Jede fünfte Website verstößt gegen Datenschutzvorgaben- DS News KW 17/2025

Transkript zur Folge:

Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Heute ist Freitag, der 25. April 2025 und wir begrüßen euch wieder zu unserem
wöchentlichen Datenschutz-News. Denn, ihr bei den Megosens hatten wir immer
das Gleis, nee, das Ohr auf dem Gleis für euch. So rum.
Wir halten das Gleis nicht so stark sind wir nun auch nicht.
Nein, genau, das wäre ein bisschen Ted Weh, glaube ich, genau.
Mein Name ist Heiko Gossen.
Und mein Name ist Laura Droschinski.
Ja, unser Redaktionsschluss, wie immer, um 10 Uhr heute. Und ansonsten war es
auch eine kurze Woche, Laura, oder?
Stimmt, genau. Das Osterwochenende hat uns eine kurze Woche beschert.
Aber du hast es ja schon letzte Woche angekündigt und ich glaube,
wir sollten heute unsere Zuhörerinnen und Zuhörer auch nochmal darauf aufmerksam
machen, dass die Themenfolge online gegangen ist am Dienstag.
Genau, ich hoffe, es haben alle schon gesehen. Wer nicht, der sei hier dann
tatsächlich daran erinnert.
Mit Michael Will hatte ich ja zu dem EuGH-Urteil zur Anrede eine Folge gemacht
und ich finde, er hat einerseits ein bisschen beruhigt, aber er hat auch klar
gemacht, dass wir es nicht ignorieren dürfen.
Dann kommen wir zu unseren Themen. Was hast du denn heute mit dabei, Laura?
Ja, ich habe einmal eine Strafe für Meta dabei, die sich auf den DMA bezieht.
Weiter geht es mit einem etwas weitreicheren Datenleck bei dem Autovermieter
Herz und eine Veranstaltungsempfehlung habe ich auch auf dem Zettel.
In der Rubrik Veröffentlichung hätte ich auch was dabei.
Dann hätte ich was zu unserem Titelthema, nämlich die Webseitenprüfungen in Hamburg.
Dann schauen wir auf ein Urteil vom Bundesgerichtshof zum Auskunftsrecht für Gesellschafter.
Starten möchte ich aber mit einer Entscheidung auch gegen Meta zum Thema Privacy by Default.
Und damit würde ich auch direkt loslegen, denn das OLG Frankfurt hat Meta zur
Zahlung von 1000 Euro Schadensersatz wegen unzureichender Datenschutzvoreinstellungen verurteilt.
Wenn Nutzer bei Facebook erst selbst aktiv werden müssen, um ihre Daten vor
der Öffentlichkeit zu schützen, dann ist das mit dem Grundsatz der Datenminimierung nicht vereinbar.
So hat das OLG Frankfurt entschieden. Im konkreten Fall bekam jetzt die Frau
Schadensersatz zugesprochen, nachdem ihre persönlichen Daten durch das sogenannte
Scraping abgegriffen worden waren.
Das Gericht stellte klar, die Privatsphäre-Einstellungen einer Plattform müssen
von Anfang an datenschutzkonform sein.
Das bedeutet, es darf halt nicht sein, dass sensible Informationen wie E-Mail-Adressen
oder Telefonnummern halt standardmäßig öffentlich sichtbar sind.
Meines Erachtens ist das hier ein seltenes Urteil.
Es ist auch das Erste, was mir ganz bewusst zu Ohren und Augen gekommen ist,
was sich halt konkret mit den datenschutzfreundlichen Voreinstellungen beschäftigt.
Ich habe das Urteil selber noch nicht gelesen, jetzt nur bei Beck Online den
Newsartikel dazu gesehen.
Die sprechen zwar auch hier vom Thema, vom Prinzip der Datenminimierung und
beziehen sich auf Artikel 5, aber das spricht auch für mich sehr eindeutig eigentlich
für Artikel 25 und Privacy by Default.
Das denke ich auch, ja. Habe ich auch gerade, als du das mit der Datenminimierung
sagtest, habe ich auch mal kurz gestockt.
Aber es ist nicht genauso. Privacy by default at its best, würde man glaube ich sagen.
Ganz genau.
