DatenschutzWoche vom 22. April 2024

EDSA-Stellungnahme zu „Consent or Pay“-Modellen

Am 17. April hat der Europäische Datenschutzausschuss seine Stellungnahme zu den datenschutzrechtlichen Anforderungen an „Consent or Pay“-Modelle veröffentlicht. Dabei werden die Nutzerinnen und Nutzer von großen Online-Plattformen vor die Wahl gestellt, entweder der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbezwecke zuzustimmen oder eine kostenpflichtige Alternative des Dienstes zu nutzen.

Eine datenschutzrechtskonforme Umsetzung der „Consent or Pay“-Modelle setzt nach Art. 7 Abs. 4 DSGVO die Freiwilligkeit der Einwilligung voraus. Hierbei dürfen die erhobenen Gebühren nicht so hoch sein, dass sie eine freie Entscheidung ausschließen.

Der EDSA ist hier eher restriktiv in seiner Auslegung. Er erinnert daran, dass personenbezogene Daten nicht als handelbare Ware betrachtet werden können und dass das Grundrecht auf Datenschutz nicht in eine kostenpflichtige Funktion umgewandelt werden darf. Daher brauche es nach EDSA-Ansicht nicht nur eine kostenpflichtige, sondern auch eine „gleichwertige“ Alternative zur personbezogenen Werbung. Denkbar wäre beispielsweise Werbung, für die weniger oder gar keine personenbezogenen Daten verarbeitet werden.

LG Bochum zu Informationspflichten bei Schwachstellen in IoT-Produkten

In einem Urteil vom 23.11.2023 (Az. I-8 O 26/23) hat das LG Bochum entschieden, dass Hersteller und Händler Verbraucher über Warnungen des BSI und die zugrunde liegenden Sicherheitslücken in IoT-Produkten informieren müssen.

Gegenstand des Verfahrens war ein Rechtsstreit zwischen dem Verbraucherzentrale Bundesverband (VZBV) und einem Hersteller. Eine Schwachstelle in einem funkbetriebenen Türschlossantrieb hatte es Angreifern ermöglicht, die Tür aus der Nähe unbefugt zu öffnen und zu verriegeln. Der Hersteller hatte auf seiner Website über die öffentliche Warnung des BSI informiert.

Dem VZBV ging dies nicht weit genug. Eine Information auf der Website des Herstellers reiche nicht aus, um über die bestehenden Sicherheitsrisiken aufzuklären. Das Gericht gab dem VZBV recht und entschied, dass der veröffentlichte Hinweis nicht ausreichend war.

Nach Auffassung des Gerichts sei das Vorhandensein einer Schwachstelle im Türschloss für den Verbraucher eine wesentliche Information, da neben der immanenten Gefahr des gewaltsamen Aufbrechens eine weitere Möglichkeit des unbefugten Eindringens geschaffen werde, die keine sichtbaren Spuren hinterlasse. Außerdem sei die Information über die Schwachstelle dem Verbraucher vorenthalten worden, da der Hersteller auf seiner Internetseite selbst keine Produkte an Verbraucher vertreibe, sondern der Vertrag zwischen dem Verbraucher und dem jeweiligen Einzelhändler geschlossen würde.

Die Entscheidung ist auch aus datenschutzrechtlicher Sicht interessant und zeigt, dass Unternehmen die Cybersicherheit ihrer Produkte ernst nehmen und konsequent umsetzen müssen. Ein geschützter Kanal für Sicherheitsupdates kann Gefahren beseitigen und behördliche Warnungen überflüssig machen. Zukünftig wird der Cyber Resilience Act Hersteller von Produkten mit digitalen Elementen ohnehin zu entsprechenden Maßnahmen verpflichten.

Internationale Nachrichten

• Italien/Deutschland: Die italienische Datenschutz-Aufsichtsbehörde (Garante) und der Bundesdatenschutzbeauftragte haben sich zu einem bilateralen Austausch am Comer See getroffen.
• Europa: Der Europäische Datenschutzausschuss hat einen Arbeitsplan für die Jahre 2024-2027 veröffentlicht.
• Griechenland: Die griechische Datenschutzaufsichtsbehörde hat gegen das griechische Ministerium für Migration und Asyl eine Geldbuße in Höhe vom 175.000 Euro verhängt.

Aktuelle Gerichtsentscheidungen

• LG Freiburg, Urteil vom 20.09.2023, Az. 8 O 50/23 (juris): Wegen Datenschutzverstößen im Zusammenhang mit Scraping hat die Klagepartei gemäß Art. 82 Abs. 1 DSGVO Anspruch auf den Ersatz eines immateriellen Schadens in Höhe von 300 €.
• LG Bochum, Urteil vom 23.11.2023, Az. I-8 O 26/23 (Volltext): Schwachstellen in einem IoT-Türschloss sind eine wesentliche Information i.S.v. § 5a UWG. Der Hersteller muss den Verbraucher darüber vor Vertragsschluss informieren.
• BGH, Urteil vom 06.02.2024, Az. VI ZR 62/23 (Volltext): Schreiben einer Versicherung an die betroffene Person sind nur insoweit personenbezogen, wie sie Informationen über die betroffene Person enthalten.
• AG Hamburg-St.Georg, Urteil vom 05.03.2024, Az. 924 C 203/23 (BeckRS 2024, 7119): Rechtsschutzversicherung muss die Deckung für die außergerichtliche und erstinstanzliche Geltendmachung von Ansprüchen wegen Scraping übernehmen.
• AG Berlin-Charlottenburg, Beschluss vom 25.03.2024, Az. 224 C 484/23 (BeckRS 2024, 6936): Verhängung eines Zwangsgeld in Höhe von 300 Euro für die Erteilung einer Auskunft und einer Datenkopie nach Art. 15 DSGVO; ersatzweise ein Tag Zwangshaft für je 100 €.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragte*r: „Regierung einigt sich: Bonner Professorin wird neue Datenschutzbeauftragte“ – Tagesspiegel vom 15.04.2024
• Datenschutzkonferenz: „Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 12. April 2024“
• Datenschutzaufsicht Baden-Württemberg: „LfDI sucht kommunale Champions: Wettbewerb zu Datenschutz und Informationsfreiheit“ – Pressemitteilung vom 18.04.2024
• Datenschutzaufsicht Brandenburg: „Tätigkeitsbericht Datenschutz 2023“ – Pressemitteilung vom 22.04.2024