DS-GVO Verstoß: Amazon soll 746 Millionen Euro Strafe zahlen

DS-GVO Verstoß: Amazon soll 746 Millionen Euro Strafe zahlen

Der Internetriese Amazon wurde in Luxemburg wegen eines Verstoßes gegen die DSGVO zu einer Strafe von 746 Millionen Euro verurteilt. Wir haben das Urteil und die Hintergründe im Detail analysiert.

Die Luxemburger Datenschutzbehörde CNPD (Commission Nationale pour la Protection des Données) hat dem US-Konzern eine Strafe von fast einer Dreiviertel Milliarde Euro auferlegt. Ausschlaggebend soll ein bislang nicht von offizieller Seite erläuterter Verstoß gegen die DSGVO sein. Das Großherzogtum Luxemburg ist Sitz der Europäischen Tochtergesellschaft von Amazon, daraus ergibt sich auch die Zuständigkeit der Behörde.

Hintergründe zum Urteil

Auslöser für das aktuelle Urteil ist eine mehr als drei Jahre zurückliegende und durch die Aktivisten der französischen Organisation La Quadrature du Net initiierte Sammelklage. Mehr als 10.000 in Frankreich ansässige Personen schlossen sich der Klage an. In einem Blogpost vom 30. Juli 2021 begrüßt die Organisation die Entscheidung und sieht sich durch das aktuelle Urteil final bestätigt: zielgerichtete Werbung auf Amazon beruhe nicht auf freier Zustimmung des Nutzers und verstoße deswegen gegen die DSGVO.

Was wird Amazon genau vorgeworfen?

Amazon listet in seiner Datenschutzerklärung Beispiele für Informationen, die bei der Nutzung seiner Dienste verarbeitet werden. Dazu zählen (amazon.de Datenschutzerklärung Stand 04.12.2020):

gesuchte Produkte und Dienstleistungen in den Stores

  • heruntergeladene, gestreamte oder angezeigte Inhalte
  • Bilder, Videos und andere Dateien, die auf Prime Photos, Amazon Drive oder andere Amazon-Services hochgeladen oder gestreamt werden
  • Logins, Email Adressen und Passwörter
  • IP-Adressen
  • URL Clickstream, d.h. Reihenfolge der Seiten, die aufgerufen werden, einschließlich Datum und Zeit, sowie Interaktion zwischen den Seiten (z.B. Scrolling, Klicken, Mouse-overs)

Die Erfassung und Weiterverarbeitung dieser Daten sei laut Anklage weder durch berechtigte Interessen gedeckt, noch durch eine Notwendigkeit im Zuge der Vertragserfüllung. Außerdem werde durch Amazon vom Nutzer keine explizite Zustimmung zum Ad-Tracking eingeholt.

Mit dem Urteil bestätigt nun die luxemburgische Datenschutzbeh , dass Amazon personenbezogene Daten rechtswidrig weiterverarbeitet. Die ursprüngliche Klage vom 28. Mai 2018 ist auf der Webseite von La Quadrature du Net als Download in französischer Sprache  .

Wer ist La Quadrature du Net?

La Quadrature du Net wurde 2008 von fünf französischen Aktivisten gegründet und hat seine Wurzeln in der Opposition der Urheberrechts-Gesetzgebung in Frankreich. Auf ihrer Webseite präsentiert sich die Organisation als „Verteidiger der Grundfreiheiten in der digitalen Welt“. Ziel sei es, gegen „Zensur und Überwachung, sowohl von stattlicher Seite als auch von privaten Unternehmen“ zu kämpfen und für ein „freies, dezentrales und ermächtigendes Internet“ zu arbeiten.

