„Pay or Okay“ Entscheidung in Österreich – DS News KW 34/2025

Transkript zur Folge:

Laura?
Ja.
Bist du soweit?
Ich bin da.
Okay.
Ich warte nur auf dein Intro.
Okay, dann.
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir begrüßen euch wieder recht herzlich heute am Freitag, den 22. August 2025.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Druschinski.
Unser Direktionsschluss war heute etwas früher um 9.30 Uhr und wir gucken mal,
was wir alles mit im Kasten haben, oder Laura?
Ja, genau. Soll ich einfach mal loslegen?
Ja, lege einfach mal los.
Ja, und zwar in meiner Übersicht findet sich heute zum einen eine Entscheidung
aus Österreich zum Pay-or-OK-Button.
Weiter geht's mit zwei Angriffen auf zwei HR-Tools, die durchaus von vielen Firmen genutzt werden.
Und zu guter Letzt hätte ich noch ein neues Sicherheitskennzeichen des BSI mitgebracht,
bevor ich dann zu einem Veranstaltungshinweis komme.
Das klingt schon mal sehr interessant. Ich gucke heute auf die Rechtsmissbräuchlichkeit
einer Beschwerde und das Verwaltungsgericht Hamburg, was dazu entschieden hat.
Dann hätte ich ein Update, das haben vielleicht einige schon mitbekommen,
Verlust von Paypal-Daten angeblich.
Und da schauen wir einmal drauf, wie da der Sachstand ist. Dann hätte ich,
Würde ich gleich zum Einstieg einmal auf die britische Ergänzung zur DSGVO schauen,
das Data Use and Access Act.
Das wären so meine Themen für heute. Ich würde sagen, let's go. Let's go.
Die österreichische Zeitung Der Standard verstößt mit seinem Pay-or-OK-Button
gegen die Datenschutz-Grundverordnung.
Diese wichtige Entscheidung hat nun das österreichische Bundesverwaltungsgericht
zum Pay-or-OK-Modell getroffen.
Also dem Prinzip, dass Nutzer entweder in umfassendes Tracking einwilligen oder
für ein werbefreies Angebot zahlen lässt.
Konkret ging es eben hierbei um ein Online-Angebot der österreichischen Tageszeitung der Standard.
Zum Hintergrund, schon 2018 hatte ein Nutzer, unterstützt von der Datenschutzorganisation
Neub, Beschwerde gegen das Modell eingelegt.
Sein Vorwurf, damals und heute, die Einwilligung sei eben nicht freiwillig und
nicht granular genug, denn es gab keine Möglichkeit, einzelnen Zwecken wie Profilbildung
oder Analyse gesondert zuzustimmen.
Parallel klagte nun auch der Verlag gegen die Aufsichtsbehörde,
weil diese sich der Auffassung des Beschwerdeführers anschloss und das Vertragsmodell
für unzulässig erklärt hatte, obwohl sie dies zu einem früheren Zeitpunkt nicht tat.
Außerdem argumentierte der Verlag, dass innerhalb des Cookie-Banners einer granularen
Zustimmung nicht möglich sei, da sie beispielsweise Tracking und Statistiken
als zwingend erforderlich ansehen, um Werbung in der kostenlosen Version zu verkaufen.
Das Bundesverwaltungsgericht bestätigte nun die Position der Aufsicht,
also eine gebündelte Einwilligung widerspricht der Datenschutzgrundverordnung,
weil sie eben die Entscheidungsfreiheit der Nutzer einschränkt.
Besonders hervorzuheben bei der Urteilsbegründung sind zwei Hinweise des Gerichts
und zwar zum einen, dass es eben kein Medienprivileg fürs Tracking gibt.
Also Medienunternehmen argumentieren ja oft, dass eben die Finanzierung von
Journalismus über Werbung durch den Artikel 85 der DSGVO, also das sogenannte
Medienprivileg, geschützt sei.
Das Gericht stellt nun aber klar, dass eben das Privileg nur gilt für Tätigkeiten
mit journalistischem Zweck.
