Zum Inhalt springen Zur Navigation springen
Datenschutz – Jahresrückblick 2024 – Teil 3

Datenschutz – Jahresrückblick 2024 – Teil 3

Weiter geht’s in unserem Datenschutzjahr 2024 mit dem zunehmenden Einsatz biometrischer Gesichtserkennung bei der Polizei, wegweisenden Urteilen gegen Techgiganten Microsoft und Meta sowie Fachbeiträgen zum Beispiel der Sammelwut personenbezogener Daten im Auto. Viel war los von Juli bis September.

Juli – Gerichte stärken Betroffenenrechte und eine neue umstrittene Polizeisoftware

Der Juli startetete mit einem Blick auf die Einzelheiten des Urteils vom 27. Juni 2024, Az. 6 U 192/23 über die Haftung von Microsoft Advertising und dessen Cookies. Das Oberlandesgericht Frankfurt am Main bestätigte, dass sich auch das Werbetrackingtool Microsoft Advertising an die Vorgaben des TDDDG halten muss. Als Pendant zu Google Ads ermöglicht das Tool Unternehmen, auf der Suchmaschine Bing und auf anderen Plattformen des Microsoft-Netzwerkes Werbeanzeigen zu platzieren und per Auswertung von Nutzeraktivitäten den Erfolg ihrer Werbekampagnen zu analysieren. Eine Frau hatte geklagt, da ohne ihre Einwilligung auf ihren Geräten beim Besuch von Drittwebseiten Cookies gesetzt und ausgewertet wurden. Das Oberlandesgericht Frankfurt am Main entschied, dass § 25 Abs. 1 TDDDG für jeden Akteur, der Cookies speichere oder auf gespeicherte Informationen zugreife, gelte. Die AGB-Regelung von Microsoft gegenüber Webseite-Betreibern, welche diese verpflichtet per Code unerlaubtes Tracking zu verhindern, ändere an diesem Umstand nichts.

Im selben Monat befassten wir uns mit den aus dem Einsatz der neuen Polizei-Software VeRA einhergehenden datenschutzrechtlichen Risiken. VeRA steht für „Verfahrensübergreifendes Recherche- und Analysesystem“ der US-Firma Palantir und ist eine Software für Strafverfolgungsbehörden. Die Software soll auf alle existierenden polizeilichen Daten Zugriff haben. Es gibt Kritik an der Software in Hinblick auf die parallele Einführung von Steuer-ID und dem Gesetz zur Registermodernisierung. So könnte VeRa theoretisch personenbezogene Daten von Bürgern, welche bei der Beantragung digitaler Verwaltungsleistungen, z. B. die Personalausweisnummer preisgeben, in ihre Analyse einbeziehen. Dies birgt die Gefahr eines Verstoßes gegen das Prinzip der Zweckbindung nach Art. 5 Abs. 1 b DSGVO.

Im Juli erläuterten wir auf welche Weise Informationsrechte Verbandsklagen aufgrund von Datenschutzverstößen künftig stärken könnten. Ausgangspunkt war, dass Meta auf seiner Plattform Facebook ein „App-Zentrum“ betreibt. Über dieses können Facebook-Nutzer kostenlose Spiele-Apps von Drittanbietern herunterladen. Um in den Genuss dieser Apps zu kommen, mussten die Nutzer ihre Einwilligung für das Sammeln personenbezogener Daten innerhalb einiger Spiele und anschließender Veröffentlichung in Facebook erteilen. Der an diesem Rechtsstreit involvierte Bundesverband der Verbraucherzentralen und Verbraucherverbände (VZBV) klagte gegen Meta, weil er die Datenschutzhinweise im App-Zentrum für rechtswidrig hielt. Der EuGH war unsicher, ob der VZBV gemäß Art. 80 Abs. 2 DSGVO eine Rechtsverletzung aus Art. 12 Abs. 1 S. 1, Art. 13 Abs. 1 lit. c und e DSGVO im Rahmen der Verbandsklage geltend machen könne, weil die Informationspflichten nicht erfüllt wurden. Der EuGH betonte die Wichtigkeit der Einhaltung von Informationspflichten und schlussfolgerte, dass auch Verletzungen der Informationsrechte im Rahmen einer Verbandsklage gerügt werden können.

