3G am Arbeits­platz – Daten­spar­sam­keit heißt das Gebot der Stunde!

Pres­se­mit­tei­lung des Lan­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rheinland-Pfalz

Seit dem 24.11.2021 gel­ten im Beschäf­ti­gungs­ver­hält­nis stren­ge­re Regeln zur Ein­däm­mung der Coro­na-Pan­de­mie. Durch eine Ände­rung des Infek­ti­ons­schutz­ge­set­zes (IfSG) ist der Zutritt zu einem Arbeits­platz, bei dem phy­si­sche Kon­tak­te zu ande­ren Per­so­nen nicht aus­ge­schlos­sen wer­den kön­nen, nur noch dann zuläs­sig, wenn Beschäf­tig­te und Besu­cher den sog. 3G-Nach­weis gegen­über dem Arbeit­ge­ber erbrin­gen (§ 28 b Abs. 1 IfSG). Das heißt, sie müs­sen ent­we­der geimpft, gene­sen oder nega­tiv gete­stet sein. Die­se Ände­rung bringt für die mei­sten Arbeits­plät­ze im Land zahl­rei­che Ände­run­gen mit sich: Denn der Arbeit­ge­ber ist ver­pflich­tet, die Nach­weis­pflicht täg­lich zu über­wa­chen und auch zu doku­men­tie­ren. Bei Ver­stö­ßen dro­hen hohe Bußgelder.

Kor­re­spon­die­rend hier­zu wur­den die bis­he­ri­gen Vor­schrif­ten zur Zuläs­sig­keit einer Impf­ab­fra­ge durch den Arbeit­ge­ber erwei­tert. Es ist dem Arbeit­ge­ber jetzt erlaubt, Infor­ma­tio­nen zum Impf‑, Gene­se­nen- bzw. Test­sta­tus der Beschäf­tig­ten zu erfra­gen und die­se Daten – ein­schließ­lich der Gül­tig­keits­dau­er des Zer­ti­fi­ka­tes – zu ver­ar­bei­ten (§ 28b Abs. 3). Wenn der Arbeit­ge­ber den Gene­se­nen- oder Impf­nach­weis ein­mal kon­trol­liert und doku­men­tiert hat, kön­nen Beschäf­tig­te mit gül­ti­gem Zer­ti­fi­kat aber von den täg­li­chen Zugangs­kon­trol­len befreit werden.

Beschäf­tig­te sind auch ange­sichts der neu­en Rege­lun­gen nicht ver­pflich­tet, dem Arbeit­ge­ber Aus­kunft über den eige­nen Impf- oder Gene­sungs­sta­tus zu geben. Wer die­se Fra­ge nicht beant­wor­ten möch­te, muss aber täg­lich einen Test vorlegen.

Auch wenn Arbeit­ge­ber auf der Basis des geän­der­ten Infek­ti­ons­schutz­ge­set­zes nun­mehr auch Gesund­heits­da­ten ihrer Beschäf­tig­ten ver­ar­bei­ten dür­fen, sind dabei daten­schutz­recht­li­che Vor­ga­ben zu beach­ten“, so Prof. Dr. Die­ter Kugel­mann, Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit in einer ersten Ein­schät­zung: „Die neu­en Rege­lun­gen sind kein Frei­brief, um sich ein umfas­sen­des Bild über den Gesund­heits­zu­stand der Mit­ar­bei­ten­den zu ver­schaf­fen! Ziel ist der Gesund­heits­schutz, nicht das Aus­for­schen von Beschäf­tig­ten“. Der Grund­satz der Daten­mi­ni­mie­rung nach Art. 5 Daten­schutz-Grund­ver­ord­nung gel­te wei­ter­hin uneingeschränkt.

Arbeit­ge­ber sei­en daher gehal­ten, die daten­spar­sam­ste Nach­weis­me­tho­de zu wäh­len. Als Bei­spiel nann­te Prof. Kugel­mann die Nut­zung der vom RKI her­aus­ge­ge­be­nen kosten­lo­sen „Cov­Pas­sCheck-App“ durch den Arbeit­ge­ber (https://​www​.digi​ta​ler​-impf​nach​weis​-app​.de/​c​o​v​p​a​s​s​c​h​e​c​k​-​a​pp/ – idea­ler­wei­se auf dem Dienst- bzw. Fir­men­han­dy. Die­se Metho­de sei gegen­über dem Anle­gen umfang­rei­cher Namens­li­sten mit Infor­ma­tio­nen zum Gene­se­nen­sta­tus oder zu zurück­lie­gen­den Impf­ter­mi­nen vor­zugs­wür­dig. Soweit Nach­weis-Zer­ti­fi­ka­te oder QR-Codes elek­tro­nisch über­mit­telt wer­den sol­len, sei eine aus­rei­chen­de Ver­trau­lich­keit der Daten sicher­zu­stel­len, z.B. durch eine geeig­ne­te Verschlüsselung.

Ins­ge­samt hät­te ich mir eine Rege­lung gewünscht, bei der Arbeit­ge­ber bei der Nach­weis­prü­fung nur einen QR-Code ein­scan­nen und somit nicht erken­nen kön­nen, wel­ches der drei „G“ bei Beschäf­tig­ten vor­liegt. Ita­li­en hat dies mit dem Green-Pass vor­ge­macht. Dadurch, dass die neu­en Vor­schrif­ten auch die Nut­zung der Impf­da­ten für das Hygie­nekon­zept des Arbeit­ge­bers erlau­ben, wird das Pro­blem noch ver­schärft. Ich appel­lie­re an die Arbeit­ge­be­rin­nen und Arbeit­ge­ber, umsich­tig und sorg­sam mit den Daten umzugehen“.

Wei­te­re Hin­wei­se unter :

https://​www​.digi​ta​ler​-impf​nach​weis​-app​.de/​f​a​q​#​w​a​n​n​-​b​r​a​u​c​h​e​-​i​c​h​-​d​i​e​-​c​o​v​p​a​s​s​c​h​e​c​k​-​app–

Lan­des­be­auf­trag­ten für den Daten­schutz Sach­sen-Anhalt: Neu­es Info­pa­ket “Home­of­fice – aber sicher!”

Die Wie­der­ein­füh­rung der Home­of­fice-Pflicht im Rah­men der Pan­de­mie­be­kämp­fung stellt Betrie­be und Behör­den vor Her­aus­for­de­run­gen. Dür­fen Fami­li­en­mit­glie­der Zugang zu den per­so­nen­be­zo­ge­nen Daten haben? Kön­nen die Daten auf der pri­va­ten Fest­plat­te gespei­chert wer­den? Darf ich mei­ne Arbeit zu Hau­se aus­drucken? Dür­fen Aus­drucke in den Haus­müll? Was ist bei einem Daten­schutz­vor­fall zu tun? Arbeit­ge­ber und Arbeit­neh­mer müs­sen wis­sen, was daten­schutz­recht­lich im Home­of­fice erlaubt ist und was nicht.

