Datenschutz-News im Februar: Venen-Scanner im österreichischen Parlament +++ Cookie-Banner auf dem Prüfstand +++ Personalisierte Werbung adé?

Zum Jahresende blickt man zurück, am Jahresanfang blickt man voraus: Netzpolitik.org hat den Überblick, was 2023 in Deutschland und auf EU-Ebene netzpolitisch wichtig wird. Darunter unter anderem der AI Act zu Künstlicher Intelligenz – diesem werde ich mich im nächsten Blogartikel ausführlicher widmen. Diesmal gibt es wieder einige Kurzmeldungen.

Schweden, das derzeit den EU-Ratsvorsitz innehat, stellt die sichere Ende-zu-Ende-Verschlüsselung von privaten Chats in der EU in Frage – wie immer unter dem Deckmantel der Kriminalitätsprävention. Vor dem EuGH wird seit kurzem die Zukunft der Schufa verhandelt: inwiefern deren Scoring DSGVO-konform ist und wie lange sensible Daten gespeichert werden dürfen.

Die EU tüftelt derweil an „eIDAS“, einer (natürlich nicht unumstrittenen) lebenslangen Kennziffer für alle EU-Bürger. Die schon lange theoretisch mögliche digitale Ausweisfunktion in Deutschland wird nach wie vor kaum genutzt und es sieht auch nicht so aus, als würde sich das bald ändern. In Österreich ist derweil der digitale Führerschein an den Start gegangen. Wer ihn in der App „eAusweise“ hinterlegt, kann die Plastikkarte zuhause lassen. Nach und nach sollen dort weitere Identitätskarten folgen.

Ebenfalls in Österreich wurde nach mehreren Jahren Generalsanierung das Parlament in Wien wiedereröffnet. Dabei wurde auch die Einlasskontrolle weiterentwickelt und anstatt mit dem klassischen Dienstausweis kann man jetzt auch sein Gesicht oder seine Venen (!) scannen lassen. Für den biometrischen Einlass gibt es sogar eine extra Fast Lane am Haupteingang – und an den Seiteneingängen soll gar kein Personal mehr sitzen für die klassische Kontrolle; stattdessen ist dort nur noch die biometrische Kontrolle vorgesehen. Wer die Biometrie seiner Venen nicht dauerhaft speichern lassen möchte, kann daher nur den Haupteingang nutzen. Hauptargument für die Einführung ist die schnellere (und weniger Mitarbeiter erfordernde) Abwicklung der Zugangskontrollen. Das Parlament beteuert, dass die Daten ausschließlich lokal gespeichert würden und Angreifende zum gesicherten Rechenzentrum vordringen und dort den verschlüsselten Rechner knacken müssten, um Schaden anzurichten.

In Deutschland hat das Bundesjustizministerium die Handelsregister-Verordnung angepasst, sodass im zugehörigen Online-Portal nur noch Dokumente aufgenommen werden, wenn dies gesetzlich vorgeschrieben ist. So sollen z.B. keine Ausweiskopien oder Einzahlungsbelege mehr hochgeladen werden. Bisher waren sensiblen personenbezogene Daten teilweise frei abrufbar.

Das LG München I, das auch die Google-Fonts-Abmahnwelle verursacht hat, hat ein Urteil zum Cookie-Banner von „focus.de“ gefällt, gegen das zwar ein Rechtsmittel eingelegt wurde; aber die Ausführungen sind natürlich dennoch von Belang. Das verwendete Dark Pattern war das Modell „Alle Cookies akzeptieren“, farblich ansprechend gestaltet vs. „Einstellungen“, dezent gehalten. Zum Ablehnen war also nochmal ein zweiter Klick bei den Einstellungen erforderlich. Das Gericht kommt zu dem (durchaus streitbaren) Schluss, dass der Umstand, dass ein Besucher die Webseite nicht ohne weitere Interaktion mit der CMP nutzen kann, gegen eine freiwillige Entscheidung für oder gegen Cookies spricht. Auf eine rechtliche Grundlage, die besagt, dass Akzeptieren und Ablehnen gleich einfach sein müssen, verweist das Gericht jedoch nicht.

