Seit über 4 Jahren gilt nun in der Europäischen Union sowie Island, Lichtenstein und Norwegen die Datenschutz-Grundverordnung (DSGVO). Diese Verordnung setzt seitdem einen einheitlichen Datenschutzrahmen, indem sie den Umgang mit personenbezogenen Daten reglementiert. Während zunächst die konkrete Umsetzung der DSGVO eher schleppend vorangetrieben wurde, drängen Datenschutzbehörden und Gerichte in ganz Europa zunehmend auf deren Einhaltung. In diesem Artikel geben wir euch einen Überblick über die wichtigsten Entscheidungen der vergangenen Monate.
Die DSGVO im Überblick
Obwohl die Themen Datenschutz und Privatsphäre im Kontext der Digitalisierung gesellschaftlich stark diskutiert werden, sind vielen Menschen die konkreten Inhalte der DSGVO nicht wirklich klar. Deshalb möchten wir hier kurz die wichtigste Grundsätze zusammenfassen. [1]
1. Verbot mit Erlaubnisvorbehalt
Personenbezogene Daten dürfen nur nach ausdrücklicher Erlaubnis der Betroffenen erhoben, verarbeitet oder genutzt werden.
2. Datensparsamkeit
Es dürfen lediglich benötigte Daten erhoben und verarbeitet werden.
3. Zweckbindung
Personenbezogene Daten dürfen nur zu dem ursprünglichen Zweck verarbeitet werden.
4. Datenrichtigkeit
Daten müssen richtig und aktuell sein.
5. Datensicherheit
Personenbezogene Daten müssen angemessen geschützt werden.
6. Recht auf Vergessenwerden
Die Betroffenen haben einen Anspruch auf löschen oder sperren personenbezogener Daten.
7. Recht auf Datenübertragbarkeit
Betroffene haben das Recht personenbezogene Daten zu einem anderen Anbieter mitzunehmen.
8. Rechenschaftspflicht
Aufsichtsbehörden können Nachweise zur Einhaltung der Datenschutzprinzipien verlangen.
Aktuelle Entscheidungen europäischer Behörden und Gerichte
Google Analytics verstößt gegen die DSGVO
Die aktuell bekanntesten Entscheidungen von Gerichten und Datenschutzbehörden in Europa betreffen die Nutzung von Google Analytics. Nach im Januar 2022 zunächst die österreichische Datenschutzbehörde die Einbindung des Analysetools auf Websites als Verstoß gegen die DSGVO gewertet hat, betitelten auch die französische CNIL (Commission nationale de l’informatique et des libertés) sowie die entsprechende Behörde in Italien die Nutzung von Google Analytics als illegal. Der Hauptgrund dieser Einschätzung ist demnach der Transfer der personenbezogenen Daten europäischer Bürger in die USA, die keine ähnlich hohen Datenschutzstandards aufweisen. Da sich dieser Kritikpunkt mit den aktuellen technischen Einstellungen der Software nicht umgehen lässt, ist keine Besserung der Situation in Sicht und somit bleibt die Nutzung vorerst nicht mit europäischem Recht vereinbar. Hinsichtlich der Entscheidungen entsprechender nationaler und europäischer Behörden ist sogar eher davon auszugehen, dass diesbezügliche Verstöße künftig öfter rechtlich geahndet werden. [2, 3, 4]
Microsoft Teams, Zoom & WebEx nicht vereinbar mit europäischem Datenschutz
Mit der vermehrten Nutzung von Videokonferenz-Tools im Zuge der Pandemie haben auch Datenschutzbehörden intensiv die gängigen Lösungen geprüft. Die umfassendste Prüfung hat der Berliner Datenschutzbeauftrage durchgeführt. Demnach sind die gängigen Videokonferenz-Tools (insb. Google Meet, Microsoft Teams, Zoom & WebEx) nicht mit den rechtlichen Rahmenbedingungen der DSGVO vereinbar. Eines der Hauptprobleme ist erneut der Datentransfer an Drittländer. [5]
Office 365 verschwindet aus öffentlichen Behörden und Schulen
Während zu Beginn der Pandemie voreilig zu bekannten Lösungen gegriffen wurde, um die Digitalisierung von Behörden, insbesondere Schulen, voranzutreiben, kritisieren Datenschutzbehörden die Nutzung einiger Software-Lösungen mittlerweile scharf und fordern ein Ende des Einsatzes solcher Tools, die den Datenschutzstandards nicht entsprechen. So haben u.a. die Datenschutzbeauftragen von Baden-Württemberg und Rheinland-Pfalz kürzlich angekündigt die Duldung von Microsoft 365 in Schulen auslaufen zu lassen zum Ende des Schuljahres. Somit sind Schulen und andere Behörden nun verpflichtet alternative Software, die nicht die bekannten Datenschutzprobleme aufweisen, zu nutzen. [6, 7]
Mehrfache Millionenstrafen für Meta, Amazon & Co.
