Bald stehen die Weihnachtsferien an. Bestimmt fährt der ein oder andere in den Urlaub. Die Landesdatenschutzbeauftragten von Thüringen und Sachsen-Anhalt geben (nicht nur für den Urlaub) zahlreiche Tipps zum Umgang mit öffentlichen WLANs, bereitgestellten Ladekabeln usw. – so sollte man bei WLAN-Netzwerken von Hotels, Reisebussen, Cafés, Flughäfen etc., die nicht durch ein Passwort geschützt sind, sich zum Beispiel vor „WLAN Phishing“ in Acht nehmen: Hier stellen Kriminelle WLAN-Netzwerke mit Namen wie „Free Airport WiFi“ zur Verfügung oder infiltrieren echte Netzwerke, um Daten abzufangen oder Geräte mit Sicherheitslücken zu identifizieren. Abhilfe schafft ein VPN eines vertrauenswürdigen Anbieters und die Funktion abzuschalten, dass sich das Handy automatisch mit einem WLAN verbindet, wenn eines verfügbar ist. Vorsicht ist auch bei öffentlichen Ladestationen bspw. in Reisebussen geboten, die direkt Kabel zur Verfügung stellen. Diese erlauben gelegentlich auch die Datenübertragung, so könnte auch Schadsoftware eingeschleust werden. Dagegen kann man mit speziellen Kabeln oder Adaptern vorbeugen, die die Datenübertragung sperren, aber den Stromfluss weiter erlauben. Das Bundesamt für Sicherheit in der Informationstechnik hat weitere Tipps zum Thema Cybersicherheit auf Reisen sowie eine Checkliste „IT-Sicherheit im Urlaub“.
Es bahnt sich eine neue große Klage gegen Meta an: Dieses Mal klagt der österreichische Verbraucherschutzverein beim OLG Hamburg gegen die „Meta Business Tools“, mit denen Facebook und Instagram über eingebundene Tracking-Werkzeuge das Verhalten auf tausenden Webseiten und Apps überwachen. Diese Praxis ermögliche die Erstellung individueller „digitaler Fingerabdrücke“. Die Klage fordert Unterlassung, Löschung der gesammelten Daten sowie Schadensersatz in Höhe von 5.000 Euro für Erwachsene und 10.000 Euro für Minderjährige. Betroffene Personen können sich kostenfrei und ohne Risiko im Klageregister des Bundesamts für Justiz anmelden.
Eine weitere Sammelklage des Verbraucherzentrale-Bundesverbands gegen Meta richtet sich gegen ein Facebook-Datenleck, bei dem Daten von über einer halben Milliarde Facebook-Nutzer weltweit abgegriffen wurden. Über die „Freunde-finden“-Funktion ließ sich die Telefonnummer herausfinden, oft auch Name, E-Mail-Adresse, Geburtsdatum, Wohnort und Beziehungsstatus. Das Leck wurde bekannt, als die Daten vor rund vier Jahren online zum Kauf angeboten wurden.
Weiteres von den Gerichten:
Der EuGH hat das Data Privacy Framework zwischen den USA und der EU bestätigt. Die Nichtigkeitsklage gegen den Angemessenheitsbeschluss der Europäischen Kommission zum Datenschutzniveau in den USA von einem französischen EU-Abgeordneten wurde abgewiesen. Er hatte Zweifel an der Unabhängigkeit des neu geschaffenen Data Protection Review Court gehegt und Kritik an der Praxis der US-Nachrichtendienste bei der Erhebung personenbezogener Daten geübt. Nichtigkeitsklagen beziehen sich immer auf den Zeitpunkt des Erlasses des angefochtenen Klagegegenstands. Das Gericht bestätigte mit seiner Entscheidung daher nur, dass die USA – zum Zeitpunkt des Angemessenheitsbeschlusses im Jahr 2023 – ein angemessenes Datenschutzniveau gewährleistet haben. Die Unabhängigkeit des DPRC war zu diesem Zeitpunkt institutionell gesichert und auch die Datenerhebung erfüllte die vom EuGH im Urteil Schrems II formulierten Anforderungen.
Der EuGH hat sich ebenfalls mit verschiedenen Fragen zum Thema Pseudonymisierung befasst und die Bedeutung des Begriffs der personenbezogenen Daten im Zusammenhang mit der Übermittlung pseudonymisierter Daten an Dritte präzisiert. Dieser Streit ist deswegen bedeutsam, weil anonyme Daten nicht in den Anwendungsbereich der DSGVO fallen. Laut EuGH können auch pseudonymisierte Stellungnahmen, die persönliche Meinungen enthalten, personenbezogene Daten „über diese Person“ darstellen. Bei einer Weitergabe der Daten ist jedoch entscheidend, ob Empfänger die betroffene Person identifizieren können oder ob die Pseudonymisierung eine Identifizierbarkeit wirksam verhindert. Pseudonymisierte Daten sind also nicht in jedem Fall und für jede Person als personenbezogene Daten zu betrachten. Ob eine Identifizierbarkeit besteht, hängt von den Umständen ab. Entscheidend ist die Sicht des Verantwortlichen zum Zeitpunkt der Erhebung.
In einem weiteren Verfahren, diesmal mit Bezug zu Art. 82 Abs. 1 DSGVO, befasste sich der EuGH mit Schadenersatzansprüchen nach der DSGVO und stellte klar, dass auch immaterielle Schäden, zum Beispiel negative Gefühle wie Sorge, Ärger oder Scham Schadenersatzansprüche begründen können, sofern ein ursächlicher Zusammenhang zu einem Datenschutzverstoß besteht.
Vorerst verloren ging eine Klage der Verbraucherzentrale gegen die App „Lidl Plus“: Wenn Verbraucher mit ihren Daten bezahlen, ist das juristisch gesehen kein „Preis“, so das OLG Stuttgart. Die Verbraucherzentrale hatte geklagt, weil sie die Nutzung der App „Lidl Plus“ nicht wie beworben für kostenlos hält – denn Verbraucher würden die Rabatte dort mit der Preisgabe persönlicher Daten bezahlen. Lidl sollte deshalb einen „Gesamtpreis“ angeben, der die Daten mit einkalkuliert. Laut Gericht kann ein Preis aber nur ein Geldbetrag sein und keine sonstige Gegenleistung. Dass ein Unternehmen eine nicht in Geld bestehende Gegenleistung als „Gesamtpreis“ bezeichnen müsse, sei weder vom deutschen noch vom europäischen Gesetzgeber gewollt. Der Begriff „kostenlos“ bringe dem Gericht zufolge nur zum Ausdruck, dass der Verbraucher für die Nutzung der App kein Geld bezahlen müsse. Die Verbraucherzentrale kündigte an, gegen das Urteil Revision einzulegen, um das Bezahlen mit Daten höchstrichterlich klären zu lassen.
Ganz egal, ob Sie für die anstehenden Feiertage nun im Supermarkt mit oder ohne App einkaufen, wünschen wir Ihnen ein schönes Weihnachtsfest!