Datenschutz­woche

Bundeskartellamt rügt Apple wegen ungleicher Tracking-Regeln

Das Bundeskartellamt hat am 13. Februar 2025 eine vorläufige rechtliche Einschätzung zum "App Tracking Transparency Framework" (ATTF) von Apple veröffentlicht. Darin werden erhebliche wettbewerbs- und datenschutzrechtliche Bedenken geäußert. Die Behörde sieht Anhaltspunkte dafür, dass Apple mit dem ATTF eigene Dienste bevorzugt und Drittanbieter benachteiligt.

Seit der Einführung des ATTF im Jahr 2021 müssen Apps von Drittanbietern die ausdrückliche Zustimmung der Nutzerinnen und Nutzer einholen, bevor sie Tracking-Technologien zu Werbezwecken einsetzen dürfen. Das Abfragefenster für Apple-eigene Apps unterscheidet sich erheblich von dem für Apps von Drittanbietern. Es ist derzeit insbesondere sprachlich wesentlich einwilligungsfreundlicher gestaltet. Nach Einschätzung des Kartellamts könnte Apple dadurch einen unzulässigen Vorteil auf dem Werbemarkt erlangen, da das Unternehmen selbst umfassenden Zugriff auf Nutzerdaten hat und Wettbewerber stark eingeschränkt sind.

Besonders umstritten ist Apples Definition des Begriffs „Tracking“. Während Drittanbieter jede Form des Tracking unternehmensweit einschränken müssen, sammelt Apple weiterhin Daten aus eigenen Diensten wie dem App Store oder der Apple ID und nutzt diese für personalisierte Werbung.

EU-Kommission zieht ePrivacy-Verordnung und KI-Haftungsrichtlinie zurück

Die EU-Kommission hat mit ihrem neuen Arbeitsprogramm beschlossen, die ePrivacy-Verordnung und die geplante KI-Haftungsrichtlinie zurückzuziehen. Dies geschieht im Rahmen einer umfassenden Überprüfung der bisherigen Regelungsansätze im digitalen Bereich. Die ePrivacy-Verordnung, die eine umfassende Regelung für die Verarbeitung personenbezogener Daten in der elektronischen Kommunikation vorsah, wird nun auf unbestimmte Zeit verschoben. Ziel war es, neue Regeln für den Schutz personenbezogener Daten in der digitalen Kommunikation zu schaffen, etwa in Bezug auf Cookies und Tracking-Technologien. Grund für diesen Schritt sind Bedenken hinsichtlich der Vereinbarkeit mit bestehenden Datenschutzrichtlinien und aktuellen technologischen Entwicklungen.

Die Entscheidung, die ePrivacy-Verordnung zurückzuziehen, kommt nicht überraschend, da das Projekt bereits seit Jahren nicht voran kam.

Auch die KI-Haftungsrichtlinie, die einen Rechtsrahmen für die Haftung von KI-Anbietern schaffen sollte, wird vorerst nicht weiterverfolgt. Stattdessen will die Kommission den bestehenden Rechtsrahmen evaluieren und gegebenenfalls reformieren, um einen effektiven Verbraucher- und Grundrechtsschutz zu gewährleisten. 

Internationale Nachrichten

• Europa: Der Europäische Datenschutzausschuss (EDPB) hat auf einer Plenarsitzung eine Erklärung zur Altersbestimmung verabschiedet und die Einrichtung einer Taskforce zur Durchsetzung von KI beschlossen. Der Aufgabenbereich der ChatGPT-Arbeitsgruppe wird erweitert, die nun zu einer Arbeitsgruppe zur Durchsetzung von KI wird.
• Europa: Datenschutzbehörden aus Irland, Australien, Korea, Frankreich und dem Vereinigten Königreich unterzeichnen eine gemeinsame Erklärung, um ihr Engagement für die Umsetzung von Data Governance zu bekräftigen, die innovative und die Privatsphäre schützende KI fördert. Die Erklärung wurde in Paris auf einer von der OECD veranstalteten Veranstaltung unterzeichnet, die von der CNIL und der südkoreanischen Datenschutzbehörde organisiert wurde.
• Südkorea: Die südkoreanische Regierung verbietet vorübergehend den landesweiten Einsatz der chinesischen KI-Anwendung DeepSeek. Grund seien Bedenken bezüglich der von DeepSeek verwendeten Datensammelpraktiken.

