Parkplatz-KI überwacht Laufwege und bestraft Fremdeinkäufer

Ein neues Parkraumüberwachungssystem, welches mit Kameras und Software Autokennzeichen, Gesichter und Laufwege erkennt, wurde in Gelsenkirchen vor einem Supermarkt eingerichtet.

Das System von Parkvision GmbH erfasst Menschen beim Parken sowie ihrem Weg zum Supermarkt und zurück zum Auto. Wer gegen die Parkregeln verstößt und den Parkplatz für etwas anderes als die Einkäufe in besagtem Supermarkt nutzt, muss eine Geldstrafe zahlen. Das beinhaltet bereits nach dem Supermarkt nebenan in die Bäckerei oder die Apotheke zu gehen.

Erfasst wird man bereits von dem System, wenn man nur aussteigt, um die Parkbedingungen zu lesen. Die Firma Parkvision beschreibt das auf ihrer Webseite als „rechtskonformes, übersichtliches Beschilderungskonzept“. 

Weitere Informationen finden Sie hier:
https://www.golem.de/news/parkvision-parkplatz-ki-ueberwacht-laufwege-und-bestraft-fremdeinkaeufer-2303-172876.html

Microtargeting: Datenschutz-Lobby beschwert sich über deutsche Parteien​

NOYB, der europäische Datenschutzverein reichte bei deutschen Datenschutzbehörden Beschwerde über deutsche Parteien ein, die über Facebook mittels Microtargeting personalisierte Anzeigen speziell nach den politischen Meinungen der Nutzer geschaltet haben. Die Beschwerde richtet sich gegen die AfD, CDU, SPD, ÖDP, die Grünen und die Linken.

Da politische Meinungen im Sinne der DSGVO speziell zu schützen sind, ist deren Verarbeitung zwecks personalisierter Werbung einen Verstoß gegen den Datenschutz, sowohl durch Facebook als auch die Parteien. Sowohl für die Privatsphäre des Einzelnen wie auch für die Demokratie ist dies als bedenklich einzustufen. Felix Mikolasch, Datenschutzjurist bei NOYB, sieht darin eine „großflächige Manipulation von Wählern“.

Aufgedeckt wurde dies kurz vor der Bundestagswahl 2021 durch das „Neo Magazin Royale“. In deren Sendung Ende April 2021 wurden die Zuschauer dazu aufgerufen, mittels einer Browsererweiterung ermitteln zu lassen, wer die eigenen Daten mittels Microtargeting verwendet. Diese von den Zuschauern „gespendeten“ Daten wurden ausgewertet und später auch an NOYB weitergegeben, wodurch der Verein selbst nachforschen und die konkreten Verstöße ausfindig machen konnte.

Weitere Informationen finden Sie hier:
https://www.heise.de/news/Microtargeting-Datenschutz-Lobby-beschwert-sich-ueber-deutsche-Parteien-7601521.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Neues zur Gestaltung von Cookiebannern: EDSA gibt praxisrelevante Hinweise

Cookies und die Consenttools, mit denen man ihnen zustimmt, sind seit den letzten Urteilen von BGH und EuGH nach wie vor relevant.
Aufgrund diverser Beschwerden über die Gestaltung von Cookie-Bannern (auf diversen Webseiten) wurde eine Taskforce des EDSA (Europäischen Datenschutzausschusses) ins Leben gerufen, welche nun einen umfangreichen Taskforce-Bericht vorgelegt hat.

Der Bericht strebt nach einer einheitlichen Mindestposition und damit einer Auslegungshilfe zur verbraucherfreundlichen Gestaltung von Cookie-Bannern.
So ist die Rede von einer „wirksamen Einwilligung“, also dass der Nutzer der Webseite eine informierte Entscheidung trifft – nicht, weil er im Sinne von Zeit- oder Aufwandsersparnis zu einer Zustimmung genötigt wird. Webseitenbetreiber sollten ein Interesse daran haben eine solche wirksame Einwilligung ihrer Nutzer einzuholen, da sonst die Rechtmäßigkeit der Verarbeitung eingeholter Daten infrage steht was einen Verstoß gegen den Datenschutz bedeutet.

Im Folgenden möchten wir die wichtigsten Orientierungspunkte für Sie zusammenfassen:

Cookie-Banner (und andere Consenttools) sind, in aller Regel in mehreren Ebenen unterteilt. Auf oberster Ebene, also ohne das ein Weiterklicken auf zusätzliche Buttons nötig ist, sollten sowohl die Möglichkeit zur Einwilligung wie auch zur Ablehnung der Cookies gleichwertig positioniert sein, um den Anforderungen der E-Privacy-Richtlinie zu entsprechen.

