Kategorie: Datenschutz

Das italienische Unternehmen Consorzio Concessioni Reti Gas S.c.a.r.l. muss ein Bußgeld in Höhe von 2000 Euro zahlen, weil sie das geschäftliche E-Mail-Konto eines ehemaligen Praktikanten weiter betrieben haben, um gegebenenfalls Antworten von Kunden und Kollegen einsehen zu können.

Hierbei werden zwangsläufig die Daten des vorzeitig ausgeschiedenen Praktikanten verarbeitet – laut der Datenschutzbehörde konnte keine ausreichende Aufklärung über diese Verarbeitung nachgewiesen werden.
Des Weiteren hätte eine automatisierte Antwort an eingehende E-Mails und/oder eine Weiterleitung an eine noch aktive E-Mail-Adresse ausgereicht.

Weitere Informationen finden Sie hier:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9877754

TikTok muss in Großbritannien ein Bußgeld in Höhe von 12.700.000 Pfund (≙ 14.466.340 Euro) zahlen muss, da die Plattform von Kindern unter 13 Jahren genutzt wurde und folglich deren personenbezogene Daten verarbeitet wurden. 

In Großbritannien dürfen Kinder unter 13 Jahren nach Datenschutzrecht ohne die Zustimmung der Eltern keine Informationsangebote wahrnehmen, die die Verarbeitung ihrer personenbezogenen Daten beinhalten. Zwar legt TikTok das auch so in den eigenen Richtlinien fest – das Alter von Nutzern wurde laut Vorwurf der Aufsichtsbehörde ITC, welche das Bußgeld verhängt hat, aber auch nicht angemessen überprüft. Laut Untersuchung der ITC wurden selbst Bedenken der eigenen Mitarbeiter diesbezüglich ignoriert.

Weitere Informationen finden Sie hier:
https://ico.org.uk/about-the-ico/media-centre/news-and-blogs/2023/04/ico-fines-tiktok-127-million-for-misusing-children-s-data/

Anfang des Monats wurde ein Bußgeld in Höhe von 1000 Euro gegen das italienische Unternehmen Razmataz Live Srl verhängt, nachdem diese Colosseo Srl als Subunternehmen für das Versenden von Werbe-E-Mails im Rahmen einer Werbekampagne beauftragt haben.
Gegen das Subunternehmen wurde zuvor ein Bußgeld verhangen und nun ebenfalls gegen Razmataz Live, da sie es versäumt haben, das Subunternehmen ordnungsgemäß zu überprüften.

Weitere Informationen finden Sie hier:
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9873408

Um ein Bußgeldrisiko der zuständigen Aufsichtsbehörde zu vermeiden, ist die richtige Einstellung der Cookies von nicht zu unterschätzender Wichtigkeit! Dies unterstreichen auch zwei aktuelle Entscheidungen der französischen Datenschutzbehörde CNIL gegenüber TikTok und Microsoft.

Gegen beide Unternehmen wurden Bußgelder in Höhe von 5 Millionen Euro bzw. sogar 60 Millionen Euro verhängt  – in beiden Fällen wegen zu umständlichen Cookie Einstellungen.

Sowohl TikTok als auch Microsoft, da war explizit die Suchmaschine bing.com betroffen, wurde deshalb dieses nicht unerhebliche Bußgeld auferlegt.

Die Fälle waren auch so gut wie identisch gelagert:

Das Bußgeld wurde verhängt, weil die Nutzer Cookies nicht so einfach ablehnen konnten, wie sie sie akzeptieren. Durch die Struktur, nach welcher der Ablehnungsmechanismus aufgebaut ist, wurden laut Ansicht der Behörde die Nutzer davon abgehalten, Cookies abzulehnen. Dadurch würde die Einwilligungsfreiheit der Nutzer verletzt werden. Darüber hinaus prangert die Behörde an, dass zudem nicht hinreichend über die Zwecke und Ziele der Cookies informiert wurde.

Dieser Mechanismus war es auch, der bei Microsoft zu einem Bußgeld in Höhe von 60 Millionen Euro geführt hat. Hier war es so gelagert, dass ein Benutzer der französischen Seite mit seinem Besuch bereits dadurch ohne Einwilligung Cookies auch zu Werbezwecken abgelegt bekam.

Zwar handelt es sich hier um eine Entscheidung der französischen Behörde, die sich an dieser Stelle auch auf eine nationale Datenschutzvorschrift stützt, Artikel 82 des la loi Informartique et Libertés. Diese Vorschrift hat jedoch erhebliche Ähnlichkeit zu unseren geltenden Vorschriften. Damit sind auch ähnliche oder gleich gelagerte Entscheidungen der deutschen Behörden nicht auszuschließen und könnten zudem auch ebenfalls nicht gerade glimpflich ausfallen.

