© Jinnaritt Thongruay/ 123RF.com

Die Datenschutzgrundverordnung (DSGVO) regelt seit 2018 den Umgang mit personenbezogenen Daten in der Europäischen Union. Seither sind bereits diverse Internet-Konzerne, Website-Betreiber, Firmen und Behörden mit den juristischen Fallstricken der Verordnung in Konflikt geraten.

In den Schlagzeilen sind, schon wegen entsprechend hohen Geldbußen, die gegen sie verhängt werden, Facebook und Whatsapp nebst Google und Konsorten. So hat im Februar die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) entschieden [1], dass der Statistikdienst Google Analytics auf Webseiten in einer bestimmten Umsetzung gegen die Datenschutzgrundverordnung verstößt. Die von Google getroffenen Vorkehrungen beim Transfer personenbezogener Daten aus der Europäischen Union in die Vereinigten Staaten seien unzureichend, um die US-Geheimdienste vom Zugang zu diesen Daten auszuschließen. Die Entscheidung der CNIL gilt zunächst nur in Frankreich.

Nachbeben des Privacy Shield

Der Entscheidung fußt auch auf Beschwerden der österreichischen Organisation Noyb von Max Schrems. Der Noyb liegen insgesamt 101 Beschwerden der EU-Staaten sowie Staaten des europäischen Wirtschaftsraums vor. Die Entscheidung der CNIL sei nun in Kooperation mit anderen europäischen Datenschutzbehörden umgesetzt worden. Österreichs Datenschutzbehörde hatte bereits eine vergleichbare Entscheidung getroffen [2].

Man darf davon ausgehen, dass die Datenschützer in anderen EU-Staaten ähnliche Entscheidungen treffen. Ziel sei es, gemeinsam Schlüsse aus dem Schrems-II-Urteil zu ziehen, lassen die Franzosen wissen. In diesem Verfahren hatte der Europäische Gerichtshof (EuGH) im Jahr 2020 den sogenannten Privacy Shield für unzulässig erklärt, der damals den Datenaustausch mit den USA regelte.

Abbildung 1: Max Schrems und seine Organisation Noyb haben den Privacy Shield gekippt. Quelle: Georg Molterer

Wie die CNIL mitteilt, sei der Transfer der Daten derzeit nicht ausreichend geregelt und die Betreiber der bemängelten Webseiten seien aufgefordert worden, ihre Auftritte in Einklang mit der DSGVO zu bringen. Empfohlen sei die Nutzung von anonymisierten Daten, um so auf eine ansonsten nötige Einwilligungspflicht der Seitenbesucher verzichten zu können. Den betroffenen Webseitenbetreiber wurde eine Frist von einem Monat gestellt, um ihre Seiten anzupassen und wahlweise auf Google Analytics zu verzichten oder zu gewährleisten, dass keine personenbezogenen Daten die EU verlassen.

Schriftliches Risiko

Das Landgericht München entschied jüngst in einem Urteil [3], dass die Einbindung von dynamischen Webinhalten wie Google Fonts von US-Webdiensten ohne Einwilligung der Besucher rechtswidrig ist. Webseitenbetreiber, die die Schriften einbinden, können damit auf Unterlassung und Schadensersatz verklagt werden. Im aktuellen Fall, den das Landgericht verhandelte, wurden dem Kläger 100 Euro Schadensersatz zugesprochen, weil bei einem Webseitenaufruf der beklagten Webseite seine IP-Adresse durch die eingebundenen Google Fonts an das US-Unternehmen weitergegeben worden seien.

“Die unerlaubte Weitergabe der dynamischen IP-Adresse des Klägers durch die Beklagte an Google stellt eine Verletzung des allgemeinen Persönlichkeitsrechtes in Form des informationellen Selbstbestimmungsrechts nach Paragraf 823 Abs. 1 BGB dar”, führte das Gericht aus. Bei dynamischen IP-Adressen handle es sich um personenbezogene Daten, da es dem Webseitenbetreiber über eine zuständige Behörde und den Internet-Zugangsanbieter abstrakt möglich sei, die betreffende Person zu identifizieren, so die Urteilsbegründung. Dem Webseitenbetreiber droht ein Ordnungsgeld von bis zu 250 000 Euro, sollte er weiterhin die IP-Adresse des Klägers bei einem Besuch der Webseite an Google weitergeben.

Im Urteil des Landgerichts München geht es zwar explizit um das Einbinden der Google-Schriftarten, die vom Gericht aufgestellten Grundsätze gelten jedoch auch für alle anderen extern in Webseiten eingebundenen Inhalte von US-Diensten. Um einer möglichen Klage zu entgehen, sollten Webseiten die Inhalte wie Schriftarten, Skripte oder Bilder selbst hosten oder die Zustimmung zur Weitergabe der IP-Adresse über ein Consent-Banner einholen.