Ferner muss eine Einwilligung aktiv erfolgen – eine Voraussetzung, die nicht gegeben ist, wenn „vorgegebene“, also im Vorfeld in bestimmten Checkboxen vorhandene Häkchen bei den Cookies gesetzt sind.
Auch wenn auf einer zweiten Ebene des Banners eine detailliertere Auflistung der verwendeten Cookies (Funktional, Analyse, etc.) einsehbar ist, sollten hier keine Haken automatisch gesetzt sein, um die Wirksamkeit der abgegeben Einwilligung nicht infrage zu stellen. Außerdem darf die Gestaltung des Banners der Lesbarkeit (etwa durch kleine Schrift oder schwache Farbkontraste) nicht im Weg stehen.

Sowohl Text als auch das Design müssen dem Nutzer vermitteln, dass er den Cookies zustimmen kann, aber nicht muss.
Das Design beinhaltet, dass die Buttons gleichwertig positioniert sind und nicht etwa aufgrund mangelnder farblicher Kontraste (absichtlich oder unabsichtlich) im Hintergrund untergehen. Ein Button zur Ablehnung der Cookies darf auch nicht erst in zweiter (oder noch tieferer) Ebene des Banners erreichbar sein, wenn der Button zum Akzeptieren bereits auf der ersten Ebene zu sehen ist.

Ebenfalls entspricht nicht den Anforderungen als einzige Alternative zum Akzeptieren der Cookies eine allgemeine Floskel wie „Weiter ohne Akzeptieren“ oder „Verweigern“ in einem Absatz anzubieten.

Darüber hinaus ist es problematisch, wenn Cookies als technisch notwendig eingestuft werden, obwohl sie es gar nicht sind. Jedoch gibt der Bericht in dieser Hinsicht keine klaren Hilfestellungen, nicht zuletzt wegen stetig wechselnden technischen Anforderungen.

Ein Widerruf der Einwilligung muss, jederzeit und genau so einfach wie die ursprüngliche Zustimmung sein – etwa durch einen schwebenden Button am Rand der Seite welcher den Cookie-Banner erneut aufruft.

Weitere Informationen finden Sie hier:
https://www.onlinehaendler-news.de/e-recht/rechtsfragen/137848-neues-gestaltung-cookiebannern-edsa-praxisrelevante-hinweise?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Neuigkeiten zum Hinweisgeberschutzgesetz

Es gibt Neuigkeiten hinsichtlich der Entwicklung zum Hinweisgeberschutzgesetz. Nachdem das Gesetzesvorhaben Anfang des Jahres nicht die nötige Zustimmung im Bundesrat erhalten hatte und somit die benötigte Mehrheit nicht zustande kam, geht es nun weiter. Die Zustimmung des Bundesrates war nötig, da es sich bei dem Entwurf um ein sogenanntes Zustimmungsgesetz handelte. Die Ablehnung erfolgte, da es sich aus Sicht mancher Länder um Regelungen handele, die über die europäischen Anforderungen hinaus gingen.

Der ursprüngliche Gesetzesentwurf wurde nun in zwei einzelne Entwürfe aufgeteilt:

Der neue Entwurf des Gesetzes für den besseren Schutz hinweisgebender Personen, der die EU Richtlinie 2019/1937 umsetzen soll, nimmt im Wesentlichen das am 16.12.2022 beschlossene Gesetz wieder auf. Als einzige Änderung wird auf die zustimmungsbedürftige Änderung des Beamtenstatusgesetzes verzichtet. Diese wäre erforderlich um auch Beamt:innen Meldungen nach diesem Gesetz zu ermöglichen.

Durch diese Änderung handelt es sich bei dem Entwurf nun nach der Einschätzung der Fraktionen nicht mehr um ein solches Zustimmungsgesetz, da es keine verfassungsrechtlichen Bezüge mehr aufweist.

Der zweite Entwurf ist der Entwurf eines Gesetzes zur Ergänzung der Regelungen zum Hinweisgeberschutzgesetz. Dieser Entwurf passt die beamtenrechtlichen Verschwiegenheitspflichten im Beamtenstatusgesetz an die Erfordernisse des neuen Hinweisgeberschutzgesetzes an. Mit diesem Entwurf wird insbesondere Landesbeamt:innen eine Meldung oder Offenlegung nach dem Hinweisgeberschutzgesetz ermöglicht. Diese Änderungen bedürfen aufgrund des verfassungsrechtlichen Bezuges weiterhin der Zustimmung des Bundesrats.

