Privacy Monthly: Oktober 2023

Image of Carlo Cilento

Veröffentlicht am 6. Okt. 2023 und bearbeitet am 18. Okt. 2023 von Carlo Cilento

  1. Französischer Abgeordneter ficht EU-US-Datenübertragungsrahmen an
  2. Google zahlt 93 Millionen Dollar wegen Standortdaten-Vergleich
  3. TikTok muss 345 Millionen Euro Strafe für den falschen Umgang mit Kinderdaten zahlen
  4. Britische Auslandsüberwachung verstößt gegen die EMRK
  5. Google und X müssen sich mit niederländischen Sammelklagen auseinandersetzen
  6. Google Privacy Sandbox jetzt weithin verfügbar
  7. EDPB befasst sich mit Fall Meta-Werbung
  8. Verbot von Überwachungswerbung im US-Kongress vorgeschlagen
  9. Europäischer Data Governance Act jetzt anwendbar
  10. UK Online Safety Bill soll Gesetz werden
  11. PCLOB nimmt Stellung zu FISA
  12. Finnische Datenschutzbehörde gibt grünes Licht für Datenübertragungen an ein russisches Unternehmen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Französischer Abgeordneter ficht EU-US-Datenübertragungsrahmen an

Am 6. September reichte der französische Abgeordnete und CNIL-Mitglied Philippe Latombe einen Antrag auf Nichtigerklärung des EU-US-Datenschutzrahmens vor dem EU-Gerichtshof ein, wie Politico zuerst berichtete.

In Anbetracht der problematischen Rechtsgeschichte des Datentransfers zwischen der EU und den USA war eine Klage gegen den neuen transatlantischen Datenschutzrahmen weitgehend erwartet worden. Es ist jedoch unklar, ob der Gerichtshof die Begründetheit der Klage prüfen wird, da die verfahrensrechtlichen Anforderungen für eine Direktklage recht streng sind.

Wir haben diese Nachricht in unserem Blog ausführlicher diskutiert.

Google zahlt 93 Millionen Dollar wegen Standortdaten-Vergleich

Google hat sich mit dem kalifornischen Justizministerium auf einen Vergleich in Höhe von ** 93 Millionen Dollar** geeinigt, weil es angeblich illegal Standortdaten von Nutzern gesammelt hat. Das Unternehmen wurde außerdem aufgefordert, mehr Transparenz im Umgang mit Standortdaten zu zeigen.

Google soll ohne Zustimmung der Nutzer Standortdaten für die Profilerstellung und für Werbezwecke verfolgt und gespeichert haben. Laut Generalanwalt Rob Bonta ignorierte das Unternehmen auch die Präferenzen von Nutzern, die die Einstellung "Standortverlauf" auf ihren Geräten deaktiviert und sich gegen gezielte Werbung auf der Grundlage des Standorts entschieden hatten.

TikTok muss 345 Millionen Euro Strafe für den falschen Umgang mit Kinderdaten zahlen

Am 1. September verhängte die irische Datenschutzbehörde eine Geldstrafe in Höhe von 345 Millionen Euro gegen TikTok wegen des Umgangs mit den Daten minderjähriger Nutzer. Wie so oft, wenn die Datenschutzbehörde mit Big Tech zu tun hat, wurde der Europäische Datenschutzausschuss direkt eingeschaltet.

Nach Ansicht der Datenschutzbehörde hat TikTok es versäumt, die Auswirkungen seiner Standardeinstellungen für Kinderkonten auf die Privatsphäre zu berücksichtigen. Darüber hinaus schuf die Funktion zur Familienzusammenführung der Plattform ernsthafte Risiken für minderjährige Nutzer, da sie ohne Verifizierungsverfahren eingeführt wurde.

Britische Auslandsüberwachung verstößt gegen die EMRK

Am 12. September hat der Europäische Gerichtshof für Menschenrechte (EGMR) das Vereinigte Königreich verurteilt, weil es ausländische Staatsangehörige ohne die Möglichkeit eines Rechtsbehelfs überwacht.

Im vorliegenden Fall hatte das Vereinigte Königreich zwei ausländische Journalisten mit digitaler Überwachung ins Visier genommen. Die beiden brachten den Fall vor das Investigatory Powers Tribunal des Vereinigten Königreichs, wurden aber nicht angehört, weil sie nicht im Vereinigten Königreich wohnhaft waren. In seinem Urteil stellte der EGMR fest, dass das Vereinigte Königreich gegen die Europäische Menschenrechtskonvention verstoßen hat, indem es den Journalisten ein Verfahren verweigerte.