Werbung und Tracking zur Finanzierung fallen nicht darunter.
Mit anderen Worten, auch Verlage müssen sich beim Tracking an die gleichen Regeln
halten wie andere Tech-Konzerne oder andere mit Online-Angeboten.
Der zweite Hinweis betrifft die Aufsichtsbehörden, denn diese dürfen laut Gerichts
ihre Meinung auch ändern.
Also hätte man vielleicht auch drauf kommen können, aber sie haben eben nochmal ausgeführt.
Denn ja, die Datenschutzbehörde hatte ja eben das Modell zunächst für zulässig
gehalten, ihre Einschätzung später aber geändert.
Das Gericht betont, dass eben
Aufsichtsbehörden nicht an ihre führe Rechtsauffassung gebunden seien.
Für Unternehmen bedeutet das also, man bleibt weiterhin verantwortlich.
Selbst wenn Behörden zeitweise eine falsche Einschätzung vertritt,
birgt das eben auch ein Risiko, sich darauf zu verlassen.
Ich glaube, das ist das, was wir ja hier auch schon an der einen oder anderen
Stelle immer wieder betonen, dass eben auch die Aufsichtsbehörden eben eine Meinung vertreten.
Der Fall aus Österreich könnte jetzt vielleicht sogar auch europäische Dimensionen
annehmen, denn zwar sah eben nun das Bundesverwaltungsgericht keinen Anlass,
den EuGH einzuschalten, da es aber Revisionen vor dem Verwaltungsgericht zugelassen hat,
könnten eben dort die Richter die Fragen durchaus sehr wohl an den EuGH weitergeben.
Das betonte Neub in der Pressemitteilung zu diesem Fall.
Also was können wir jetzt daraus wieder mitnehmen und ableiten?
Also weiterhin Einlegungsmodelle durchaus kritisch zu prüfen auf den Webseiten,
also granulare Wahlmöglichkeiten sollten Pflicht und Standard sein und eben
eine einmalige Abnahme reicht selber nicht.
Und auch, selbst wenn man mal Behörden mit eingeschaltet hat,
muss trotzdem fortlaufend geprüft werden und vielleicht auch immer wieder an
neue Auslegungen diese entsprechenden Einstellungen angepasst werden.
Ja, du hast ja schon gesagt, dieses Thema mit der Änderung der Meinung,
das bestärkt das, was wir sagen richtigerweise.
Es ist natürlich für die Unternehmen gleichermaßen auch ein bisschen mehr Rechtsunsicherheit,
wenn man sich nicht darauf verlassen kann, dass die Meinung immer Bestand hält.
Aber ich glaube, das ist halt auch so.
Rechtsauslegung entwickelt sich weiter und von daher sei es auch den Aufsichtsbehörden,
muss es ja auch zugestanden sein, ihre Meinung weiterzuentwickeln.
Und das kann ja auch in die andere Richtung positiv sein.
Also es kann ja auch sein, dass man eine Aufsichtsbehörde zu dem Ergebnis kommt,
dass Dinge, die sie vielleicht früher für nicht zulässig geachtet hat,
heute zulässig sieht. Von daher ist es auch immer eine Chance.
Erste Regelungen über die Verwendung und den Zugang zu Daten im Vereinigten
Königreich sind in Kraft getreten.
Das DUAA, das Data Use and Access Act, trat am 19.
Juni im Vereinigten Königreich bereits in Kraft. Die ersten Bestimmungen sind
seit dieser Woche anwendbar.
Weitere Bestimmungen folgen noch schrittweise bis Mitte 2026.
Einige Änderungen, insbesondere solche bezüglich Auskunftsersuchen von betroffenen
Personen, sind aber bereits gültig.
Dass die UAA ergänzt, ersetzt jedoch nicht die britische DSGVO,
denn einige Anpassungen wurden jetzt in die Praxis somit eingeführt,
ohne aber die DSGVO selber dadurch aufzuheben.
Beispielsweise wurde neu aufgenommen der Rechtsgrund Recognized Legitimate Interests.
