Datenschutz-News im Oktober: Irland zieht Klage gegen AI von X zurück +++ Klage gegen Hamburger Datenschützer +++ neue Leitfäden und Bußgelder

Elon Musk kommt wohl ungeschoren davon: X hatte ja vor einigen Wochen über Nacht und ohne Ankündigung damit begonnen, Beiträge von Nutzern zum Training seiner KI namens „Grok“ zu benutzen. Die Zustimmung war einfach plötzlich voreingestellt und konnte zunächst auch nur im Webbrowser verändert werden, aber nicht in der App. „X“ will nun auf die Verarbeitung bestimmter Daten von Anwendern aus der EU verzichten, die irische Datenschutzbehörde hat im Gegenzug ihre Klage wegen unrechtmäßiger Nutzung von Anwenderdaten für das Training einer Künstlichen Intelligenz fallen gelassen. Dabei werden die Daten, die bereits für „Grok“ unrechtmäßig erlangt wurden, nicht gelöscht, und X bietet das Produkt auch weiterhin auf der Grundlage dieser Daten an. Max Schrems‘ NGO „noyb“ (none of your business) hält seine DSGVO-„Dringlichkeitsverfahren“ deswegen aufrecht, wie die Organisation hier ausführlich erläutert.

Vielleicht hätte Elon Musk die vom Europäischen Datenschutzbeauftragten kürzlich herausgegebenen Leitlinien für generative Künstliche Intelligenz und personenbezogene Daten lesen sollen, auch wenn sie sich eher an Organe, Einrichtungen, Ämter und Agenturen der EU richten. Sie beinhalten u.a. Empfehlungen zur Rechtsgrundlage der Verarbeitung, der Datenminimierung und zur Wahrung der Betroffenenrechte. Der Einsatz von KI soll fair und diskriminierungsfrei erfolgen und ethischen Standards entsprechen. Darüber hinaus wird empfohlen, spezifische Kontrollen gegen bekannte Schwachstellen zu integrieren. Auch die bayrischen, die französischen und die niederländischen Behörden haben noch KI-Tipps auf Lager.

Von der neuen Baustelle KI zurück zur DSGVO: Die EU hat umfangreich geprüft, ob sie nach fünf Jahren in Anwendung ein Update braucht - ist aber in ihrem Evaluationsbericht zu dem Schluss gekommen, dass keine Anpassung notwendig ist, sondern dass sich neue regulatorische Maßnahmen darauf konzentrieren sollen, die Verordnung besser durchzusetzen.

Auch ihre Pläne zur Überarbeitung der Cookie-Banner-Regelung hat die EU verworfen. Ursprünglich war vorgesehen, im Rahmen der „Cookies Pledge“-Initiative eine Art Selbstverpflichtungsvereinbarung mit Unternehmen wie Apple, Google, Meta, Microsoft und Amazon zu schaffen, um die Cookie-Popup-Fenster beim Besuch von Webseiten zu reduzieren. Zwar waren alle Beteiligten dem Vorhaben gegenüber aufgeschlossen, kamen aber überein, dass die Einführung eines freiwilligen Ansatzes angesichts der jüngsten Umsetzung neuer Gesetze wie des Digital Services Act und des Digital Markets Act verfrüht wäre. Indes hat die Bundesregierung eine neue Cookie-Einwilligungsverwaltungsverordnung veröffentlicht (ist deutsch nicht eine tolle Sprache?).

Apropos Dauerbrenner: Die Debatte um Google Analytics hält ja nun auch schon seit mehreren Jahren an: Wer damit auf seiner Website das Nutzerverhalten überwachen möchte, benötigt zuvor eine freiwillige und eindeutige Einwilligung der Nutzer. Dies nahm die Sächsische Datenschutzbeauftragte im Mai 2024 zum Anlass, rund 30.000 Internetauftritte aus Sachsen zu untersuchen. In 2.300 Fällen waren Webseiten-Betreiber – sowohl Unternehmen und Vereine als auch öffentliche Stellen – ihrer Pflicht, die freiwillige und eindeutige Einwilligung einzuholen, nicht ausreichend nachgekommen. Die Behörde hat die Verantwortlichen daraufhin per Post zur Beseitigung des Datenschutzverstoßes und zur Löschung aller rechtswidrig erhobenen Daten aufgefordert. Sollten sie dem nicht nachkommen, droht ihnen nach einer erneuten Überprüfung ein förmliches Verwaltungsverfahren mit einem Bußgeld.

Ebenfalls in Sachsen: Um verspäteten oder fehlerhaften Datenauskünften vorzubeugen, hat die sächsische Datenschutzbeauftragte einen Handlungsleitfaden für Kommunen und Verwaltungen zur Auskunftserteilung nach Artikel 15 DSGVO herausgegeben. Die Handreichung richtet sich primär an sächsische öffentliche Stellen, die Verantwortliche im Anwendungsbereich der Datenschutz-Grundverordnung sind und basiert auf der Leitlinie 01/2022 des Europäischen Datenschutzausschusses und der Rechtsprechung des Europäischen Gerichtshofs.

