Schrems und seine Kolleg*innen wollen nun darauf aufmerksam machen, dass nicht die Rechtslage das Problem ist, sondern die Art und Weise, wie Unternehmen diese umsetzen (Stichwort: Dark Patterns). „Noyb“ sucht daher automatisiert nach den üblichen Cookie-Banner-Tricks, z.B. das Fehlen einer „Nein“-Option auf der ersten Ebene des Banners; irreführende Farbgebungen oder wenn der Tracking-Widerruf schwieriger ist als die Einwilligung.
Über 500 Webseiten europaweit wurden nun schon aufgefordert, ihre Cookie-Banner innerhalb eines Monats anzupassen, u.a. DHL, Tchibo, Grohe, Hunkemöller und der Europa-Park Rust. Mit dem Beschwerdeschreiben erhalten die Website-Betreiber netterweise aber auch gleich (kostenlos) eine Klick-für-Klick-Anleitung für die gebräuchlichsten Lösungen für zulässige Cookie-Banner. Angemahnte Unternehmen sollen sich außerdem auf einer von Noyb betriebenen Plattform anmelden, um eine formelle Beschwerde bei den Datenschutzbehörden und daraus möglicherweise resultierende Bußgelder in Millionenhöhe abzuwenden. Insgesamt will Noyb 10.000 Websites anschreiben, die hohe Besucherzahlen haben und einfach zu scannen sind. Das Vorhaben ist nicht unumstritten, da in den Gesetzen zum Thema Cookies viele schwammige bzw. unbestimmte Rechtsbegriffe verwendet werden, die noch nicht abschließend geklärt sind.
Ähnliche user*innenfreundliche Absichten in Richtung einer „Corporate Digital Responsibility“ (CDR) hat das Bundesjustizministerium: Es warnte jüngst vor „zweifelhaften Unternehmenspraktiken“ bei der Digitalisierung und forderte die Unternehmen in Deutschland zu mehr Verantwortung im Umgang mit der Digitalisierung auf, um kein Vertrauen bei Kund*innen zu verspielen. In einer Umfrage fanden 27 Prozent der Befragten, dass Unternehmen kaum oder überhaupt nicht verantwortungsvoll mit der Digitalisierung umgehen. 56 Prozent sorgen sich davor, Opfer von Datendiebstahl zu werden – und immerhin 38 Prozent befürchten finanzielle Schäden und Verluste durch Betrug oder Fehler bei Zahlungsabwicklungen. Einer Mehrheit von 53 Prozent sind laut Umfrage hohe Datenschutz- und Sicherheitsstandards wichtig.
Derweil sind die Datenschutzaufsichtsbehörden noch mit den Folgen der vorhergehenden Schrems-Aktion beschäftigt: Im Juli 2020 hatte der EuGH das Abkommen „Privacy Shield“ gekippt, da Datenschutzniveau in den USA dem in der EU nicht gleichwertig sei: Die dortigen nachrichtendienstlichen Erhebungsbefugnisse stehen den Anforderungen der DSGVO diametral entgegen. Programme aus den USA komplett zu vermeiden ist nach wie vor mangels (guter) Alternativen sehr schwierig. Dem war sich auch der EuGH bewusst und ließ in seinem Urteil deshalb Standarddatenschutzklauseln (offiziell weiterhin „Standardvertragsklauseln“ genannt) als Ausweg zu. Wenn der Empfängerstaat für diese Daten jedoch kein gleichwertiges Schutzniveau bietet, können sie nur noch in Verbindung mit wirksamen zusätzlichen Maßnahmen eingesetzt werden. Nur in Drittländer, für die ein Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten existiert, können Daten dagegen ohne weitere Genehmigungen übermittelt werden, wenn die sonstigen Anforderungen der DSGVO eingehalten werden. (siehe dazu auch diesen Artikel zum Daten-Brexit.)
Anfang Juni hat die EU-Kommission nun neue sogenannte „Standardvertragsklauseln“ angenommen. In diesen Klauseln sind die Vorgaben aus der Schrems-II-Entscheidung und die Anforderungen der DSGVO aufgenommen. Damit gibt die EU-Kommission Unternehmen neue „benutzerfreundliche“ Instrumente für mehr Rechtssicherheit an die Hand. Denn mit einem neuen Abkommen sei weder kurz- noch mittelfristig zu rechnen, hieß es von der EU – deshalb sollten sich Unternehmen nun mit den Standardvertragsklauseln arrangieren.
Die Behörden wollen nun sensibilisieren und unzulässige Transfers unterbinden. Kürzlich wurde dazu eine Fragebogenaktion gestartet, um Unternehmen Lösungen aufzuzeigen und künftige Fehler zu verhindern. Anhand der Fragestellungen in den fünf Bögen können sich auch Unternehmen, die nicht im Rahmen der Kontrolle angeschrieben werden, ein Bild von den Problembereichen machen und eigene interne Überprüfungen anstoßen. Hilfreich sind auch die FAQ des European Data Protection Board und die Pressemitteilung der Deutschen Datenschutzkonferenz. Letztere hat sich kürzlich auch noch mit dem Dauerbrenner-Thema „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“ auseinandergesetzt.
Das Hamburger Landgericht beschäftigt sich derweil mit einer Klage des irischen Aktivisten Johnny Ryan gegen personalisierte Werbung – genauer gesagt um das Modell, Nutzerdaten von Websitebesuchen zu speichern, an externe Dienstleister weiterzugeben und dann auf Auktionsbörsen zu versteigern, sodass Unternehmen freie Werbeplätze bei genau spezifizierten Zielgruppen erbieten können.