Ja, ich habe ja auch eine Nachricht mitgebracht zu Meta und zwar im laufenden
Handelskonflikt mit den USA verärgert die Europäische Kommission US-Unternehmen
und verhängt hohe Geldstrafen wegen Verstößen gegen das Gesetz über digitale Märkte, also die DMA.
Und eine Strafe habe ich diesbezüglich mitgebracht, eben hier gerade gesagt
zu Meta, weil wir hier einen interessanten Datenschutzbezug haben,
auch wenn es den DMA betrifft.
Denn bei der Strafe geht es um den Consent or Pay Button oder das Modell,
das Meta im November 2023 für Facebook und Instagram in der EU eingeführt hat.
Und Meta soll nun eben 200 Millionen Euro Strafe zahlen.
Nutzer hatten eben damals die Wahl, entweder sie stimmen der Zusammenführung
ihrer Daten für personalisierte Werbung zu oder sie zahlen eben ein monatliches
Abo für eine werbefreie Nutzung.
Die Kommission sieht hier einen klaren Verstoß gegen die Verordnung,
denn der Nutzer hat eben nicht die Möglichkeit, sich explizit für eine weniger
personalisierte, aber ansonsten gleichwertige Alternative zu entscheiden.
Das Modell von Meta hat es den Nutzern also nicht erlaubt, ihr Recht auf eine
freiwillige Zustimmung zur Datenverknüpfung wahrzunehmen.
Zwar hat Meta im November 2024 eine neue Version des Modells vorgestellt,
die angeblich weniger Daten für Bergung nutzt, aber die aktuelle Strafe bezieht
sich auf den Zeitraum von März bis November 2024,
in dem eben nur die binäre Zustimmung oder Zahlenoption existierte.
Die Kommission prüft wohl auch die neue Variante von Meta aktuell noch und steht
im Austausch mit dem Unternehmen.
Ob die Strafe juristisch angefochten wird, ist noch nicht bekannt.
Meta hat nun 60 Tage Zeit, um der Entscheidung der Kommission nachzukommen und
andernfalls drohen wie oft in solchen Verfahren eben möglicherweise noch höhere Zwangsgelder.
Die Kommission betont, dass sie weiterhin eng mit dem Unternehmen zusammenarbeiten
wird, um auch das DMA sicherzustellen.
Vielleicht auch ein bisschen, um zu deeskalieren, denn es gab natürlich auch
in den aktuellen verrückten Zeiten mit den USA Reaktionen von dort mit Bezug
auf eben konkret diese EU-Strafe.
Und ein Sprecher des Weißen Hauses nannte die Bußgelder eine neue Art wirtschaftlicher
Erpressung, die man nicht dulden werde, wie Reuters berichtete.
Also die Regulierung amerikanischer Firmen durch EU sei eine Handelsbarriere
und eine direkte Gefahr für eine freie Gesellschaft.
Heiko, hoffen wir mal, dass sich das nicht durchsetzt, oder?
Ja, ich hätte mich jetzt sehr überrascht, wenn die Trump-Administration da nicht
irgendwie eine Vergeltung drin sieht für ihre Zölle oder andere Dinge drin vermutet.
Ich finde es aber auch ganz interessant, dass der Europäische Datenschutzausschuss
damals ja auch gesagt hatte, wir brauchen noch eine dritte Variante für dieses Pay-or-Consent.
Und ja, wir alle uns ja ein bisschen gefragt haben, worauf stützt er das eigentlich?
Also das ist ja jetzt dann, dass der DMA kein echtes Datenschutzthema.
Von daher finde ich es überraschend, dass jetzt dann das unter diesem Aspekt
zu einem Bußgeld geführt hat.
Gehen wir weiter.
Der Bundesgerichtshof hat Ende Januar entschieden, dass ein Gesellschafter grundsätzlich
das Recht hat, Auskunft über Namen,
Adressen und Beteiligungshöhen seiner Mitgesellschafter zu erhalten.
Das gilt auch dann, wenn der Gesellschafter diese Information nutzen möchte,
um zum Beispiel anderen Kaufangebote für deren Anteile zu unterbreiten.
Laut dem Gericht stellt dies keine unzulässige Rechtsausübung oder ein Missbrauch
des Auskunftsrechts dar.
Entscheidend sei, dass das Auskunftsrecht ein grundlegendes Mitgliedschaftsrecht
in einer Personengesellschaft sei.
