Vielleicht haben Sie es auch schon gesehen, falls Sie mal ein Cookie-Banner genauer gelesen haben: Manchmal steht dort, mit wie vielen (hunderten!) Partnern die von den Usern erhobenen Daten geteilt werden. Statistisch gesehen ist es da wohl nur eine Frage der Zeit, dass Daten in die falschen Hände geraten: So wurde vor einigen Wochen bekannt, dass über 40.000 Apps weltweit Standortdaten an Datenhändler weitergeben, welche die Daten zentral speichern und die daraus gewonnenen Bewegungsprofile weiter verkaufen. Betroffen sind in Deutschland u.a. Focus Online, Kleinanzeigen, Tinder, Grindr, Lovoo, Flightradar24, die E-Mail-Apps von web.de und GMX, WetterOnline und CandyCrush. Manche orten sehr genau per GPS, anderer nur sehr grob auf Stadtteilebene per IP-Adresse. Je nach App konnten so Bewegungsprofile, teilweise mit einer Genauigkeit von weniger als einem Meter, erstellt werden, die Rückschlüsse auf die Identität der Personen, ihren Wohn- und Arbeitsort und ihre Aktivitäten ermöglichen.
Denn die Standortinformationen waren verknüpft mit Mobile Advertising IDs, anhand derer man Personen eindeutig identifizieren kann. Sie sind wohl aus dem unübersichtlichen Geschäft mit personalisierter Online-Werbung abgeflossen und stammen von den US-Datenhändlern Datasys (ehemals Datastream) und Gravy Analytics. Die einen stellten sie als kostenloses Anschauungsmaterial ins Netz (der Datensatz sollte als Werbung für ein Abo mit täglich aktualisierten Daten dienen), die anderen wurden von mutmaßlich russischen Hackern erbeutet, die Lösegeld forderten und dafür einen kleinen Vorgeschmack lieferten, welche Daten sie noch veröffentlichen könnten.
Viele Standortdaten werden auf internationalen Datenmarktplätzen gehandelt, natürlich auch außerhalb der EU, wo die DGSVO nicht gilt. Die Positionsdaten dienen Werbetreibenden zu genauerem Targeting, um zielgerichteter solche Werbung auszuspielen, die einen User eher interessiert. Das bedeutet, dass die betroffenen Apps zuvor auch den User um Zugriff auf den Standort gebeten haben, natürlich ohne hervorzuheben, dass ihre Bewegungen lukrativ an Datenhändler verkauft werden. Wie die Daten dort wiederum überhaupt gelandet sind, ist offiziell unklar.
Auch die Auswirkungen werden oft erst auf den zweiten oder dritten Blick klar – zum Beispiel bei Apps mit Schwangerschaftsbezug im Hinblick auf die teils sehr restriktiven Gesetze gegen Schwangerschaftsabbrüche in den USA. Apps können vulnerable Gruppen exponieren. Staatliche Behörden zählen dort auch zu den besten Kunden der Datenhändler. Immerhin kann man damit viel über die Interessen von Einreisenden oder anderen für staatliche Überwachung interessanten Personengruppen in Erfahrung bringen. Von daher werden die USA dem Ganzen wohl keinen Riegel vorschieben. Die EU ist gefragt. Solange muss man sich, so gut es geht, wohl versuchen, selbst zu schützen. Die Datenschutzbeauftragten der Bundesländer wollen dem Datenabfluss nun auf den Grund gehen und ggf. Bußgelder verhängen.
Apropos Bußgelder: Die italienische Datenschutzaufsichtsbehörde hat eine Geldstrafe in Höhe von 890.000 Euro gegen einen Strom- und Gasversorger wegen unzulässiger Verarbeitung personenbezogener Daten zu Telemarketing-Zwecken verhängt.
In den Niederlanden wurde gegen Netflix eine Geldstrafe in Höhe von knapp 5 Millionen Euro verhängt, nachdem „noyb“ von Max Schrems moniert hatte, dass Kunden von Netflix, Amazon Prime, Dazn, Apple Music, Filmmit, SoundCloud, Spotify und Youtube EU-weit nicht ausreichend über die Verwendung ihrer Daten informiert wurden. Alle waren z.B. der Auskunftspflicht nach Art. 15 DSGVO nicht nachgekommen. Die Verfahren gegen die anderen Streaminganbieter laufen noch.
Falls gerade Fragezeichen hinsichtlich der Höhe der Bußgelder auftauchen: Der EuGH hatte kürzlich darüber zu entscheiden, ob der Unternehmensbegriff der DSGVO im Sinne des Kartellrechts zu verstehen und ob bei der Bestimmung der Höhe des Bußgelds maßgeblich ist, wie hoch der globale Jahresumsatz der wirtschaftlichen Einheit, zu der das Unternehmen gehört. Der EuGH hat beide Fragen bejaht: Die maximal mögliche Geldstrafe kann demnach bis zu vier Prozent des gesamten weltweiten Jahresumsatzes des Konzerns betragen. Als Unternehmen gilt die ganze wirtschaftliche Einheit, auch wenn sie rechtlich aus mehreren juristischen oder natürlichen Personen besteht. Dies betrifft nicht nur Verstöße nach der DSGVO (Artikel 83), sondern auch gemäß AI Act, Digital Markets Act und Digital Services Act.
