Inhalt:

• EU: Gilt die DSGVO auch im Privatbereich? - Update
• EU: Heimlicher Datenaustausch zwischen Facebook und Google?
• EU: Zu viele Cookies - eine Misere
• EU: Zwei Mal gewaltiger Datendiebstahl - bei A1 und Foodora
• EU: Datenschutz ist überall durchsetzbar - Google muss Frankreich 50 Mio EUR zahlen und konnte nicht nach Irland „flüchten"

 

 

EU: Gilt die DSGVO auch im Privatbereich? - Update

Bei Videos oder Fotos sollte man es mit der Rechtslage sehr genau nehmen. Nicht alles, was der Durchschnittsbürger als rein privat ansieht, wird auch vom Gericht so beurteilt.

Bereits in der Klienteninfo 13/2020 wurde anläßlich eines Falles aus den Niederlanden über das Thema berichtet. Bisher bestand nämlich kein Zweifel: Im Privatbereich ist die DSGVO nicht anzuwenden. Artikel 2 Abs. 2 lit. c DSGVO schließt das ausdrücklich aus:

"[...] Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten [...] durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten [...]".

Ein Erkenntnis des Obersten Gerichtshofes in Österreich (OGH), das kürzlich veröffentlich wurde, hat eine scheinbar private Überwachungskamera zum Fall für die DSGVO erklärt und den Verantwortlichen nach dieser Norm zur Unterlassung der Bildverarbeitung verurteilt. Seine Rechtsauffassung begründet der OGH zweifach:

1. Da im vorliegenden Fall – ähnlich dem der Entscheidung des EuGH C-212/13 – auch ein öffentlicher Zugangsweg gefilmt wurde, kommt eine Anwendung des „Haushaltsprivilegs“ (Art. 2 Abs. 2 Lit. c siehe oben) nicht in Betracht.
2. Darüber hinaus erfolgte die Bildaufzeichnung mit der Absicht der Beweissicherung bezüglich Diebstahl oder Sachbeschädigung. Dies ist nach Ansicht des Gerichtshofes keinesweg mehr eine „ Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“.

Beide Fakten führen dazu, dass nach Ansicht des Gerichts für die Entscheidung die DSGVO heranzuziehen ist und nicht primär das nationale österreichische Datenschutzgesetz (DSG).

Während man dem Gerichtshof bei seinem ersten entscheidungsrelevanten Argument noch zu folgen vermag, ist der Gedanke, Beweissicherung könne keine ausschließlich persönliche oder familiäre Tätigkeit sein, befremdlich. Der vorbeugende Schutz persönlichen Eigentums gem. § 12 Abs. 3 DSG ist rein privates Interesse und mit Sicherheit stärker zu bewerten als das Interesse eines möglichen Schädigers, bei seinen Handlungen unbeobachtet zu bleiben.

Quellen:

https://www.dsb.gv.at/documents/22758/115209/Datenschutzbericht_2019.pdf/f651499a-fe6d-44f2-a04a-cbd28376a57e

(Seite 54 - 15.4.2020)

https://www.ris.bka.gv.at/Dokument.wxe?ResultFunctionToken=2f3b2885-e685-4f70-9b39-c8a56b469742&Position=1&SkipToDocumentPage=True&Abfrage=Justiz&Gericht=&Rechtssatznummer=&Rechtssatz=&Fundstelle=&AenderungenSeit=Undefined&SucheNachRechtssatz=True&SucheNachText=True&GZ=6+Ob+150%2f19f&VonDatum=&BisDatum=04.07.2020&Norm=&ImRisSeitVonDatum=&ImRisSeitBisDatum=&ImRisSeit=Undefined&ResultPageSize=100&Suchworte=&Dokumentnummer=JJT_20191127_OGH0002_0060OB00150_19F0000_000

(1.7.2020)

 

 

EU: Heimlicher Datenaustausch zwischen Facebook und Google?

Dass Whatsapp gnadenlos alle Kontaktadressen absaugt, die ein Nutzer am Smartphone gespeichert hat, und sie an Facebook weiterleitet, ist bekannt. Auch wir haben darüber bereits berichtet. Allen Warnungen und sogar Verboten zum Trotz wird die Plattform aber weiterhin genützt – auch von Vertretern von Gesundheitsberufen, von Anwälten und Steuerberatern, die dies nicht dürften.