Der Lan­des­be­auf­trag­te für den Daten­schutz Sach­sen-Anhalt weist des­halb auf das neue Info­pa­ket „Home­of­fice“ auf sei­ner Home­page hin. In die­sem Info­pa­ket fin­den sich u.a. Hin­wei­se und eine Check­li­ste zur Umset­zung der daten­schutz­recht­li­chen Anfor­de­run­gen für das Arbei­ten im Home­of­fice. Ergänzt wer­den die­se Hin­wei­se durch Infor­ma­tio­nen des Bun­des­kri­mi­nal­sam­tes (BKA) und des Bun­des­am­tes für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) zur tech­ni­schen Sicher­heit, ins­be­son­de­re zum The­ma Cyber­kri­mi­na­li­tät, also der Angrif­fe auf Unter­neh­men und Behör­den aus dem Internet.

Die Ein­hal­tung des Daten­schut­zes und tech­ni­sche Sicher­heits­vor­keh­run­gen sind Grund­vor­aus­set­zun­gen für die Arbeit im Home­of­fice. Wer hier Feh­ler macht, gefähr­det nicht nur die Daten sei­ner Kun­den, Mit­ar­bei­ter oder Bür­ger, son­dern auch die Arbeits- und Hand­lungs­fä­hig­keit sei­nes Unter­neh­mens oder der Behör­de“, sag­te Albert Cohaus, der die Auf­ga­ben und Befug­nis­se des Lan­des­be­auf­trag­ten wahr­nimmt. „Home­of­fice ist aber auch eine Fra­ge der Cyber­si­cher­heit. Eine stei­gen­de Zahl von Cyber­an­grif­fen legt immer wie­der Behör­den und Unter­neh­men lahm. Unge­si­cher­te Zugän­ge aus dem Home­of­fice stei­gern die Gefahr, dass ein sol­cher Anschlag auf die tech­ni­sche Infra­struk­tur erfolg­reich ist und zur Scha­dens­ma­xi­mie­rung führt,“ erklär­te Albert Cohaus „Nut­zen Sie unse­re Hin­wei­se und die Infor­ma­tio­nen der Sicher­heits­be­hör­den, um daten­schutz­recht­li­che Pro­ble­me zu ver­mei­den und den Gefah­ren aus dem Inter­net vor­zu­beu­gen. Schüt­zen Sie sich, Ihre Tech­nik und Ihre Daten, damit die Arbeit auch unter Pan­de­mie­be­din­gun­gen sicher wei­ter­ge­hen kann.“

Das Info­pa­ket „Home­of­fice“ fin­den Sie auf unse­re Home­page unter
https://​daten​schutz​.sach​sen​-anhalt​.de/​i​n​f​o​r​m​a​t​i​o​n​e​n​/​i​n​f​o​p​a​k​e​t​e​/​i​n​f​o​p​a​k​e​t​-​h​o​m​e​o​f​f​i​ce/

Daten­schutz­aspek­te bei WhatsApp

Whats­App gehört immer noch zu den belieb­te­sten Apps über­haupt. Die Mes­sen­ger-App ermög­licht den Aus­tausch von Nach­rich­ten über das Inter­net ohne zusätz­li­che Über­tra­gungs­ko­sten und über ver­schie­de­ne Betriebs­sy­ste­me hin­weg. Es meh­ren sich jedoch auch die kri­ti­schen Stim­men gegen­über Whats­App und Mut­ter­kon­zern Meta (ehe­mals „Face­book“). Zeit für einen Datenschutz-Check.

Whats­App, der Gigant unter den Messengern

Whats­App ist immer noch der Platz­hirsch unter den Mes­sen­gern, trotz aller War­nun­gen und daten­schutz­recht­li­cher Pro­ble­me. Nach einer Sta­ti­sta-Unter­su­chung von 2020 nutz­ten 94% der Befrag­ten Whats­App, gefolgt vom Face­book Mes­sen­ger mit 51%. Three­ma abge­schla­gen mit 3% und Signal mit nur 2%. Die Zah­len machen eins deut­lich, der Ver­zicht auf Whats­App fällt noch immer schwer oder erfor­dert eini­ges an Über­zeu­gungs­ar­beit im Freun­des- und Bekanntenkreis.

Daten­schutz-Pro­blem: Adress­buch­ab­fra­ge ohne Einwilligung

Durch das Urteil des AG Bad Hers­feld wur­de 2017 aller­hand Auf­re­gung geschürt. Der Rich­ter stell­te damals fest, dass die Mut­ter es unter­las­sen hat­te, ihr Kind bei der Han­dy­nut­zung ange­mes­sen zu beauf­sich­ti­gen. Im Rah­men die­ser Auf­sicht hät­te sie eine schrift­li­che Ein­wil­li­gung von allen Per­so­nen in dem Adress­buch ihres Kin­des vor der Wei­ter­ga­be deren Daten an Whats­App ein­ho­len müs­sen. Denn sonst bestün­de die Gefahr, dass das Kind von den Betrof­fe­nen abge­mahnt werde.
Zwar wür­de man mei­nen, dass Per­so­nen, die ihr Tele­fon aus­schließ­lich pri­vat nut­zen, kei­ne Ein­wil­li­gun­gen von ihren Kon­tak­ten ein­ho­len müs­sen. Denn nach Art. 2 Abs. 2 lit. c) DSGVO (oder zum Zeit­punkt des Urteils § 27 Abs. 1 S. 2 BDSG a.F.) wird eine Daten­ver­ar­bei­tung für per­sön­li­che und fami­liä­re Zwecke nicht vom daten­schutz­recht­li­chen Regel­werk erfasst. Folg­lich sind sie in die­sen Fäl­len nicht anwend­bar und eine Haf­tung nach der DSGVO ist damit aus­ge­schlos­sen. Doch auch das Gericht bejaht das Grei­fen der Haus­halts­aus­nah­me und nahm damals eine delikti­sche Haf­tung nach §§ 823, 1004 BGB ana­log an, da das Kind mit der Nut­zung von Whats­App das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung aller betrof­fe­nen Kon­takt­per­so­nen ver­let­ze. Wei­te­re Urtei­le oder Abmah­nun­gen in die­se Rich­tung folg­ten jedoch nicht.
Auf Fir­men­han­dys lässt sich Whats­App zur­zeit aus Daten­schutz­sicht oft­mals nicht kon­form ein­set­zen. Es wäre zunächst erfor­der­lich, von allen Kon­tak­ten die Ein­wil­li­gung zur Wei­ter­ga­be der Tele­fon­num­mern an Whats­App ein­zu­ho­len. Umge­hen lässt sich das Pro­blem nur, wenn die Whats­App-Anwen­dung in einer vir­tua­li­sier­ten IT-Umge­bung abge­schot­tet und iso­liert betrie­ben wird. Dane­ben muss die Busi­ness App mit ihren sepe­ra­ten Nut­zungs- und Daten­ver­ar­bei­tungs­be­din­gun­gen ver­wen­det wer­den. Eine sol­che Lösung sah das UDZ Saar­land im 28. Tätig­keits­be­richt 2019 (S. 74 ff.) in einer Über­prü­fung von Kom­mu­ni­ka­ti­ons­ka­nä­len der Kom­mu­nen als zuläs­sig an. Seit die­ser Bewer­tung wur­de das Pri­va­cy Shield vom EuGH gekippt und Whats­App hat sei­ne Daten­ver­ar­bei­tungs­be­din­gun­gen für Busi­ness-Nut­zer mehr­fach ange­passt, sodass die­se Punk­te vor einem Ein­satz im Unter­neh­men erneut zu prü­fen wären.
Bei gemischt genutz­ten Gerä­ten soll­ten die dienst­li­chen Daten durch eine Con­tai­nerlö­sung geschützt wer­den. Hier­bei wer­den dienst­li­che Daten wie z.B. Kon­tak­te in einer Con­tai­ner-App gespei­chert, so dass Apps wie Whats­App kei­nen Zugriff auf die­se Daten haben. So ist auch bei Fir­men­han­dys mit erlaub­ter Pri­vat­nut­zung die Nut­zung von Whats­App mit dem Daten­schutz vereinbar.

