Im Sommer 2021 wandte sich ein Beschwerdeführer an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Gegenstand der Beschwerde war das Pur-Abo-Modell des Medienhauses Der Spiegel. Nun zieht der Beschwerdeführer vor Gericht. Der Vorwurf gegen den HmbBfDI wiegt schwer. Zum Hintergrund: Unter einem Pur-Abo-Modell ist ein erweitertes Cookie-Banner zu verstehen, welches den Nutzenden die Wahlmöglichkeit zwischen dem Besuch der Webseite mit Tracking oder dem kostenpflichtigen Besuch der Webseite ohne Tracking eröffnet. Ein solches verwendete auch Der Spiegel auf seiner Webseite. Hiergegen wandte sich der Beschwerdeführer.
Der Europäische Datenschutzausschuss (EDSA) hat am 17.04.2024 eine Stellungnahme zu "Consent or Pay" auf großen Onlineplattformen wie Instagram und Facebook veröffentlicht. Unter „Consent or Pay“ sind Modelle zu verstehen, bei denen die für die Verarbeitung verantwortliche Stelle den betroffenen Personen die Wahl lässt zwischen mindestens zwei Optionen, um Zugang zu einem Online-Dienst zu erhalten. Die betroffene Person kann entweder in die Verarbeitung ihrer personenbezogenen Daten für einen bestimmten Zweck einwilligen. Alternativ kann sie entscheiden, eine Gebühr zu zahlen, um Zugang zu dem Online-Dienst zu erhalten, ohne dass ihre personenbezogenen Daten für diesen Zweck vearbeitet werden. Die Stellungnahme des EDSA bezieht sich dabei auf Modelle, bei denen die Einwilligung in die Verarbeitung personenbezogener Daten für Zwecke der verhaltensbezogenen Werbung erteilt wird.
Die Datenschutzorganisation Noyb - deren Vorstandsvorsitz bekleidet wird von Max Schrems - hat in der ersten Septemberhälfte gleich drei Beschwerden wegen rechtswidriger Datenweitergabe an Dritte eingereicht. Die Beschwerden richten sich gegen die App "Fnac" des größten Elektronikmarkts Frankreichs, die Immobilien-App "SeLoger" und die Fitness-App "MyFitnessPal". Nach dem Öffnen der Apps greifen die Betreiber unmittelbar die Daten der Nutzenden ab und übermitteln diese zu umfangreichen Analysezwecken an Dritte, ohne den Nutzenden zu ermöglichen die Datenweitergabe zu unterbinden. Die Übermittlung erfolge dabei standardmäßig.
Es ist so weit: Die Europäische Kommission hat soeben den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des „Privacy Shields“) angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Unternehmen in den USA dienen. Für Betroffene und Datenexporteure besteht damit jetzt erst einmal Rechtssicherheit. Die Europäische Kommission hat dem EU-U.S. Data Privacy Framework ein angemessenes Schutzniveau bestätigt. Mit dem neuen Angemessenheitsbeschluss können personenbezogene Daten aus der EU ab sofort an Unternehmen in die USA übermittelt werden, ohne dass weitere Vorkehrungen oder zusätzliche Maßnahmen erforderlich sind. Dies gilt jedoch nur, sofern das US-Unternehmen auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist.
Am 11.01.2023 wurde die Entscheidung der irischen Datenschutzaufsichtsbehörde (DPC) und des Europäischen Datenschutzausschusses (EDSA) zum 390 Millionen Euro Bußgeld gegen Meta veröffentlicht. Die Entscheidung geht auf eine von noyb (Europäisches Zentrum für digitale Rechte) eingereichte Beschwerde vom 25.05.2018 zurück. Meta versuchte die Vorschriften der DSGVO zu umgehen, indem der Tech-Gigant keine wirksame Einwilligung einholte, sondern die Regelungen zur Verarbeitung von personenbezogenen Daten zu Werbezwecken in den Allgemeinen Geschäftsbedingen (AGB) versteckte.
Bei der Datenübermittlung in Drittstaaten stellt die DSGVO hohe Anforderungen auf. Eine Möglichkeit stellt der Angemessenheitsbeschluss der EU-Kommission dar. In der Vergangenheit gab es für Datenübermittlungen in die USA die Angemessenheitsbeschlüsse „Safe Habour“ und das „EU-US-Privacy-Shield“. Beide brachte der österreichische Datenschützer Max Schrems vor dem EuGH zu Fall.
Nach langen Verhandlungen mit den USA hat die EU-Kommission jetzt einen Vorschlag für einen neuen Angemessenheitsbeschluss veröffentlicht.