Das erlaubt nämlich eine Datenverarbeitung ohne Interessenabwägung durchzuführen,
wenn der Zweck in einer Liste genannt ist. Dazu gehören zum Beispiel nationale
Sicherheit, Kriminalitätsprävention, Notfälle oder der Schutz vulnerabler Gruppen.
Auch die Regeln für Auskunftsanfragen von Betroffenen wurden in Großbritannien angepasst.
Verantwortliche müssen nämlich nur noch angemessene und verhältnismäßige Suchläufe durchführen.
Darüber hinaus kann auch die Frist für eine Antwort pausieren,
wenn zusätzliche Informationen vom Antragsteller zum Beispiel benötigt werden.
Ziel dieser ganzen Regelungen ist mehr Effizienz und Transparenz bei der Bearbeitung
von Datenschutzanfragen und ich finde sie ehrlich gesagt jetzt auf das erste
kursorische Lesen gar nicht so schlecht.
Inwieweit die Anpassungen nun den Angemessenheitsbeschluss der EU-Kommission
beeinflussen, das muss noch bis Ende des Jahres geklärt werden,
denn dann läuft ja der aktuell Angemessenheitsbeschluss aus. Wir werden also sehen.
Und wir halten euch auf dem Laufenden.
Bezüglich des Angemessenheitsbeschlusses auf jeden Fall. Ich kann mich noch
erinnern, damals nach dem Brexit, der Angemessenheitsbeschluss so kurz drei Tage vor dem 01.01.
Kam, ich will mich noch daran erinnern, Sondersendung haben wir noch gemacht
zwischen den Jahren, weil es halt doch dann heiß wurde und das würden wir hier
in dem Fall sicherlich auch wieder tun.
Immer auf dem letzten Drücker, die Briten.
Nee, die EU-Kommission. Die EU-Kommission, stimmt.
Okay, weiter geht's. Und zwar gleich zwei große HR-Dienstleister sind in den
letzten Tagen ins Visier von Cyberkriminellen geraten, und zwar Workday und Infonica.
Beginnen möchte ich mit Workday. Der Cloud-Dienstleister, der eben spezialisiert
auf HR und Finanzsoftware ist, meldete ein Datenleck nach einem Social Engineering-Angriff.
Kriminelle hatten sich Zugriff auf das CRM-System von Workday verschafft und
betroffen sind potenziell Daten von über 11.000 Kunden in mehr als 175 Ländern.
Nach Angaben des Unternehmens sind keine Kundendaten aus den eigentlichen Workday-Tenants
kompromittiert, abgeflossen seien vor allem geschäftliche Kontaktinformationen
wie Namen, E-Mail-Adressen und Telefonnummern.
Also alles Daten, die oft öffentlich zugänglich sind, aber durchaus von Angreifern
für Phishing oder Betrugsversuche genutzt werden könnten.
Das Vorgehen der Täter war dabei nicht 0815, denn sie gaben sich per Telefon
oder Textnachricht als Mitarbeitende aus der IT oder HR-Abteilung aus,
um sich eben die Zugangsdaten zu erschleichen.
Workday betonte nun in dem Zusammenhang, dass eben das Unternehmen niemals Passwörter
oder Sicherheitsdetails telefonisch abfragt und die Kommunikation eben ausschließlich
über offizielle Kanäle erfolgt, so wie das glaube ich in jedem.
Unternehmen sein sollte. Wenige Tage zuvor wurde bereits bekannt,
dass eben auch Infonica, also auch ein Unternehmen, das eben Software für Lohnabrechnungen
im Personalbereich anbietet, Opfer eines Cyberangriffes war.
Laut dem Anbieter kam es dabei zu Störungen in einzelnen Diensten.
Diese seien inzwischen zwar wieder behoben, allerdings deuten Hinweise darauf
hin, dass manche Kunden wohl länger eingeschränkt waren, als es die offizielle
Kommunikation vermuten ließ.
Besonders betroffen war die Lösung One Start Cloud, für die Infonica zwischenzeitlich
nur Alternativen bereitstellen konnte.