Amazon widerspricht den Anschuldigungen

Publik gemacht hat die Entscheidung Amazon selbst, in einem Quartalsbericht für die Börsenaufsichtsbehörde SEC (Securities and Exchange Commission). Dort finden sich unter Rubrik „Legal Proceedings“ ein paar Zeilen zum Sachverhalt. Neben der Höhe der Strafzahlung wird als Datum für das Urteil der 16. Juli 2021 genannt. Außerdem wird kurz angemerkt, dass neben der Zahlung auch eine entsprechende Überarbeitung der Geschäftspraxis (corresponding practice revisions) Teil der Auflagen sei. Die exakte Art des Verstoßes bleibt auch hier weitgehend im Unklaren, es wird lediglich erwähnt, bei den Vorwürfen gehe es um die nicht DSGVO-konforme Verarbeitung persönlicher Daten.

Auch hierzu hat sich La Quadrature du Net im bereits erwähnte Blogpost geäußert: es gehe bei der Klage auch gar nicht um gelegentliche Verletzungen der Sicherheitsstandards, sondern um das System der gezielten Werbung an sich .

Rekordzahlung möglich

Sollte Amazon mit seiner Berufung erfolglos bleiben, würde es sich um die höchste Strafe handeln, die je ein Unternehmen wegen eines Verstoßes gegen die DS-GVO zahlen muss. Rund 15 mal mehr, als die 50 Millionen Euro, zu denen Google im Jahr 2019 verurteilt wurde.

Aber man muss die Summe von 746 Millionen Euro auch in den Gesamtkontext einordnen und den möglichen Strafrahmen betrachten. Laut DS-GVO können Strafzahlungen bis zu vier Prozent des Jahresumsatzes betragen und der lag bei Amazon im Jahr 2020 bei rund 380 Milliarden Dollar. 746 Millionen Euro entsprächen da gerade einmal 0,22 Prozent.

Die Datenschützer von La Quadrature du Net jedenfalls feiern die Entscheidung, die Geldstrafe sei historisch und treffe direkt ins Herz des „Raubtiersystems Big Tech“. Gleichzeitig kritisieren sie die Irische Datenschutzbehörde, die es in drei Jahren nicht geschafft habe, eine ihrer anderen Beschwerden gegen Facebook, Microsoft, Apple und Google zum Abschluss zu bringen.

Letztendlich bleibt es spannend, wie sich das Ringen zwischen Datenschützern und Tech-Giganten zukünftig gestalten wird. Noch höhere Strafen sind durchaus wahrscheinlich.

 

Neue Regeln für Cookies – Bundestag beschließt neues TTDSG

Neue Regeln für Cookies – Bundestag beschließt neues TTDSG

Am 20. Mai 2021 wurde das neue Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (kurz TTDSG) verabschiedet. Es wird ab dem 1.12.2021 in Kraft treten. Ein wichtiger Bestandteil dieses Gesetzes betrifft die Neuregelung über die Verwendung von Cookies, die im Paragrafen 25 festgelegt worden ist.

 

Was ist neu und muss künftig beachtet werden?

Zum Schutz der Privatsphäre der Nutzer von Endeinrichtungen können Cookies zukünftig grundsätzlich nur nach vorheriger Einwilligung verwendet werden. Darüber ist der jeweilige Nutzer im Vorfeld klar und umfassend zu informieren.

Ausnahmen von dieser Regelung gelten hauptsächlich für technisch notwendige Cookies. Zu diesen Ausnahmen gehören:

  • Cookies, die notwendig sind, um die Durchführung von Datenübertragung in einem öffentlichen Telekommunikationsnetz zu gewährleisten.
  • Cookies, die notwendig sind, um Daten für einen Telemediendienst zu übermitteln, dem der Nutzer bereits zugestimmt hat.

Damit soll gewährleistet werden, dass Tracking- oder Werbecookies nur nach vorheriger Information und Einwilligung des Endnutzers verwendet werden dürfen.