Auch tatenstuhlsrechtliche Gründe stehen dem Auskunftsanspruch nicht entgegen,
so das Gericht, denn es betont, dass die Weitergabe dieser Daten an Mitgesellschaften
in der Regel gemäß der Daten- und Grundverordnung zulässig sei.
Es sei halt für die Ausübung der Mitgliedschaftsrechte oft erforderlich,
die Mitgesellschaften und deren Beteiligungen zu kennen.
Nur so können Gesellschafter ihre Rechte informiert wahrnehmen,
beispielsweise bei Abstimmungen, sodass es gibt.
Der Fall kam vor dem Bundesgerichtshof, nachdem ein Gesellschafter von zwei
Fondsgesellschaften Auskunft über die Daten der anderen Gesellschafter verlangt hatte.
Der Fall kommt jetzt vielleicht dem einen oder anderen bekannt vor,
denn wir hatten Ende letzten Jahres oder im Herbst, das war im September,
hat der Europäische Gerichtshof in einem ähnlichen Fall entschieden.
Und er hat eine sehr restriktive Prüfung der Erforderlichkeit bei Weitergabe
der Gesellschaft der Daten durch einen Fondsbetreiber dort damals festgehalten
und das auch dem Amtsgericht München, was diese Frage vorgelegt hatte,
entsprechende Weisungen mitgegeben oder Hilfestellungen mitgegeben.
Von daher habe ich schon ein bisschen das Gefühl, dass der BGH hier wieder ein
bisschen anders entschieden hat als der EuGH,
zumal zumindest jetzt bei meinem Lesen ich nichts gefunden habe,
wie diese Erforderlichkeit nach den engen Maßstäben des EuGHs,
die wir ja in den letzten Jahren sehr häufig letztendlich gesehen haben, wirklich begründet.
Ja, ich finde den Teilen halt wirklich unangenehm, wenn hier die Rechtsprechungen
doch in unterschiedliche Richtungen abdriften, woran man sich dann am Ende des Tages orientiert.
Ja, wahrscheinlich muss man doch nochmal ein bisschen tiefer in die Details reingehen.
Das schaffen wir natürlich hier im Rahmen der Vorbereitung nicht immer jedes
Urteil so tiefgehend zu analysieren.
Aber ich glaube, das ist in dem Fall tatsächlich notwendig, um dann die Unterschiede
zu finden und herauszuarbeiten.
Meine nächste Nachricht bezieht sich auf ein Datenleck und zwar ist hier Hertz
betroffen, bei dem eben persönliche Daten von betroffenen Kunden und Mitarbeitern
im Darknet veröffentlicht wurden.
Im Januar 2025 ist Hertz, einer der größten Mietwagenfirmen der Welt,
Ziel einer Cyberattacke geworden, bei der Kundendaten in die Hände der Angreifer
gelangt sind und mit der Veröffentlichung gestohlener Daten im Darknet erpresst worden.
Mehreren Berichten zufolge in dieser Woche ist nicht nur Hart selbst betroffen
von diesem Sicherheitsvorfall, sondern auch die Tochtergesellschaften Dollar und Thrifty.
Wie das Unternehmen in einer offiziellen Mitteilung bekannt gab,
nutzten die Angreifer eine Schwachstelle in der Dateiübertragungsplattform des
Softwareanbieters Clio Communications aus.
Die betroffene Zero-Day-Schwachstelle wurde offenbar bereits in den Monaten
Oktober und Dezember des vergangenen Jahres ausgenutzt um unbefugt auf die Daten zuzugreifen.
Brisant ist eben, dass Herz nach eigenen Angaben erst am 10.
Februar diesen Jahreskenntnis von dem Datenabfluss erlangte und daraufhin umgehend
eine Untersuchung einleitete.
Diese Untersuchung wurde Anfang April abgeschlossen und enthüllt eben nun in
den Berichten aktuell die Ausmaße des Datenlecks.
Laut Herz sind sensible Informationen wie Namen, Kontaktdaten,
Geburtsdaten, Zahlungsdetails und insbesondere Führerscheininformationen von
Kunden kompromittiert worden.
In einigen Regionen konnten sogar Sozialversicherungsnummern,
Ausweisdaten und Informationen über Unfallverletzungen abgeflossen sein.