Zur Ursache diesem Angriff hält sich das Unternehmen noch bedeckt.
Externe Forensiker untersuchen wohl den Vorfall derzeit. Ob in welchem Umfang
personenbezogene Daten abgeflossen sind, ist ebenfalls aktuell unklar. Fest steht...
Glaube ich grundsätzlich, oder das weiß ja jeder, gerade im HR-Bereich,
werden hochsensible Daten verarbeitet.
Von Gehaltsinformationen bis Personaldaten und Gesundheitsdaten kann hier eben alles dabei sein.
Deswegen sei jetzt eben allen Unternehmen geraten, die insbesondere Infonica
nutzen, Acht zu geben, wie die
weitere Kommunikation des Unternehmens aussieht, aber auch bei Workday.
Natürlich, selbst wenn jetzt keine eigenen personenbezogenen Daten,
die man selbst verarbeitet, abgeflossen sind, sollten aber, denke ich,
schon interne Awareness-Maßnahmen greifen, also dass hier eventuell Kontaktaufnahmen stattfinden könnten.
Aber ich finde jetzt bei Workday ist ja wirklich mal wieder ein schönes Beispiel
für Social Engineering, mit wie viel Aufwand dann doch auch Cyberkriminelle vorgehen.
Also auch wenn es oft nicht so explizit benannt wird, aber es ist nicht selten,
glaube ich, mit zur Informationsbeschaffung genutzt.
Man muss da sensibilisieren, da kommt man nicht umhin im Unternehmen. Richtig.
Und was vielleicht in dem Zusammenhang sich weiterhin noch empfiehlt,
ja auch Mitarbeiterinnen und Mitarbeiter in den entsprechenden Bereichen frühzeitig
mit den Szenarien auch zu konfrontieren,
wenn es doch eben mal zu einem Ausfall oder Missbrauch von HR-Systemen kommt,
wenn auch das kann ja durchaus das Kernstück eines Unternehmens treffen.
Da bin ich ja sowieso der Meinung, dass man sich für jeden Dienst,
den man extern auslagert, also für interne sowieso auch, aber auch für extern
ausgelagerte Dienste, auch da immer Notfallkonzepte bereithalten sollte,
damit man weiß, was zu tun ist, wenn ein Dienst mal nicht verfügbar ist.
Und das kann sehr viele Ursachen haben.
Angefangen von Netzstörungen im Internetzugang bis hin zu, dass ein Anbieter
selber vielleicht auch offline gehen muss oder kompromittiert wurde, was auch immer.
Also da kann ich wirklich nur zu raten, immer wieder die Notfallkonzepte zu
überprüfen und alle Dienste, die zentral fürs Unternehmen sind.
Dahingehend zu überlegen, wie geht man im Notfall vor. Machen wir weiter.
Trotz Meldungen über einen massiven Datenabfluss bei Paypal gehen Fachleute
davon aus, dass die angebotenen Informationen nicht aus dem System des Unternehmens stammen.
Ein angeblicher Datenabfluss bei Paypal hat für Aufsehen diese Woche gesorgt.
Da haben auch viele Medien darüber berichtet.
In einem Untergrundforum hat nun ein Krimineller nach eigenen Angaben rund 15,8
Millionen Zugangsdaten zu Paypal. einem Köcher und möchte diese natürlich auch verkaufen.
Darunter seien auch Klartext-Passwörter.
Das angebliche Leck datiert er auf den 6. Mai diesen Jahres,
also schon ein paar Tage her.
Und jetzt haben sich Experten dazu gemeldet, wie Troy Hunt vom Projekt Have I Been Porned.
Und er hat zum Beispiel bezweifelt, dass PayPal selbst betroffen sein soll von diesem Datenleck.
Wahrscheinlicher sei es, dass die Daten aus älteren Leaks oder durch Schadsoftware
zum Beispiel auf den Rechnern der Opfer stammen.