Ebenso informierten wir über den im Juli durch die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW (LDI NRW), Frau Bettina Gayk, veröffentlichten jährlichen Tätigkeitsbericht der Aufsichtsbehörde für das Jahr 2023. Themen waren u. a. das Auskunftsrecht und die Zulässigkeit von „Pur-Abos“. Hinsichtlich des Auskunftsrechts hatte der EuGH bereits in seinem Urteil vom 12. Januar 2023, Az. C-154/21 entschieden, dass Verantwortliche betroffenen Personen die genaue Identität der Datenempfänger und nicht lediglich die Kategorien der Datenempfänger mitteilen müssen. Weiterhin erachtete das LDI NRW den datenschutzkonformen Einsatz von Pur-Abo-Modellen unter Beachtung bestimmter Aspekte für zulässig.

In einem weiteren Fachbeitrag berichteten wir über die verstärkten Sicherheitsmaßnahmen bei den Olympischen Spielen in Paris. An einer veröffentlichten Übersicht der nationalen Datenschutzbehörde Frankreichs (CNIL) zeigte sich, dass bei Großveranstaltungen stetig mehr Daten von Besuchern und Anwohnern erhoben werden. Der rechtliche Rahmen für den großflächigen Einsatz von Überwachungskameras, Zugangspässen mit QR-Codes und personalisierten Tickets in Frankreich während der Olympischen und Paralympischen Spiele von Ende Juli bis Anfang September wurde durch das Gesetz Nr. 2023-380 vom 19. Mai 2023 geschaffen. Rechtliche Bestimmungen umfassen unter anderem das Experimentieren mit intelligenter Videoüberwachung oder den Einsatz von Körperscannern. Gleichzeitig legte das Gesetz dem Einsatz oben genannter Sicherheitsmaßnahmen auch Sicherheitsvorkehrungen für die Datenerhebung auf. So muss der Einsatz „erweiterter Kameras“ durch die CNIL vorab geprüft und genehmigt werden.

August – Urteil gegen Aufsichtsbehörde, das Büro für KI und umstrittene Gesichtserkennung in Brandenburg

Der August begann mit einem aufsehenerregenden Urteil rund um die Veurteilung einer Aufsichtsbehörde zum Tätigwerden. Die Teilnehmerin eines Seminars erhielt zum Abschluss eine Teilnehmerliste mitsamt Informationen zu gebuchten Zimmerkategorien und Frühanreisen. Daraufhin verlangte die Klägerin vom Seminarveranstalter eine vollständige, konkrete Auskunft über alle personenbezogenen Daten gemäß Artikel 15 DSGVO. Dessen schlichte Antwort, dass bis auf die E-Mail-Adresse alle personenbezogenen Daten der Teilnehmerin gelöscht worden seien, überzeugte die Klägerin nicht. Sie legte Beschwerde gegen den Seminarveranstalter bei der bayrischen Aufsichtsbehörde (BayLDA) ein. Das BayLDA schloss den Fall, auch ohne weiterreichende Angaben des Seminarveranstalters, mit einer Abschlussmitteilung ab. Daraufhin reichte die Seminarteilnehmerin Klage gegen die Behörde ein. Das Gericht verurteilte die Behörde dazu, gegen den Seminarveranstalter eine Abhilfemaßnahme nach Art. 58 Abs. 2 DSGVO zu ergreifen. Nach Auffassung des VG Ansbach stellte die unzureichende Reaktion des Seminarveranstalters auf das Auskunftsersuchen einen klaren Verstoß gegen Art. 15 DSGVO dar.

Weiter berichteten wir über das neu geschaffene „Büro für Künstliche Intelligenz“ der Europäischen Kommission und dessen Aufgaben. Dieses Büro soll zum einen die EU-Kommission bei der Aufgabe KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck umzusetzen, zu beobachten und zu überwachen, unterstützen. Die genauen Aufgaben des Büros für Künstliche Intelligenz ergeben sich aus Art. 64 KI-VO und beinhalten u. a. die kohärente Implementierung der KI-Verordnung sowie die Zusammenarbeit des Büros für Künstliche Intelligenz mit den Mitgliedsstaaten und Teilnahme an verschiedenen Expertengruppen.