Demnach sollten auf der eigenen Website die Cookies immer optimal eingestellt sein. Dies gelingt am einfachsten über das Consent Tool. Beachten Sie, dass nur bei technisch zwingen notwendigen Cookies eine Voreinstellung getroffen sein darf. Bei sämtlichen anderen Cookies darf keine solche Voreinstellung vorgenommen sein, der Besucher muss selbst festlegen, worein er einwilligt, sog. Opt In. Wie die Entscheidungen zeigen, ist es ebenso wichtig, dass der Besucher auch darüber jederzeit wieder die Möglichkeit bekommt, seine Einstellungen so einfach zu ändern, wie er sie erteilt hat.

Bezüglich der Google-Fonts Abmahnwelle scheint sich die Situation weiterhin für einige der Abmahner zuzuspitzen.
Die Generalstaatsanwaltschaft in Berlin ermittelt weiterhin in dieser Frage und hat in einem Verfahren gegen zwei Beschuldigte Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden erlassen, inklusive zwei Arrestbeschlüsse mit einer Gesamtsumme von 346.000 Euro.
(Wir berichteten damals).
Dazu scheinen nun auch auf zivilrechtlicher Ebene dem Geschäftsmodell der Google Fonts-Abmahnungen Probleme entgegenzukommen.
So hat jetzt das Amtsgericht Ludwigsburg am 28.02.2023 (Az. 8 C 1361/22) gegen besagte Abmahner entschieden. Grund war hier eine negative Feststellungsklage einer Adressatin eines Abmahnschreibens einer Anwaltskanzlei aus Berlin. Die Klägerin verlangte in dieser gerichtlich feststellen zu lassen, dass ein entsprechender Anspruch der abmahnenden Personen nicht bestand.

Das Gericht gab dem Begehren der Klägerin statt, hauptsächlich deswegen, weil es einen Rechtsmissbrauch gem. § 242 BGB als gegeben angesehen hat. So erschien dem Gericht ein Einnahmeerzielungsinteresse der Abmahnenden als vordergründiges Motiv und nicht etwa, wie behauptet, die Erzeugung von Aufmerksamkeit für das Google Fonts Problem. Dies deckt sich auch mit unserer  mehrmals geäußerten Rechtseinschätzung.
Unter anderem hat das Gericht auch den Rechtsmissbrauch als gegeben angesehen, da man sich einen ebenfalls gestellten Unterlassungsanspruch hätte abkaufen lassen und die Abmahner unbestritten die Webseite der Klägerin unter Einsatzes eines Webcrawlers aufgesucht haben.

Interessant ist hier, dass das Gericht auf einen evtl. Schadensersatzanspruch der Abmahnenden gem. Art 82 I DSGVO gar nicht vertieft einging. Nach dem Gericht konnte das Vorliegen eines solchen Anspruches wegen des besagten rechtsmissbräuchlichen Handelns grundsätzlich dahinstehen.
Ob aufseiten der Abmahnenden es also nun aufgrund Ihres „Ärgers“ zu einem berechenbaren Schaden gekommen ist oder nicht, wurde vom Gericht also nicht mit entschieden. Dies kann durchaus dahingehend gedeutet werden, dass das Gericht das rechtsmissbräuchliche Handeln als ziemlich eindeutig angesehen hat.
Auch lässt die Tatsache, dass der Einsatz eines sog. Webcrawlers als erwiesen zu sein scheint, bzgl. des anhängigen Verfahrens wegen versuchten Betruges und versuchter Erpressung in mindestens 2.418 Fällen wohl kein glimpfliches Ende für die Abmahnenden vor dem Strafgericht erahnen.
Das Endergebnis bleibt jedoch, wie immer vor Gericht abzuwarten.

Nächstes Jahr steht eine neue Verordnung der EU bevor, in der politische Werbung definiert und mit strengeren Bedingungen versehen werden soll. Dabei sollen die Nutzer mehr Einblick bekommen, wer hinter den Anzeigen steckt und welche Personengruppen Ziel der Werbung sind, wie viele Nutzer die Werbung bereits gesehen haben und wie viel Geld für die Werbung gezahlt wurde.