Die genaue Anzahl der Betroffenen von den Unternehmen ist derzeit noch unklar,
da eben noch keine konkreten Angaben dazu gemacht wurden.
Hertz versicherte, dass den Fortfall
den zuständigen Strafverfolgungs- und Aufsichtsbehörden gemeldet zu haben.
Bisher seien dem Unternehmen aber keine Fälle von Missbrauch der abgeflossenen Daten bekannt.
Um, das fand ich jetzt ganz interessant, potenziell betroffenen Kunden entgegenzukommen,
hat Hertz das Unternehmen Croll mit einer Darknet-Überwachung bezüglich der
Daten der Betroffenen beauftragt und bietet außerdem den Betroffenen einen kostenfreien,
zwerigen Zugang zu dem Dienst an.
Nichtsdestotrotz ist, glaube ich, festzuhalten, Betroffenen ist eben geraten,
Vorsicht walten zu lassen, um eben jetzt infolgedessen nicht Opfer von Betrug
zu werden, nicht immer so leicht erkennbar.
Und insbesondere, wenn wir jetzt hier von Finanzdaten sprechen,
auch hier Kontoauszüge und Kreditkartenabrechnungen auch weiterhin im Blick zu haben.
Ich habe das Gefühl, die Autovermieter sind ein attraktives Ziel für Hacker.
Da hatten wir in der Vergangenheit schon öfters Meldungen zu.
Richtig, aber man hat natürlich auch sofort einen sehr bunten Blumpf draus an
Daten in dieser Zielgruppe. Also durchaus nachvollziehbar.
Jawohl. Der hamburgische Datenschutzbeauftragte deckt auf, dass fast jede fünfte
geprüfte Webseite in Hamburg beim Einsatz von Drittdiensten gegen Datenschutzvorgaben verstößt.
Der Hamburger BFDI hat eine Stichprobe von 1000 in Hamburg betriebenen Webseiten
unter die Lupe genommen.
Dabei ging es speziell um die Einbindung von sogenannten Drittdiensten,
also externen Angeboten, wie beispielsweise Webanalyse, Werbung oder auch die
Anzeige von Karten. Das Ergebnis findet er alarmierend.
Die nämlich 185 dieser zufällig ausgewählten Webseiten wurden erhebliche Mängel festgestellt.
Das Hauptproblem seien wohl, viele dieser Drittdienste werden direkt beim Aufruf
der Webseite aktiv und beginnen auch dann natürlich direkt mit dem Tracking
der Nutzer, noch bevor diese überhaupt ihre Einwilligung dazu gegeben haben.
Das ist natürlich etwas, das haben wir auch hier schon mehrfach betont,
dass wenn man halt einen Cookie-Banner hat, dass man natürlich prüfen muss,
dass der halt auch wirklich erst die Cookie setzt, wenn dann die entsprechende
Einwilligung gegeben wurde.
Die Liste der beanschaulierten Dienste ist dabei durchaus prominent besetzt,
da zumindest die der da im Hintergrund eingebundenen Dienste,
dann da taucht wohl häufig Google Analytics auf, finde ich jetzt wenig überraschend,
aber auch Google Maps, Google Ads, YouTube, Facebook, Vimeo,
Microsoft Advertising, Pinterest, LinkedIn,
wie gesagt, finde ich jetzt wenig überraschend, das sind natürlich die Social
Media Dinge und Google Analytics, glaube ich, ist nach wie vor auch sehr beliebt.
Die betroffenen Webseitenbetreiber werden jetzt halt schriftlich von der Behörde
über die Mängel informiert und bekommen die Chance, diese auch zu korrigieren.
Laut der Pressemitteilung ist das Ziel der Aktion ausdrücklich,
das Bewusstsein für die Notwendigkeit der datenschutzkonformen Einbindung zu
schärfen und die allgemeine Compliance von Webauftritten mit Sitz in Hamburg
entsprechend zu verbessern.
Ja, von daher kann ich unsere Handlungsempfehlung nur wiederholen.
Die Webseiten regelmäßig überprüfen.
Ich glaube, da ist man immer gut beraten, denn das wissen wir auch aus eigener
Erfahrung, nicht jede Änderung an der Webseite wird immer datenschutzrechtlich
auch kommuniziert, also dem Datenschutzbeauftragten oder dem Datenschutzteam.