Analoges Risiko

Der immer noch zu findende Faxbetrieb in deutschen Ämtern und Behörden gilt inzwischen als Running Gag und Symbol für die schleppende Digitalisierung in der Bundesrepublik. Trotz des Spotts galt das Faxen allerdings lang als eine sichere Versandmethode. Diesen Ruf eines sicheren Kommunikationsmittels hat das Fax aber inzwischen verloren, und das ausgerechnet wegen der Digitalisierung des Übertragungswegs.

“Mittlerweile ist jedoch der Faxversand durch diverse technische Veränderungen informationstechnisch als unsicheres Kommunikationsmittel einzustufen”, schreibt dazu der Hessische Beauftragte für Datenschutz und Informationsfreiheit, Alexander Roßnagel [4]. Der Datenschützer fordert den Abschied vom Fax als Kommunikationsmittel, um den Datenschutz gewährleisten zu können. Die Bremer Landesdatenschutzbeauftragte kommt zu einer ähnlichen Einschätzung. Die Digitalisierung der Faxübertragung und der Endgeräte sei der Grund für die Unsicherheit: Bei der unverschlüsselten Übertragung über das Internet sei nicht gewährleistet, dass die Daten nicht abgefangen werden.

“Grundsätzlich weist der Faxversand vergleichbare Risiken auf, wie diese etwa auch beim unverschlüsselten Versand von E-Mail-Nachrichten gegeben sind”, schreibt Roßnagel und kommt zu dem Ergebnis, die Übermittlung von personenbezogenen Daten per Fax sei “daher mit dem Risiko des Verlusts der Vertraulichkeit der übermittelten Daten behaftet”.

225 Millionen Euro Strafe

Zu den dicken Fischen, die sich im Netz der DSGVO verfangen haben, zählt Whatsapp. Die Data Protection Commission (DPC) in Irland hat im September 2021 entscheiden [5], dass Whatsapp eine Strafe von 225 Millionen Euro zahlen muss, weil das Unternehmen die EU-weit geltenden Datenschutzbedingungen missachtet und gegen sie verstoßen habe.

Nach eigenen Angaben untersucht die DPC seit Dezember 2018 das Verhalten von Whatsapp und mögliche Verstöße gegen die General Data Protection Regulation (GDPR). Nach einer langwierigen und umfassenden Untersuchung habe man im Dezember 2020 allen betroffenen Aufsichtsbehörden (Concerned Supervisory Authorities, CSAs) einen Entscheidungsentwurf gemäß Artikel 60 DSGVO vorgelegt.

Weil bei den CSAs kein Konsens zu erreichen war, ging die Angelegenheit weiter an den Europäischen Datenschutzausschuss (EDPB). Der fällte im Juli 2021 eine verbindliche Entscheidung, laut der die DPC die von ihr ursprünglich vorgeschlagene Geldbuße von 50 Millionen Euro erhöhen sollte. Diese Neubewertung führte zur Geldbuße von 225 Millionen Euro für Whatsapp.

Die DPC verlangt außerdem, dass Whatsapp seine Datenerfassung den Regeln der in der EU geltenden DSGVO anpasst. Whatsapp seinerseits hat bereits angekündigt, gegen die Entscheidung in Berufung zu gehen.

Geeigneter Schutz

Verstöße gegen die DSGVO sind auch möglich, wenn Unternehmen einfach nur fahrlässig handeln, ohne böse Absichten mit personenbezogenen Daten zu haben. So waren kurz vor Weihnachten die Kunden des Digitalabos der Tageszeitung Taz darüber informiert worden, dass die E-Mail-Adresse, die für die Verwaltung der Abonnenten der Taz-App sowie des ePapers verwendet werde, von Kriminellen gehackt worden sei. “Wir können zurzeit nicht sagen, welche der auf mailto:digiabo@taz.de gespeicherten E-Mails betroffen sind. Es ist möglich, dass auch ein Teil Ihrer Daten gestohlen wurde”, heißt es in der E-Mail. Möglich seien damit der Diebstahl von Name, Adresse, E-Mail-Adresse sowie des Kennworts zum Download der digitalen Ausgabe. “Nachdem wir alle möglichen Betroffenen informiert haben, werden wir den Vorfall entsprechend der DSGVO auch der Berliner Datenschutzbehörde melden”, erklärt die Taz weiter.

Der betreffende Artikel 32 der DSGVO [6] verlangt in solchen Fällen schon vorab ein strammes Prozedere. “Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.”

Damit sei auch verbunden, dass Anbieter die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen hätten, heißt es weiter in der DSGVO. Der Artikel 32 ist für Anbieter eine Art Minenfeld. Ob die getroffenen Maßnahmen ausreichend sind, dürfte im Zweifelsfall nur ein Gericht entscheiden können. (uba)