Sollten am Ende beide Entwürfe das Gesetzgebungsverfahren erfolgreich durchlaufen, dann würde es wohl im Ergebnis zu keinen wesentlichen Änderungen gegenüber des ursprünglichen Entwurfes kommen.

Beide Vorhaben wurden aktuell vorab dem Rechtsausschuss zur weiteren Beratung übergeben.

Die Umsetzung der Richtlinie in nationales Recht hätte eigentlich bereits bis zum Dezember 2021 erfolgen müssen. Dieses Ziel hat die Regierung jedoch verpasst. Als Folge dessen hat die EU-Kommission deshalb mittlerweile ein Vertragsverletzungsverfahren gegen Deutschland auf den Weg gebracht.

USA: Amazon wegen Sammeln von biometrischen Daten verklagt

Amazon betreibt sogenannte Amazon-Go-Shops in den USA und Großbritannien.
Beim Betreten der Shops müssen sich Kunden mit einer App anmelden und teilweise mit Handflächen-Scans identifizieren. Während des Shoppens wird mittels Sensoren verfolgt, was die Kunden kaufen.

Nun wirft eine Sammelklage Amazon vor, nicht ausreichend auf diese Verarbeitung von biometrischen Daten hinzuweisen. Seit 2021 existiert im Bundesstaat New York ein Gesetz, laut dem derartige Verarbeitung von Daten mit für Kunden auffälligen Schildern gekennzeichnet werden muss. Diese Schilder hätte Amazon laut der Sammelklage aber erst ein Jahr später angebracht. Außerdem sollen die Schilder zu klein sein.

Amazon besteht darauf, dass die Kunden sich freiwillig zum Betreten des Stores entscheiden und dass bei der Anmeldung via App auf die Datenverarbeitung hingewiesen wird.

Weitere Informationen finden Sie hier:
https://www.amazon-watchblog.de/kritik/3508-usa-amazon-wegen-sammeln-von-biometrischen-daten-verklagt.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Bundesregierung klagt gegen Verbot ihrer Facebook-Seiten

Seit 2021 fordert der Bundesdatenschutzbeauftragte Ullrich Kelber, dass die Regierung ihre Präsenz auf Facebook einstellt. Der Grund: ein datenschutzkonformer Betrieb sei aufgrund der umfassenden Verarbeitung personenbezogener Daten nicht möglich. Laut Professor Kelber stehen alle Behörden „in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten.“

Eine letzte Frist wurde vor einem Monat gesetzt mit der Aufforderung, die Abschaltung innerhalb von 4 Monaten vorzunehmen. Das Bundespresseamt reagierte mit einer Klage gegen den Beschluss. Das Verwaltungsgericht Köln soll nun den Beschluss prüfen. Die Regierung erwartet sich davon Rechtsklarheit für den Betrieb von Facebook-Seiten.
Eine Sprecherin erklärt: „Die Bundesregierung hat einen verfassungsrechtlich gebotenen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Um die Bürgerinnen und Bürger zu erreichen, müssen wir uns an deren tatsächlicher Mediennutzung orientieren.“ Es herrscht die Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind.“

Bis die gerichtliche Prüfung abgeschlossen ist, darf die Facebook-Seite der Bundesregierung weiter betrieben werden.

Weitere Informationen finden Sie hier:
https://www.spiegel.de/netzwelt/netzpolitik/bundesregierung-klagt-gegen-verbot-ihrer-facebook-seiten-a-e2459c19-355f-45fe-a672-45e557481068

Abmahnwelle in neuer Form

In letzter Zeit erhalten kleinere und mittlere Unternehmen wieder Abmahnschreiben, in denen Schadenersatz für die Weitergabe der eigenen personenbezogenen Daten nach Amerika (Verstoß gegen Artikel 15, 82 DSGVO) gefordert wird.