Das Fehlen eines wirksamen Rechtsbehelfs ist ein problematischer Aspekt der Übermittlung personenbezogener Daten zwischen der EU und den USA und einer der Hauptgründe, warum der Europäische Gerichtshof in der Vergangenheit zwei Datenübermittlungsvereinbarungen mit den USA für ungültig erklärt hat. Könnte dieser Mangel an Rechtsmitteln auch ein Problem bei Datenübermittlungen zwischen der EU und dem Vereinigten Königreich werden?

Google und X müssen sich mit niederländischen Sammelklagen auseinandersetzen

Google sieht sich in den Niederlanden mit einer Sammelklage wegen angeblicher Verstöße gegen den Datenschutz konfrontiert. Die Klage wurde vom niederländischen Verbraucherverband Consumentenbond und der Datenschutzorganisation Privacy Protection Foundation eingereicht.

Wie es in einer gemeinsamen Pressemitteilung heißt, umfassen die Vorwürfe die illegale Übermittlung personenbezogener Daten in Länder außerhalb der EU, die illegale Sammlung von Standortdaten und die absichtliche Verwendung dunkler Muster, um die Nutzer zu manipulieren, damit sie in stark eingreifende Datenerfassungspraktiken einwilligen.

X Corp (früher bekannt als Twitter) sieht sich ebenfalls mit einer Sammelklage wegen illegaler Datenerfassung konfrontiert, die von der niederländischen Non-Profit-Organisation SDBN geführt wird.

Laut SDBN haben die Twittter-App (jetzt X) und die mobile App-Plattform MoPub (derzeit im Besitz eines anderen Unternehmens) personenbezogene Daten gesammelt , ohne eine informierte Zustimmung einzuholen. Es ist erwähnenswert, dass MoPub-Tracker in eine enorme Anzahl kostenloser Apps eingebettet sind, darunter weit verbreitete Dienste wie Shazam, Duolingo und Grindr.

Google Privacy Sandbox jetzt weithin verfügbar

Im September wurde die API für Googles Privacy Sandbox für Entwickler allgemein verfügbar gemacht. Die Freigabe der API ist ein wichtiger Schritt in der angekündigten Strategie von Google, Cookies von Drittanbietern aus der eigenen Umgebung zu verbannen.

Die Google Privacy Sandbox verwendet Browsing-Informationen, um Nutzer nach Standort, demografischen Merkmalen und Interessen in Gruppen einzuteilen. Der Kerngedanke hinter der Sandbox ist, dass die gemeinsame Nutzung von Daten über diese Gruppen - und nichts anderes - eine effektive zielgerichtete Werbung mit geringeren Auswirkungen auf die Privatsphäre der Nutzer im Vergleich zu traditionellen, Cookie-basierten Tracking-Strategien ermöglicht.

Die Privacy Sandbox ist ein datenschutzfreundliches System, das auf ein gewisses Maß an Kritik gestoßen ist - mal sehen, ob die Sandbox tatsächlich hält, was sie verspricht, oder sich als bloßer Anstrich für Googles hochgradig invasives Geschäftsmodell erweist.

EDPB befasst sich mit Fall Meta-Werbung

Am 28. September ersuchte die norwegische Datenschutzbehörde den Europäischen Datenschutzausschuss um eine verbindliche Entscheidung über zielgerichtete Werbung auf Facebook und Instagram. Die Behörde ersucht um eine Bestätigung des vor Monaten im Rahmen eines Dringlichkeitsverfahrens verhängten vorübergehenden Verbots der personalisierten Werbung von Meta. Kurz vor dem Verbot hatte der EU-Gerichtshof das Werbemodell von Meta für rechtswidrig erklärt.

Im Kern geht es in dem Fall um die fehlende Zustimmung der Nutzer zur Profilerstellung und zur gezielten Werbung. Es lohnt sich, den Fall genau zu beobachten, denn er könnte zu Verboten in anderen europäischen Ländern führen und sich allgemein auf das Geschäftsmodell "Pay-with-your-data" auswirken, das viele Online-Plattformen antreibt.

Weitere Informationen finden Sie in unserem Blog über das Urteil des Bundeskartellamts des Europäischen Gerichtshofs.

Verbot von Überwachungswerbung im US-Kongress vorgeschlagen

Demokratische Abgeordnete haben am 18. September den Banning Surveillance Advertising Act in den US-Kongress eingebracht.