Laut Insidern von Meta erwägt der Konzern nun, politische Werbung zu verbieten. Ob die von der EU geforderten Bedingungen erfüllt werden können, ist nämlich nicht klar und ein Verstoß gegen selbige kann Geldbußen in Höhe von bis zu vier Prozent des weltweiten Umsatzes nach sich ziehen.
Die Entscheidung dürfte von der tatsächlich durch die EU festgelegte Definition von politischer Werbung abhängen.

Weitere Informationen finden Sie hier:
https://t3n.de/news/meta-politische-anzeigen-eu-verbot-1544905/?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Wichtige Information für alle Nutzer der 3 CX Desktop App: am 29.03.2023 gab es erste Hinweise dazu, dass eine aktuelle Version des Voice Over IP Clients 3CX kompromittiert wurde. Die Softwareversion ist zwar durch den Hersteller signiert, enthält jedoch schadhafte Elemente die in ihrer Funktionsweise der eines Trojaners entsprechen. Der Grund dafür ist wohl eine schadhafte DLL Datei.

Bisher konnte beobachtet werden, dass die Anwendung nach erfolgreicher Installation eine Verbindung zu einem C&C Server aufbaut und somit schadhafte weitere Software nachlädt.

Bei den betroffenen Versionen handelt es sich um die folgenden:
Windows: 18.12.407 und 18.12.416
Mac: 18.11.1213, 18.12.407, 18.12.416.

Mögliche Gefahren sind hier beispielsweise das Mithören von Gesprächen oder die Ausweitung des Angriffs auf zusätzliche Netzwerkkomponenten. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bewertet den Vorfall mit der zweithöchsten Bedrohungslage. https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2023/2023-214778-1032.html

Bitte prüfen Sie, wenn Sie den Anbieter in Anspruch nehmen, die folgenden Punkte:

• Welche Softwareversion ist derzeit im Einsatz?
• Bei Möglichkeit Entfernung des Installers bis zum neuen Release.
• Ist es möglich, ein erneutes Laden des Installers an der Firewall zu blockieren?
• Ist der Zugriff auf Domains, die mit den Angriffen in Verbindung stehen, unterbunden?
• Haben Sie die 3CX Desktop App entfernt?
• Haben Sie bereits Maßnahmen ergriffen um eine bereits erfolgte Kompromittierung des Netzwerks auszuschließen? Wenn nicht, sollten Sie dies nachholen.

Wenn Zweifel bestehen empfehlen wir Ihnen aktuell von einer Nutzung abzusehen und den Client zu löschen, bis das Problem seitens 3CX behoben werden konnte.

Ein neues Parkraumüberwachungssystem, welches mit Kameras und Software Autokennzeichen, Gesichter und Laufwege erkennt, wurde in Gelsenkirchen vor einem Supermarkt eingerichtet.

Das System von Parkvision GmbH erfasst Menschen beim Parken sowie ihrem Weg zum Supermarkt und zurück zum Auto. Wer gegen die Parkregeln verstößt und den Parkplatz für etwas anderes als die Einkäufe in besagtem Supermarkt nutzt, muss eine Geldstrafe zahlen. Das beinhaltet bereits nach dem Supermarkt nebenan in die Bäckerei oder die Apotheke zu gehen.

Erfasst wird man bereits von dem System, wenn man nur aussteigt, um die Parkbedingungen zu lesen. Die Firma Parkvision beschreibt das auf ihrer Webseite als „rechtskonformes, übersichtliches Beschilderungskonzept“. 

Weitere Informationen finden Sie hier:
https://www.golem.de/news/parkvision-parkplatz-ki-ueberwacht-laufwege-und-bestraft-fremdeinkaeufer-2303-172876.html

NOYB, der europäische Datenschutzverein reichte bei deutschen Datenschutzbehörden Beschwerde über deutsche Parteien ein, die über Facebook mittels Microtargeting personalisierte Anzeigen speziell nach den politischen Meinungen der Nutzer geschaltet haben. Die Beschwerde richtet sich gegen die AfD, CDU, SPD, ÖDP, die Grünen und die Linken.

Da politische Meinungen im Sinne der DSGVO speziell zu schützen sind, ist deren Verarbeitung zwecks personalisierter Werbung einen Verstoß gegen den Datenschutz, sowohl durch Facebook als auch die Parteien. Sowohl für die Privatsphäre des Einzelnen wie auch für die Demokratie ist dies als bedenklich einzustufen. Felix Mikolasch, Datenschutzjurist bei NOYB, sieht darin eine „großflächige Manipulation von Wählern“.

