Die irische Datenschutzkommission DPC, die im Namen der EU handelt, hat gegen den Videodienst TikTok ein Bußgeld in Millionenhöhe ausgesprochen. TikTok wehrt sich. Hintergrund ist eine Untersuchung zum Umgang mit Nutzendendaten Minderjähriger von Ende Juli bis Ende Dezember 2020, wie die DPC vergangene Woche mitteilte. Die DPC wirft dem bei Jugendlichen sehr beliebten Dienst TikTok vor, beim Umgang mit Daten Minderjähriger gegen die EU-Datenschutzgrundverordnung (DSGVO) verstoßen zu haben. Im Fokus standen einige Einstellungen der Plattform sowie die Altersüberprüfung bei der Anmeldung. Die Voreinstellung führte dazu, dass Beiträge und Videos von Nutzenden im Alter zwischen 13 und 17 Jahren standardmäßig für alle sichtbar veröffentlicht werden konnten. Auch sei die Kommentierfunktion in den Profilen als Voreinstellung für alle anderen Nutzenden zugänglich gewesen.
Die Datenschutzorganisation Noyb - deren Vorstandsvorsitz bekleidet wird von Max Schrems - hat in der ersten Septemberhälfte gleich drei Beschwerden wegen rechtswidriger Datenweitergabe an Dritte eingereicht. Die Beschwerden richten sich gegen die App "Fnac" des größten Elektronikmarkts Frankreichs, die Immobilien-App "SeLoger" und die Fitness-App "MyFitnessPal". Nach dem Öffnen der Apps greifen die Betreiber unmittelbar die Daten der Nutzenden ab und übermitteln diese zu umfangreichen Analysezwecken an Dritte, ohne den Nutzenden zu ermöglichen die Datenweitergabe zu unterbinden. Die Übermittlung erfolge dabei standardmäßig.
Es ist so weit: Die Europäische Kommission hat soeben den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Unternehmen in den USA dienen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit. Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework ein angemessenes Schutzniveau bestätigt. Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU ab sofort an Unternehmen in die USA übermittelt werden, ohne dass weitere Vorkehrungen oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern das US-Unternehmen auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist.
Der Aufruf einer Webseite ist in den meisten Fällen ohne vorherige Auswahl in Cookie-Bannern unmöglich. Diesem lästigen Vorgehen möchte das Bundesministerium für Digitales und Verkehr (BMDV) entgegenwirken. Nach dem überarbeiteten Referentenentwurf für eine „Einwilligungsverwaltungsverordnung“ soll bei Einsatz eines „anerkannten Dienstes“ für ein Jahr der ungestörte Aufruf von Webseiten möglich sein.
Im Fokus steht die Festlegung eines rechtlichen Rahmens für Dienste zur Einwilligungsverwaltung auf Basis des Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG). Diese Dienste sollen den Endnutzer:innen ermöglichen, ihre Einwilligung (im Einklang mit der DSGVO) gegenüber Telemedienanbieter:innen zu erklären, abzulehnen und zu verwalten.
Der Vorsitz im Betriebsrat steht den Aufgaben eines Datenschutzbeauftragten typischerweise entgegen und berechtigt den Arbeitgebenden zum Widerruf, entschied jetzt das Bundesarbeitsgericht (BAG), Urt. v. 06.06.2023 - 9 AZR 383/19. Hintergrund der Entscheidung ist die Klage eines Konzernangestellten, der Vorsitzender des Betriebsrats ist. Der Kläger wurde zunächst von seiner Arbeitgeberin und allen in Deutschland ansässigen Tochtergesellschaften mit Wirkung zum 01.06.2015 als Datenschutzbeauftragter bestellt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagte und die weiteren Konzernunternehmen die Bestellung des Klägers am 01.12.2017 wegen Unvereinbarkeit der Ämter mit sofortiger Wirkung.
Der Vermittlungsausschuss hat sich am 09.05.2023 auf Änderungen am Hinweisgeberschutzgesetz (HinSchG) geeinigt. Die Änderungen sind weitreichend. So entfällt wohl die Pflicht, auch anonyme Meldungen zu ermöglichen. Hinweisgebende müssen also von Beginn an ihre Identität preisgeben, wollen sie unter den Schutzbereich des Gesetzes fallen.
Auch die Höhe von Bußgeldern bei Verstößen gegen das HinSchG wurde erheblich herabgesetzt und der Anwendungsbereich des Gesetzes eingegrenzt.
Stimmt der Bundesrat morgen dem geänderten Gesetz zu, so stünde der Unterzeichnung durch den Bundespräsidenten und der Verkündung im Bundesgesetzblatt nichts mehr im Wege. Damit könnte das HinSchG etwa Mitte Juni in Kraft treten.
In einem wegweisenden Urteil (Urt. v. 04.05.2023, Az.: C-300/21) bestätigte der Europäische Gerichtshof (EuGH) am Donnerstag, dass der bloße Verstoß gegen Vorschriften der DSGVO keinen Schadensersatzanspruch begründet. Gleichzeitig stellten die Richter:innen klar, dass die DSGVO keine Erheblichkeitsschwelle für Schadensersatzansprüche vorsieht. Hintergrund der Entscheidung war ein Fall aus Österreich, den der österreichische Oberste Gerichtshof (OGH) dem EuGH vorlegte. Im Ausgangsfall ging es um einen schweren Verstoß der österreichischen Post. Diese hatte seit 2017 Informationen über die politische Affinität der österreichischen Bürger zum Zwecke der Wahlwerbung von Parteien gesammelt.
Die EU hatte im Jahr 2019 eine Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (sogenannte Whistleblowing Richtlinie, Richtlinie (EU) 2019/1937) verabschiedet. Am 16.12.2022 wurde in Umsetzung der Richtline in Deutschland das Hinweisgeberschutzgesetz (HinSchG) verabschiedet. Dieses scheiterte jedoch Anfang 2023 im Bundesrat. Die Mitgliedstaaten waren verpflichtet, bis zum 17.12.2021 die erforderlichen Maßnahmen zu treffen, um den Bestimmungen der Richtlinie nachzukommen.
Die Nichtumsetzung könnte nun teuer werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 21.04.2023 eine hilfreiche Handreichung zur Gestaltung datenschutzkonformer Internetauftritte veröffentlicht. Die Handreichung befasst sich mit zentralen Themen wie der Erforderlichkeit einer Einwilligung, der rechtskonformen Gestaltung von Einwilligungsbannern, der Einbindung von Drittinhalten, den Informationspflichten, dem technischen Betrieb und der Konsequenzen bei Missachtung dieser Pflichten. Wir fassen die Kernaussagen zusammen.
Eine einmal erteilte Einwilligung in den Erhalt von Newsletter-E-Mails könne durch Zeitablauf entfallen, wenn weitere Umstände hinzutreten, die dem Fortbestand der Einwilligung entgegenstehen, entschied nun das AG München (Urt. v. 14.02.2023 – 161 C 12736/22). Der Kläger hatte bei der Beklagten im Jahre 2015 einen Account im Rahmen seiner Mitgliedschaft im Golfclub erstellt. Hierbei willigte der Kläger auch in den Erhalt von Newsletter-E-Mails ein.
