 der DSGVO mit einer Geldbuße von 1.318.955,55 Euro (15 Millionen SEK) belegt, da die versehentliche Aktivierung zweier Meta Pixel-Funktionen zu einer unerlaubten Übermittlung personenbezogener Daten an Meta Pixel geführt hatte.

In Polen, die ODA Ein Unternehmen wurde mit einer Geldstrafe von 54.600 Euro belegt, nachdem der Verlust eines USB-Sticks mit unverschlüsselten Mitarbeiterdaten zu einem Datenleck geführt hatte.

13. Juni Die Nichtregierungsorganisation NOYB hat bei der österreichischen Datenschutzbehörde (APD) eine Beschwerde gegen Googles Praktiken bei der Erhebung personenbezogener Daten über seine „Privacy Sandbox“ eingereicht.

Die NGO weist darauf hin, dass seit Googles Ankündigung im September 2023, Drittanbieter-Cookies schrittweise aus seinem Chrome-Browser zu entfernen, die Nutzer zunehmend dazu angehalten wurden, eine sogenannte „Werbedatenschutzfunktion“ zu aktivieren, die es Google in Wirklichkeit ermöglichen würde, sie zu verfolgen.

Am 4. Juni reichte NOYB außerdem in Österreich eine Beschwerde gegen Microsoft ein, dessen Dienste „365 Education“ angeblich die Datenschutzrechte von Kindern verletzen.

Laut der NGO erklärte Microsoft gegenüber Schülern, die ihre Rechte gemäß der DSGVO ausüben wollten, dass die Schulen für ihre Daten „verantwortlich“ seien, obwohl die Schulen keine Kontrolle über die Systeme von Microsoft hätten.

Der Verband EU Travel Tech reichte Ende Mai bei den französischen und belgischen Datenschutzbehörden eine Beschwerde gegen Ryanair ein, die sich auf die kürzlich erfolgte Einführung einer Anforderung zur Verarbeitung biometrischer Kundendaten für den Zugriff auf Buchungsmanagement- und Online-Check-in-Funktionen bezieht.

Der Verband ist der Ansicht, dass dieses biometrische Verifizierungsverfahren gegen die Grundsätze der Rechtmäßigkeit, Fairness und Transparenz der DSGVO (über die AFCDP) verstößt.

 

Die OECD veröffentlichte am 26. Juni einen Bericht über KI, Daten-Governance und Datenschutz.

Dieser Bericht gibt einen Überblick über nationale und regionale Initiativen und schlägt mögliche Bereiche für eine Zusammenarbeit vor.

Der Bericht plädiert für eine bessere internationale Zusammenarbeit und zielt darauf ab, die Entwicklung von KI-Systemen zu lenken, die die Privatsphäre respektieren und unterstützen.

Die OECD veröffentlichte am 19. Juni auch einen Arbeitsdokument mit dem Titel „Auf dem Weg zu digitaler Sicherheit durch Design für Kinder“.

Das Dokument konzentriert sich auf Maßnahmen, die von Anbietern digitaler Dienste zu ergreifen sind, und schlägt acht Schlüsselmaßnahmen vor, darunter praktische Instrumente, Maßnahmen zur Förderung einer Sicherheitskultur und Strategien zur Schadensminderung.

Diese Elemente werden anhand von Fallstudien veranschaulicht, die die Notwendigkeit unterstreichen, kontextgerechte Ansätze zu wählen.

Die kalifornische Datenschutzbehörde (CPPA) und die CNIL haben eine Kooperationserklärung unterzeichnet., am 25. Juni 2024, in Paris.

Die CNIL teilt mit, dass die beiden Behörden beabsichtigen, ihre Anstrengungen zu bündeln, um den Schutz personenbezogener Daten französischer und kalifornischer Bürger zu stärken.

Nvidia (einer der führenden Halbleiterhersteller für KI-Computing), Microsoft und OpenAI sind Berichten zufolge Gegenstand einer Untersuchung. Kartelluntersuchung in den Vereinigten Staaten.

Laut einem Bericht von Politico werden das US-Justizministerium (DOJ) und die Federal Trade Commission (FTC) in dieser Angelegenheit zusammenarbeiten. Das DOJ wird sich auf Nvidia konzentrieren, während die FTC die Partnerschaft zwischen Microsoft und OpenAI untersuchen wird, um festzustellen, ob diese einen unfairen Wettbewerbsvorteil haben.

Japan hat am 12. Juni ein Gesetz verabschiedet, das der europäischen Verordnung über digitale Märkte (DMA) ähnelt.

Der Text würde unter anderem „Verpflichtungen zur Gewährleistung von Interoperabilität, Transparenz und Datenportabilität“ beinhalten.

Das Gesetz tritt Ende Dezember 2025 in Kraft.

Das amerikanische Unternehmen Dropbox gab Anfang Mai bekannt, Opfer eines Cyberangriffs geworden zu sein..

Der böswillige Eingriff betrifft die sichere Plattform für elektronische Dokumentensignaturen Dropbox Sign, ehemals HelloSign.

Zu den gestohlenen Daten gehören Namen, E-Mail-Adressen, verschlüsselte Passwörter, Zahlungsinformationen und Authentifizierungsinformationen.

Das Unternehmen gibt an, die Passwörter aller Benutzer zurückgesetzt und alle Verbindungen (über AFCDP) getrennt zu haben.