Es wird nicht immer geprüft.
Manche Marketingabteilungen sind da natürlich sehr regelmäßig dran und das kann
natürlich auch mal durchgehen, gerade wenn man mit Agenturen zusammenarbeitet.
Also wie gesagt, es sind viele Köche und da würde ich dann raten,
die Webseite immer wieder mal zu prüfen oder halt durch entsprechende Dienste überprüfen zu lassen.
Genau und wir müssen auch dazu sagen, Hamburg ist ja nicht die erste Aufsichtsbehörde,
die so eine Aktion startet.
Und ja, mit Blick auf die aktuellen technischen Möglichkeiten,
die man hat, ist es ja auch ein leichtes, jetzt tausend Webseiten auch überprüfen
zu lassen mit entsprechenden Tools und Technik.
Deshalb, ich glaube, groß verstecken kann man sich halt einfach auch gar nicht mehr.
Genau, also da sollte man gar nicht drauf spekulieren und die Tools,
wie gesagt, da gibt es ja Anbieter, viele für, die sowas ja auch als Service anbieten.
Also da kann ich jedem Unternehmen auch nur raten, die eigene Webseite da ab
und zu mal drüber laufen zu lassen.
Ja, ich bleibe in Hamburg und habe einen Veranstaltungshinweis von dort mitgebracht,
denn die Aufsichtsbehörde in Hamburg lädt ein am 15. Mai zum 4.
Hamburger Datenschutzforum. Die gemeinsam mit der Hamburger Datenschutzgesellschaft e.V.
Sowie mit Unterstützung der Handelskammer Hamburg ausgerichtete Veranstaltung
widmet sich den bedeutenden Änderungen und Herausforderungen,
die durch den EU-Data-Act für den Umgang mit Daten in der Europäischen Union entstehen.
Und Anlass ist eben die Umsetzungsfrist der neuen Verordnung zum 12.
September diesen Jahres für zahlreiche Unternehmen.
Viele der neuen Pflichten aus dem Data Act betreffen ja wohl sowohl personenbezogene
Daten als auch nicht personenbezogene Daten.
Und genau dadurch entsteht eben eine enge Verbindung zum Datenschutzrecht,
womit sich halt diese Veranstaltung beschäftigt. Also wer Interesse hat,
wir packen das hier natürlich gerne in die Shownotes am Nachmittag des 15.
Mai, 14 bis 17 Uhr im Forum der Handelskammer Hamburg.
Dann habe ich noch einen Veröffentlichungshinweis. Der Europäische Datenschutzausschuss,
kurz ETSA, hat seinen Jahresbericht 2024 veröffentlicht.
Der ETSA fokussiert sich in seiner
strategischen Ausrichtung 2024 bis 2027 demnach auf vier Hauptsäulen.
Harmonisierung und Förderung der Compliance, Stärkung einer gemeinsamen Durchsetzungsstruktur,
Sicherung des Datenschutzes in einem sich entwickelnden digitalen Umfeld sowie
Beitrag zum globalen Datenschutzdialog.
Außerdem betont der ETSA die Bedeutung koordinierter Datenschutzdurchsetzungsaktionen,
also hier insbesondere im Rahmen des Coordinated Enforcement Framework,
um eine einheitliche Anwendung der DSGVO in der EU zu gewährleisten.
Das, wie gesagt, verlinken wir natürlich auch. Klar, wer da nochmal reingucken
möchte, der kann natürlich dann da sich den Link direkt aus den Shownotes raussuchen.
Und damit sind wir für heute schon durch.
Stichwort Shownotes, da ist ja auch immer der Link zur Folgenseite drin.
Wenn man da draufklickt, kann man natürlich auch Kommentare hinterlassen.
Wer also was hat, was er uns mitgeben möchte, der darf gerne dort natürlich
draufklicken und auch einen Kommentar hinterlassen.
Wir freuen uns darüber immer und ansonsten sind wir jetzt, wie gesagt,
erstmal für heute, für die kurze Woche, auch mit einer kurzen Folge vielleicht.
Mal gucken. Na, ein bisschen, was war es ja doch.
Sind wir auf jeden Fall durch. in diesem Sinne. Vielen Dank, Laura.
Danke auch.
Und euch ein schönes Wochenende. Bleibt uns gewogen und auf bald.
Bis bald.