7 datenschutzrechtliche Herausforderungen beim Einsatz von...
Erhalten Sie Tipps zu einer rechtskonformen Nutzung und datenschutzrechtlichen Herausforderungen im Zusammenhang mit dem Einsatz von KI.
Inhaltsverzeichnis:
1. Vereinbarung zur Auftragsverarbeitung
2. Datenschutzerklärung
3. Übertragung in Drittländer
4. Einwilligungen in den Newsletter-Versand
5. Auskunft
6. Unser Tipp
Erinnern Sie sich noch als wir 2018 im scheinbar undurchdringbaren Datenschutz-Dschungel gelandet sind? „Das Ende des digitalen Zeitalters“, „Bürokratie-Monster“, etc. - einige haben für das Inkrafttreten der DSGVO am 25. Mai 2018 nichts Gutes prophezeit. Nach gut fünf Jahre scheint es allerdings so, als könnten wir ein wenig durchatmen: Das Ende war es (zumindest vorerst) nicht!
Natürlich kann keiner leugnen, dass wir uns in den letzten Jahren durch ein wirres Geflecht von Datenschutzbestimmungen und Einwilligungserklärungen kämpfen mussten. Auch die eine oder andere Erkundungstour auf einem vielversprechenden internationalen Datenfluss endete abrupt vor einem nur sehr eingeschränkt schiffbaren Abgrund aka Schrems II-Urteil.
Und dann sind da auch noch diese Kekse als Reiseproviant, die nicht jedem schmecken! Man denke zuletzt natürlich auch noch an die Hüter des Datenschutzes, die nicht immer zum Scherzen aufgelegt sind und deren Bußgelder an einige Internetgiganten mitunter recht saftige Höhen erreichen können.
Hier ein kleiner Rückblick auf die höchsten Bußgelder seit Inkrafttreten der DSGVO:
Platz 5: Google – 90 Millionen Euro
Die französische Datenschutzhüterin (CNIL) und die Kekse: für die umständliche Ablehnung von Cookies auf den Websites von Google und YouTube, hat die CNIL ein Bußgeld in Höhe von 90 Millionen Euro festgesetzt.
Bei ihrer Untersuchung stellte sie fest, dass die Websites zwar eine Schaltfläche zur sofortigen Annahme von Cookies anboten, jedoch keine gleichwertige Lösung für die einfache Ablehnung von Cookies zur Verfügung stellten.
Platz 4: WhatsApp – 225 Millionen Euro
Für WhatsApp regnete es ein Bußgeld in Höhe von 225 Mio. EUR. Die irische Datenschutzkommission (DPC) hatte im Jahre 2018 eine Untersuchung begonnen, um festzustellen, ob WhatsApp seinen Verpflichtungen in Bezug auf die Bereitstellung und Transparenz von Informationen für Nutzer*innen und Nichtnutzer*innen nachgekommen ist. Besonders beachtet wurden dabei Informationen zur Übermittlung personenbezogener Daten zwischen WhatsApp und anderen Unternehmen des Meta-Konzerns. Die Behörde kam dabei zum Ergebnis: fehlende Transparenz bei der Weitergabe von personenbezogenen Daten. Sie verhängte das Bußgeld und wies den Messengerdienst an, seine Datenverarbeitung anzupassen.
Platz 3: Facebook/Instagram – 265 Millionen Euro
Federführend war die irische Datenschützerin auch im Fall Facebook/Instagram, bei dem ein Datenpool leckte. Im April 2021 wurden personenbezogene Daten von bis zu 533 Millionen Facebook- und Instagram-Nutzer*innen aus über 100 Ländern online verfügbar gestellt. Im Rahmen der Untersuchung befasste sich die DPC mit den technischen und organisatorischen Maßnahmen (TOMs) gemäß Artikel 25 DSGVO und kam zu dem Schluss, dass die TOMs von Meta (Mutterkonzern von Facebook und Instagram) nicht ausreichend waren. Daher verhängte sie eine Geldstrafe in Höhe von 265 Millionen Euro.
