23.10.2023
Das weitverbreitete Betriebssystem Windows sendet in den Grundeinstellungen diverse Daten über die Benutzer und die genutzten Geräte an den Hersteller Microsoft.
Bei der Übermittlung von Telemetriedaten handelt es sich um eine eigene Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage erforderlich ist und bei der die Grundsätze des Datenschutzes („privacy-by-design“, „privacy-by-default“, Informationspflichten etc.) einzuhalten sind. Das Abstellen der Übermittlung und der damit einhergehenden Vereinfachungen hinsichtlich des Datenschutzes kann daher von großem Interesse sein. Zumal die Erfüllung der Rechenschaftspflicht recht anspruchsvoll werden kann.
Um die Übermittlung von Telemetriedaten durch geeignete Einstellungen größtmöglich zu unterbinden, hat der Bayerische Landesbeauftragte für den Datenschutz eine mit Screenshots angereicherte Handreichung herausgegeben:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf
Wir empfehlen, möglichst weitgehende Einschränkungen bezüglich der Telemetriedaten umzusetzen und die Handreichung als sinnvolle Hilfe zu nutzen.
21.08.2023
Wie wird meine Website genutzt? Werden bestimmte Inhalte überhaupt vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf meiner Website? Für die Beantwortung dieser und anderer Fragen können Websitebetreiber verschiedene Tools, darunter auch Google Analytics, einsetzen. Der Betreiber kann mit Hilfe des Google Analyse-Tools vorab die gewünschten Einstellungen zur Erhebung der Daten konfigurieren. Anschließend kann er die Nutzerdaten nach bestimmten Parametern auswerten.
Seit dem 01.07.2023 löst „Google Analytics 4“ (GA4) das alte Webanalyse-Tool „Universal Analytics“ (GA3) ab. Am 01.01.2024 läuft die Übergangsfrist aus, in der Sie weiterhin auf alte Daten zugreifen können.
Mit dem Nachfolger GA4 stellt Google wesentliche Verbesserungen im Bereich des Datenschutzes in Aussicht:
- Anonymisierung: Die IP-Adressen der Website-Nutzer werden nur noch für die Geo-Lokalisierung genutzt und anschließend anonymisiert.
- Google Signal: Die Zuordnung der erhobenen Daten zu einem Google-Konto kann unterbunden werden indem Google Signals deaktiviert wird.
- Datenverarbeitung: Die Daten von Betroffenen mit Endgeräten in der EU werden fortan auf innereuropäischen Servern verarbeitet und gespeichert.
- Geo- und Gerätedaten: GA4 ermöglicht es vorab die Einstellungen bezüglich der Genauigkeit von Geo- und Gerätedaten zu konfigurieren.
Diese Verbesserungen reichen allerdings nicht aus, um DSGVO-konform zu sein. Eine Anonymisierung der Daten, wie es Google Analytics 4 vorsieht, ist nach der Lokalisierung zu spät. Und auch obwohl die Daten nun auf Servern in Europa verarbeitet werden, verhindert dies den Zugriff der US-Behörden nicht gänzlich.
Desweiteren sind datenschutzkonforme Einwilligungen von Nutzern einzuholen, da Google Analytics standardmmäßig Cookies für das Tracking nutzt sowie KI einsetzt um nutzertypisches Verhalten zu erkennen und zusammenzuführen. Daneben sind weitere Maßnahmen durchzuführen damit Ihr Unternehmen Google Analtyics 4 datenschutzkonform nutzen kann.
ds² hilft Ihnen bei diesem Thema gerne weiter!
2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
Untersagung von Google Analytics in Schweden
14.08.2023
Die schwedische Aufsichtsbehörde IMY weist schwedische Unternehmen an, Google Analytics nicht mehr zu verwenden.
Das Audit der schwedischen Behörde betraf eine Version von Google Analytics, die am 14.08.2020 in Betrieb genommen wurde.
Die Prüfungen beruhen auf Beschwerden der Organisation None of Your Business (NOYB) im Lichte des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH). In den Beschwerden wird den Unternehmen vorgeworfen, personenbezogene Daten gesetzeswidrig in die Vereinigten Staaten übermittelt zu haben.