Auch die Aufsichtsbehörden sind übrigens nicht vor Klagen gefeit: In Hamburg geht der Streit um „Consent or Pay“ in die nächste Runde. Konkret geht es um das Nachrichtenmagazin „Spiegel“ und sein Pur-Abo ohne Tracking als Alternative zur kostenfreien Nutzung, wenn man sich im Gegenzug tracken lässt. Bereits im Sommer 2021 hatte der jetzige Kläger gemeinsam mit Max Schrems‘ NGO „noyb“ (none of your business) bei der Hamburger Datenschutzaufsichtsbehörde Beschwerde gegen das Pur-Abo auf der Website des „Spiegel“ (und anderen Nachrichten-Webseiten) eingelegt. Währenddessen hat die Datenschutzkonferenz dem Konzept 2023 im Allgemeinen zugestimmt.

Die Hamburger Behörde hat nun nach knapp drei Jahren Bearbeitungszeit entschieden, dass „Pay or Consent“-Modell des „Spiegel“ grundsätzlich zuzulassen. Im Bescheid wird allerdings kaum auf die inhaltlichen Einwände des Beschwerdeführers eingegangen – es findet sich keine Begründung dafür, warum es eine freiwillige Einwilligung und echte Wahlfreiheit darstellen soll, wenn Nutzer für ihre Grundrechte zahlen müssen. Schließlich würden 99,9 Prozent der Nutzer zähneknirschend das Tracking akzeptieren, als bei jeder Nachrichtenseite je fünf Euro im Monat zu bezahlen. Inzwischen hat auch die EU erhebliche Zweifel an der Legalität des Modells.

Jetzt verklagt der Beschwerdeführer die Datenschutzbehörde, weil diese in dem Verfahren zu eng mit dem „Spiegel“ kooperiert und diesen kostengünstig beraten haben soll, anstatt unvoreingenommen über die Beschwerde zu entscheiden, wie sich aus der Akteneinsicht ergab. Gegenstand der Klage ist also das Prüfverfahren an sich. Denn die Behörde hat sich mehrmals mit Vertretern des „Spiegel“ getroffen, Rückmeldungen zu den vorgeschlagenen Änderungsplänen gegeben und dafür am Ende gut 6.100 Euro für den Verwaltungsaufwand in Rechnung gestellt. Zum einen deutlich günstiger als etwa bei einer Anwaltskanzlei; zum anderen tritt die Behörde somit aber als „Anwalt und Richter zugleich“ auf. Zwar sollen die Behörden Unternehmen sensibilisieren, aber keinesfalls beraten, kritisiert noyb. Denn nachdem der „Spiegel“ nun die Empfehlungen der Aufsichtsbehörde umgesetzt hat, wird diese kaum noch eine Entscheidung treffen, die ihren Empfehlungen widerspricht.

Wir bleiben in Hamburg: Der Hamburger Datenschutzbeauftragte hat sich praktische Gedanken zur Nutzung von Messenger-Diensten in der Kinder- und Jugendarbeit gemacht. Denn das Smartphone ist in der Regel der wesentliche, oft einzige Kanal, auf dem Jugendliche effektiv erreichbar sind. Der Beauftragte erkennt, dass der Verweis auf datenschutzrechtlich vorzugswürdige Medien wie verschlüsselte E-Mails oder der Postweg oft keine realistische Lösung sind, um Kontakt herzustellen. Daher geht es um den möglichst datensparsamen Einsatz von Messenger-Diensten, damit die Preisgabe sensibler Daten nach Artikel 9 der DSGVO vermieden werden kann.

Ebenfalls in Hamburg hat der Datenschutzbeauftragte eine Bußgeld-Zwischenbilanz für das Jahr 2024 gezogen: Von Januar bis Juli wurden 14 Bußgelder in einer Gesamthöhe von 130.000 Euro verhängt, u.a. wegen der Nichteinhaltung von Löschpflichten, technische Sicherheitslücken bei Kundenservice-Systemen, das Speichern von Ausweisdaten durch Arbeitgeber, verspätete Datenauskünfte und Pannenmeldungen, dienstliche Datenbankabfragen durch Polizisten für private Zwecke und unerlaubt geschossene Fotos.

Ein bisschen höher fiel das Bußgeld aus, dass die niederländische Datenschutzbehörde dem Fahrdienstvermittler Uber aufgebrummt hat: satte 290 Millionen Euro! Denn Uber soll zwei Jahre lang personenbezogene Daten europäischer Fahrer (wie Accountdaten, Taxifahrerlizenzen, Standortdaten, Fotos, Zahlungsdetails und Ausweisdokumente sowie in einigen Fällen medizinische Daten und Daten zu begangenen Straftaten) in die USA übermittelt und dabei unzureichend geschützt haben – ein schwerwiegender Verstoß gegen Artikel 44 DSGVO. Pikanterweise ging es um den fraglichen Zeitraum zwischen dem Ende von Privacy Shield und dem neuen Datenschutzabkommen 2023, während der jeglicher Datenaustausch mit den USA gewissermaßen in einer rechtlichen Grauzone erfolgte. Entsprechend reagierte Uber gar nicht amused und kündigte Klage gegen den Bescheid an. Beschwert hatten sich knapp 200 Fahrer aus Frankreich (da Ubers Europazentrale in Amsterdam ist, verhängte letztlich die niederländische Behörde das inzwischen dritte Bußgeld gegen das Unternehmen). Nach Einschätzung des Anwalts der Fahrer handelt es  wohl um die erste groß angelegte Klage von Arbeitnehmern auf Grundlage der DSGVO. Sie erwägen zudem eine Sammelklage vor einem französischen Gericht, um eine Entschädigung zu erhalten.

Weitere Artikel

Konfigurationsbox öffnen