Kann man die Wei­ter­ga­be der Tele­fon­num­mern an Whats­App unterbinden?

Bei der Instal­la­ti­on der App wird die Ein­ga­be der eige­nen Tele­fon­num­mer gefor­dert und um die Erlaub­nis zur Adress­buch­ab­fra­ge gebe­ten. Bei Zustim­mung erstellt die Soft­ware eine Favo­ri­ten­li­ste mit den­je­ni­gen Kon­tak­ten aus dem Adress­buch, die eben­falls Whats­App ver­wen­den. Dass dabei Daten der Nut­zer über­tra­gen und ver­ar­bei­tet wer­den, liegt auf der Hand.
Der Zugriff auf die Tele­fon­num­mern lässt sich sowohl bei iOS als auch bei Android im Betriebs­sy­stem direkt steu­ern und damit die Wei­ter­ga­be an Whats­App unter­bin­den. Das hat natür­lich auch zur Fol­ge, dass die Kon­tak­te nicht mehr in Whats­App ange­zeigt wer­den und so wäre der Nut­zer gezwun­gen auf die Nach­richt eines ande­ren zu war­ten, um einen Chat zu begin­nen. Eine ande­re Mög­lich­keit ist die ange­spro­che­ne Containerlösung.

Was macht Whats­App mit den Telefonnummern?

Whats­App nutzt die Tele­fon­num­mer als „Uni­que Iden­ti­fier“ also als Datum, um das Gerät bzw. den Nut­zer ein­deu­tig zu iden­ti­fi­zie­ren. Die­se wer­den in erster Linie genutzt, um sie mit dem Adress­buch neu­er Nut­zer abzu­glei­chen und denen dann Über­ein­stim­mu­gen als Kon­tak­te vor­zu­schla­gen. Dane­ben wer­den bei der Adress­buch­ab­fra­ge aber auch die Tele­fon­num­mern von Per­so­nen ver­ar­bei­tet, die (noch) nicht bei Whats­App regi­striert sind. Die­se Tele­fon­num­mern wer­den in einem spe­zi­el­len Ver­fah­ren gehasht, mit der Tele­fon­num­mer des regi­strier­ten Nut­zers ver­knüpft und von Whats­App gespei­chert. Das pas­siert, um den regi­strier­ten Nut­zern eine Benach­rich­ti­gung zu schicken, falls sich ein bis­her nicht regi­strier­ter Kon­takt spä­ter doch noch einen Whats­App Account einrichtet.
Die­ser Vor­gang stellt aus Sicht des EDSA (S. 26 ff.) ledig­lich eine Pseud­ony­mi­sie­rung und kei­ne wie von Whats­App behaup­te­te Anony­mi­sie­rung der Tele­fon­num­mern dar. Denn durch das ein­ge­setz­te Hash­ver­fah­ren und die unglaub­li­chen Daten­men­gen, die dem Kon­zern zur Ver­fü­gung ste­hen, sei das Risi­ko hoch, dass die Nicht-Nut­zer von Whats­App rei­den­ti­fi­ziert wer­den könn­ten. An der Ein­schät­zung ände­re auch die Beteue­rung von Whats­App nichts, dass das Unter­neh­men dar­an kein Inter­es­se hät­te, da man ja schließ­lich aus eben die­sem Des­in­ter­es­se die Daten über­haupt erst „anony­mi­siert“ hätte.
Dane­ben hat Whats­App, nach dem jüng­sten Auf­schrei der Öffent­lich­keit über die neu­en Nut­zungs­be­din­gun­gen im Febru­ar 2021, den Aus­tausch eini­ger Infor­ma­tio­nen mit dem Mut­ter­kon­zern Meta „prä­zi­siert“, bzw. vor­erst von die­sem Abstand genom­men. So heißt es aktu­ell im FAQ (Stand 16.11.2021):
„Der­zeit teilt Whats­App dei­ne per­so­nen­be­zo­ge­nen Daten nicht mit Face­book, um dei­ne Pro­dukt­er­leb­nis­se auf Face­book zu ver­bes­sern oder dir inter­es­san­te­re Face­book-Anzei­gen zu zeigen.“
Es wer­den aller­dings wei­ter­hin Daten zu ande­ren sehr vagen Zwecken geteilt. So heißt es:
„Whats­App arbei­tet mit den ande­ren Face­book-Unter­neh­men zusam­men und teilt Infor­ma­tio­nen mit ihnen, um von Lei­stun­gen in den Berei­chen Infra­struk­tur, Tech­no­lo­gie und Syste­me pro­fi­tie­ren zu können.“

Wel­che Daten sam­melt Whats­App sonst noch?