Platz 2: Instagram – 405 Millionen Euro
Auch Platz zwei hat irische Wurzeln. Die Meta-Tochterfirma Instagram wurde von der irischen DPC zu einem Rekordbußgeld verurteilt. Die im Jahr 2020 durchgeführte Untersuchung ergab, dass das Unternehmen Kindern im Alter von 13 bis 17 Jahren ermöglichte, Geschäftskonten zu nutzen, die einen öffentlichen Zugriff auf ihre E-Mail-Adresse und Telefonnummer erlaubten. Zudem waren die Accounts von Minderjährigen nicht standardmäßig auf "Privat" gestellt und somit teilweise öffentlich einsehbar. Die irische Datenschutzbehörde verhängte daraufhin ein Bußgeld in Höhe von 405 Millionen Euro.
Platz 1: Amazon – 746 Millionen Euro
Platz 1 geht an den Dschungelkönig schlechthin: Amazon. Der Internetgigant setzte personalisierte Werbung ein, um Kundinnen und Kunden von weiteren Produkten zu überzeugen. Dabei wurden umfangreiche Daten nicht nur auf der eigenen Plattform, sondern auch auf Drittseiten gesammelt, um zugeschnittene Werbung auszusteuern und den Einkaufsumfang der Nutzer*innen zu erhöhen. Eine Möglichkeit, derartige Empfehlungen zu deaktivieren, bestand hingegen nicht. Die luxemburgische Datenschutzbehörde duldete diesen Wildwuchs nicht und verhängte infolgedessen ein Bußgeld in Höhe von 746 Millionen Euro.
Damit Sie auf weitaus ruhigeren Datenflüssen segeln können, haben wir Ihnen in diesem Beitrag die absoluten Survival-Tipps für den vermeintlichen DSGVO-Dschungel zusammengestellt.
So vermeiden Sie die fünf häufigsten DSGVO-Verstöße:
1. Vereinbarung zur Auftragsverarbeitung
Sie verarbeiten nicht alle Kundendaten intern, sondern setzen auch externe Dienstleister ein? Denken Sie daran: unabhängig davon, wer die Datenverarbeitung durchführt - der Auftraggeber bleibt verantwortlich dafür, dass die Datenverarbeitung gesetzeskonform erfolgt.
Gemäß Art. 28 DSGVO muss jedoch der Auftrag zur Datenverarbeitung durch Dritte vertraglich geregelt werden. Zu den Inhalten des Vertrags gehören unter anderem der Gegenstand und die Dauer des Auftrags, der Umfang, die Art und der Zweck der vorgesehenen Erhebung. Eine fehlende Vereinbarung zur Auftragsverarbeitung stellt einen schwerwiegenden DSGVO-Verstoß dar. Achten Sie also beim Outsourcing auf eine hinreichende Vertragslage!
2. Datenschutzerklärung
Wer wichtige Informationen innerhalb der Datenschutzerklärung, z.B. darüber, wie und zu welchem Zweck personenbezogene Daten erhoben und verarbeitet werden (einschließlich der Verarbeitung durch Drittanbieter), vorenthält, verstößt gegen die Informationspflichten der DSGVO sowie gegen das Gesetz gegen den unlauteren Wettbewerb (UWG). Eine transparente und systematisch aufgebaute Datenschutzerklärung ist daher der Grundstock eines jeden Online-Handels.
Es gibt eine Vielzahl von Anbietern auf dem Markt, um Daten und Verarbeitungsvorgänge auszulagern. Besonders Datenübertragungen in Drittländer ohne Angemessenheitsbeschluss sind dabei mit erheblichen Risiken verbunden. Zur Erreichung eines DSGVO-konformen Datentransfers müssen bei diesen Staaten besondere (ggf. auch mehrschichtige) Maßnahmen in Bezug auf die Übermittlung ins Ausland getroffen werden. Hierzu zählen in erster Linie das Vorsehen sog. geeigneter Garantien (z. B. der Abschluss der sog. EU-Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften, etc.). Daneben müssen im Einzelfall ggf. weitere Maßnahmen wie Anonymisierungen oder hinreichende Verschlüsselungen (sofern eine solche im konkreten Einzelfall tatsächlich geeignet ist) ergriffen werden, mittels derer ein tatsächlich vergleichbares Datenschutzniveau herzustellen ist. Die Datenübermittlung in diese Drittstaaten ist damit stark reglementiert bzw. beschränkt.