Zuvor hatte der EuGH geurteilt, dass innerhalb der EU nicht nur das Land zuständig ist, in dem eine Firma ihren Europasitz hat. Gegen das bisherige sogenannte One-Stop-Shop-Verfahren gibt es seit Längerem Unmut, da insbesondere Irland im Verdacht steht, Verstöße eher langsam und wenn, dann nur mit Samthandschuhen zu ahnden, um die Unternehmen im Land zu halten. Im konkreten Fall wollte die belgische Datenschutzaufsicht gegen Facebooks Nutzung von Cookies, Pixel und Plugins vorgehen, mit deren Hilfe auch Nutzer überwacht wurden, die gar kein Facebook-Konto hatten. Der EuGH sollte nun klären, ob Belgien überhaupt zuständig war.
Der EuGH bestätigte nun, dass der Schutz der Grundrechte der EU-Bürger wichtiger sei als nationale Zuständigkeiten. Wenn eine federführende Behörde diesen Schutz nicht sicherstelle, hätten andere nationale Behörden das Recht, dies selbst zu tun. Denn sonst könnten sich Unternehmen dort niederlassen, wo sie am wenigsten zu befürchten hätten. Allerdings gelten für diese Fälle klare Regeln: So müssen nationale Behörden ein Dringlichkeitsverfahren einleiten, dessen Ergebnis nur für drei Monate gilt. Danach muss der Europäische Datenschutzausschuss ein verbindliches Urteil fällen.
Abschließend wieder einmal ein paar Kurzmeldungen:
- Die bayrische Polizei will sich ein neues Analyse- und Recherchesystem namens „VeRA“ zulegen, um schneller und handlungsfähiger zu sein. Das Projekt droht allerdings zum Datenschutz-Albtraum zu werden, da Daten wohl auch hier recht einfach in die Hände der USA gelangen könnten. Das System könnte nach einer Pilotphase in Bayern wohl dennoch bundesweit Anwendung finden.
- Einen Datenschutz-Albtraum kann man auch das Gesetz zur Verbesserung des Ausländerzentralregisters nennen. Dort sollen künftig zentral wirklich so gut wie alle, auch sehr intime Daten für Dutzende Behörden einsehbar sein. Dabei gilt es hierzulande eigentlich als Tabu, persönliche Daten zu sammeln und sie dann in einer zentralen Datei zusammenführen, man erinnere sich an die Diskussionen über zentrale Datenerfassungen im Kontext des Infektionsschutzes gezeigt. Anders verhält es sich aber offenbar, wenn es um Menschen ohne deutschen Pass, insbesondere Geflüchtete, geht.
- Ein weiteres neues Gesetz wurde als § 79a in das Betriebsverfassungsgesetz eingefügt und nennt sich „Betriebsrätemodernisierungsgesetz“. Dort geht es um die datenschutzrechtliche Verantwortung für die Verarbeitung personenbezogener Daten durch den Betriebsrat, welche bisher noch nicht final von der DSGVO geklärt wurde.
- Das Bundesamt für Justiz geht gegen Telegram vor. Zum ersten Mal könnte das Netzwerkdurchsetzungsgesetz für einen Messengerdienst Konsequenzen haben. Gründe für die Bußgeldverfahren seien, dass ein im NetzwerkDG vorgeschriebener, leicht erkennbaren und unmittelbar erreichbarer Meldeweg für strafbare Inhalte fehlt sowie kein Zustellungsbevollmächtigter für Ersuche von Gerichten in Deutschland genannt wird. Die Anhörungsschreiben wurden deshalb an den Unternehmenssitz in den Vereinigten Arabischen Emiraten gesandt. Hintergrund ist, dass öffentliche Telegram-Kanäle „klassischen“ Social Media gleichzustellen seien, argumentiert das Justizministerium. Und da Telegram so gut wie nie selbst bei fragwürdigen Inhalten eingreift, sollen nun die Behörden ran.
- Der Bundestag hat den Staatstrojaner für alle genehmigt: Die Bundespolizei sowie alle 19 Nachrichtendienste in Deutschland dürfen künftig Computer und Smartphones von Verdächtigen hacken und deren Kommunikation – sogar präventiv – mitlesen. Die Opposition stimmte geschlossen gegen das Vorhaben, mit dem der Gesetzgeber Juristen zufolge „sehenden Auges in die Verfassungswidrigkeit“ läuft.
- Amazon will in den USA einen kleinen Teil der WLAN-Bandbreite von ganz normalen Haushalten vom heimischen Router abzwacken und kostenlos Nachbarn und der Umgebung zur Verfügung stellen. So uneigennützig ist das Ganze aber natürlich nicht: Das Projekt „Sidewalk“ soll sicherstellen, dass die smarten Geräte des Konzerns sowie jene ausgewählter Partner online bleiben, falls kein WLAN in der Nähe ist. Amazon hat die Funktion einfach standardmäßig aus der Ferne via Update aktiviert, ohne die Besitzer zu fragen. Sie erhielten nur eine E-Mail, in der stand, wie sie Sidewalk nachträglich abschalten können…
So viel dazu. Ich wünsche Ihnen einen schönen Sommer!
Foto: © Adobe Stock | Frank Täubel