Bei der Überprüfung kam die Behörde zu dem Schluss, dass die von den Unternehmen getroffenen technischen Sicherheitsmaßnahmen nicht ausreichen, um ein Schutzniveau zu gewährleisten, das im Wesentlichen dem in der EU/im EWR garantierten Niveau entspricht, welche für eine Übermittlung in die USA jedoch zwingend - neben dem Vorliegen der Standardvertragsklauseln - notwendig wären.
Eines der Unternehmen, Tele2, hat vor kurzem von sich aus die Verwendung des Statistik-Tools eingestellt. IMY fordert die anderen drei Unternehmen auf, die Verwendung des Tools einzustellen. Darüber hinaus verhängte IMY am 30.06.2023 Bußgelder- für Tele 2 in Höhe von 12 Millionen SEK (ca. 1 Million EUR) und CDON in Höhe von 300.000 SEK (ca. 25.000 EUR), die nicht die gleichen umfangreichen zusätzlichen technischen Schutzmaßnahmen ergriffen haben wie die anderen beiden untersuchten Unternehmen.
40 Millionen EUR - Verstoß u.a. gegen Auskunftspflicht
Criteo ist ein Unternehmen, dass sich auf die Anzeige personalisierter Werbung spezialisiert hat. Dazu verfolgt es die Navigation von Internetnutzern und analysiert deren Surfgewohnheiten mithilfe eines Trackers (Cookie), sobald ein Nutzer die Website eines Criteo-Partners besucht.
Es wurden verschiedene Datenschutzverstöße festgestellt:
- Criteo konnte nicht nachweisen, dass die Betroffenen in die Verarbeitung eingewiligt hatten.Criteo stoppte zwar die Anzeige personalisierter Werbung nach einem Widerruf der Einwilligung, löschte aber nicht die personenbezogene Daten der Betroffenen.
- Criteos Datenschutzrichtlinie enthielt nicht alle mit der Verarbeitung verfolgten Zwecke und war zu vage und weit formuliert.
- Criteo kam seiner Auskunftspflicht nicht vollumfänglich nach und hat betroffenen Personen diverse Informationen vorenthalten.
- In den Verträgen zur gemeinsamen Verantwortlichkeit zwischen Criteo und seinen Partner wurde u.a. nicht festgelegt, wer für die Wahrnehmung der Rechte der bertroffenen Person und die Pflicht zur Meldung von Datenschutzverstößen verantwortlich ist.
Die Anzahl der betroffenen Personen war zudem sehr umfangreich. Das Unternehmen verfügt über Daten von rund 370 Millionen Identifikatoren in der gesamten Eruopäischen Union. Dies war ein weiterer ausschlaggebender Grund für die Höhe des Bußgeldes i.H.v. 40 Millionen EUR.
1,2 Milliarden EUR - Verstoß bei der Drittlandsübermittlung
Nach 10 Jahren Rechtsstreit wurde am 12.05.2023 die irische Datenschutzbehörde vom EDSA dazu verpflichtet ein Bußgeld in Höhe von 1,2 Milliarden EUR gegen Meta Platforms Ireland Limited zu verhängen. Begründet wird dies durch den Verstoß gegen Art. 46 Abs. 1 DSGVO:
Im Rahmen der Bereitstellung des sozialen Netzwerks Facebook übermittelt Meta Ireland personenbezogenen Daten aus der EU/dem EWR an die USA, ohne dass dabei geeignete Garantien gem. Art. 46 DSGVO einen ausreichenden Schutz gegen die mit der Übermittlung verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleisten. Da das Unternehmen Meta Ireland den US-Überwachungsgesetzen unterliegt, sind die Daten der EU/EWR-Bürger nicht vor den amerikanischen Geheimdiensten geschützt. Zudem mangelte es an wirksamen Rechtsbehelfen gegenüber den US-amerikanischen Behörden. Meta Ireland hat bis November 2023 Zeit, um die Verarbeitung von personenbezogenen Daten von EU/EWR-Nutzern in Einklang mit Kapitel 5 der DSGVO zu bringen sowie die unrechtmäßige Verarbeitung, die Übermittlung von Daten in die USA, einzustellen.