Whats­App sam­melt alle von den Nut­zern selbst ange­ge­be­nen Daten wie Anzei­gena­me, Tele­fon­num­mer, Sta­tus und Pro­fil­bild. Nach­rich­ten wer­den grund­sätz­lich nicht auf den Whats­App-Ser­vern gespei­chert, es sei denn der ande­re Nut­zer ist nicht erreich­bar. In die­sem Fall wird die Nach­richt 30 Tage zwi­schen­ge­spei­chert und anschlie­ßend auto­ma­tisch gelöscht. Fotos wer­den laut Whats­App nur zwi­schen­ge­spei­chert und anschlie­ßend gelöscht. Um stän­dig auf dem aktu­el­len Stand zu blei­ben, wer­den alle Kon­tak­te aus dem Adress­buch aus­ge­le­sen und regel­mä­ßig mit der Whats­App-Daten­bank abgeglichen.
Whats­App bie­tet die Mög­lich­keit an, Chat­ver­läu­fe auf Goog­le Dri­ve und/​oder einem loka­len Back­up zu sichern. Dabei ent­fällt logi­scher­wei­se die Whats­App Ende-zu-Ende-Ver­schlüs­se­lung. Wählt man „die ein­fach­ste Mög­lich­keit, Daten auf ein neu­es Tele­fon zu über­tra­gen“, lie­gen die Gesprä­che unver­schlüs­selt auf dem Ser­ver des ame­ri­ka­ni­schen Cloud-Anbieters.
Whats­App ist aber auch an wei­te­ren Daten inter­es­siert. Oft geht es um Meta­da­ten, also z.B. nicht um den Inhalt eines Tele­fo­nats über Whats­App oder den Inhalt einer Nach­richt, son­dern wann eine Per­son wie oft und wie lan­ge kon­tak­tiert wur­de. Aus die­sen Infor­ma­tio­nen ergibt sich dann ein umfas­sen­des Bild zu einer bestimm­ten Per­son und so las­sen sich sehr gute Pro­fi­le erstellen.

Daten­schutz­kri­tik am Daten­aus­tausch zwi­schen Whats­App und Facebook

Die beim Kauf von Whats­App durch Face­book einst ver­spro­che­ne Unab­hän­gig­keit des Mes­sen­gers war schnell ver­ges­sen. Whats­App wur­de immer wei­ter in die Kon­zern­struk­tur von Face­book inte­griert und somit wur­den auch mehr und mehr Daten zwi­schen den ein­zel­nen Unter­neh­men aus­ge­tauscht. Nach anfäng­li­chen Erfol­gen der deut­schen Daten­schutz­auf­sichts­be­hör­den die­ser Ent­wick­lung einen Rie­gel vor­zu­schie­ben, schei­tert die Unter­sa­gung des Daten­aus­tausch zwi­schen Whats­App und Face­book seit Anwend­bar­keit der DSGVO an der feh­len­den Zustän­dig­keit der deut­schen Behör­den.
Die iri­sche Behör­de (DPC) ist nun die feder­füh­ren­de Behör­de für vie­le „Big-Tech-Unter­neh­men“ wie z.B. Whats­App bzw. Meta. Nach dem sog. „One-Stop-Shop“-Verfahren gemäß Art. 56 DSGVO ist bei grenz­über­schrei­ten­den Sach­ver­hal­ten die Behör­de am Sitz der Haupt­nie­der­las­sung feder­füh­rend zustän­dig. Der Gedan­ke war, Unter­neh­men weni­ger Büro­kra­tie und mehr Rechts­si­cher­heit zu ver­schaf­fen, indem sie sich in Ver­fah­ren nicht mehr mit Auf­sichts­be­hör­den in meh­re­ren EU-Mit­glied­staa­ten und ihren Rechts­auf­fas­sun­gen aus­ein­an­der­set­zen müs­sen. Doch wenn die feder­füh­ren­de Auf­sichts­be­hör­de nicht tätig wird oder Ver­fah­ren nur schlep­pend bear­bei­tet, haben die übri­gen euro­päi­schen Auf­sichts­be­hör­den, in deren Hoheits­ge­biet das Unter­neh­men auch tätig ist, kaum Mög­lich­keit das Ver­fah­ren in Gang zu brin­gen oder es zu beschleu­ni­gen.
Die wei­ter­be­stehen­de Kri­tik vie­ler Daten­schutz­ex­per­ten an Whats­App ist, dass das Tei­len der Daten über einen Nut­zer mit Face­book weder trans­pa­rent ist, noch der Nut­zer dar­in frei­wil­lig ein­ge­wil­ligt hat. Um den Dienst von Whats­App nut­zen, muss man die Nut­zungs­be­din­gun­gen anneh­men – der Nut­zer kann gera­de nicht ent­schei­den, wel­che Daten er tei­len möch­te. Eine frei­wil­li­ge und infor­mier­te Ein­wil­li­gung sieht anders aus.

Zweit­höch­stes DSGVO-Buß­geld und wei­te­re Ver­fah­ren gegen WhatsApp

Die­ses Jahr wur­de das zweit­höch­ste Buß­geld in der Geschich­te der DSGVO in Höhe von 225 Mil­lio­nen Euro gegen Whats­App ver­hängt. Bei dem Ver­fah­ren aus dem Jah­re 2018 ging es vor allem um Ver­stö­ße gegen die Trans­pa­renz­vor­ga­ben aus Art. 12 bis 14 DSGVO. Dane­ben lau­fen gegen den Kon­zern bei der Auf­sichts­be­hör­de in Irland noch 9 wei­te­re Ver­fah­ren, wie aus dem Jah­res­be­richt des DPC hervorgeht:
  • Zu einer Daten­pan­ne im Sep­tem­ber 2018
  • Zu der Umset­zung des Aus­kunfts­rechts und Recht auf Datenübertragbarkeit
  • Zu der Recht­mä­ßig­keit der in den Nut­zungs­be­din­gun­gen und Daten­richt­li­nie ange­ge­be­nen Rechts­grund­la­gen für die Datenverarbeitung
  • Zu der Recht­mä­ßig­keit der Rechts­grund­la­ge für maß­ge­schnei­der­te Werbung
  • Zu einer gan­zen Rei­he von seit dem 25.05.2018 gemel­de­ten Datenpannen
  • Zu der Spei­che­rung von Pass­wör­tern im Klar­text auf inter­nen Servern
  • Zu der Ein­hal­tung der Vor­schrif­ten des inter­na­tio­na­len Daten­trans­fers nach Schrems II
Außer­dem führt das Bun­des­kar­tell­amt seit 2019 ein sehr span­nen­des Ver­fah­ren gegen Face­book. Das Bun­des­kar­tell­amt (BKar­tA) hat­te dem Kon­zern das Zusam­men­füh­ren von Nut­zer­da­ten aus sei­nen ver­schie­de­nen Dien­sten ohne Ein­wil­li­gung der Nut­zer unter­sagt. Gegen die Unter­sa­gung leg­te Face­book Beschwer­de beim OLG Düs­sel­dorf ein, wel­ches zunächst eine Aus­set­zungs­an­ord­nung aus­sprach. Nach­dem der BGH die­se wie­der­um auf­hob und den Vor­wurf der miss­bräuch­li­chen Aus­nut­zung einer markt­be­herr­schen­den Stel­lung durch Face­book vor­läu­fig bestä­tig­te, wähn­te man einen Abschluss des Ver­fah­rens nahe. Doch das OLG Düs­sel­dorf hat den nun in der Haupt­sa­che ver­han­del­te Fall aber­mals unter­bro­chen, um dem EuGH Fra­gen zur Aus­le­gung des Daten­schutz­rechts vor­zu­le­gen. Ein Ende des Rechts­streits ist somit erneut in wei­te Fer­ne gerückt. Seit Ende 2020 läuft zudem eine ver­brau­cher­recht­li­che Sek­tor­un­ter­su­chung des Bun­des­kar­tell­amts zu Mes­sen­ger-Dien­sten, bei der Whats­App erneut im Fokus steht.