Kürzlich wurde sogar entdeckt, dass zum Teil die Telefonnummern von Whatsapp-Usern über eine simple Google-Suche herauszufinden sind. Es gibt also einen geheimnisvollen Übergang von Facebook zu Google.

Zeitungsmeldungen zufolge zeigte sich Facebook Inc. von dieser Entdeckung keineswegs beunruhigt. Angesichts der ohnehin zahlreichen, gravierenden Verstöße gegen den Datenschutz, die von Facebook gerichtsanhängig sind, dürfte das Unternehmen in der nun entdeckten, weiteren Schutzverletzung lediglich eine unerhebliche Erweiterung seines Sündenregisters erblicken.

In diesem Zusammenhang ist auch daran zu erinnern, dass erst kürzlich Datenschutz-NGOs der Irischen Datenschutzbehörde, die sich für Facebook zuständig hält, eine auffällige Lethargie bei der Verfolgung von Rechtsverletzungen vorgeworfen haben. Ob, wie von einer Tageszeitung unter Berufung auf den Aktivisten Max Schrems berichtet wurde, möglicherweise sogar ein Einverständnis zwischen Facebook Inc. Irland und der dortigen Datenschutzbehörde besteht, konnten wir nicht feststellen.

Quellen:

https://www.derstandard.at/story/2000117948660/sicherheitsforscher-warnt-telefonnummern-von-whatsapp-usern-tauchen-zum-teil-in

https://futurezone.at/digital-life/google-suche-verraet-handynummern-von-whatsapp-usern/400934648

(8.6.2020)

https://www.derstandard.at/story/2000118410604/massiver-anstieg-an-beschwerden-datenschutzbehoerde-beklagt-personalmangel

(1.7.2020)

 

 

EU: Zu viele Cookies - eine Misere

"Durch Besuch der Website stimmen Sie der Verwendung von Cookies zu …" Der deutsche Bundesgerichtshof hat kürzlich ein Urteil gefällt, das für den gesamten Rechtsraum der EU Signalwirkung haben könnte: Die immer wieder auf Websites anzutreffende Behauptung der Betreiber, "Durch Besuch der Website stimmen Sie der Verwendung von Cookies zu …" ist rechtswidrig, insoferne sie sich auf Cookies bezieht, die nicht für die technische Funktion, sondern etwa für Zwecke des Marketings gesetzt werden.

Die Entscheidung des Gerichtshofes basiert auf dem Art. 4 Zi 11 der DSGVO, wo es heißt:

„Einwilligung“ der betroffenen Person [ist] jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist […]

Der EuGH legt die geltenden Bestimmungen so aus, dass

• eine verständliche Erläuterung durch den Betreiber einer Website erfolgen muss, wozu seine Cookies dienen,
• wie lange sie aktiv bleiben,
• welche Unternehmen Zugriff auf die Daten haben und
• dass eine klare und eindeutige Entscheidung des Nutzers einer Website für oder gegen Cookies erfolgen muss.

In rechtlicher Hinsicht sieht daher der Gerichtshof die pauschale Unterstellung der Zustimmung in zweierlei Hinsicht unzulässig:

1. Freiwilligkeit setzt eine Wahlmöglichkeit voraus. Wer eine Seite im Internet aufruft, müsste die Wahl haben, den Inhalt mit oder ohne technisch nicht erforderliche Cookies studieren zu können. Von viele Websites wird diese Forderung bereits beispielgebend erfüllt.
2. Der bloße Besuch einer Website ist keineswegs als „unmißverständlich abgegebene Willensbekundung“ zu verstehen. Schwieriger ist es da schon, gegen Seiten vorzugehen, die vom Nutzer eine ausdrückliche Zustimmung verlangen und den Inhalt erst ausblenden, wenn der Besucher die Annahme der Marketing-Cookies verweigert. In diesem Fall könnte der Nutzer aber das Kopplungsverbot des Art. 7 DSGVO (erläutert im Erwägungsgrund 43) für sich ins Treffen führen, weil Marketing-Cookies nicht für den Besuch einer Website erforderlich sind. Allerdings läßt die Formulierung des Art. 7 einen gewissen Interpretationsspielraum, der von der Internetwirtschaft ausgenützt wird.

Die dritte Bedingung der DSGVO (Zustimmung „in informierter Weise“) wird von manchen Verantwortlichen einer Seite formal auch durch seitenlange, in der Regel völlig unverständliche Erklärungen zu den Cookies zu erfüllen versucht. Eine Sanktion dieses Mißbrauches ist bisher nicht bekannt.