Im fraglichen Cookie-Banner wurden auch „für die domainübergreifende Aufzeichnung und Auswertung des Nutzerverhaltens zu Analyse- und Marketingzwecken Informationen auf dem Endgerät des Nutzers“ gespeichert und auf diese zugegriffen. Für diese Form des Trackings kann aber keine wirksame Einwilligung eingeholt werden, so das Gericht. Es bejaht, dass der Transparency & Consent-String („TC-String“) Informationen enthält, durch den User direkt identifiziert werden können, da dieser im Endgerät der Betroffenen gespeichert und von dort auch wieder abgerufen wird, um auf dessen Basis Werbung auszuspielen. Ich bin gespannt auf die Interpretation der nächsten Instanz. Auch eine Task-Force des Europäischen Datenschutzausschusses hat sich mit dem Thema befasst, kam aber zu keiner wirklichen Einigung.

Die deutsche Datenschutzkonferenz hat sich derweil gegen die Nutzung von Microsoft365, also die Cloud-Version von Microsoft Office, ausgesprochen, da die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt würde. Microsoft reagierte umgehend mit einer Art „Gegendarstellung“. Auch hier wird es wohl auf eine Gerichtsentscheidung hinauslaufen (müssen). Aber bis ein Gericht tief in die Materie eingedrungen ist, gilt vielleicht das Datenschutzniveau in den USA dank neuem Trans-Atlantic Data Privacy Frameworks (TADPF) wieder als angemessen und der Streit erübrigt sich. Man wird ja wohl noch träumen dürfen…

Das Bundeskartellamt hat im Dezember Alphabet/Google abgemahnt, da es nicht ausreichend Wahlmöglichkeiten gäbe, wie die Daten von Nutzern verarbeitet werden. Die aktuellen Konditionen sehen vor, dass Google Daten aus verschiedensten seiner Dienste sammeln und so detaillierte Nutzerprofile anlegen kann. In Zukunft soll Google die Wahl ermöglichen, dass Daten nur für den jeweils genutzten Dienst verarbeitet werden. Es soll dabei nicht schwieriger sein, die dienstübergreifende Datenverarbeitung abzulehnen, als ihr zuzustimmen. Auch müssten Nutzer entscheiden können, zu welchen Zwecken ihre Daten genutzt werden dürfen. Die Abmahnung ist nur ein Zwischenschritt, das Verfahren läuft noch weiter. Wenn Google nicht nachbessert, kann das Bundeskartellamt das unzulässige Verhalten des Konzerns verpflichtend verbieten.

Im Jahr 2022 wurden EU-weit übrigens Datenschutz-Bußgelder in Höhe von 1,64 Milliarden Euro verhängt, unter anderem muss auch Apple acht Millionen Euro (in Frankreich) zahlen, weil es das Verhalten von iPhone-Nutzern im App-Store ohne deren Einwilligung getrackt hat.

Erneut ein Erfolg für Max Schrems und Team: In Irland muss Meta – nach Druck seitens der EU – 210 Millionen Euro Bußgeld für Facebook und 180 Millionen Euro Bußgeld für Instagram zahlen; eine Entscheidung zu WhatsApp soll noch folgen. Meta hatte kurz vor Inkrafttreten der DSGVO im Mai 2018 aufgehört, eine Einwilligung für die Verwertung von personenbezogenen Daten für Werbezwecke einzuholen und stattdessen personalisierte Werbung in seinem AGB zu einem festen Teil der gegenseitigen Leistungspflichten erklärt. Um personenbezogene Daten zu Werbezwecken einsetzen zu dürfen, ist jedoch eine informierte Einwilligung notwendig – eine in den AGB integrierte Vertragsklausel sei kategorisch ungeeignet, so der Europäische Datenschutzausschuss. In der Folge muss Meta Nutzer nun ausdrücklich und nachvollziehbar um Erlaubnis bitten, Nutzerdaten zu Werbezwecken benutzen zu dürfen. Außerdem darf das Unternehmen personalisierte Werbung nicht mehr als integralen Bestandteil seines Angebots darstellen. Facebook hat Widerspruch eingelegt. Wenn die Entscheidung Bestand hat, könnten das empfindliche Umsatzeinbußen für Meta zur Folge haben – etwa wenn Facebook die (kostenlose) Nutzung der Dienste auch dann erlauben müsste, wenn Nutzer ihrer Überwachung widersprechen. Denkbar wäre dann ein trackingfreies, aber kostenpflichtiges Abo-Modell.