€ 1,2 Mrd. DSGVO-Strafe für Meta wegen US-Massenüberwachung. Entscheidung nach 10 Jahren und 3 Gerichtsverfahren gegen irische DPC.

binary 6286234 640hjhNach einem Jahrzehnt (2013-2023) wurde im Fall der Beteiligung von FACEBOOK (META) an der US-Massenüberwachung erstmals durch den Euopäischen Datenschutzausschuss (EDPB) eine direkte Bußgeld-Entscheidung getroffen. META muss mit seinen Diensten FACEBOOK und INSTAGRAM jegliche weitere Übertragung europäischer personenbezogener Daten in die USA sofort stoppen und 1.2 Milliarden Euro Bußgeld an den irischen Staat zahlen. Der Europäische Datenschutzaussschuss "EDPB" hat die vorherige Entscheidung der irischen Datenschutzbehörde größtenteils aufgehoben und auf eine Rekordstrafe sowie die Rückführung bereits übertragener Daten in die EU bestanden.

Erfahren Sie mehr zu dem Bußgeldverfahren des EDPB gegen META:

Schadensersatz DSGVO - Urteil des EuGH vom 04. Mai 2023 - Rechtssache C-300/2 - PRESSEMITTEILUNG Nr. 72/23 Luxemburg, den 4. Mai 2023

europeDer bloße Verstoß gegen die DSGVO begründet keinen Schadenersatzanspruch

Urteil des Gerichtshofs in der Rechtssache C-300/21 | Österreichische Post (Immaterieller Schaden im Zusammenhang mit der Verarbeitung personenbezogener Daten)

Immaterieller Schaden DSGVO - Vorbemerkung von: DURY LEGAL :

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 04.05.2023 festgestellt, dass ein bloßer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) keinen automatischen Schadenersatzanspruch begründet. Vielmehr muss ein Kausalzusammenhang zwischen dem Verstoß und dem entstandenen Schaden bestehen, um einen Anspruch auf Schadenersatz zu haben. Auch ist es nicht erforderlich, dass der immaterielle Schaden eine bestimmte Schwere erreicht, um eine Entschädigung zu erhalten. Diese Auslegung der DSGVO ist laut EuGH im Einklang mit dem klaren Wortlaut der Verordnung sowie mit den Erwägungsgründen, die den Schadenersatzanspruch betreffen. Unternehmen sollten daher bei der Umsetzung der DSGVO nicht nur darauf achten, Verstöße zu vermeiden, sondern auch den Schaden für betroffene Personen so gering wie möglich zu halten.

Lesen Sie nachfolgend die Pressemitteilung des EuGH zu der Rechtssache C-300/21 inkl. einiger Anmerkungen von DURY LEGAL:

Nutzung von Gesundheitsdaten - Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden

pexels suzy hazelwood 3866816

05.04.2023

P R E S S E M I T T E I L U N G

der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 05.04.2023

Nutzung von Gesundheitsdaten braucht Vertrauen – dringend beim Entwurf für den Europäischen Gesundheitsdatenraum nachbessern!

Die Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder

(Datenschutzkonferenz) fordert Nachbesserungen des Entwurfs einer Verordnung für den Europäischen Gesundheitsdatenraum, damit das Datenschutzniveau der Datenschutz-Grundverordnung und der Artikel 7 und

Lesen Sie nachfolgend, die komplette Pressemitteilung der DSK

Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bunds und der Länder: "Prüfmaßstäbe für "Pur-Abo-Modelle"

pexels suzy hazelwood 386681630. März 2023

PRESSEMITTEILUNG

der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 29.03.2023

Prüfmaßstäbe für „Pur-Abo-Modelle“ auf Websites Seit einiger Zeit werden insbesondere auf Medienwebsites vermehrt sogenannte „Pur-Abo-Modelle“ angeboten. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz) hat nun ihren Beschluss zur „Bewertung von Pur-Abo-Modellen auf Websites“ vom 22.03.2023 veröffentlicht.

Lesen Sie nachfolgend, die komplette Pressemitteilung der DSK

BREAKING NEWS: BfDI untersagt Betrieb der Fanpage der Bundesregierung - Pressemitteilung des BfDI

facebook g51b657183 640Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit, Professor Ulrich Kleber, hat das Bundespresseamt (BPA) angewiesen, den Betrieb der Facebook Fanpage der Bundesregierung einzustellen. Ein entsprechendes Schreiben hat der BfDI an das BPA verschickt und dem Amt eine Frist von vier Wochen eingeräumt, um den Bescheid umzusetzen. 