Diesmal kommt das Schreiben von der Kanzlei „brandt.legal“ im Auftrag eines „in erheblichen Maßen genervten“ Herrn „Maximilian G.“. Gefordert wird ein Schadensersatz von 1.000,00 €, zuzüglich Anwaltskosten.
Ein Auszug aus dem Schreiben ließt sich wie folgt: „Ergänzend ist darauf hinzuweisen, dass unser Mandant von Verantwortlichen wie Ihnen, die seine datenschutzrechtlichen Rechte nicht beachten, massiv genervt ist. Es nervt unseren Mandanten in erheblichen Maßen, dass er solche Selbstverständlichkeiten nunmehr über einen Rechtsanwalt klären und Zeit sowie Geld investieren muss, damit seine Rechte als betroffene Person gewahrt werden. Auch bei diesem „genervt sein“ handelt es sich um ein emotionales Ungemach, welches einen immateriellen Schaden darstellt.“

Hier kommen zwei separate Vorfälle zusammen:

  • Die ausgebliebene Antwort auf ein zuvor erfolgtes Auskunftsersuch.
    Generell gibt es hier zu bedenken, dass innerhalb eines Monats geantwortet werden muss, wenn Betroffene ihre Rechte nach der DSGVO geltend machen. Auch eine Negativauskunft („Wir verarbeiten keine Sie betreffenden personenbezogenen Daten“) muss erteilt werden.
    Eine Nicht-Reaktion kann zu Schadenersatzansprüchen (und theoretisch zu Bußgeldern) führen.
  • Die Missachtung der datenschutzrechtlichen Rechte – wofür der Mandant einen Schadensersatzanspruch für den „Ärger“ und den Aufwand, einen Anwalt zur Wahrung der eigenen Rechte einzuschalten, geltend machen will.
    Wie von uns bereits in der Vergangenheit bereits berichtet wurde, besteht für „bloßen Ärger“ zunächst mal kein Anspruch auf Schadensersatz.

Was gilt bei einer Datenschutzverletzung beim eigenen Cloudanbieter?

Heutzutage ist eine Auslagerung der Daten, wie z. B. bei einer Cloudnutzung in vielen Firmen und Organisationen mittlerweile Standard.

Gerade die damit verbundene Flexibilität und Einsparungsmöglichkeiten bzgl. Anschaffungskosten und Wartungskosten sind für viele Unternehmen attraktiv.

Was aber, wenn es nun bei einem entsprechenden Cloud-Anbietermal nicht alles wie geplant läuft? Was, wenn beim Cloud-Anbieter ein Datenschutzverstoß vorfällt?

Unternehmen sind generell verpflichtet, die Aufsichtsbehörden und unter bestimmten Umständen auch die Betroffenen bei entsprechenden Datenschutzverstößen zu informieren.

Um diesen Melde- und Benachrichtigungspflichten im Ernstfall gerecht zu werden, ist eine genaue Sachverhaltsaufklärung und zügiges Handeln des Verantwortlichen gefragt.

Hier bestehen aber gerade häufig Verständnisschwierigkeiten, sowohl beim Cloud-Anbieter als auch beim Verantwortlichen.

So werden häufig Meldungen gem. Art 33 DSGVO direkt vom Cloud-Anbieter an eine Datenschutzbehörde durchgeführt, oder der Auftraggeber sieht diese Verantwortlichkeit beim Cloud-Anbieter, da die Datenschutzverletzung ja in „seinem Bereich“ vorgefallen ist.

Aus der Sicht des Cloud-Anbieters wiederum mag eine Meldung von ihm auch zunächst sinnvoller erscheinen, da er logischerweise zunächst mehr benötigte Informationen zu dem evtl. Datenschutzvorfall zur Verfügung hat. Dieser ist ja bei ihm vorgefallen.

Generell ist hier aber zu beachten, dass zwischen dem Auftraggeber und dem Cloud-Anbieter generell ein Verhältnis gem. Art 28 DSGVO vorliegt.

Der Auftraggeber ist und bleibt demnach gem. Art 4 Nr. 7 DSGVO Verantwortlicher für die personenbezogenen Daten im Sinne der DSGVO und der Cloud-Anbieter ist Auftragnehmer gem. Art 4 Nr. 8 DSGVO.

Art 33 DSGVO ist allerdings bzgl. der Meldepflicht eindeutig.

Gem. Art 33 I DSGVO hat der Verantwortliche die Meldung bei der zulässigen Datenschutzbehörde zu veranlassen, weiterhin gibt der Art 33 II DSGVO vor, dass der Auftragsverarbeiter, sobald ihm eine Verletzung personenbezogener Daten bekannt ist, er diese dem Verantwortlichen unverzüglich meldet.

Nach dem Wortlaut des Gesetzes hat also die Meldung vom Verantwortlichen zu erfolgen.