Auch die irische Datenschutzaufsichtsbehörde greift neuerdings hart durch und hat LinkedIn eine Strafe von 310 Millionen Euro aufgebrummt: Das Netzwerk soll personenbezogene Daten unrechtmäßig für Verhaltensanalysen und gezielte Werbung nutzen (Art. 5 & 6 DSGVO) sowie gegen die Informationspflichten (Art. 13 & 14 DSGVO) und den Grundsatz der Fairness verstoßen. Demnach wurden personenbezogene Daten ohne Rechtsgrundlage analysiert und mit Drittdaten zusammengeführt. LinkedIn hatte die Nutzer zwar einwilligen lassen, aber das geschah laut Aufsichtsbehörde weder freiwillig noch ausreichend informierend. Auch die Ausreden „berechtigte Interessen“ und „Notwendigkeit zur Erfüllung eines Vertrags“ ließ die Behörde nicht gelten und hat LinkedIn verpflichtet, sein Werbemodell entsprechend anzupassen.
Überhaupt macht Irland seit einigen Wochen ernst – mit neuen Regeln für Social-Media-Plattformen im Rahmen der nationalen Umsetzung des Digital Service Acts: Es geht um Videos, die zwar nicht strafbar sind, aber mindestens moralisch verwerflich: Verboten wird u.a. das Hochladen oder Teilen von Videos, in denen es etwa um Cybermobbing, die Förderung von Selbstverletzungen, Suizid oder Essstörungen, sexuellen Kindesmissbrauch sowie das Anstiften zu Hass oder Gewalt, Terrorismus, Rassismus und Fremdenfeindlichkeit geht. Die Regeln wurden noch kurz vor der Wahl Donald Trumps erlassen, nach der ja bei Meta in den USA das Factchecking abgeschafft wurde. Und die USA glauben ja ohnehin, dass in Europa keine volle Meinungsfreiheit mehr gelten würde. Die neuen irischen Regeln, die für die gesamte EU gelten, dürften folglich so einige knifflige Rechtsfragen rund um die Meinungsfreiheit aufwerfen.
Schließlich laufen auch noch zwei bemerkenswerte Prüfverfahren der Aufsichtsbehörden – zum einen gegen die neue KI DeepSeek, ob die beiden hinter ihr stehenden chinesischen Unternehmen ihrer Pflicht nach Art. 27 Abs. 1 DSGVO nachkommen, einen Vertreter in der EU benannt zu haben. Dieser soll durch den datenschutzrechtlich Verantwortlichen beauftragt werden, zusätzlich zu diesem oder an seiner Stelle insbesondere für Aufsichtsbehörden und betroffene Personen bei sämtlichen Fragen im Zusammenhang mit den Datenverarbeitungen als Anlaufstelle zu dienen. Ein Verstoß gegen diese Pflicht kann mit einem Bußgeld geahndet werden.
Auch bußgeldverdächtig ist schließlich der E-Mail-Verteiler, über den diverse Versicherungsunternehmen konkrete personenbezogene Daten untereinander geteilt haben. Auf ihm waren Dutzende Beschäftigte der beteiligten Unternehmen registriert, mutmaßlich um Betrugsfälle aufzudecken und Betrugsmuster zu erkennen. Es ging vor allem um Kunden in der Auslandsreise-Krankenversicherung. Zunächst war der Austausch wohl eher abstrakt, er wurde aber mit der Zeit immer konkreter – bis schließlich auch sensible Gesundheitsdaten und Daten minderjähriger Personen über den Verteiler liefen. Die Daten gingen "an alle" - also auch an Versicherungen, die gar keinen Kontakt mit den betroffenen Personen hatten. Auch sonstige Vorkehrungen zum Schutz der Informationen oder zur Wahrung der Betroffenenrechte gab es nicht. Die Datenschutzbeauftragte von NRW zeigte sich sehr erstaunt über das Datenkartell, da es seit Jahren ein mit den Aufsichtsbehörden abgestimmtes, im Versicherungssektor etabliertes System namens „HIS“ gebe, um sich datenschutzkonform über potentielle Betrugsfälle auszutauschen. Dort gibt es klar geregelte Kriterien für Abfragen sowie Ein- und Ausmeldungen, es sichert Betroffenenrechte ab und sieht Löschfristen vor. Auch ist dort eindeutig geregelt, welche personenbezogenen Daten verarbeitet werden dürfen – hochsensible Gesundheitsdaten gehören nicht dazu (Art. 9 DSGVO).