Erfahren Sie mehr zu den Hintergründen in unserem Blogbeitrag. 

 

KI-Verordnung: EU-Ministerrat verständigt sich auf KI-Regulierung

artificial intelligence g08241b7c4 640Künstliche Intelligenz (KI) ist in der Zeit der Digitalisierung nicht mehr wegzudenken. Bislang waren der Einsatz und die Haftung von KI wegen fehlender gesetzlicher Regelungen rechtlich unbestimmt. Der EU-Ministerrat hat nun erstmals Regelungen für den Einsatz von KI beschlossen. Durch die Verordnung will der Gesetzgeber sicherstellen, dass KI-Systeme sicher sind und die Grundrechte einhalten.

Erfahren Sie mehr zu den Hintergründen der KI-Verordnung in diesem Blogbeitrag. 

 

BDSG oder doch LDSG? - Wann gilt welches Datenschutzrecht?

mistake 1966448 640Seit dem Inkrafttreten der DSGVO am 25. Mai 2018 bildet ein weitgehend einheitlicher Europäischer Datenschutz den primären datenschutzrechtlichen Rahmen für das Handeln öffentlich-rechtlicher und privatwirtschaftlich organisierter Stellen. Doch trotz Inkrafttreten dieser - unmittelbar in den Mitgliedsstaaten geltenden - EU-Verordnung, existieren in Deutschland weiterhin diverse datenschutz-rechtliche Regelungen. Die relevantesten sind das Bundesdatenschutzgesetz (BDSG), sowie die 16 Landesdatenschutzgesetze der einzelnen Bundesländer auf Landesebene.

Zudem gibt es zum Teil auch spezifische Regelungen wie z.B. die Regelungen des Sozialdatenschutzes oder der jeweiligen Krankenhausgesetze der Länder. Dabei ergänzen die Regelungen die Vorgaben der DSGVO. Sie füllen die sogenannten Öffnungsklauseln aus, also Regelungsbereiche, in denen die Europäische Union den einzelnen Mitgliedstaat ausdrücklich eine Regelungsbefugnis überragen hat. Und dann sollte man auch noch das kirchliche Datenschutzrecht nicht vergessen.

Welches der oben benannten Datenschutzgesetze neben der DSGVO zur Anwendung kommt, hat dabei oftmals einen nicht unerheblichen Einfluss auf die datenschutzrechtliche Rechtslage und sollte im Rahmen eines Beratungsprojektes immer zuerst geklärt werden.

Dieser Artikel zeigt die Abgrenzungsschwierigkeiten auf, die im Bereich des Datenschutzrechts existieren und verschafft einen Überblick darüber, in welchen Fällen welches datenschutzrechtliche Gesetz anzuwenden ist. Den kirchlichen Datenschutz klammert dieser Artikel bewusst weitgehend aus. Hier gilt die Faustregel, dass dieser nur für kirchliche Träger relevant werden kann.

Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung

cease and desist letter ga4c153b99 200Gemeinsame Pressemeldung der GStA Berlin: Durchsuchungen nach Abmahnwelle wegen „Google Fonts“-Nutzung

Pressemitteilung vom 21.12.2022

In einem Verfahren gegen zwei Beschuldigte – einen 53‑jährigen Rechtsanwalt mit Kanzleisitz in Berlin und dessen 41‑jährigen Mandanten, dem angeblichen Repräsentanten einer „IG Datenschutz“ – wurden heute wegen des Verdachts des (teils) versuchten Abmahnbetruges und der (versuchten) Erpressung in mindestens 2.418 Fällen durch die Polizei im Auftrag der Staatsanwaltschaft Berlin Durchsuchungsbeschlüsse in Berlin, Hannover, Ratzeburg und Baden-Baden sowie zwei Arrestbeschlüsse mit einer Gesamtsumme vom 346.000 Euro vollstreckt.

Den Beschuldigten wird vorgeworfen, bundesweit Privatpersonen und Kleingewerbetreibende, die auf Ihren Homepages sog. „Google Fonts“ – ein interaktives Verzeichnis mit über 1.400 Schriftarten, die das Schriftbild einer Webseite bestimmen – eingesetzt haben, per Anwaltsschreiben abgemahnt zu haben. Zugleich wurde diesen angeboten, ein Zivilverfahren gegen Zahlung einer Vergleichssumme in Höhe von jeweils 170 Euro vermeiden zu können. Dass die behaupteten Schmerzensgeldforderungen wegen Verletzung des Rechts auf informationelle Selbstbestimmung nicht bestanden, soll den Beschuldigten dabei bewusst gewesen sein. Entsprechend sollen sie auch gewusst haben, dass für die Angeschriebenen kein Anlass für einen entsprechenden Vergleich bestand, da sie die angeblichen Forderungen gerichtlich nicht hätten durchsetzen können. Die Androhung eines Gerichtsverfahrens soll daher tatsächlich nur mit dem Ziel erfolgt sein, die Vergleichsbereitschaft zu wecken.

