Datenschutz News 23.10.2020

EU: IAB Europe kommentiert die Untersuchung der belgischen DPA zu Transparenz und Zustimmungsrahmen

Das Interactive Advertising Bureau (IAB) Europe gab am 16. Oktober 2020 bekannt, dass es von der belgischen Datenschutzbehörde (Belgian DPA) informiert wurde, dass sie eine Untersuchung über die Datenschutzpraktiken des IAB Europe im Zusammenhang mit seiner Rolle als Verwaltungsorganisation des Transparency and Consent Framework (TCF) abgeschlossen hat. Insbesondere wies das IAB Europe darauf hin, dass der Bericht der belgischen Datenschutzbehörde die vorläufigen Ansichten der Untersuchungseinheit der belgischen Datenschutzbehörde darstellt und keine bindende Wirkung in Bezug auf eine Gesetzesverletzung durch das IAB Europe hat. In Bezug auf eine Reihe von angeblichen Einhaltungsproblemen, die sich aus der Rolle des IAB Europe als leitende Organisation der TCF ergeben, hob IAB Europe hervor, dass es respektvoll mit der offensichtlichen Interpretation des Gesetzes durch die belgische Datenschutzbehörde nicht übereinstimmt, nach der das IAB Europe im Zusammenhang mit der Umsetzung der TCF durch die Verlage als Datenkontrolleur fungiert. Darüber hinaus stellte das IAB Europe fest, dass der TCF ein freiwilliger Standard ist, dessen Zweck es ist, Unternehmen im digitalen Werbe-Ökosystem bei ihren Bemühungen um die Einhaltung des EU-Datenschutzrechts zu unterstützen, und dass seine Richtlinien nicht die Verarbeitung spezieller Datenkategorien unterstützen oder zu unterstützen versuchen. Schließlich erinnert das IAB Europe daran, dass es sich in den kommenden Monaten mit der belgischen Datenschutzbehörde in Verbindung setzen wird, wenn deren Dienststellen Bewertungen zu den Vorzügen des Berichts durchführen.

IAB, 19.10.2020

Großbritannien: ICO verhängt Geldbuße von British Airways £20 Millionen für Datenverletzung

Das Büro des Informationskommissars (ICO) gab am 16. Oktober 2020 bekannt, dass es British Airways Plc mit einer Geldbuße von 20 Millionen Pfund Sterling belegt hat, weil das Unternehmen es versäumt hatte, die persönlichen und finanziellen Daten von mehr als 400.000 seiner Kunden zu schützen, nachdem das ICO im Juli 2019 seine Absicht bekannt gegeben hatte, den erheblich höheren Betrag von 183,39 Millionen Pfund Sterling zu bestrafen. Insbesondere stellte die ICO fest, dass dies ihre bisher höchste Geldstrafe darstellt und dass die Strafe von den europäischen Datenschutzbehörden gemäß der Allgemeinen Datenschutzverordnung genehmigt wurde. Insbesondere hob das ICO hervor, dass es bei der Berechnung der Geldbuße beide Darstellungen von British Airways, die wirtschaftlichen Auswirkungen der COVID-19 Pandemie auf ihre Geschäftstätigkeit berücksichtigt habe und dass der Verstoß gegen Artikel 5 Absatz 1 Buchstabe f der GDPR unter Artikel 83 Absatz 5 Buchstabe a der GDPR falle, in der Erwägung, dass Artikel 32 unter Artikel 83 Absatz 4 Buchstabe a des GDPR fällt und dass die angemessene Höhe der Geldbuße die in Artikel 83 Absatz 5 Buchstabe a des GDPR festgelegte ist, da dies der schwerwiegendste Verstoß ist, um den es in diesem Fall geht. Dennoch geht aus dem Bußgeldbescheid hervor, dass die Strafe deutlich weniger als 1% des weltweiten Jahresumsatzes von British Airways beträgt. Darüber hinaus sieht der Bußgeldbescheid zusätzliche mildernde Maßnahmen vor, die British Airways hätte ergreifen können, um das Risiko der Datenverletzung zu verhindern. Keine dieser Maßnahmen hätte übermäßige Kosten oder technische Hindernisse zur Folge gehabt, wobei das ICO ferner feststellt, dass British Airways seit der Datenverletzung erhebliche Verbesserungen seiner IT-Sicherheit vorgenommen hat.