Weitere Informationen zur DSGVO-konformen Datenübertragung in Drittländer finden Sie in unserem Rechtstipp der Woche „DSGVO: Datenübermittlung ins Ausland“.
4. Einwilligungen in den Newsletter-Versand
Wenn ein Newsletter versehentlich oder absichtlich ohne Einwilligung verschickt wird, drohen Abmahnungen auf Basis der DSGVO und des Gesetzes gegen den unlauteren Wettbewerb. Das Double-Opt-In-Verfahren ist daher inzwischen auch zur Regeleinbindung geworden, um eine rechtssichere Einwilligung sicherzustellen.
Weitere Informationen zum Newsletterversand finden Sie in unserem Rechtstipp der Woche: „Leitfaden: E-Mail-Marketing in Zeiten der DSGVO“.
5. Auskunft
Auskunftsersuchen durch Betroffene sind keine Seltenheit. Eine datenschutzkonforme Antwort auf Auskunftsersuchen nach Art. 15 DSGVO ist jedoch oft kompliziert und fehleranfällig.
Um Abmahnungen und Schadensersatzansprüche zu vermeiden, müssen Online-Shops gewisse Anforderungen einer datenschutzkonformen Auskunft erfüllen, inhaltlich korrekt und fristgerecht antworten. Auch wenn keine personenbezogenen Daten vorliegen, darf die Anfrage nicht einfach ignoriert werden: Wer fragt bekommt eine Antwort!
Mehr Informationen zu dieser akuten Abmahngefahr finden Sie in unserem Rechtstipp: „Schadensersatz nach fehlerhafter Auskunftserteilung“.
Unser Tipp
Sitzen Sie noch im DSGVO-Dschungel oder sind Sie bereits die erfolgreiche Leitung Ihrer Expeditionstruppe? Auch nach fünf Jahren DSGVO sind immer noch nicht alle Rätsel gelöst, Datenflüsse in die USA sind weiterhin kompliziertes Terrain und Anwendungen wie ChatGPT & Co werfen neue Fragen auf. Dennoch ist vieles bereits geschafft, was 2018 noch unlösbar erschien. Dafür dürfen Sie sich nach 5 Jahren DSGVO auch einmal feiern. Aber bedenken Sie, dass der Datenschutz gekommen ist, um zu bleiben.
Daher sollten Sie am Ball bleiben, denn auch in Zukunft werden sich neue Herausforderungen ergeben, auf die es angemessen zu reagieren gilt. Bleiben Sie informiert und setzen Sie sich weiterhin aktiv für den Datenschutz ein, um erfolgreich durch den DSGVO-Dschungel zu navigieren.
Über den Autor
Seit Januar 2021 Legal Consultant bei der Trusted Shops AG und Rechtsanwalt bei FÖHLISCH. Studium der Rechtswissenschaft an der Friedrich-Alexander-Universität Erlangen-Nürnberg mit Schwerpunkt im internationalen und europäischen Recht. Referendariat am Oberlandesgericht Nürnberg sowie in Valencia / Spanien. Während des Referendariats Neben- und Lehrtätigkeit als Wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht und Europarecht von Herrn Prof. Dr. Wegener in Erlangen. Seit Oktober 2023 Absolvent eines berufsbegleitenden MBA-Studiums mit dem Schwerpunkt Tech an der spanischen Universidad Internacional de la Rioja. Vorherige Tätigkeiten in Rechtsabteilungen von deutschen Unternehmen im E-Commerce-Bereich, unter anderem des Münchner Start-Ups FlixBus. Bei Trusted Shops und FÖHLISCH mitverantwortlich für die Entwicklung und Fortentwicklung von Legal Tech-Produkten.