Auch hat der Auftragsverarbeiter alle Informationen, die der Verantwortliche zu einer Beurteilung der Meldepflicht benötigt, unverzüglich zur Verfügung zu stellen. Diese Pflicht ist unter anderem auch in Art 28 III f DSGVO verankert.

Zwar wird ein solcher formeller Fehler selten dazu führen, dass die Behörden die vom Cloud-Anbieter/Auftragsverarbeiter durchgeführte Meldung als ungültig ansehen wird, jedoch entstehen hier erfahrungsgemäß häufig auch andere Fehler in der Durchführung.

So gibt der Auftragsverarbeiter häufig die jeweilige Meldung gem. Art 33 DSGVO nur im eigenen Namen ab, ohne aufzuzeigen, dass man dies eigentlich für seinen Auftraggeber tut.

Dementsprechend ist also auch der Verantwortliche nicht bei der Behörde angegeben.

Weiterhin kann es sein, dass sich die zuständige Behörde des Auftragsverarbeiters von der des Verantwortlichen unterscheidet.

Die Zuständigkeit der Behörde richtet sich nämlich gem. Art 55, 56 DSGVO vornehmlich nach dem Hauptsitz des Verantwortlichen.

Weiterhin bestehen häufig Missverständnisse bzgl. einer Benachrichtigungspflicht gem. Art 34 DSGVO. So bewerten viele Auftragnehmer diese Vorschrift dahingehend, dass sie lediglich ihre eigenen Kunden informieren müssen.

Diese sind aber logischerweise meistens nicht deckungsgleich mit den Kunden des Verantwortlichen. Bis dieses Missverständnis dann aufgeklärt wurde, ist dann die 72-Stundenfrist, die auch für Art. 34 DSGVO gilt, bereits häufig verstrichen.

Es macht daher bereits Sinn, bei Inanspruchnahme eines Cloud-Anbieter ein derartiges Vorgehen bereits im Auftragsverarbeitungsvertrag zu klären und festzuhalten. Erfahrungsgemäß kann hier ein wenig Vorarbeit im Ernstfall viel Ärger ersparen.

Sollten Sie diesbezüglich Hilfe benötigen, können Sie sich natürlich wie immer gerne an uns wenden.

Nicht eingesetzte Polizei-Software kostet Millionen

Die bayrische Polizei will die umstrittene Software Palantir unter dem Namen „Verfahrensübergreifende Recherche- und Analyseplattform“ zum Einsatz bringen.

Ob dieser Einsatz wirklich vertretbar ist, wurde in einer umfassenden Schwachstellenanalyse durch das Fraunhofer Institut für Sichere Informationstechnologie durchgeführt. Rein technisch wurde die Software durch die Untersuchung als unbedenklich eingestuft.
Bestehen bleiben jedoch datenschuztrechtliche Bedenken, denn Palantir führt Datenbanken aus verschiedenen Quellen zusammen und schafft so ganz neue Möglichkeiten, zur Profilierung und Überwachen von Menschen.

Als solches ist noch unklar, wann die Software überhaupt zum Einsatz kommt. Was dagegen klar ist, sind die Kosten, die Palantir allein durch den Vetragsabschluss im Mai 2022 verursachte (rund 3,2 Millionen Euro Lizenzgebühren). Hinzu kommen 430.000 Euro für die zuvor genannte Untersuchung, sowie bis zu 25 Millionen Euro für die ersten 5 Jahre im Einsatz.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/palantir-in-bayern-nicht-eingesetzte-polizei-software-kostet-millionen/

FAQ zu TrustPID

Auf der Webseite des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) wurde ein überschaubares FAQ zu TrustPID, einem Projekt der großen Mobilfunkanbieter Vodafone und Telekom, veröffentlicht.

Bei TrustPID handelt es sich um eine Webseite, welche Telefonnummern und IP-Adressen von Nutzern in pseudonymisierten Profilen speichert. Aus diesen Profilen werden dann weitere Pseudonyme zur Kennung von Marketing für die Partnerwebseiten von TrustPID geleitet werden. Basierend auf diesen Nutzungsprofilen wird dann durch die Partner personalisierte Werbung geschaltet, welche (theoretisch) nicht mit einer realen Person in Verbindung gebracht werden.

Es sei jedoch in den Raum gestellt, wie wünschenwert eine Maßnahme ist, die weiterhin persönliche Nutzerdaten abgreift, wenn diese auch nicht an außereuropäische Konzerne wie Google oder Meta weitergegeben werden.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Positionen/FAQ-TrustPID.html?nn=251928