Abgesehen von weitreichenden rechlichen Konsequenzen, werden auch immer öfter Geldstrafen gegen private Unternehmen verhängt bei Verstößen gegen die DSGVO. So musste Meta kürzlich eine Strafe in Höhe von etwa 18 Millionen Euro zahlen aufgrund einer Klage der irischen Datenschutzkommission. Im Jahr zuvor wurde von derselben Behörde eine Strafe von 225 Millionen Euro gegen Whatsapp (ebenfalls Meta) verhängt. Im Juli desselben Jahres hat auch die luxemburgische Datenschutzbehörde eine Geldstrafe von knapp 900 Millionen Euro gegen Amazon ausgesprochen wegen Verstößen gegen die DSGVO. Unzählige weitere Urteile zeigen ebenfalls den laschen Umgang von großen Konzernen mit dem Thema auf. Generell ist laut der DSGVO eine Geldbuße von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes bei Verstößen vorgesehen. In einem Grunsatzurteil hat der Europäische Gerichtshof entschieden, dass auch Verbraucherverbände gegen Verstöße gegen die DSGVO klagen dürfen, ohne dass eine Verletzung konkreter Rechte von Betroffenen vorliegt. Somit ist anzunehmen, dass die Anzahl der Klagen bei groben Verstößen in den kommenden Jahren weiter zunehmen wird. [8, 9, 10]
Hohe Geldstrafen für Clearview AI
Das US-amerikanische Unternehmen Clearview AI ist spezialisiert auf KI-gestützte Gesichtserkennung. Mit mehr als 10 Milliarden Bildern in der Datenbank behauptet das Unternehmen die größte Datenbank weltweit zu haben und in den nächsten Jahren in der Lage zu sein fast jede Person weltweit identifizieren zu können. Die Bilder stammen hauptsächlich aus sozialen Netzwerken und anderen Online-Quellen. Im Gegensatz zu den vorher genannten Verstößen gegen die DSGVO liegt in dem Fall zusätzlich das Problem vor, dass die Betroffenen, deren Bilder ungefragt aus Social Media in die Datenbank von Clearview AI aufgenommen werden, nie die Möglichkeit hatten, der Nutzung der Bilder durch das Unternehmen zu widersprechen. Diese Praxis stößt in einigen Ländern der Europäischen Union auf Widerstand. Datenschutzbehörden in Griechenland, Frankreich, Italien, Österreich und dem Vereinigten Königreich prüfen aktuell den Fall oder haben bereits Geldstrafen in Millionenhöhe ausgeprochen. [11]
Datenschutz bei ViOffice
ViOffice wurde aus dem Bedürfnis heraus gegründet, nachhaltige, europäische und sichere IT-Dienstleistungen sozial verträglich zur Verfügung zu stellen. Unser technischer Fokus liegt dabei klar auf der Förderung von leicht bedienbarer Open Source Software sowie auf der Stärkung des Datenschutzes und der Privatsphäre. Alle unsere Server stehen in Deutschland und die Daten unserer Nutzer:innen werden zu keinem Zeitpunkt an Dritte weitergegeben. Mit unserem Ansatz gehen wir in weiten Teilen sogar über die Anforderungen der DSGVO hinaus.
ViOffice verfolgt den Ansatz des Daten-Minimalismus. Die ViOffice-Dienste erfassen und speichern lediglich die Informationen, welche für die Nutzung absolut nötig sind, wie beispielsweise die Daten, die Nutzende selbst in die Cloud hochladen und Informationen, die für den Betrieb von ViOffice rechtlich nötig sind. Ausdrücklich nicht gespeichert werden zum Beispiel Informationen und Zeitprotokolle zu Dateizugriffen, Konversationsverläufe und entsprechende Meta-Daten. Dies geschieht so weit möglich auch durch Client-seitige Verschlüsselung (also lokal auf den Endgeräten der Nutzenden), noch bevor es unsere Server erreicht.