Whats­App ist erfolg­reich, trotz Datenschutz-Kritik

Es gibt viel Kri­tik an Whats­App, doch der Gigant unter Mes­sen­gern lässt nicht so leicht locker. Frag­lich ist, ob Whats­App sich in die Knie zwin­gen lässt und zukünf­tig eine “ech­te” (frei­wil­li­ge & infor­mier­te) Ein­wil­li­gung sei­ner Nut­zer für die Wei­ter­ga­be von Daten an Meta ein­ho­len wird. Dies scheint nach aktu­el­lem Stand eher unwahr­schein­lich. Man wird wei­ter die Gren­zen aus­te­sten und Ver­fah­ren ver­zö­gern. Solan­ge kein ent­schlos­se­nes Han­deln der Regu­lie­rungs­be­hör­den bei Buß­gel­dern oder ande­re Maß­nah­men zu befürch­ten ist, wird der Kon­zern wei­ter­ma­chen wie gehabt.
Doch wie kann es sein, dass bei so viel Kri­tik die Nut­zer bei Whats­App blei­ben? Schuld ist der Netz­werk­ef­fekt. Da vie­le Nut­zer bei Whats­App sind, ist es für ande­re wie­der­rum attrak­tiv, über Whats­App zu kom­mu­ni­zie­ren oder dort zu blei­ben. Neue Anbie­ter haben es schwe­rer, doch ihr Markt wächst, denn das Bedürf­nis nach mehr Pri­vat­sphä­re und Daten­schutz steigt. Es bleibt abzu­war­ten, wie sich die­se neu­en Anbie­ter ver­hal­ten wer­den und ob das Spiel um Daten nicht an ande­rer Stel­le fort­ge­setzt wird.

TTDSG – Das neue Daten­schutz­ge­setz in der Telekommunikation

Der Schutz per­so­nen­be­zo­ge­ner Daten in der Tele­kom­mu­ni­ka­ti­on ist dabei ein beson­ders rele­van­tes The­ma – bei den Nut­zern, aber auch bei den Unter­neh­men, wel­che die gesetz­li­chen Vor­ga­ben ein­hal­ten müs­sen. Ein neu­es Gesetz soll für mehr Rechts­si­cher­heit sorgen.

TKG, TMG, DS-GVO, ePri­va­cy-Richt­li­nie und bald auch noch eine ePri­va­cy-Ver­ord­nung – die viel­fäl­ti­ge Rechts­la­ge im Daten­schutz­recht sorgt für Ver­un­si­che­rung. Ab 01.12.2021 kommt inner­halb des deut­schen Daten­schutz­rechts noch ein neu­es Gesetz hin­zu: Das TTDSG (Gesetz über den Daten­schutz und den Schutz der Pri­vat­sphä­re der Tele­kom­mu­ni­ka­ti­on und bei Tele­me­di­en). Ziel des Geset­zes ist es, ins­be­son­de­re in der Zeit bis zur ePri­va­cy-Ver­ord­nung der EU für deut­lich mehr Rechts­si­cher­heit zu sor­gen. Zusätz­lich wer­den auch neue Berei­che, wie etwa die soge­nann­ten „Per­so­nal Infor­ma­ti­on Manage­ment Ser­vices“ (PIMS), gesetz­lich erst­ma­lig gere­gelt.

Das bereichs­spe­zi­fi­sche Daten­schutz­recht für elek­tro­ni­sche Kom­mu­ni­ka­ti­on ist bis­lang durch die ePri­va­cy-Richt­li­nie gere­gelt, die in Deutsch­land im TKG, TMG und UWG umge­setzt wur­de. Das TTDSG ver­folgt die Absicht, die daten­schutz­recht­li­chen Vor­schrif­ten des TKG und des TMG ein­heit­lich in einem eigen­stän­di­gen Gesetz zu regeln. Das heißt, nicht jede Rege­lung im TTDSG ist neu, son­dern teil­wei­se ledig­lich in die­ses Gesetz über­führt wor­den. Seit 2017 war­tet die Wirt­schaft auf die ePri­va­cy-VO. Mit dem TTDSG ist der natio­na­le Gesetz­ge­ber nun einen Zwi­schen­schritt in Rich­tung eines neu­en ePri­va­cy-Rech­tes gegan­gen. Gera­de im Bereich Coo­kies schafft die Rege­lung des § 25 TTDSG Rechts­klar­heit, indem hier die ePri­va­cy-Richt­li­nie unmit­tel­bar umge­setzt wur­de und damit die Anfor­de­run­gen an Coo­kies kon­kre­ti­siert und sta­bi­li­siert wer­den. Nähe­re Infor­ma­ti­on dazu ertei­len wir gerne.