Im August setzen wir uns mit den Risiken des alltäglichen Datenschutzes im Auto auseinander. Die Rede ist von der Blackbox-Pflicht für neu zugelassene PKW, Handy-Anbindungen und der Erfassung von Fahrzeugdaten für etwaige Unfallauswertungen. Abhängig von der sensorischen Ausstattung des Fahrzeugs lassen sich, durch Verbindung mehrerer Daten, ob rechtmäßig oder nicht, Zusammenhänge ermitteln, welche auf Körpergröße, Statur, Aufmerksamkeitslevel und anderes schließen lassen. Zum Glück hat der Einzelne gewissen Einfluss darauf die Sammelflut im Auto einzudämmen. So kann der Fahrer zum Beispiel auf das Verbinden des Handys mit dem KFZ gänzlich verzichten, d. h. weder über Kabel noch über Bluetooth. Allerdings ist nicht jede Datenverarbeitung im Auto vermeidbar, wie z. B. bei Notfallreaktionssystemen mit integriertem Mikrofon.

In einem weiteren Fachbeitrag befassten wir uns mit den datenschutzrechtlichen Feinheiten bei der Arbeitgeber-Führerscheinkontrolle. Sofern der Arbeitgeber Halter von Dienstwagen ist, muss er sicherstellen, dass die eingesetzten Mitarbeiter bzw. Fahrer über die hierfür erforderliche Fahrerlaubnis verfügen. Denn der Halter eines Kraftfahrzeugs kann gemäß § 21 StVG Abs.1 Nr. 2 StVG bestraft werden, wenn er es zulässt, dass jemand ohne aktuelle Fahrerlaubnis sein Fahrzeug führt. Zu beachten ist, dass auf dem Führerschein teils sensible personenbezogene Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO dargestellt sind. Für diese Verarbeitung braucht der Halter des Fahrzeugs eine passende Rechtsgrundlage. Als Rechtsgrundlage kommt Art. 6 Abs. 1 S. 1 lit. b DSGVO in Betracht. Zu berücksichtigen sind weiterhin die Einhaltung des „Need-to-know-Prinzips“, die Beachtung einer bestimmten Speicherdauer, das Vermeiden von Fotokopien und die Informationspflichten gegenüber dem Mitarbeiter.

Im August berichteten wir, dass die Polizei in Brandenburg im Rahmen polizeilicher Amtshilfe zur Bekämpfung von Eigentumskriminalität ein System zur Gesichtserkennung einsetze. Auch in anderen Bundesländern wird diese Technologie bereits eingesetzt. Nahezu versteckt erfassen die Kameras vorbeifahrende Fahrzeuge und Fußgänger, scannen Kennzeichen und Gesichter und vergleichen diese Daten in Echtzeit mit Bilddaten der Polizei, welche zuvor in das System eingepflegt wurden. Kritiker bemängeln, dass die Polizei bei Verwendung dieser Technologie auch biometrische Gesichtsdaten unbeteiligter Fußgänger mit der Datenbank abgleiche. Gemäß der am 1. August in Kraft getretenen KI-Verordnung wird der Einsatz der biometrischen Gesichtserkennung im öffentlichen Raum nur in Ausnahmefällen zulässig sein.

September – hohes Bußgeld für Uber, datenschutzkonformes Schwärzen und der digitale Euro

Im September gaben wir einen Überblick über die Problematiken des internationalen Datentransfers und das damit verbundene, verhängte Bußgeld in Höhe von 290 Millionen Euro gegen Uber. Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) brachte gegen Uber vor, der Fahrtenvermittler habe personenbezogene Daten bei der Registrierung und Bearbeitung von Auskunftsersuchen ohne ausreichende Schutzmaßnahmen an die Muttergesellschaft in die USA übermittelt. Konkret geht es um einen Zeitraum zwischen August 2021 und November 2023, zu dessen Zeitpunkt der Angemessenheitsbeschluss zwischen der EU und den USA aufgrund europäischer Gerichtsentscheidungen ungültig war. Ab August 2021 verzichtete Uber auf Nutzung der Standardvertragsklauseln (SCC) der Europäischen Kommission. Gerade diese dienten nach der Aufhebung des EU-US Privacy Shield im Jahr 2020 als gültige Grundlage für den Datentransfer in die USA. Uber ergriff keine sonstigen Maßnahmen zum Schutz der Daten. Die Internationale Datenübermittlung bleibt ein heikles Thema.