Aktuelle Gerichtsentscheidungen

• Landesarbeitsgericht Köln, Urteil vom 10.10.2024, Az. 8 SLa 257/24 (juris): Immaterieller Schadenersatz - Ein abstrakter "Kontrollverlust" oder die Auflistung generell-abstrakter Gefahren ohne konkrete Darlegung persönlicher oder psychologischer Beeinträchtigungen reichen allein für einen immateriellen Schaden im Sinne des Art. 82 DSGVO nicht aus. Für eine darüberhinausgehende Beeinträchtigung trägt der Anspruchsteller die Beweislast.
• LG Rostock, Urteil vom 20.11.2024, Az. 2 O 450/24 (juris): E-Mailsicherheit - Dass E-Mails ein unsicherer Übertragungsweg und anfällig für externe Angriffe sind, ist seit Jahren allgemein bekannt. Wird E-Mail-Verkehr zwischen den Parteien genutzt, existieren grundsätzlich keine Vorgaben für Sicherheitsvorkehrungen insoweit. [...] Eine Pflichtverletzung lässt sich nach derzeitigem Stand auch nicht ohne Weiteres aus den Vorschriften der DSGVO ableiten, weil diese sich vom Anwendungsbereich auf den Schutz personenbezogener Daten bezieht.
• OLG Dresden, Hinweisbeschluss vom 08.01.2025, Az. 4 U 812/24 (GRUR-RS 2025, 1215): Immaterieller Schadenersatz - Immaterielle Schadensersatzansprüche nach der DSGVO können nicht auf die Verletzung von Benachrichtigungs- und Auskunftspflichten gestützt werden. Ist das von einem Datenschutzverstoß betroffene Datum bereits in der Vergangenheit Gegenstand einer nicht datenschutzkonformen Verarbeitung gewesen, scheidet ein hierauf bezogener Kontrollverlust aus.
• EuGH, Urteil vom 13.02.2025, Rs. C-383/23 (Volltext): Geldbußen - Art. 83 Abs. 4 bis 6 DSGVO ist dahin auszulegen, dass der Begriff „Unternehmen“ im Sinne dieser Vorschriften dem Begriff „Unternehmen“ im Sinne der Art. 101 und 102 AEUV entspricht, so dass der Höchstbetrag einer Geldbuße, die gegen einen Verantwortlichen für personenbezogene Daten, der ein Unternehmen ist oder einem Unternehmen angehört, wegen eines Verstoßes gegen die DSGVO verhängt wird, auf der Grundlage eines Prozentsatzes des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs des Unternehmens bestimmt wird. Der Begriff „Unternehmen“ ist auch zu berücksichtigen, um die tatsächliche oder materielle Leistungsfähigkeit des Adressaten der Geldbuße zu beurteilen und so zu überprüfen, ob die Geldbuße sowohl wirksam und verhältnismäßig als auch abschreckend ist.

Aus den Aufsichtsbehörden

• Datenschutzaufsicht Bayern (BayLfD): „Strafanzeige als technisch-organisatorische Maßnahme nach Hackerangriff?“ – Kurzinformation mit Stand vom 01.02.2025
• Datenschutzaufsicht Sachsen-Anhalt: „Safer Internet Day am 11.02.2025 unter dem Motto: "Keine Likes für Lügen! Erkenne Extremismus, Populismus und Deepfakes im Netz" – Pressemitteilung vom 10.02.2025
• Datenschutzaufsicht Bremen: „Empfehlungen zum Einsatz von KI-Anwendungen von Anbietern außerhalb der Europäischen Union, die keinen gesetzlichen Vertreter in der EU benannt haben“ – Pressemitteilung vom 12.02.2025
• Datenschutzaufsicht Niedersachsen: „Datenschutzbeauftragte besorgt: Videoüberwachung nimmt rapide zu“ – Pressemitteilung vom 13.02.2025
• Datenschutzaufsicht Hamburg: „Ein Lobbyregistergesetz, das sich sehen lassen kann“– Pressemitteilung vom 13.02.2025
• Datenschutzaufsicht Bayern (BayLDA): „Frau, Mann und dann? Geschlechtliche Diversität und datenschutzrechtliche Anforderungen – was ist „erforderlich“?“ – Pressemitteilung vom 14.02.2025
• Datenschutzaufsicht Baden-Württemberg: „Prüfverfahren gegen DeepSeek eingeleitet“  – Pressemitteilung vom 14.02.2025