Aufgedeckt wurde dies kurz vor der Bundestagswahl 2021 durch das „Neo Magazin Royale“. In deren Sendung Ende April 2021 wurden die Zuschauer dazu aufgerufen, mittels einer Browsererweiterung ermitteln zu lassen, wer die eigenen Daten mittels Microtargeting verwendet. Diese von den Zuschauern „gespendeten“ Daten wurden ausgewertet und später auch an NOYB weitergegeben, wodurch der Verein selbst nachforschen und die konkreten Verstöße ausfindig machen konnte.

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Microtargeting-Datenschutz-Lobby-beschwert-sich-ueber-deutsche-Parteien-7601521.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Cookies und die Consenttools, mit denen man ihnen zustimmt, sind seit den letzten Urteilen von BGH und EuGH nach wie vor relevant.
Aufgrund diverser Beschwerden über die Gestaltung von Cookie-Bannern (auf diversen Webseiten) wurde eine Taskforce des EDSA (Europäischen Datenschutzausschusses) ins Leben gerufen, welche nun einen umfangreichen Taskforce-Bericht vorgelegt hat.

Der Bericht strebt nach einer einheitlichen Mindestposition und damit einer Auslegungshilfe zur verbraucherfreundlichen Gestaltung von Cookie-Bannern.
So ist die Rede von einer „wirksamen Einwilligung“, also dass der Nutzer der Webseite eine informierte Entscheidung trifft – nicht, weil er im Sinne von Zeit- oder Aufwandsersparnis zu einer Zustimmung genötigt wird. Webseitenbetreiber sollten ein Interesse daran haben eine solche wirksame Einwilligung ihrer Nutzer einzuholen, da sonst die Rechtmäßigkeit der Verarbeitung eingeholter Daten infrage steht was einen Verstoß gegen den Datenschutz bedeutet.

Im Folgenden möchten wir die wichtigsten Orientierungspunkte für Sie zusammenfassen:

Cookie-Banner (und andere Consenttools) sind, in aller Regel in mehreren Ebenen unterteilt. Auf oberster Ebene, also ohne das ein Weiterklicken auf zusätzliche Buttons nötig ist, sollten sowohl die Möglichkeit zur Einwilligung wie auch zur Ablehnung der Cookies gleichwertig positioniert sein, um den Anforderungen der E-Privacy-Richtlinie zu entsprechen.

Ferner muss eine Einwilligung aktiv erfolgen – eine Voraussetzung, die nicht gegeben ist, wenn „vorgegebene“, also im Vorfeld in bestimmten Checkboxen vorhandene Häkchen bei den Cookies gesetzt sind.
Auch wenn auf einer zweiten Ebene des Banners eine detailliertere Auflistung der verwendeten Cookies (Funktional, Analyse, etc.) einsehbar ist, sollten hier keine Haken automatisch gesetzt sein, um die Wirksamkeit der abgegeben Einwilligung nicht infrage zu stellen. Außerdem darf die Gestaltung des Banners der Lesbarkeit (etwa durch kleine Schrift oder schwache Farbkontraste) nicht im Weg stehen.

Sowohl Text als auch das Design müssen dem Nutzer vermitteln, dass er den Cookies zustimmen kann, aber nicht muss.
Das Design beinhaltet, dass die Buttons gleichwertig positioniert sind und nicht etwa aufgrund mangelnder farblicher Kontraste (absichtlich oder unabsichtlich) im Hintergrund untergehen. Ein Button zur Ablehnung der Cookies darf auch nicht erst in zweiter (oder noch tieferer) Ebene des Banners erreichbar sein, wenn der Button zum Akzeptieren bereits auf der ersten Ebene zu sehen ist.

Ebenfalls entspricht nicht den Anforderungen als einzige Alternative zum Akzeptieren der Cookies eine allgemeine Floskel wie „Weiter ohne Akzeptieren“ oder „Verweigern“ in einem Absatz anzubieten.

Darüber hinaus ist es problematisch, wenn Cookies als technisch notwendig eingestuft werden, obwohl sie es gar nicht sind. Jedoch gibt der Bericht in dieser Hinsicht keine klaren Hilfestellungen, nicht zuletzt wegen stetig wechselnden technischen Anforderungen.

Ein Widerruf der Einwilligung muss, jederzeit und genau so einfach wie die ursprüngliche Zustimmung sein – etwa durch einen schwebenden Button am Rand der Seite welcher den Cookie-Banner erneut aufruft.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/rechtsfragen/137848-neues-gestaltung-cookiebannern-edsa-praxisrelevante-hinweise?utm_source=newsletter&utm_medium=email&utm_campaign=ohn