Bei Google Fonts handelt es sich um ein Tool, das lizenzfrei von der Firma Google für Websitebetreiber zur Verfügung gestellt wird. Internetseiten, die dieses nutzen, übermitteln die Internet Protocol (IP)‑Adresse in der Regel ohne Kenntnis und Einwilligung von Besuchern der Website automatisch an die Firma Google in den USA. Vor diesem Hintergrund hat das Landgericht München mit Urteil vom 20. Januar 2022 (Az. 3 O 17493/20) entschieden, dass die automatische Weitergabe der IP‑Adresse (als personenbezogenes Datum) durch den Betreiber einer Website einen datenschutzrechtlichen Eingriff darstelle, in den der Besucher der Seite nicht eingewilligt habe. In dieser Vorgehensweise dürfte also tatsächlich ein Verstoß gegen die Datenschutzgrundverordnung liegen und so auch ein entsprechender Unterlassungsanspruch bestehen, wenn ein unbedarfter Nutzer eine solche Website besucht.

Die Beschuldigten aber sollen gerade nicht unbedarft gewesen sein: Mittels einer eigens dafür programmierten Software sollen sie zunächst Websites identifiziert haben, die Google Fonts nutzen. In einem zweiten Schritt und wieder unter Nutzung einer dafür entwickelten Software sollen Sie Websitebesuche durch den beschuldigten 41‑jährigen automatisiert vorgenommen, diese letztlich also fingiert haben. Die dann protokollierten Websitebesuche sollen die Grundlage für die Behauptung der datenschutzrechtlichen Verstöße und die Geltendmachung von Schmerzensgeldansprüchen gewesen sein, die durch die Annahme des „Vergleichsangebotes“ angeblich hätten abgewendet werden können.

Die Beschuldigten sollen daher darüber getäuscht haben, dass eine Person die Websites besucht hat (und nicht tatsächlich eine Software). Mangels Person läge dann aber keine Verletzung eines Persönlichkeitsrechts vor.
Da sie diese Besuche außerdem bewusst vorgenommen haben sollen, um die IP‑Adressen‑Weitergabe in die USA auszulösen, hätten sie faktisch auch in die Übermittlung eingewilligt, so dass eben gerade kein datenschutzrechtlicher Verstoß mehr gegeben war, der eine Abmahnung hätte begründen können.
In einigen Fällen soll zudem überhaupt keine Datenübermittlung in die USA erfolgt, ein darauf basierender Anspruch aber trotzdem geltend gemacht worden sein.

420 Anzeigen von „Abgemahnten“, die letztlich nicht gezahlt haben, liegen der Staatsanwaltschaft Berlin inzwischen vor. Aus der Auswertung der Kontounterlagen der Beschuldigten ergibt sich indes, dass etwa weitere 2.000 Personen das „Vergleichsangebot“ aus Sorge vor einem Zivilverfahren und in der unzutreffenden Annahme, der behauptete Anspruch bestünde tatsächlich, angenommen und gezahlt haben.

Die heutigen Durchsuchungen führten zum Auffinden von Beweismitteln, insbesondere Unterlagen und Datenträgern, die nunmehr ausgewertet werden müssen. Sie sollen unter anderem über die Anzahl, Auswahlkriterien und Identität, die tatsächlichen Umsätze und die genaue Vorgehensweise weiteren Aufschluss geben.


Original-PM der GStA-Berlin:

https://www.berlin.de/generalstaatsanwaltschaft/presse/pressemitteilungen/2022/pressemitteilung.1277538.php

Wer darf eigentlich bei Datenschutzverstößen abmahnen?

cease and desist letter g13bb543af 640In einem digitalen Zeitalter, in dem Daten einer Ware gleichkommen, ist es wichtig zu wissen, welche rechtlichen Probleme bei der Verarbeitung von Daten entstehen können. Auch den Betreibern von Websites und Online-Shops drohen mittlerweile Datenschutzabmahnungen. Dabei stellt sich die Frage, wann Datenschutzverstöße überhaupt abmahnfähig sind und wer berechtigt ist Datenschutzabmahnungen auszusprechen.

Diese und weitere Fragen zum Thema Abmahnung bei Datenschutzverstößen klären wir in unserem folgenden Blogbeitrag.