 

Hohe Bußgelder drohen bei ordnungswidrigem Verhalten

Das Speichern von Informationen in Form von Cookies ohne Information und Einwilligung ist eine Ordnungswidrigkeit. Dabei ist es unerheblich, ob der Vorgang vorsätzlich oder fahrlässig erfolgt. Je nach Umfang und Schwere des Vergehens gibt es Bußgelder in unterschiedlicher Höhe in den Staffelungen:

  • Bis zu Euro 10.000
  • Bis zu Euro 50.000
  • Bis zu Euro 100.000
  • Bis zu Euro 300.000

Das neue Gesetz sieht zusätzlich vor, dass der Browser des Endnutzers die von ihm vorgenommenen Einstellungen bezüglich der Nutzung von Cookies zu beachten hat.

 

Welche Voraussetzungen gelten für Dienste zur Einwilligungsverwaltung von Cookies?

Der Gesetzgeber stellt hohe Ansprüche an die Verwalter von Cookie Einwilligungen:

  • Nutzerfreundliche und wettbewerbskonforme Verfahren
  • Technische Voraussetzungen für die Einholung und Verwaltung von Einwilligungen
  • Kein wirtschaftliches Eigeninteresse an der Datenerfassung
  • Unabhängigkeit von kommerziellen Unternehmen
  • Keine weitere Nutzung der gespeicherten Daten
  • Sicherheitskonzept bezüglich aller Erfordernisse des Datenschutzes
  • Hohe Qualitätsstandards in Bezug auf Zuverlässigkeit

Exakte Vorgaben für die Einwilligungsverwaltungsdienste werden noch bis zum Inkrafttreten des Gesetzes am 1.12.2021 in einer Rechtsverordnung festgelegt.

Apples neue Liebe zum Datenschutz

Apples neue Liebe zum Datenschutz

Mit den aktuellen Updates seiner mobilen Betriebssysteme will Apple die Daten seiner Nutzer besser schützen und ihnen einfache Kontrollmechanismen über die Weiterverarbeitung ihrer persönlichen Daten an die Hand geben. Zur Freude vieler User und zum Ärger großer Online-Konzerne.

Im Fokus steht dabei das so genannte Tracking, also das seiten- oder appübergreifende Sammeln von Nutzerdaten. Dabei kann eine Flut von Informationen gesammelt und zu Profilen zusammengeführt werden, die wiederum gezielte Werbeeinspielungen ermöglichen. Damit lässt sich viel Geld verdienen und der Handel mit Nutzerdaten ist ein äußerst profitables Geschäft.

Dem schiebt Apple zunehmend einen Riegel vor, ab einem Update auf das Betriebssystem iOS 14.5 können Nutzer selbst entscheiden, ob Apps sie zu Marketing- und Werbezwecken verfolgen dürfen. Apps müssen seitdem beim Nutzer anfragen, ob dieser dem Tracking zustimmt. In den Einstellungen können Regeln für verschiedene Apps individuell festgelegt und verwaltet, oder das Tracking generell deaktiviert werden – dann wird jede Anfrage einer App automatisch abgelehnt.

Firmen und Werbebranche in Aufruhr

Dabei ist zu erwarten, dass sich wohl nur wenige Nutzer aktiv für das Freigeben ihrer Daten  entscheiden werden und sich zudem die Mühe machen, in den Datenschutz-Einstellungen ihres iPhones  Einzelfallregelungen für bestimmte Applikationen zu erstellen. Viel wahrscheinlicher ist es, dass sie das Tracking einfach komplett unterbinden. Und in Anbetracht wegbrechender Einnahmen gibt es schnell Kritik an Apples Strategie. Von unfairem Wettbewerb ist dabei die Rede. Apple wolle kostenlose und durch Werbung finanzierte Apps vom Markt verdrängen, Nutzern blieben dann nur kostenpflichtigen Apps, an denen Apple durch den Verlauf im App-Store mitverdiene. Zudem kritisieren Verbände, dass Apple selbst weiterhin Nutzerdaten sammle, während Wettbewerber an der kommerziellen Verarbeitung der Nutzerdaten gehindert werden. Als Folge dieser Entwicklung haben in Deutschland acht Verbände der Medien- und Werbewirtschaft Beschwerde beim Bundeskartellamt  , das Verfahren ist bereits eingeleitet.