LfDI BW: Neue Hand­rei­chung zu Videokonferenzsystemen

Video­kon­fe­renz als Online Dienst: Rah­men­be­din­gun­gen und Emp­feh­lun­gen Doku­ment als pdf mit Tabel­le Zur tabel­la­ri­schen Über­sicht Die­ses Papier soll Unter­neh­men, Behör­den und Ver­ei­ne bei der Aus­wahl geeig­ne­ter Video­kon­fe­renz-Dien­ste unter­stüt­zen. Es gibt einen auf das Wesent­li­che beschränk­ten Über­blick über die recht­li­chen und tech­ni­schen Daten­schutz-Anfor­de­run­gen, beschreibt eini­ge gän­gi­ge Anbie­ter und stellt tabel­la­risch eine Über­sicht an Eigen­schaf­ten der Soft­wares […]


Arti­kel anzeigen…

BSI: Lage­be­richt 2021 zur IT Sicher­heit in Deutschland

Das BSI am 21. Okto­ber sei­nen neu­en Lage­be­richt 2021 vor­ge­legt, in dem das Bun­des­amt ins­ge­samt eine kri­ti­sche Bedro­hungs­la­ge fest­stellt: Cyber­an­grif­fe führ­ten zu schwer­wie­gen­den IT-Aus­fäl­len in Kom­mu­nen, Kran­ken­häu­sern und Unter­neh­men. Sie ver­ur­sach­ten zum Teil erheb­li­che wirt­schaft­li­che Schä­den und bedroh­ten exi­stenz­ge­fähr­dend Pro­duk­ti­ons­pro­zes­se, Dienst­lei­stungs­an­ge­bo­te und ihre Kund­schaft. Der neue Lage­be­richt macht auch deut­lich, dass die erfolg­rei­che Digi­ta­li­sie­rung unse­res Lan­des zuneh­mend gefähr­det ist.

Als Kon­se­quenz aus der Bedro­hungs­la­ge for­dert das BSI, der Infor­ma­ti­ons­si­cher­heit einen höhe­ren Stel­len­wert bei­zu­mes­sen. Im Rah­men von Digi­ta­li­sie­rungs­pro­jek­ten soll­te die Cyber-Sicher­heit fest ver­an­kert wer­den sowie die gesam­te Lie­fer­ket­te umfassen.

Pres­se­mit­tei­lung des BSI zum Lage­be­richt: https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​r​e​s​s​e​/​P​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​P​r​e​s​s​e​2​0​2​1​/​2​1​1​0​2​1​_​L​a​g​e​b​e​r​i​c​h​t​.​h​tml

Bericht zur Lage der IT-Sicher­heit in Deutsch­land 2021: https://​www​.bsi​.bund​.de/​D​E​/​S​e​r​v​i​c​e​-​N​a​v​i​/​P​u​b​l​i​k​a​t​i​o​n​e​n​/​L​a​g​e​b​e​r​i​c​h​t​/​l​a​g​e​b​e​r​i​c​h​t​_​n​o​d​e​.​h​tml

LfDI BW: Daten­schutz­hin­wei­se ein­fach und schnell erstellen

Mit LfDI-Tool DS-GVO.clever erstel­len klei­ne Unter­neh­men, Gewer­be­trei­ben­de und Hand­werks­be­trie­be schnell und ein­fach ihre Datenschutzhinweise

Kor­rek­te Daten­schutz­er­klä­run­gen zu for­mu­lie­ren fällt ins­be­son­de­re klei­ne­ren Unter­neh­men und Ver­ei­nen schwer, da sie nicht über die Res­sour­cen ver­fü­gen, exter­ne Daten­schutz­be­auf­trag­te ein­zu­schal­ten oder mit der eige­nen Rechts­ab­tei­lung tätig zu werden.

Das LfDI-Tool DS-GVO.clever hilft kon­kret, ein­fach und wirk­sam. Es war bis­lang vor allem eine Hil­fe­stel­lung für Ver­ei­ne; jetzt kön­nen auch klei­ne Unter­neh­men, Gewer­be­trei­ben­de und Hand­werks­be­trie­be das Tool nut­zen und inner­halb kur­zer Zeit ihre Daten­schutz­in­for­ma­tio­nen erstel­len. Es geht dabei nicht nur um Daten­ver­ar­bei­tun­gen auf der Unter­neh­mens­web­sei­te, son­dern unter ande­rem auch um die Ver­ar­bei­tung von Kund*innen- und Beschäf­tig­ten­da­ten. Auch in der neu­en Ver­si­on fin­den sich wie­der zahl­rei­che Info-But­tons und Hin­wei­se auf wei­te­re Hil­fe­stel­lun­gen des LfDI, wie Erklär­vi­de­os oder Praxisratgeber.

Das Tool steht auf der Home­page des Lan­des­be­auf­trag­ten bereit. LfDI Ste­fan Brink: „Die Daten­schutz-Grund­ver­ord­nung unter­schei­det nicht zwi­schen Kon­zer­nen und Klein­be­trie­ben. Wir hel­fen klei­ne­ren Betrie­ben, damit sie sehr ein­fach funk­tio­nie­ren­de Daten­schutz­hin­wei­se selbst erstel­len können.“

Die Unter­neh­men sind und blei­ben ver­ant­wort­lich für ihre Daten­ver­ar­bei­tun­gen – mit „DS-GVO.clever“ kön­nen sie ihren Infor­ma­ti­ons­pflich­ten auf ein­fa­che Wei­se gerecht wer­den. Hand­werks­be­trie­be und ande­re klei­ne­re Unter­neh­men kön­nen sich ger­ne auch an den Lan­des­be­auf­trag­ten wen­den, wenn sie wei­te­re Unter­stüt­zung benötigen.

Das Bil­dungs­zen­trum BIDIB bie­tet zusätz­lich online-Schu­lun­gen an, damit Inter­es­sier­te sich mit „DS-GVO.clever“ ver­traut machen kön­nen.
https://​www​.baden​-wuer​t​tem​berg​.daten​schutz​.de/​o​f​f​e​n​e​-​v​e​r​a​n​s​t​a​l​t​u​n​g​en/

DS-GVO.clever:
https://​www​.baden​-wuer​t​tem​berg​.daten​schutz​.de/​d​s​-​g​v​o​.​c​l​e​v​er/

BfDI zur Abfra­ge des Impf- und Test­sta­tus durch Arbeitgeber

Der BfDI, Pro­fes­sor Ulrich Kel­ber, for­dert eine recht­li­che Klar­stel­lung, zur Abfra­ge des Impf- und Test­sta­tus von Beschäf­tig­ten: “Ich rate zu einer bun­des­ein­heit­li­chen Rege­lung, die einen Flicken­tep­pich ver­hin­dert. Der Ver­ord­nungs­ge­ber ist jetzt in der Pflicht zu han­deln.

Der BfDI steht hier­zu bereits mit den betei­lig­ten Bun­des­mi­ni­ste­ri­en in Kon­takt. Mit weni­gen Aus­nah­men, wie bei­spiels­wei­se im Gesund­heits­be­reich, kön­nen Arbeit­ge­ber und Dienst­her­ren momen­tan weder den Impf- oder Test­sta­tus ihrer Beschäf­tig­ten erfra­gen oder irgend­ei­ne Art von Testungs­pflicht anord­nen. Der BfDI betont, dass hier daten­schutz­freund­li­che Rege­lun­gen im Sin­ne der infor­ma­tio­nel­len Selbst­be­stim­mung der Beschäf­tig­ten getrof­fen wer­den soll­ten: Je nach­dem, ob man sich für 2G oder 3G ent­schei­det, müss­te die Arbeit­ge­be­rin oder der Arbeit­ge­ber auch gar nicht wis­sen, wel­chen kon­kre­ten Sta­tus ihre Beschäf­tig­ten haben. Eine Unter­schei­dung der Nach­wei­se wäre dann nicht notwendig.