Übrigens: Nichtssagende Pauschalerklärungen über den Zweck der Cookies, wie „Zur Optimierung Ihres Surf-Vergnügens“ sind nicht ausreichend. Die Angaben müssen genauer sein. Außerdem muss, wie schon angeführt, eine Erklärung zur Speicherdauer und zum Unternehmen abgegeben werden, das die Auswertung der Cookies durchführt.

Abschließend noch eine Einschätzung: Für KMU sind – von Ausnahmen abgesehen - Google-Cookies in der Regel genau so wenig hilfreich, wie Facebook-Werbung o.dgl. Entscheidend für die Beurteilung ist immer, ob dem Aufwand ein angemessener, objektivierbarer Nutzen gegenübersteht. Das ist bei den meisten Cookies im KMU-Bereich nicht der Fall. Verzichtet man daher auf diese Form der User-Forschung, geht man technischen und juristischen Problemen aus dem Weg, spart Geld und hat in der Regel keine Nachteile zu befürchten.

Quellen:

https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf

http://curia.europa.eu/juris/document/document.jsf;jsessionid=FF2E9895F5E691E0D9232DDA9E971A1B?text=&docid=221353&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=6769070
(1.10.2019)

https://maweo.at/blog/cookie-hinweispflicht-in-osterreich-fur-website-betreiber
(17.8.2019)

https://www.bundesgerichtshof.de/SharedDocs/Pressemitteilungen/DE/2020/2020067.html?nn=10690868
(28.5.2020)

 

 

EU: Zwei Mal gewaltiger Datendiebstahl - bei A1 und Foodora

Kürzlich wurde eine Datenschutzverletzung bekannt, bei der bislang unbekannte Angreifer persönliche Daten von 727.000 Foodora-Kunden aus 14 Ländern erbeuten konnten. Unter den Opfern befinden sich auch zehntausende Österreicher, die ein Foodora-Konto hatten.

Besonders bemerkenswert ist der Fall deshalb, weil die Tageszeitung „Der Standard“ nach eigener Darstellung das deutsche Inhaber-Unternehmen von Foodora bereits 2017 aufgrund eines Leser-Hinweises gewarnt hatte. Damals vertrat Foodora den Standpunkt, dass die Ursache für die Datenschutzverletzung beim Informanten selbst, also beim Leser des Standard, liegen müsse. Mittlerweile hat der Foodora-Eigentümer Delivery-Hero jedoch wie vorgesehen die Datenschutzbehörde eingeschaltet.

Das Ignorieren von Warnungen hat, wie wir bereits in der Klienteninfo 11/2020 beschrieben, auch der Autovermietung Buchbinder einen massiven Imageschaden eingetragen und zahlreiche Kunden geschädigt, deren Daten auf einem ungesicherten Backup-Server der Firma lagen.

Delivery-Hero – das sei an dieser Stelle hinzugefügt – hat hinsichtlich des Datenschutzes auch abseits des jüngst entdeckten Vorfalles keineswegs eine „reine Weste“. So verhängte im September 2019 die Berliner Datenschutzbeauftragte gegen das Unternehmen die bis damals höchste Strafe von knapp EUR 200.000. Grund waren zahlreiche, wiederholte Verstöße gegen die DSGVO, für die Delivery-Hero lediglich wenig stichhaltige Entschuldigungen vorbrachte.

Eine massive Schutzverletzung bei A1, bei der die Angreifer etwa ab dem Jahreswechsel 2019/2020 immer mehr Rechner des Unternehmens kaperten, wurde erst nach einem Monat entdeckt und wurde danach noch monatelang fortgesetzt, wenn man den Zeitungsberichten Glauben schenkt. Erstaunlich, dass – nach Darstellung von A1 – in dieser Zeit keine Kundendaten abfließen konnten.

Dass Innenminister Nehammer (als Folge der Datenschutzverletzung bei A1 und bei den ÖBB) strengere Strafen forderte, ist die konsequente Fortsetzung der Symbolpolitik der aktuellen Bundesregierung. Allein: Für die Eindämmung der Datendiebstähle und generell der Internet-Kriminalität wäre eine Strafverschärfung mit Sicherheit nahezu wirkungslos. Angriffe dieser Art erfolgen nämlich in der Regel von Rechnern außerhalb des europäischen Rechtsraums. Der Kooperationswille der Behörden des jeweiligen Landes, in dem sich die Rechner befinden, ist unterschiedlich groß. Werden die Angriffe von verteilten Rechnern aus geführt, die sich in mehreren Ländern befinden, ist der Versuch einer Verfolgung ohnehin gänzlich aussichtslos.