Datenschutz als zentrales Thema

Apple widerspricht den Anschuldigungen und zeigt sich unbeeindruckt vom starken Gegenwind.  „Wir von Apple glauben, dass Datenschutz ein Grundrecht ist“ verkündet Softwareentwickler Craig Federighi am 7. Juni 2021 auf der WWDC21, der World Wide Developers Conference. Ähnliche Formulierungen finden sich auf der Webseite des Konzerns, wo vom Datenschutz als „Kernwert“ die Rede ist.

Aber woher kommt nun Apples demonstrative Liebe zum Datenschutz? Kritiker sehen neben den möglichen Einnahmen über den App-Store auch weitergehende finanzielle Interessen. Denn Apples Business ist der Verkauf hochpreisiger Hardware und die Message an die Nutzer mobiler Endgeräte ist mehr als deutlich: auf unseren Geräten sind Ihre Daten vor fremdem Zugriff geschützt. In Zeiten eines zunehmenden Sicherheitsbewusstseins könnte das viele Nutzer, denen Apples Hardware bisher zu teuer war, dazu bewegen, künftig doch die Premiumpreise des Unternehmens aus Cupertino zu bezahlen. Zumal die weitaus günstigere Konkurrenz Apple hier  noch hinterher hinkt und bislang wenig Interesse zeigte, das Thema Datenschutz offensiv in den Fokus zu rücken. Zwar sollen bei Android bis Ende des Jahres ebenfalls neue Datenschutz-Maßnahmen umgesetzt werden, allerdings müssen Nutzer dem Tracking hier durch einen Opt-Out aktiv widersprechen, was weitaus geringere Ablehnungsraten als bei einem Opt-In erwarten lässt.

Datenschutz als Grundrecht – aber auch für alle?

Das mehr oder weniger in sich geschlossenes System gilt in der allgemeinen Wahrnehmung seit jeher als sicher, über den App-Store können nur durch Apple geprüfte und zertifizierte Applikationen installiert werden. Viren und Angriffe durch Schadsoftware waren für Apple-Betriebssysteme lange kein Thema. Und so setzte jeder, der besonderen Wert auf Sicherheit legte, auf die Produkte aus Cupertino .

Aber der Mythos vom sicheren Apfel fängt auch an zu bröckeln und Apples Glaubwürdigkeit steht zunehmend auf dem Prüfstand. Laut Recherchen der New York Times soll Apple Schutz der Daten chinesischer Nutzer durchaus Kompromisse eingegangen sein. China ist nicht nur ein riesiger Markt für Apple, sondern auch wichtigster Fertigungspartner. Gewisse Abhängigkeiten sind nicht zu leugnen und die chinesische Führung stellt zunehmend Forderungen. So sollen Server mit Nutzerdaten unter der Kontrolle chinesischer Firmen stehen, moderne Verschlüsselungstechniken nicht zum Einsatz kommen und unliebsame Anwendungen im App-Store zensiert werden.

Apple erwidert auf entsprechende Vorwürfe, man halte sich an die in China geltenden Gesetze und unternehme alles, um die Daten der Nutzer zu schützen.

Neue Kräfteverteilung?

Den Nutzern hierzulande dürfte das die Freude an den neuen Datenschutz-Features wohl nur bedingt verderben. Und für Apple könnte sich die verstärkte Ausrichtung auf den Datenschutz durchaus lohnen. Konkurrent Android beherrscht aktuell den Markt, könnte aber Nutzer verlieren, wenn nicht bald ähnliche Lösungen folgen. Und durch die enge Verknüpfung von Android mit Google Diensten würden verschärfte Datenschutzrichtlinien wohl auch mit einer Kannibalisierung der eigenen Einnahmen durch personalisierte Werbung einhergehen. Für die Verantwortlichen nicht gerade ein großer Anreiz schnell aktiv zu werden. Und so könnte sich Apples neue Liebe zum Datenschutz durchaus auf die Kräfteverteilung auf dem Mobilfunkmarkt auswirken.

