Datenschutz­woche

#122

CNIL veröffentlicht Prüfschwerpunkte für 2024

In einer Pressemitteilung vom 8. Februar 2024 hat die französische Datenschutzaufsichtsbehörde CNIL ihre Prüfschwerpunkte für das Jahr 2024 bekanntgegeben. Demnach will sich die Behörde auf die Verarbeitung von Daten Minderjähriger, Datensammlungen im Zusammenhang mit den Olympischen und den Paralympischen Spielen, papierlose Kassenbons und Treueprogramme sowie auf das Auskunftsrecht von Personen konzentrieren.

Die Schwerpunktkontrolle der CNIL tritt neben aufsichtsbehördliche Prüfverfahren, die aufgrund von Beschwerden, Meldungen von Datenschutzverletzungen oder aktuellen Ergebnissen stattfinden. Die Schwerpunktrollen machen etwa 30% der Kontrollen insgesamt aus.

Im Rahmen der Olympischen und der Paralympischen Spiele sollen umfangreiche Sicherheitsvorkehrungen getroffen werden, die es nach Ansicht der CNIL rechtfertigen, die strikte Einhaltung datenschutzrechtlicher Vorgaben zu überprüfen. Die Kontrollen umfassen den Einsatz von QR-Codes für Sperrzonen, Zugangsberechtigungen und den Einsatz von Augmented-Camera-Systemen.

Bei Anwendungen und Websites, die sich vor allem bei Kindern und Jugendlichen großer Beliebtheit erfreuen, will die CNIL prüfen, ob Mechanismen zur Alterskontrolle implementiert sind, welche Sicherheitsmaßnahmen vorgesehen sind, und ob der Grundsatz der Datenminimierung eingehalten wird.

Die Kontrollen im Kontext von Treueprogrammen und papierlosen Kassenbons sollen sich auf die Verarbeitung von Daten für Marktforschung oder für personalisierte Werbung konzentrieren, besonders mit Blick auf die Einwilligung zur Weiterverwendung der Daten für Werbezwecke.

Die Prüfung zum Auskunftsrecht ist Bestandteil der dritten Aktion des Koordinierten Durchsetzungsrahmens (Coordinated Enforcement Framework) des Europäischen Datenschutzausschusses. Damit sollen die effektive Anwendung der DSGVO und die Koordination zwischen den europäischen Aufsichtsbehörden verbessert werden.

BayLDA: Apps und Cookie-Banner geprüft

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in der vergangenen Woche bekanntgegeben, dass die Behörde mehr als 350 Webseiten und 15 Apps ohne Anlass geprüft hat. Der Schwerpunkt lag auf der Einbindung von Diensten ohne erforderliche Einwilligung.

Bei den geprüften Webseiten lag der Schwerpunkt auf dem Vorhandensein einer Widerspruchsmöglichkeit auf der ersten Ebene des Cookie-Banners. Das BayLDA hat hierzu ein Tool zur automatisierten Prüfung entwickelt. Betreiber, die den datenschutzrechtlichen Anforderungen nicht genügen, erhalten die Möglichkeit, zu den Feststellungen Stellung zu nehmen und ihre Webseite oder App entsprechend anzupassen. Das BayLDA hat ein entsprechendes Schreiben mit Prüffragen an die betroffenen Betreiber versandt.

Geprüft wird zum einen die Speicherung von Informationen auf dem Endgerät des Endnutzers bzw. der Zugriff auf Informationen, die auf dem Endgerät des Endnutzers gespeichert sind. Die Betreiber müssen angeben, welche Vorgänge, die unter § 25 TTDSG fallen, ohne Einholung einer Einwilligung veranlasst werden und warum sie sich auf die Ausnahme des § 25 Abs. 2 TTDSG berufen. Außerdem müssen sie darlegen, wie die Einwilligung für einwilligungspflichtige Prozesse eingeholt wird.

Zum anderen wird die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nach Art. 6 DSGVO geprüft. Betreiber müssen angeben, welche personenbezogenen Daten zu welchem Zweck ohne Einwilligung des Nutzers verarbeitet werden. Die App-Betreiber müssen zudem angeben, ob die Datenschutzinformationen bei der erstmaligen Nutzung der App leicht auffindbar und abrufbar sind.

Die Beantwortung des Fragebogens ist offiziell freiwillig, bei Nichtbeantwortung droht jedoch der Erlass einer förmlichen Anordnung mit Zwangsgeldandrohung. Unternehmen, die (noch) keinen Fragebogen erhalten haben, können sich an den Fragen des BayLDA orientieren, um die eigene Compliance zu überprüfen.

Internationale Nachrichten

  • Europa: Bereits am 18. Januar hat das EDPB eine neue One-Stop-Shop-Fallübersicht zur Sicherheit der Verarbeitung und zu Informationspflichten bei Datenschutzverletzungen veröffentlicht.

Aktuelle Gerichtsentscheidungen

  • OLG Dresden, Urteil vom 12.12.2023, Az. 4 U 1049/23 (juris): Der bloße Verlust von Daten infolge der Deaktivierung des Nutzerkontos stellt keinen immateriellen Schaden dar.
  • OVG Mecklenburg-Vorpommern, Beschluss vom 14.12.2023, Az. 1 LZ 413/21 OVG (juris): Können Sachangaben im gegebenen Kontext Auswirkungen auf die Grundeigentümer haben, so sind sie diesen als eigene, personenbezogene Daten i. S. d. Art. 4 Nr. 1 DSGVO zuzurechnen.
  • OLG Dresden, Beschluss vom 02.01.2024, Az. 4 W 720/23 (juris): Kalkulationsgrundlagen, die der Berechnung einer Prämienerhöhung dienen, sind nicht personenbezogen. Es besteht daher kein Anspruch aus Auskunft nach Art. 15 DSGVO.
  • OLG Dresden, Urteil vom 09.01.2024, Az. 4 U 1274/23 (juris): Nutzt ein Rechtsanwalt durch Akteneinsicht erlangte Daten von Insolvenzgläubigern, um diese in einem Rundschreiben auf Rechtsschutzmöglichkeiten hinzuweisen, kann dies eine zulässige Zweckänderung darstellen.
  • OLG Hamburg, Urteil vom 10.01.2024, Az. 13 U 70/23 (BeckRS 2024, 804): Dass der Kläger durch die zweifache unberechtigte Meldung an die Schufa eine Beeinträchtigung seines sozialen Ansehens erlitten hat, rechtfertigt einen immateriellen Schadenersatz i.H.v. 4.000 Euro.
  • OLG Hamm, Beschluss vom 19.01.2024, Az. I-6 U 80/23 (juris): Das Recht auf Kopie umfasst nicht-personenbezogene Daten nur dann, wenn sie zur Kontextualisierung der Verarbeitung von personenbezogenen Daten erforderlich ist. Der Betroffene muss hierzu vortragen.
  • OLG Karlsruhe, Urteil vom 01.02.2024, Az. 12 U 27/23 (juris): Bei den Versicherungsscheinen und Nachträgen zum Versicherungsschein handelt es sich nicht in ihrer Gesamtheit um personenbezogene Daten des Versicherungsnehmers.

Neuigkeiten aus den Aufsichtsbehörden