Da spricht auch der Preis für diese Daten, denn wenn diese 15,8 Millionen Datensätze
echt wären, wäre sehr hoch und der Anbieter jetzt fordert aber nur 750 US-Dollar,
also vergleichsweise niedrigerer Preis.
Daher ist natürlich für Paypal-Nutzer trotzdem Obacht geboten,
also nur weil die Daten jetzt nicht direkt vom Paypal stammen,
heißt ja nicht, dass sie nicht korrekt sind. Deswegen also unbedingt Kennwörter und Konten überprüfen.
Mehrfaktor-Authentifizierung kann ich sowieso nur empfehlen dafür.
Oder Passkeys verwenden geht natürlich auch.
Von daher, aber wie gesagt, sollte man auf jeden Fall absichern sein Konto.
Günstig. Nicht wie letzte Woche die 50 Cent pro Datensatz.
Nee, ist ein Schnäppchen.
Überlegst du? Warst du schwach?
Warum Darknet? Kein TikTok, weiß aber Darknet.
Genau.
Ja, das BSI führt ein neues Sicherheitskennzeichen ein, IT-Sicherheitskennzeichen,
und zwar für smarte Sicherheitslösungen.
Gute Nachricht also für alle, die auf smarte Sicherheitstechnik setzen.
Hersteller von vernetzten Sicherheitslösungen können eben ab sofort das IT-Sicherheitskennzeichen
beim Bundesamt für Sicherheit in der Informationstechnik beantragen.
Das betrifft Produkte wie beispielsweise smarte Alarmanlagen,
vernetzte Rauchmelder, Smart Locks oder auch Bewegungssensoren.
Und Ziel ist es eben damit, Verbraucherinnen und Verbrauchern mehr Transparenz
über die Cybersicherheit dieser Geräte zu geben.
Außerdem eben auch Herstellern die Möglichkeit zu geben, ihre Produkte sichtbar
als sicherheitsgeprüft hervorzuheben.
Und ich glaube, das ist nicht nur für private Anbieter interessant,
sondern insbesondere auch für Unternehmen, die eben doch durchaus smarte Sicherheitstechnik
für sich einsetzen möchten.
Grundlage ist der Branchenstandard VDS 6063, den das BSI mitentwickelt hat.
Er legt eben Anforderungen für IT-Sicherheit und Cyberschutz in Smart-Home-Sicherheitslösungen
fest und Hersteller müssen in einer Konfirmitätserklärung bestätigen,
dass eben ihre Produkte die Anforderungen erfüllen.
Sicherheitsupdates bereitstellen und bekannte Schwachstellen grundsätzlich immer an das BSI melden.
Nach Prüfung durch das BSI kann das Kennzeichen dann innerhalb von acht Wochen vergeben werden.
Für Verbraucher ist das Label leicht erkennbar. Ja, über einen QR-Code gelangt
man eben direkt auf eine Produktseite des BSI mit Infos zu Sicherheitsupdates
und den wichtigsten Sicherheitseigenschaften.
Heiko gefällt das.
Ne, finde ich gut.
Daumen hoch.
Daumen hoch. Eine Klage gegen die Hamburger Datenschutzbehörde wegen Untätigkeit
wäre nach Einschätzung des Verwaltungsgerichts Hamburgs erfolglos geblieben,
weil die zugrunde liegende Beschwerde rechtsmissbräuchlich war.
Der Blockdelegedata von Carlo Pilz, schöne Grüße an der Stelle,
hat diese Woche ein für den einen oder anderen sicherlich interessantes Urteil besprochen,
nämlich das Verwaltungsgericht hat demnach klargestellt, dass eine Datenschutzbeschwerde
als rechts missbräuchlich gelten kann, wenn sie nicht dem Schutz personenbezogener
Daten dient, sondern allein der Belastung einer Gegenseite.
An sich kennen wir das und ich glaube, das ist auch das, was viele vertreten.
Im zugrunde liegenden Fall hatte ein Kläger im Rahmen eines Zivilprozesses eine
Anwaltskanzlei wegen der Verwendung eines falschen Aktenzeichens bei der Hamburger
Aufsichtsbehörde angezeigt.