 

Noyb startet Beschwerdewelle gegen Cookie-Banner

Noyb startet Beschwerdewelle gegen Cookie-Banner

Beschwerdewelle gegen Cookie-Banner

Noyb startet Beschwerdewelle gegen Cookie-Banner

Die Datenschutzorganisation Noyb übermittelt Beschwerden an mehr als 500 Firmen in Europa und den USA, die auf ihren Webseiten rechtswidrige Cookie-Banner verwenden.

Initiator und Vorstandsvorsitzender von Noyb ist der österreichische Jurist und Datenschutzaktivist Max Schrems. Seine Klagen vor dem Europäischen Gerichtshof beendeten das Safe Harbour Abkommen aus dem Jahr 2000 und den Privacy Shield von 2016. Die Urteile „Schrems I“ und „Schrems II“ gelten heute als Meilensteine im Bereich des Datenschutzes. Mit der aktuellen Beschwerdewelle geht Schrems gegen die weit verbreitet nicht rechtskonformen Cookie-Banner auf den Webseiten großer Unternehmen vor.

Cookies sind kleine Datenpakete, die von Browsern und Webseiten erzeugt und auf Endgeräten gespeichert werden. Dort erfassen sie nutzerbezogene Informationen und stellen diese Webseitenbetreibern zur Verfügung. Die können daraus Statistiken erstellen, Rückschlüsse auf das Surfverhalten der Seitenbesucher ziehen und Nutzerprofile erstellen, die für Targeting-Aktivitäten verwendet werden können.

Meine Privatsphäre – None of your business

Noyb steht als Akronym für „none of your business“ – englisch für „das geht dich nichts an“. Auf ihrer Webseite www.noyb.eu informiert die Organisation über ihre verschiedenen Projekte. Aktuell hat sie es sich zur Aufgabe gemacht, gegen rechtswidrige Zustimmungsabfragen von Cookies vorzugehen. Denn wer die Einwilligung zum Setzen der Cookies und somit zur Erfassung entsprechender Daten verweigern möchte, der sieht sich mitunter mit unübersichtlichen Cookie-Bannern konfrontiert. Rechtswidrigen Bannern, wie Noyb bemängelt. User können dem Datentracking in vielen Fällen nicht einfach mit einem Klick zustimmen oder es ablehnen, so wie es im Sinne der DSGVO ist. Vielmehr sehen sie sich gezwungen, durch komplizierte Datenschutzeinstellungen zu navigieren und auf Unterseiten Einstellungen einzeln manuell durchzuführen. Irreführende Farbcodierung von Buttons und Text können den Nutzer zu täuschen und so zur – auch unbeabsichtigten – Zustimmung bewegen. Das verstoße gegen die DSGVO (Datenschutzgrundverordnung), so Noyb.

Mit einer hierfür entwickelten Software kann Noyb rechtswidrige Cookie-Banner erkennen und automatisiert Beschwerden generieren. Bis zu 10.000 Beschwerden sollen so produziert werden, die zunächst als formlose E-Mail an den Betreiber der jeweiligen Webseite zugestellt werden. Betroffene Unternehmen haben dann einen Monat Zeit, ihre Cookie-Banner entsprechend anzupassen, erst dann erfolgt eine formale Beschwerde bei der zuständigen Behörde, die dann theoretisch eine Strafe von bis zu 20 Millionen Euro verhängen kann. Geld verdient Noyb mit diesen Beschwerden nicht, anders als bei klassischen Abmahnungen entstehen den betroffenen Unternehmen keinerlei Kosten. Noyb finanziert sich ausschließlich durch Spenden der rund 4000 Mitglieder.