Um die gefor­der­te Rechts­klar­heit zu schaf­fen, wird der BfDI die betei­lig­ten Bun­des­mi­ni­ste­ri­en wei­ter­hin inten­siv beraten.

BvD: Die Ein­wil­li­gung für Kin­der­bil­der bleibt ein schwie­ri­ges Feld

Um im digi­ta­len Zeit­al­ter Fotos von Kin­dern in Sozia­len Medi­en oder dem Inter­net zu ver­öf­fent­li­chen, müs­sen alle gemein­sam Sor­ge­be­rech­tig­ten ein­ver­stan­den sein (OLG Düs­sel­dorf Beschluss vom 20.07.2021, Az: 1 UF 74/​21). Das OLG Düs­sel­dorf bestä­tigt die Ent­schei­dung des OLG Olden­burg (Beschluss vom 24.05.2018, Az: 13 W 10/​18).

Den Ent­schei­dun­gen der bei­den Ober­lan­des­ge­rich­te lagen ähn­li­che Sach­ver­hal­te zugrun­de. Die Eltern der betrof­fe­nen Kin­der leben getrennt. Die neue Lebens­ge­fähr­tin bzw. der neue Lebens­ge­fähr­te eines Eltern­teil ver­öf­fent­licht Fotos der Kin­der zu Wer­be­zwecken im Inter­net (Sozia­le Medi­en, Home­page). Von dem wei­te­ren Eltern­teil lag kei­ne Ein­wil­li­gung vor.

Ent­schei­dun­gen, die erheb­li­che Bedeu­tung im Leben eines Kin­des haben, sind von den Eltern gemein­sam zu tref­fen. Dies gilt unab­hän­gig davon, ob die Eltern zusam­men (§§ 1629, 1627, 1628 BGB) oder getrennt leben (§§ 1687, 1628 BGB).

Die Ver­öf­fent­li­chung von Kin­der­fo­tos im Inter­net hat erheb­li­che Kon­se­quen­zen für das Leben der Kin­der. Das WWW ver­gisst nichts. Fotos las­sen sich aus dem Inter­net kaum ent­fer­nen, so die Ober­lan­des­ge­rich­te. Die Ent­schei­dung der Eltern für oder gegen eine Ver­öf­fent­li­chung von Fotos hat erheb­li­che Bedeu­tung für die Ent­wick­lung und das Wohl der Kin­der. Das ergibt sich aus der Begrün­dung des Beschlus­ses durch das OLG Düs­sel­dorf. Fehlt bei gemein­sa­mer elter­li­cher Sor­ge die Zustim­mung eines Sor­ge­be­rech­tig­ten, so fehlt die Ein­wil­li­gung und somit die Rechts­grund­la­ge für die Ver­ar­bei­tung der Fotos.

Was ist das Beson­de­re an der Ent­schei­dung des OLG Düsseldorf?

Das Gericht setz­te sich umfas­send mit den Per­sön­lich­keits­schutz aus­ein­an­der. Neben der fami­li­en­recht­li­chen Rege­lung wer­den daten­schutz­recht­li­che (DSGVO) und urhe­ber­recht­li­che (Kunst­UrhG) Rege­lun­gen beleuchtet.

Das OLG Düs­sel­dorf stellt in sei­ner Ent­schei­dung klar, die in der DSGVO genann­te „elter­li­che Ver­ant­wor­tung“ (Art. 8, Art. 40 und ErwG. 38) ent­spricht der „elter­li­che Sor­ge“ nach deut­schem Recht. Ist eine Ein­wil­li­gung (Art. 6 Abs. 1 lit. a DSGVO) erfor­der­lich und hat die Ver­ar­bei­tung der Daten erheb­li­che Bedeu­tung für ein Kind, muss die Erklä­rung bei­der Sor­ge­be­rech­tig­ten vor­lie­gen. Erst dann ist die Ein­wil­li­gung wirk­sam. Die Zustim­mung der Eltern ist nicht auf die an Kin­der gerich­te­te Dien­ste der Infor­ma­ti­ons­ge­sell­schaft (Art. 8 DSGVO) begrenzt. Eine gemein­sa­me Ein­wil­li­gung der Sor­ge­be­rech­tig­ten kann für jede Ein­wil­li­gung erfor­der­lich werden.

Außer­dem stellt das Gericht in einem Neben­satz klar, dass es auf die Ein­wil­li­gung des betrof­fe­nen Kin­des nicht ankommt, solang die Ein­wil­li­gung der Sor­ge­be­rech­tig­ten nicht vor­liegt. Die Ent­schei­dung des OLG Düs­sel­dorf macht deut­lich, dass min­der­jäh­ri­ge Kin­der nicht gegen den Wil­len der Sor­ge­be­rech­tig­ten in eine Ver­ar­bei­tung ein­wil­li­gen kön­nen. Sagen die Eltern „Nein“ oder liegt eine sonst unwirk­sa­me Ein­wil­li­gung der Eltern vor, führt das „Ja“ der Min­der­jäh­ri­gen nicht zu einer recht­mä­ßi­gen Verarbeitung.

Es bleibt abzu­war­ten, ob die­se Aus­sa­ge durch wei­te­re Ent­schei­dun­gen bestä­tigt wird.

Das Gericht lässt das Ver­hält­nis zwi­schen DSGVO und Kunst­UrhG unge­klärt, weil es dar­auf in der Ent­schei­dung nicht ankommt. Auch die Ein­wil­li­gung nach § 22 Kunst­UrhG ist bei gemein­sa­mer elter­li­cher Sor­ge von bei­den Sor­ge­be­rech­tig­ten abzu­ge­ben. Da die Ein­wil­li­gung des einen Eltern­teils fehlt, liegt auch nach § 22 Kunst­UrhG kei­ne wirk­sa­me Ein­wil­li­gung vor.

Ergeb­nis: Bei der Ver­öf­fent­li­chung von Fotos im Inter­net, die Kin­der ablich­ten, ist dar­auf zu ach­ten, dass die Ein­wil­li­gung bei­der Sor­ge­be­rech­tig­ten vor­liegt. In jede Daten­ver­ar­bei­tung, die erheb­li­che Bedeu­tung für die Ent­wick­lung eines Kin­des hat, kann durch bei­de Sor­ge­be­rech­tig­ten nur gemein­sam ein­ge­wil­ligt werden.