Auch in unserem Web-Analytics Tool, ViOffice Analytics, liegt unser Fokus auf dem Datenschutz und der Privatsphäre. Vioffice Analytics basiert auf der Open Source Software Umami. Dieses ist ein einfach zu bedienendes, „leichgewichtiges“ Analytics-Tool, das Euch volle Kontrolle über die gesammelten Daten ermöglicht, ohne Einblicke Dritter bei gleichzeitger Bewahrung der Privatsphäre Eurer Besucher:innen sowie Nutzer:innen. ViOffice Analytics setzt keine Cookies und analysiert nicht das individuelle Verhalten der Nutzenden, sondern sammelt aggregierte Traffic-Daten (Traffic-Tracking statt User Tracking). Dadurch erhaltet Ihr die benötigten, hilfreichen Informationen und bleibt dennoch ethisch, rechtlich und technisch auf der sicheren Seite. Es wird nicht einmal ein lästiges Cookie-Banner auf einer Website benötigt.
Quellen
[1] Haucke, Annika (2022): Das müssen Sie 2022 über die Datenschutzgrundverordnung wissen. Online unter: https://www.e-recht24.de/datenschutzgrundverordnung.html [17.05.2022].
[2] Lewanczik, Niklas (2022): Google Analytics verstößt gegen europäisches Datenschutzrecht. Online unter: https://onlinemarketing.de/digitalpolitik/google-analytics-verstoesst-gegen-datenschutzrecht [13.01.2022].
[3] noyb (2022): CNIL decides EU-US data transfer to Google Analytics illegal. Online unter: https://noyb.eu/en/update-cnil-decides-eu-us-data-transfer-google-analytics-illegal [05.04.2022].
[4] Ikeda, Scott (2022): Italy Bans Google Analytics Over Improper EU-US Data Transfers. Online unter: https://www.cpomagazine.com/data-protection/italy-bans-google-analytics-over-improper-eu-us-data-transfers/ [05.07.2022].
[5] Berliner Beauftragte für Datenschutz und Informationsfreiheit (2021): Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten. Online unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/orientierungshilfen/2021-BlnBDI-Hinweise_Berliner_Verantwortliche_zu_Anbietern_Videokonferenz-Dienste.pdf [18.02.2021].
[6] Westphal, André (2022): Microsoft 365 wird wohl aus Schulen in Baden-Württemberg verschwinden. Online unter: https://stadt-bremerhaven.de/datenschutz-microsoft-365-wird-wohl-aus-schulen-in-baden-wuerttemberg-verschwinden/ [25.04.2022].
[7] SWR Aktuell (2022): Schulen in RLP dürfen Microsoft-Software Teams nicht mehr nutzen. Online unter: https://www.swr.de/swraktuell/rheinland-pfalz/duldung-microsoft-teams-in-rlp-schulen-lauft-aus-100.html [27.06.2022].
[8] Biselli, Anna (2022): 210 Millionen Euro Strafe gegen Google und Facebook. Online unter: https://netzpolitik.org/2022/frankreich-210-millionen-euro-strafen-gegen-google-und-facebook/ [06.01.2022].
[9] Gurkmann, Jutta (2022): Datenschutzverstöße von Meta und Co. EuGH bestätigt weitreichende DSGVO-Klagebefugnis von Verbraucherverbänden. Online unter: https://www.vzbv.de/urteile/datenschutzverstoesse-von-meta-und-co-eugh-bestaetigt-weitreichende-dsgvo-klagebefugnis-von [28.04.2022].
[10] Datenschutzexperte.de (2022): Bußgeldkatalog bei Datenschutzverstößen. Online unter: https://www.datenschutzexperte.de/datenschutz-bussgeldkatalog/
[11] noyb (2022): Zweite 20 Mio. € Geldstrafe für Clearview AI. Online unter: https://noyb.eu/de/zweite-20-mio-eu-geldstrafe-fuer-clearview-ai [13.07.2022].
Pascal gründete gemeinsam mit Jan im Herbst 2020 ViOffice. Dabei kümmert er sich vor allem um das Marketing, die Finanzen und Sales. Nach seinen Abschlüssen in der Politikwissenschaft, der Volkswirtschaftslehre und der angewandten Statistik ist er weiterhin in der wissenschaftlichen Forschung tätig. Mit ViOffice möchte er für alle den Zugang zu sicherer Software aus Europa ermöglichen und insbesondere gemeinnützige Vereine bei der Digitalisierung unterstützen.