Was bringt die Zukunft?

Die Aktion von Noyb richtet sich gegen größere Unternehmen und wird zu einer gewissen Ungerechtigkeit führen: Unternehmen die nicht an die Behörde gemeldet werden, sind im Regelfall keiner Verfolgung ausgesetzt. Betroffene Unternehmen müssen ihren Cookie Banner wohl anpassen, was zu großen Nachteilen beim online Marketing führt. In der Praxis droht so aktuell eine willkürliche Zweiteilung zwischen Unternehmen die durch die Aktion in den Blickpunkt der Behörde kommen und solchen die in einer gewissen Grauzone weiter einen nicht ganz gesetzeskonformen Cookie Banner nutzen.

Spätestens mit Inkrafttreten des neuen TTDSG Ende 2021 wird es aber wohl absehbar sein, dass die Datenschutzbehörden die Kontrollen erhöhen werden und ein streng gesetzeskonformer Cookie Banner zum Standard wird.

Ob der Weg des „Cookieless“ Tracking in der Zukunft ein Usertracking ohne lästige Cookie Banner ermöglichen wird, bleibt abzuwarten: Denn die hier zur Zeit eingesetzten Technologien Fingerprinting, eTags und Authentication Cache erfordern ebenfalls ein Einverständnis des Users.

Google bemüht sich hier mit Google Analytics 4 (GA4) sehr, seine neue Technologie in einem datenschutzkonformen Licht dazustellen und preist ein „cookieless“ Tracking und anonymisierte IP Adressen an. Bei genauerem Hinsehen bleibt es aber auch hier beim gläsernen User und einer Mogelpackung, die ohne Einwilligung des Users nicht datenschutzkonform einsetzbar ist.

Es bleibt abzuwarten, ob es zukünftig wirklich neue Technologien und Denkansätze von Unternehmen gibt, die ein Tracking ohne Cookies und ohne lästige Banner ermöglichen und dabei gleichzeitig ohne aktive Einwilligung datenschutzkonform einsetzbar sind.

SCHREMS zu SCHREMS II am 28.10.2020

SCHREMS zu SCHREMS II am 28.10.2020

Rechtsanwalt Max Schrems zum aktuellen facebook Urteil (Schrems II – EuGH 311/18)

 

28.10.2020 – 16:00 bis 17:00 Uhr

 

Der Europäische Gerichtshof (EuGH) hat in einem wegweisenden Urteil (Urteil vom 16. Juli 2020, Rechtssache C-311/18- „Schrems II“) über Instrumente für internationale Datentransfers entschieden. Er hat den so genannten EU-Privacy Shield  (Beschluss 2016/1250 – „Privacy Shield“) für unwirksam erklärt.

Es freut uns deshalb besonders, dass wir Herrn Kollegen Max Schrems – den Kläger dieses Urteils – als Keynote Speaker gewinnen konnten, und so unseren Mandanten Informationen und Hintergründe aus erster Hand zur Verfügung stellen können.

 

Agenda:

  • Einführung und Hintergründe facebook / Schrems II Urteil
  • Live Interview mit Herrn Rechtsanwalt Max Schrems
  • Q&A: Ihre Fragen – direkt an den Referenten
  • Abschluss: Konsequenzen für die Praxis – Checkliste hierzu
Die neue Rechtslage bei Datenübermittlung in die USA

Die neue Rechtslage bei Datenübermittlung in die USA

Ausgangslage

Personenbezogene Daten können an einen Empfänger in den USA übermittelt werden, wenn besondere Garantien für ein ausreichendes Datenschutzniveau vorgesehen werden. Solche Garantien können vor allem in einem Abschluss sog. EU-Standardvertragsklauseln, dem Vorhandensein von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules) beim Empfängerunternhmen oder in einem Beschluss der Europäischen Kommission, in welchem die Beachtung eines angemessenen Datenschutzstandards durch den Empfänger bestätigt wird, gesehen werden.