Autorin: Rechts­an­wäl­tin Sascha Lotz­kat, exter­ne betrieb­li­che Daten­schutz­be­auf­trag­te, Fach­an­wäl­tin für Arbeitsrecht

Max Schrems: Daten­schüt­zer legen mit wei­te­ren Beschwer­den nach

Die Daten­schüt­zer von noyb haben im Mai eine Beschwer­de­wel­le gegen mani­pu­la­ti­ve und rechts­wid­ri­ge Coo­kie-Ban­ner auf gro­ßen Web­sites gestar­tet. Ein Teil der betrof­fe­nen Fir­men hat inzwi­schen nach­ge­bes­sert. Ande­re müs­sen nun mit for­ma­len Beschwer­den rechnen.

Die euro­päi­sche Daten­schutz­or­ga­ni­sa­ti­on noyb legt bei ihrem Kampf gegen rechts­wid­ri­ge Coo­kie-Zustim­mungs­ab­fra­gen im Inter­net nach. Nach einer ersten Beschwer­de­wel­le, die sich Ende Mai noch an die Web­sei­ten­be­trei­ber selbst rich­te­te, will das Team um den öster­rei­chi­schen Daten­schutz­ak­ti­vi­sten Max Schrems nun 422 for­ma­le Beschwer­den bei zehn Daten­schutz­be­hör­den ein­rei­chen. Nach Ansicht der Akti­vi­sten ver­sto­ßen die Fir­men mit mani­pu­la­ti­ven Coo­kie-Ban­nern gegen die euro­päi­sche Daten­schutz-Grund­ver­ord­nung (DSGVO).

Coo­kies sind klei­ne Daten­sät­ze, die Web­sei­ten hin­ter­le­gen, um die Nut­zer iden­ti­fi­zier­bar zu machen. Mit ihrer Hil­fe kön­nen indi­vi­du­el­le Pro­fi­le erstellt wer­den, die weit­rei­chen­de Rück­schlüs­se über Surf­ver­hal­ten, Vor­lie­ben und Lebens­ge­wohn­hei­ten zulas­sen. Die­ses Wis­sen wird dann etwa für per­so­na­li­sier­te Wer­bung herangezogen.

Nach den Schrei­ben an mehr als 500 Unter­neh­men am 31. Mai sei­en 42 Pro­zent aller Ver­stö­ße auf mehr als 516 Web­sites besei­tigt wor­den. Zu den Unter­neh­men, die die Ver­wen­dung von «dark pat­terns» zur Ein­ho­lung der Zustim­mung voll­stän­dig ein­ge­stellt haben, gehö­ren glo­ba­le Mar­ken wie Master­card, Proc­ter & Gam­ble, Fore­ver 21, Seat oder Nikon.

Unter „dark pat­terns“ ver­steht man Bedien­ober­flä­chen, die Nut­zer zu einer Hand­lung brin­gen sol­len, die nicht ihren eigent­li­chen Absich­ten ent­spricht. Im Fall von Coo­kie-Hin­wei­sen wer­den But­tons, Auf­bau und Beschrif­tung gezielt so gewählt, dass die Web­site-Besu­cher am ehe­sten eine daten­schutz­un­freund­li­che Aus­wahl treffen.

Nur eine Min­der­heit der ange­schrie­be­nen Unter­neh­men kam der Auf­for­de­rung von noyb nach, den Wider­ruf so ein­fach wie die Ertei­lung der Ein­wil­li­gung zu gestal­ten. Nur 18 Pro­zent hät­ten eine sol­che Opti­on qua­si als Wider­rufs­sym­bol auf ihrer Web­site eingerichtet.

Unter­neh­men wol­len Recht auf Manipulation

In dem Coo­kie-Streit hat es die wer­be­trei­ben­de Indu­strie mit einem ein­fluss­rei­chen Geg­ner zu tun. Schrems hat in zwei spek­ta­ku­lä­ren Fäl­len bereits Face­book in die Knie gezwun­gen. Er setz­te zum einen im Okto­ber 2015 vor dem Euro­päi­schen Gerichts­hof (EuGH) durch, dass die von Face­book genutz­te trans­at­lan­ti­sche Daten­schutz­ver­ein­ba­rung „Safe Har­bor“ gekippt wur­de. Im Juni 2020 brach­te er vor dem EuGH schließ­lich auch die Nach­fol­ge­re­ge­lung „Pri­va­cy Shield“ zu Fall.

Schrems erklär­te nun, Unter­neh­men hät­ten die Befürch­tung geäu­ßert, dass ihre Kon­kur­ren­ten die Vor­schrif­ten nicht ein­hal­ten, was zu einem unfai­ren Wett­be­werb füh­ren wür­de. „Ande­re sag­ten, dass sie auf eine kla­re Ent­schei­dung der Behör­den war­ten, bevor sie die Geset­ze ein­hal­ten. Wir hof­fen daher, dass die Daten­schutz­be­hör­den bald Ent­schei­dun­gen und Sank­tio­nen erlas­sen werden.“

Unab­hän­gig von der Über­prü­fung der mehr als 500 Web­sei­ten in der ersten Beschwer­de­wel­le nah­men Schrems und sein Team auch grö­ße­re glo­ba­le und natio­na­le Web­sites unter die Lupe, die indi­vi­du­el­le „Coo­kie-Ban­ner“ ver­wen­den und daher eine manu­el­le Über­prü­fung erfor­dern. Dazu gehö­ren alle gro­ßen Platt­for­men wie Ama­zon, Twit­ter, Goog­le oder Face­book. „Sie alle haben sich gewei­gert, ihre Ban­ner zu ver­bes­sern“, erklär­ten die Daten­schutz-Akti­vi­sten. Noyb rei­che des­halb wei­te­re 36 Beschwer­den gegen die­se Unter­neh­men ein.

Grö­ße­re Akteu­re und Sei­ten, die stark von Wer­bung abhän­gig sind, haben unse­re Ver­war­nung weit­ge­hend igno­riert“, beklag­te Schrems. „Sie argu­men­tie­ren teil­wei­se offen, dass sie das Recht hät­ten, Nut­zer mit Mani­pu­la­tio­nen zu einem Klick auf den “Okay”-Button zu brin­gen.“ Schrems setz­te sich für „kla­re gesamt­eu­ro­päi­sche Regeln“ ein. „Im Moment hat ein deut­sches Unter­neh­men das Gefühl, dass die Aus­le­gung der DSGVO durch die fran­zö­si­schen Behör­den nur für Frank­reich gilt, obwohl das Recht über­all gleich gel­ten sollte.“