Ebenso fassten wir die wichtigsten To-Dos des durch den sächsischen Datenschutz- und Transparenzbeauftragten (SDTB) im August veröffentlichten Leitfaden zum DSGVO-konformen Schwärzen von personenbezogenen Daten zusammen. Der Grundsatz der Datenminimierung gebietet in bestimmten Fällen das Schwärzen von personenbezogenen Daten. Vor der Weitergabe/Veröffentlichung von originalen Dokumenten ist stets sicherzustellen, dass vertrauliche Inhalte angemessen geschützt werden. Die einzelne technischen Kniffe werden im Leitfaden näher beleuchtet. Schlussendlich empfiehlt die SDTB die Dokumente vor dem Versand auf Schwärzungslücken zu überprüfen und sicherzustellen, dass die Schwärzungen sich nicht wieder rückgängig machen lassen. Eine unbeabsichtigte Offenlegung beim Schwärzen kann einen Datenschutzvorfall darstellen und somit eine Meldepflicht auslösen.

Ferner berichteten wir über das veröffentlichte Arbeitspapier zum Thema Datenschutz und Datensicherheit der International Working Group on Privacy in Techology hinsichtlich der Einführung eines digitalen Euro. Bereits jetzt unterliegen Finanzintermediäre, insbesondere Banken, bei der Verarbeitung personenbezogener Daten zahlreichen gesetzlichen Pfichten wie dem Kreditwesengesetz (KWG) und dem Zahlungsdienstaufsichtsgesetz (ZAG). Als kritsche Themenbereiche nennt das Arbeitspapier unter anderem das Identititätsmanagement, welches Authentifizierungs- und Autorisierungsprotokoll umfassen sollte, sowie die Einrichtung von Maßnahmen zur Abwehr malignen Verhaltens und Geldwäsche. Selbstverständlich werden auch Fragen der Datensicherheit, wie die Resilienz gegen Cyberangriffe oder Phishing beleuchtet. Bevor der digitale Euro Wirklichkeit wird, gilt es noch sehr viele Fragen – wie zum Beispiel die Aufgabenverteilung zwischen der EZB und den privaten Kreditinstituten selber – zu beantworten.

Im September analysierten wir ein aufgedecktes Datenleck beim Geolokalisierungsdienst Tracelo. Kriminelle verschafften sich Zugang zu persönlichen Daten von über 1,4 Millionen Menschen und veröffentlichten diese im Darknet. Komprimittierte Daten enthielten unter anderem die persönlichen Daten von fast 815.000 registrierten Tracelo-Benutzern. Darin enthalten waren Namen, physische Adressen, verschlüsselte Passwort-Hashes, E-Mail-Adressen und Google-ID-Nummern. Der Datenleck bei Tracelo ist ein gutes Beispiel für die mit einer persönlichen Standortverfolgung einhergehenden Risiken solcher Dienste.

Im September fragten wir uns, warum im europäischen Vergleich die deutschen Aufsichtsbehörden seltener über verhängte Bußgelder berichten. Sind unsere Aufsichtsbehörden weniger fleißig im Ahnden von Bußgeldverstößen? Wir stellten fest, dass verhängte Bußgelder in Deutschland schlichtweg seltener veröffentlicht werden. Außerdem werden die Jahresberichte der Behörden in der Regel erst gegen Mitte oder Ende des Folgejahres veröffentlicht.

Morgen folgen die Highlights aus den Monaten Oktober, November und Dezember und damit Teil 4 unseres Jahresrückblicks.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.