Erheblich bessere Ergebnisse könnte man erzielen, würden mehr Anstrengungen zur Früherkennung von Datendiebstählen unternommen und schon bei der Einrichtung von IT-Strukturen mögliche Einfallstore für Phishing und Einbrüche über Hintertüren noch stärker als bisher unterbunden. Wird dann noch rasch reagiert, sobald ein Angriff erkannt wird, bleibt der Schaden in der Regel überschaubar.

Was das Schließen von Hintertüren anlangt, geht die Politik weltweit jedoch den entgegengesetzten Weg und versucht gerade (wieder einmal!) ein Ende starker Verschlüsselungen und wirkungsvoller Sicherheitsmaßnahmen gesetzlich zu erzwingen. Der groteske Vorwand lautet, dass es der Sicherheit dienlich wäre, würden Staatsspione über diese Hintertüren Kommunikationsinhalte ausspähen können. Dass diese Behauptung jeglicher sachlichen Grundlage entbehrt, wurde von der Wissenschaft bereits umfassend dargelegt.

Kaum Chancen zur Abwehr eines Angriffes hat jedoch ein Unternehmen mit vernünftig abgesicherter IT-Infrastruktur, das Opfer einer staatlichen Organisation wurde. Da spielen nämlich für den Angreifer Zeit und Aufwand keine Rolle. Das angestrebte Ziel wird verfolgt, koste es, was es wolle. Einzige Möglichkeit der erfolgreichen Abwehr wäre die Stillegung des Zielsystems, was jedoch oftmals mit der Stillegung des Geschäftsbetriebs des Opfers gleichzusetzen ist.

Quellen:

https://www.handelsblatt.com/technik/it-internet/cybersicherheit-a1-telekom-austria-wird-opfer-von-massivem-hackerangriff/25904556.html?ticket=ST-6013827-YzksNFvgYfJoupAQVRRR-ap3
(1.7.2020)

https://www.derstandard.at/story/2000118384303/foodora-wurde-2016-gehackt-namen-und-adressen-oesterreichischer-kunden-im
(30.6.2020)

https://www.heise.de/newsticker/meldung/Datenschutzverstoesse-Essenszusteller-Delivery-Hero-muss-200-000-Euro-zahlen-4533862.html
(30.6.2020)

https://www.gruenderszene.de/food/dsgvo-bussgeld-takeaway
(30.6.2020)

https://fm4.orf.at/stories/3004288/
(29.6.2020)

https://www.kleinezeitung.at/politik/innenpolitik/5824380/Nach-Hackerangriff-auf-A1_Nehammer-will-haertere-Strafen-fuer
(10.6.2020)

https://www.derstandard.at/story/2000118005570/erfolgreicher-datendiebstahl-bei-den-oebb
(10.6.2020)

 

 

EU: Datenschutz ist überall durchsetzbar - Google muss Frankreich 50 Mio EUR zahlen und konnte nicht nach Irland „flüchten"

Ähnlich wie Facebook hat sich auch Google seinerzeit entschieden, das Europageschäft formal von Irland aus zu bestreiten. Ob dabei die vom Aktivisten Max Schrems kritisierte laxe Haltung der Irischen Datenschutzbehörde eine Rolle spielte, ist natürlich nicht bekannt.

Das oberste Verwaltungsgericht in Frankreich hat jetzt die Verhängung einer Strafe bestätigt, die von den Vorinstanzen bereits 2019 verhängt worden war. Die Einrede von Google, nicht die französische Justiz, sondern ausschließlich die Irische Datenschutzbehörde sei für die Europäische Niederlassung zuständig, hat das Gericht nicht überzeugt.

Damit ist klargestellt, dass die Einhaltung der DSGVO in jedem Land der EU von den dafür vorgesehenen Behörden und Gerichten durchgesetzt werden kann.

Quelle:

https://www.derstandard.at/story/2000118206052/dsgvo-franzoesisches-gericht-bestaetigt-datenschutzstrafe-gegen-google
(20.6.2020)