ICO, 16.10.2020

Irland: DPC kündigt Untersuchung der Verarbeitung von Kinderdaten auf Instagram durch Facebook an

Die Datenschutzkommission (DPC) kündigte am 19. Oktober 2020 zwei Untersuchungen über die Verarbeitung von Kinderdaten auf Instagram durch Facebook Ireland Limited an, nachdem Beschwerden in diesem Bereich eingegangen waren und potenzielle Bedenken in Bezug auf die Verarbeitung von Kinderdaten durch Instagram ermittelt wurden. Insbesondere stellte das DPC fest, dass im Rahmen der ersten Untersuchung geprüft werden soll, ob Facebook sich bei der laufenden Verarbeitung von personenbezogenen Daten von Kindern auf der Instagram-Plattform auf bestimmte Rechtsgrundlagen stützt, ob Facebook für solche Kinder angemessene Schutzvorkehrungen und/oder Einschränkungen auf der Instagram-Plattform anwendet und ob es seinen Verpflichtungen als für die Datenverarbeitung Verantwortlicher in Bezug auf die Transparenzanforderungen bei der Bereitstellung von Instagram für Kinder nachkommt. Darüber hinaus hob das DPC hervor, dass sich die zweite Untersuchung unter anderem darauf konzentrieren wird, ob das Instagram-Profil und die Kontoeinstellungen für Kinder geeignet sind und ob Facebook die Anforderungen der allgemeinen Datenschutzverordnung in Bezug auf den „Privacy by Design” und „Privacy by Default” einhält, insbesondere in Bezug auf die Verantwortung von Facebook, die Datenschutzrechte von Kindern als schutzbedürftige Personen zu schützen.

DPC, 19.10.2020

Neuseeland: OPC führt ein Tool zur Meldung von Datenschutzverletzungen ein

Das Office of the Privacy Commissioner (OPC) hat am 19. Oktober 2020 ein Instrument zur Meldung von Datenschutzverletzungen (NotifyUs) eingeführt, das Unternehmen und Organisationen bei der Bewertung von Datenschutzverletzungen unterstützen und sie durch den Meldeprozess führen soll. Insbesondere hob der OPC hervor, dass es nach dem Privacy Act 2020, der am 1. Dezember 2020 in Kraft tritt, für Organisationen obligatorisch sein wird, den OPC zu benachrichtigen, wenn eine Datenschutzverletzung einen ernsthaften Schaden verursacht hat oder wahrscheinlich verursachen wird. Der Datenschutzbeauftragte, John Edwards, erklärte: „Wir wollen, dass der Prozess der Vorbewertung und Meldung von Datenschutzverletzungen unkompliziert ist […] NotifyUs wurde vor der heutigen Einführung umfangreichen Tests unterzogen, um sicherzustellen, dass die Leitlinien klar und leicht zu befolgen sind. Ich ermutige die Menschen, sie vor dem Inkrafttreten der neuen Gesetzgebung zu nutzen.”.

OPC, 19.10.2020

USA: DoJ reicht Kartellrechtsklage gegen Google ein

Das US-Justizministerium (DoJ) reichte am 20. Oktober 2020 zusammen mit elf Bundesstaaten beim US-Bezirksgericht für den District of Columbia eine Klage gegen Google LLC wegen seiner wettbewerbswidrigen und ausschließenden Praktiken der unrechtmäßigen Aufrechterhaltung von Monopolen auf den Märkten für allgemeine Suchdienste, Suchanzeigen und allgemeine Suchtextwerbung in den USA ein. Die Klage verdeutlicht insbesondere die Monopol- und Ausschlusspraktiken von Google unter anderem auf den Märkten für Suchanzeigen und allgemeine Suchtextwerbung und stellt fest, dass Werbetreibende in den USA jährlich rund 40 Milliarden US-Dollar für die Schaltung von Anzeigen auf der Ergebnisseite der Google-Suchmaschine zahlen. Außerdem wird hervorgehoben, dass Google diese Einnahmen aus dem Monopol für Suchanzeigen im Gegenzug zu Zusagen, die Suchmaschine von Google zu begünstigen, mit Händlern „teilt”. Darüber hinaus werden in der Klage unter anderem Googles Aktionen zur „Dominierung von Suchzugangspunkten auf der nächsten Generation von Suchplattformen”, nämlich den Geräten des Internet der Dinge, angeführt. Darüber hinaus beschreibt die Klage die Praktiken von Google unter anderem in Bezug auf Werbung und die Erfassung und Verwendung von persönlichen Informationen der Verbraucher bei der Initiierung von Suchanfragen über Google sowie in Bezug darauf, wo Google diese persönlichen Informationen für den Anzeigenverkauf verwendet und monetarisiert. Damit unterstreicht die Klage, dass Google ohne Gerichtsbeschluss solche Praktiken fortsetzen wird, die den Wettbewerb und die Innovation sowie die Wahlmöglichkeiten der Verbraucher beeinträchtigen und unter anderem dazu führen werden, dass Werbetreibende „eine Gebühr für Googles Monopol für Suchwerbung und allgemeine Suchtextwerbung zahlen müssen”, und dass Verbraucher gezwungen werden, Googles Richtlinien, Datenschutzpraktiken und die Verwendung personenbezogener Daten zu akzeptieren.

US-Justizministerium, 21.10.2020

Verwandte Beiträge