Als die Behörde dann nicht einen Schritt erhob, er Klage gegen sie.
Das Gericht bewertete die Beschwerde jetzt jedoch als missbräuchlich und stellte
fest, dass der Kläger die DSGVO nur genutzt habe, um der gegnerischen Kanzlei
Nachteile zuzufügen und den Streit zu eskalieren.
Ein rechtes Interesse an einer behördlichen Korrektur eines belanglosen Irrtums
habe demnach nicht bestanden.
Also nach Ansicht des Gerichts ist das Beschwerderecht nach der DSGVO nicht
dafür bestimmt, Nebenschauplätze in zivilrechtlichen Konflikten zu eröffnen,
sondern natürlich diene es dem Schutz personenbezogener Daten.
Deswegen hat es die Entscheidung am Ende gar nicht mehr treffen müssen,
hat aber in der Kostenfeststellung, die es dann allerdings doch treffen musste,
genau das halt ausgeführt und gesagt, deswegen müsste der Kläger auch die gesamten
Kosten des Verfahrens tragen.
Ich glaube, die Entscheidung an sich ist nicht besonders spektakulär,
aber die Rechtsmissbrauchlichkeit von Beschwerden bzw.
Der Androhung von Beschwerden bei der Aufsichtsbehörde, die ist ja oft nicht von der Hand zu weisen.
Und ich bin schon der Meinung, je mehr geklärte Fälle es dazu gibt,
desto besser sind halt auch die Möglichkeiten der Abwehr solcher Beschwerden,
also sowohl durch Aufsichtsbehörden als auch Unternehmen.
So ist es und das kommt ja doch in der Praxis sehr, sehr häufig vor.
Das kommt sehr häufig vor und deswegen gehe ich auch davon aus,
dass unsere Zuhörer damit auch immer mal wieder zu tun haben werden.
Deswegen habe ich heute auch mit reingenommen. Ich glaube, das ist nochmal ein ganz guter Hinweis.
So ist es. Apropos Hinweis kommen wir zu einem Veranstaltungshinweis.
Liegt zwar etwas in der Zukunft, aber da es jetzt diese Woche veröffentlicht
wurde, möchten wir es natürlich mitbringen.
Und zwar stammt der Veranstaltungshinweis von einer Pressemitteilung des Landesbeauftragten
für den Datenschutz in Niedersachsen. Und die Absichtsbehörde dort bietet eine
Schulung für öffentliche Stellen an rund um das Thema Künstliche Intelligenz.
Also ich glaube absolut das absolute
Top-Thema aktuell, nicht nur in der Privatwirtschaft, sondern auch dort.
Und die Fortbildung findet statt am 24.
November diesen Jahres von 10 bis 15.30 Uhr und Teilnehmer können sich eben
darauf freuen, Wissen zu erlernen beim Thema Planungsphase zum Einsatz von KI-Systemen.
Aber auch die datenschutzrechtlichen Anforderungen werden thematisiert,
also wie erkennt man sie und wie kann man eben erfolgreich auf deren Einhaltung hinwirken.
Wunderbar. Für den öffentlichen Bereich ist es auch eine gute Sache.
Ich bin immer so unsicher, wie viele öffentliche Stellen uns eigentlich Zuhörer,
Datenschutzbeauftragte, Datenschutzberater von öffentlichen Stellen.
Von daher schreibt es auch gerne mal in die Kommentare, von welchen Stellen
oder welche öffentlichen Stellen ihr so vertretet oder von welchen ihr seid.
Würden wir uns freuen, weil dann haben wir natürlich auch ein gutes Gefühl dafür,
wie viel Bezug wir zu den öffentlichen Stellen vielleicht zukünftig mit reinnehmen.
Also in den Shownotes findet ihr den Link zur Folgenseite. Lasst gerne mal einen Kommentar da.
In diesem Sinne, dir ganz herzlichen Dank, Laura.
Danke ebenso.
Euch auch vielen Dank. Bleibt gesund, bleibt uns gewogen und auf bald.
Bis bald.