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
05.06.2023
Im Urteil C-300/21 wurden dem EuGH die Fragen vorgelegt, ob ein
bloßer Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen und ob ein dadurch entstandener immaterieller Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren sollte geklärt werden, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
Der EuGH urteilte, dass für einen Schadenersatzanspruch drei kumulative Voraussetzungen vorliegen müssen:
05.06.2023
Gemäß Art. 15 DSGVO hat die betroffene Person das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffenden personenbezogenen Daten verarbeitet werden. Darüber hinaus hat die betroffene Person gem. Art. 15 Abs 3. DSGVO das Recht, eine kostenlose Kopie der sie betreffenden personenbezogenen Daten zu verlangen.
Im nun veröffentlichten Urteil des EuGH (Rechtssache C-487/21) hatte dieser geklärt, dass das Recht, eine „Kopie“ zu erhalten, bedeutet, dass der betroffenen Person eine originaltreue und verständliche Reproduktion aller über sie gespeicherten personenbezogenen Daten übermittelt werden muss.
Dies impliziert Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten. Es kann aber auch ein Auszug aus Datenbanken verlangt werden, wenn dies unerlässlich ist, um das Auskunftsrecht geltend zu machen.
Eine rein allgemeine Beschreibung der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten entspricht nicht der Definition von „Kopie“.
Die betroffene Person muss aus dem Auskunftsrecht überprüfen können, ob die sie betreffenden personenbezogenen Daten nicht nur richtig sind, sondern auch rechtmäßig verarbeitet wurden.
Datenschutz hat es zu keiner Zeit leicht gehabt. Den Befürwortern ging es nie weit genug, die Gegner fühlten sich in ihrer Arbeit stets eingeschränkt. Statt für Akzeptanz zu werben, wurde mit Strafen gedroht. Ein wahrhaft schlechter Start. Wir von ds² werden weiter daran arbeiten, das Positive und die Vorteile des Datenschutzes aufzuzeigen.
Das ist es nur auf den ersten Blick. Die Vorschriften des Datenschutzrechts greifen in vielfacher Hinsicht verzahnt ineinander. So kann die Rechtmäßigkeit von Verarbeitungen immer nur ganzheitlich betrachtet erreicht werden. Wie bei vielen anderen Rechtsgebieten auch ist aber noch nicht jede strittige Frage durch die Rechtsprechung beantwortet, geschweige denn durch Kommentare ausdiskutiert. Zudem wurden die Regelungen aller EU-Mitgliedsstaaten zusammengefasst, da ist es zu erwarten, dass sich dies in der Praxis erst etablieren muss.
Dafür gibt es viele Gründe. Oft mangelt es an Priorität bei der Geschäftsleitung, nicht selten fehlt Know-how, um die hohe Komplexität der Einführung eines Managementsystems zu Ende zu begleiten. In vielen Fällen treffen die Projektverantwortlichen auch auf große Widerstände. Wir gehen aktuell davon aus, dass rund die Hälfte aller Unternehmen die Einführungsphase – die normalerweise rund sechs Monate dauert – auch nach Jahren noch nicht abgeschlossen haben.
Zum einen, dass es alle relevanten Fälle und geforderten Prozesse klar definiert; zum anderen, dass es für die, die damit arbeiten sollen, verständlich formuliert ist und nachvollziehbar macht, welche Verbesserung die Nutzung mit sich bringt. Dass es rechtskonform ist, ist eine Selbstverständlichkeit.
Nach unserer Erfahrung ist zuerst mangelnde Akzeptanz bei der Unternehmensführung zu nennen. Platz zwei belegt mangelndes Wissen bei den intern Verantwortlichen und oft auch das fehlende Verständnis für die Unternehmensprozesse bei den Beratern. Platz drei der Negativ-Hitliste teilen sich das Fehlen eines verbindlichen Zeitplans und heftige Gegenwehr diverser Beteiligter im Unternehmen – aufgrund eines fehlenden Commitments der Geschäftsführung.