Der Gesetzentwurf zielt darauf ab, Werbung zu verbieten, die auf Informationen basiert, die von Datenmaklern gekauft wurden, sowie auf geschützten Informationen wie Rasse und Religion. Nach den Worten der Abgeordneten Anna Eshoo ist überwachungsbasierte Werbung "ein toxisches Geschäftsmodell, das Verbrauchern, Unternehmen und der amerikanischen Demokratie irreparablen Schaden zufügt".

Die Situation des Datenschutzes in den USA ist alles andere als rosig. Der Kongress hat versucht, eine bundesweite Datenschutzverordnung (ADPPA) auf den Weg zu bringen, doch die Verhandlungen über den Vorschlag sind ins Stocken geraten. Der Banning Surveillance Advertising Act könnte eine entscheidende Rolle beim Schutz der Datenschutzrechte spielen, bis der ADPPA (hoffentlich) kommt.

Europäischer Data Governance Act jetzt anwendbar

Der Data Governance Act (DGA) der EU trat im September nach einer 15-monatigen Schonfrist in Kraft.

Das Gesetz zielt darauf ab, den EU-Datenraum zu fördern, indem es Unternehmen und öffentlichen Organisationen erlaubt, sowohl personenbezogene als auch nicht-personenbezogene Daten an vertrauenswürdige Vermittler weiterzugeben, die die Daten dann unter bestimmten Bedingungen anderen Stellen zur Verfügung stellen. Zum Beispiel könnten Hersteller ihre Daten anvertrauen.

Die DGA schafft jedoch keine Verpflichtung zur Datenweitergabe für Organisationen. Aller Voraussicht nach wird der Erfolg des digitalen Datenraums davon abhängen, ob es der Kommission gelingt, große Unternehmen davon zu überzeugen, ihre Daten weiterzugeben.

UK Online Safety Bill soll Gesetz werden

Das umstrittene Gesetz zur Online-Sicherheit im Vereinigten Königreich wurde am 19. September vom Parlament verabschiedet und wird in Kürze in Kraft treten. Der Gesetzentwurf enthält Verpflichtungen zur Moderation von Inhalten auf Online-Plattformen und Maßnahmen gegen die Verbreitung von Kinderpornografie (so genanntes Child Sex Abuse Material oder CSAM) über persönliche Nachrichtenplattformen.

Die Kontroverse um den Gesetzesentwurf dreht sich um die Verpflichtung von Personal-Messaging-Plattformen, illegale Inhalte, einschließlich CSAM, zu identifizieren und zu entfernen. Diese Verpflichtung könnte die Unternehmen dazu zwingen, die Ende-zu-Ende-Verschlüsselung zu brechen, indem sie für ihre Dienste eine clientseitige Überprüfung einführen, was Datenschutz- und Sicherheitsbedenken aufwirft. Datenschützer und mehrere Messaging-Plattformen haben sich gegen den Gesetzentwurf ausgesprochen. Whatsapp und Signal kündigten sogar an, den britischen Markt zu verlassen, falls das Gesetz verabschiedet wird.

PCLOB nimmt Stellung zu FISA

Das U.S.Privacy and Civil Liberties Oversight Board ( PCLOB) hat die von der NSA im Rahmen von FISA Section 702 - einem der Gesetze, die die Überwachung ausländischer Bürger zulassen - durchgeführten Auslandsüberwachungsmaßnahmen überprüft. Der Bericht des Gremiums hebt hervor, dass bestimmte Formen der Datenerfassung - insbesondere "US-Personenabfragen" und "Stapelabfragen" - potenziell sehr einschneidend sind und eingeschränkt werden könnten, ohne die Wirksamkeit der Auslandsüberwachung ernsthaft zu beeinträchtigen.

Der Kongress wirdin Kürze eine neue Genehmigung für das FISA-Gesetz er teilen, und der Bericht des Ausschusses könnte sich auf den Verhandlungsprozess auswirken. Es lohnt sich, die Situation im Auge zu behalten, da die im Rahmen von FISA durchgeführten Operationen im Mittelpunkt jahrzehntealter rechtlicher Probleme mit Datenübertragungen zwischen der EU und den USA stehen.

Finnische Datenschutzbehörde gibt grünes Licht für Datenübertragungen an ein russisches Unternehmen

Am 27. September hob die finnische Datenschutzbehörde ein im August erlassenes vorübergehendes Verbot der Datenübermittlung für Yango, eine russische App-Hailing-App, auf.

Die ursprüngliche Entscheidung bezog sich auf ein neues russisches Gesetz, das es Überwachungsbehörden erlaubt, personenbezogene Daten von bestimmten Unternehmen anzufordern. Nach weiterer Prüfung stellte die finnische Behörde fest, dass das russische Gesetz nicht für Ride-Hailing-Dienste gilt.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten