Kein Schadenersatz wegen Scraping bei X – Datenschutz News KW 05/2024

Moderation:

Was ist in der KW 05 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• 10.000.000€-Bußgeldbescheid gegen Uber
• Recht auf Löschung auch für Verurteilte
• Entscheidung zur Erhebung von Geburtsdaten im Online-Shop, Beschluss vom 23.01.2024, Az. 14 LA 1/24 (BeckRS 2024, 465)
• Kein Schadenersatz wegen Scraping bei X, LG Stuttgart, Urteil vom 24.01.2024, Az. 27 O 92/23
• HmbfDI leitet EU-Stellungnahme zu Abo-Modellen in die Wege
• Veranstaltungen der Reihe #DigitaleVorbilder des HmbBfDI
• Gute Bilanz für Banken bei Schwerpunktkontrolle in Österreich

Empfehlungen & Lesetipps:

• Aufzeichnung der Veranstaltung vom 29. Januar 2024
• Broschüre »Achtung Kamera!«

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/kein-schadenersatz-wegen-scraping-bei-x-datenschutz-news-kw-05-2024

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Herzlich willkommen zum Datenschutztalk, Ihrem Podcast für die Themen Datenschutz und Informationssicherheit, Heute ist Freitag, der 2. Februar, Es kündigt sich so langsam der Frühling an, was ich ganz toll finde und ähm bei mir ist heute, was ich auch ganz toll finde, zum zweiten Mal in Folge die liebe Laura. Hallo lieber David, ich freue mich auch sehr. Letzte Woche noch so drüber gesprochen, dass wir uns sehen und schwuppdiwupp, heute ist es wieder soweit. Ja, jetzt geht’s Schlag auf Schlag ähm und Schlag auf Schlag geht’s auch bei unseren spannenden Themen. Wie sieht deine Themenliste für diese Woche aus? Ich habe als allererstes mitgebracht ein Bußgeldbescheid gegen den Fahrdienstleister Uber außerdem ein Beschluss vom Oberverwaltungsgericht in Lüneburg zur Angabe von Geburtsdaten bei Onlinebestellungen. Dann, es hat es noch auf meinen Zettel geschafft, eine geplante europäische Stellungnahme zum Thema Abo-Modelle im Online-Marketing, zu guter Letzt hätte ich noch einen kleinen Veranstaltungstipp. Wie sieht’s bei dir aus? Der EuGH hat über die Löschung von verurteilten Daten geurteilt, Darüber möchte ich sprechen. Äh dann habe ich noch ein Urteil mitgebracht zum Schadenersatz wegen Scraping auf der Plattform, in Österreich gab es eine Kontrolle des Bankensektors, wo das Ergebnis jetzt vorliegt und ein Lesetipp habe ich auch dabei. Wie ich immer so schön sachgemischte Tüte, alles dabei, was? Alles dabei, bunter Blumenstrauß. Richtig. Soll ich mal starten. Dann fahren wir los mit Uber. Ja und zwar die niederländische Datenschutzbehörde, ein hohes Bußgeld gegenüber verhängt, Der Fahrdienstleister soll demnach zehn Millionen Euro Bußgeld zahlen aufgrund der Nichtbeachtung allgemeiner Auskunftsrechte im mit Blick auf seine Fahrer und zwar bemängelt. Die Datenschutzbehörde, die Transparenz zu Datenspeicherung und auch ähm das Thema Übermittlung in Drittländer, Datenübermittlung in Drittländer wurde hier als mangelhaft bewertet. Ebenso wurde den Fahrern des Dienstleisters die Wahrnehmung ihrer betroffenen Rechte stark erschwert, ebenso wie die Einsicht in ihre Daten und auch, Kopie oder eine Kopie zu erhalten war hier nur schwerlich möglich. Ähm warum kamen eben die Aufsicht hier zu diesem Ergebnis. Also es gab zwar ein digitales Antragsformular für die Fahrer innerhalb der App. Allerdings war dieses in allen Arten von Menüs verste Also man musste hier schon sehr lange suchen, um eben entsprechendes Formular zu finden. Und auch wurde bemängelt, dass es hier sich eben nicht um ein Gefordertes, leicht zugängliches Format handelt, Und auch die Beiauskunft wurden personenbezogene Daten nicht immer strukturiert und daher nur schwer interpretierbar zugestellt. Außerdem ebenfalls Teil ähm ja der Mängelliste waren die Datenschutzhinweise, die ausschließlich in Englischer Sprache zur Verfügung standen. Ausschlaggebend für die Untersuchung war eine Sammelbeschwerde aus Frankreich. Er hatte eine französische Menschenrechtsorganisation eine Sammelbeschwerde von 170 U-Bahn Fahrer bei der französischen Datenschutzbehörde eingereicht und da der US Konzern Uber seinen Hauptsitz in den Niederlanden hat, hat eben die Französische Datenschutzbehörde sich an die Niederländer gewandt, die der Sache halt nachgekommen sind. Zum Beschwerdezeitpunkt waren 120.000 europäische Fahrer aktiv für diesen Dienst, also das hat bei diesem Bußgeld natürlich auch noch mit reingespielt. Ähm es ist zwar bereits bekannt, dass Uber Berufung eingelegt hat, also bis dahin bis die finale Entscheidung steht ähm, Muss erstmal das Bußgeld nicht bezahlt werden, aber wahrscheinlich wird am Ende doch was von überbleiben. Gehe ich mal von aus. Kann man nur hoffen. Kann man nur hoffen, klingt berechtigt. Ah, krass. 120.000 Fahrer schon einiges. Gut für ganz Europa, ne. Ich sehe tatsächlich auch immer viele rumfahren in Düsseldorf. Machen weiter beim europäischen Gerichtshof. Ähm dieser hat zur Löschung von biometrischen und genetischen Daten strafrechtlich verurteilter, beurteilt. Das klingt redundant, ist aber richtig. Ähm das Gericht hat festgestellt, dass eine grundsätzliche Speicherung bis zum Tod der betroffenen Person gegen, Das EU-Recht verstößt. Hintergrund war hier ein Fall aus Bulgarien Eine Person wurde wegen einer falschen Zeugenaussage zu einer Bewährungsstrafe von einem Jahr verurteilt. Nachdem der Betroffene diese eingebüßt hatte und für rehabilitiert befunden wurde, beantragte er die Löschung seiner Fingerabdrücke und seines DNA-Profils aus dem Polizeiregister. Das bulgarische Recht sieht allerdings eine Speicherung bis zum Tod der betroffenen Person vor, sodass das Löschbegehren abgelehnt wurde. Praxis befand der EuGH für Europarechtswidrig. Sie verstößt gegen Artikel 7 und Artikel 8 der EU Grundrecht Jakarta. Der EuGH sieht zwar die grundsätzliche Möglichkeit, biometrische und genetische Daten strafrechtlich verurteilter bis zu ihrem Tod zu speichern, wenn dies zu Verfolgung, Prävention von Straftaten erforderlich ist, verlangt dies aber im Einzelfall und regelmäßig in einer Interessensabwägung zu prüfen. Insgesamt ist die Frist der lebenslangen Speicherung, damit nur unter ganz besonderen Umständen angemessen, die sie gebührend rechtfertigen. Klingt erstmal ganz gut, wie das dann letzten Endes aussieht, wird sich zeigen. Ähm sollte nicht zu sehr ausgehöhlt werden. Was meinst du, Laura? Ja, also ich glaube, das ist in der Praxis wahrscheinlich schwer anwendbar für die einen oder anderen Bereiche, Ähm und wenn du jetzt mal überlegst, wie viele Interessensabwägungen wahrscheinlich man in dem Bereich machen müsste, würde mich doch gerne mal einen Blick in die Praxis interessieren, ob dem jede Dienststelle dann so nachkommen. Ja, insbesondere Behörden, die ja schon genug zu tun haben und auch nicht immer ganz so gut besetzt sind. Gut, dass wir keine Vorurteile haben. Ich habe als nächstes einen Beschluss mitgebracht vom Oberverwaltungsgericht Lüneburg vom 23. Januar, welches zu dem Ergebnis dort kam, das zur Durchführung vorvertraglicher Maßnahmen, die Angabe des Geburtsdatums bei Bestellung in einem Onlineshop grundsätzlich rechtmäßig ist. In der Rechtssache war es so, dass eine Versandapotheke grundsätzlich immer das Geburtsdatum bei Bestellung von Produkten gefordert hat und das Gericht kam eben nun zu dem Ergebnis, dass die Erhebungen, Verarbeitung des Geburtsdatum, unabhängig davon, welches bestellt werde gegen die Rechtmäßigkeit äh in Artikel fünf, Absatz eins GVO verstößt lautem Gericht muss es zu einer Differenzierung bei der Bestellung kommen, ob ein Medikament altersabhängig dosiert werden müsse oder nicht. Ohne dies sieht es eben keine Rechtsgrundlage gemäß der DSGVO an. Begründung der Versandapotheke war, bei der eh immer dauernden Abfrage, dass sie doch die Geschäftsfähigkeit ihrer bestellenden prüfen müssten, eben auch eine altersgerechte Beratung vorsieht. Also deshalb hatten sie hier die vorvertraglichen Maßnahmen als Rechtsgrundlage angeführt. Das Gericht sieht hier aber, Die allgemeine Abfrage der Volljährigkeit als ausreichend an, also nicht die Angabe des äh Geburtsdatums, des Bestellers ähm ist hier erforderlich und konsequenterweise. Sagen Sie, müsste demnach auch nicht das Alter der Person des Bestellers abgefragt werden, sondern, des Konsumenten beziehungsweise der Person, die eben für die Einnahme des Medikaments oder Anwendung des Präparats vorgesehen ist. Ebenso führte das Gericht an, dass das Angebot der Versandapotheke eine Vielzahl an Produkten aufführt, die Altersunabhängig konsumiert beziehungsweise angewendet werden können. Auch deshalb ist hier eben die Erforderlichkeit dieser Angaben. Nicht nachvollziehbar. Ebenso hatte, Die Versandapotheke eine rechtliche Verpflichtung angeführt, nämlich Paragraph zwei, Absatz eins, Nummer drei, der Arzneimittelverschreibungsverordnung ähm jedoch hat auch dies das Gericht gekippt, denn diese Online-Apotheke, führt ausschließlich Bestellungen aus für rezeptfreie Produkte und diese vorgenannte Rechtsgrundlage gilt eben nur für verschreibungspflichtige Präparate. Eine Interessenabwägung nach Artikel sechs, Absatz eins, Lit F DSGVO sieht auch das Gericht als, Nicht möglich an, da eben bereits die Erforderlichkeit der Datenverarbeitung und Frage, zu stellen ist, wie gerade ja gesagt, Abfrage des Geburtsdatums. Hierfür gibt’s eben das mildere und gleich effiziente Mittel der Abfrage der Volljährigkeit und deshalb haben sie dies auch in Gänze gekippt, Ich finde ganz schlüssig, nachvollziehbar. Ja absolut nachvollziehbar. Fasten ähm Fall, den man so in einem Lehrbuch ähm abdrucken könnte. Ähm ein schönes Beispiel für die Erforderlichkeit und ähm in der Praxis hier auch noch sehr oft anzutreffen, dass das Geburtsdatum wieso auch immer bei einer Registrierung oder bei einer Bestellung abgefragt wird. Ich mache weiter in ähm Stuttgart. Ähm in letzter Zeit haben sich ja die Gerichte sehr viel mit Straping bei Facebook befasst und dazu haben wir auch sehr viel berichtet. Die Gerichte kamen hier, teilweise zu sehr unterschiedlichen äh Ergebnissen. Jetzt hat das Landgericht Stuttgart zu einem Fall auf der Plattform X geurteilt. Geklagt hatte eine Userin von Ex, weil ähm auf der Plattform im Sommer 20 21. Damals hieß sie noch Twitter, eine offene Schnittstelle bestand, die es Hackern ermöglicht mit Hilfe einer E-Mail-Adresse Oder einer Handynummer, gesamte Profil zu scrapen. Die Klägerin erfuhr hier von, dass sie davon betroffen war, über, Plattform point. Haben wir ja auch schon öfters drauf verwiesen. Grundsätzlich ein sehr gutes ähm Portal, wo man seine Quedentials eingeben kann und schauen kann, ob die in einem Daten leckt drin waren. Allerdings hatte die Klägerin hier nur diesen Eintrag bei Hafai Bin Point und begehrte deshalb Schadenersatz nach Artikel. 82 Datenschutzgrundverordnung. Das Gericht sah den Eintrag bei Hephabin Point aber lediglich als Indiens und nicht als Beweis, dass die Klägerin tatsächlich betroffen war, an, denn wie die Datenbank von Heaver bin Point genau funktioniert, sei nicht bekannt. Sie belege jedenfalls nicht, dass die Klägerin tatsächlich Opfer von Scraping bei Twitter wurde. Und das Gericht sah damit den eingetretenen Schaden nicht als dargelegt an. Es deutete außerdem an, dass der bloße Kontrollverlust der Daten hier auch nicht als Schaden ausgereicht hätte. Dazu steht, wenn ich mich nicht ganz täusche, auch noch ein Urteil vom EuGH aus zur Quirinbank. Dass wir gespannt erwarten. Auch spannend, weil die Verteidigungsstrategie von Ex. Diese hatte nämlich, angeführt, dass die Lücke zwar existierte, das wurde eingeräumt und nach eigenen Angaben waren rund 5,4 Millionen Nutzer von Twitter Von dem betroffen gewesen. Die Klägerin gehörte aber nicht dazu. Ja, haben die wahrscheinlich alles durchgeguckt. Ja aber Vielleicht ist ja eine Hörerin oder ein ähm Hörer davon betroffen gewesen. Wir hoffen natürlich nicht, aber ist ja schon sehr wahrscheinlich bei 5,4 Betroffenen Nutzern und wenn man das Urteil umdreht, dann hat man ja quasi ein how to get Schadenersatz. Ja, ich finde das schon extrem. Wir hatten’s ja in der letzten Folge ja auch, äh wie viele Datensätze denn angegeben werden oder wie viele diese doch aufführen nach diesen Angriffen und ähm, Ja, das wäre ja schon extrem, wenn man auf Grundlage dessen direkt mit seinem Schadensersatz Säckchen von Unternehmen zu ernehmen könnte, oder? Ja so darf es dann auch nicht ausarten, aber es ist und bleibt halt ein guter Ansatz. Absolut. Ich finde einen ganz guten Ansatz hat auch der hamburgische Beauftragte für Datenschutz und die Informationsfreiheit bei dem Thema, Abo-Modelle bei Online-Plattformen, denn er hat nun ein Ersuchen an den europäischen Datenschutzausschuss gestellt, hier eben eine Stellungnahme zu mehr umzusetzen. Laut seiner Pressemitteilung bemängelt er eine einheitliche europäische Haltung zu Bezahlmodellen, großer Online-Plattformen, die es eben Nutzerinnen ermöglichen, die Dienste ohne personenbezogene Werbung zu nutzen. Gemeinsam hat er nun mit den Datenschutzbehörden Norwegen und Niederlanden sich an den Europäischen Datenschutzausschuss gewandt und bittet halt hier um Klärung der Vereinbarkeit solcher Angebote mit der DSGVO. Deutsche Aufsichtsbehörden hatten sich ja schon im März letzten Jahres zu den Abo-Modellen geäußert und auch der Europäische Gerichtshof hat ja im Juli letzten Jahres grundsätzlich die Möglichkeit eröffnet für Social Media Dienste ein Abo-Modell als Alternative zu einer Einwilligung, zum Zwecke der Personalisierten Werbung einzuführen. Jedoch fehlt es der hamburgischen Aufsichtsbehörde, an Einzelheiten, also unter welchen Voraussetzungen dies denn als rechtmäßig gewertet werden kann und Sie sehen bei dieser Stellungnahme das Ziel, Eine Orientierungshilfe für europäische Anbieter zu erwirken. Außerdem fordern sie, dass Ist natürlich wie in so vielen anderen Bereichen auch gemeinsame Standards zu etablieren gilt bei den Aufsichtsbehörden, damit’s hier auch eben innerhalb der europäischen Ebene keine Abweichung gibt. Das Ergebnis, also eine Stellungnahme grundsätzlich, ist wohl jetzt so in circa drei Monaten geplant. Bin ich mal gespannt, ob der EuGH da noch mal, beziehungsweise Entschuldigung, nicht der EuGH, sondern der europäische Datenschutzausschuss auch nochmal konkretisierte Orientierungshilfen zur Verfügung stellt. Dann hätte ich noch einen kleinen äh passt an dieser Stelle ganz gut, weil dieser nämlich auch aus Hamburg kommt. Wer dort wohnt oder in der Nähe ist und morgen noch nichts vorhat, dem sei äh der Safer Internet Day ans Herz gelegt, nämlich morgen in Hamburg findet der statt in der Bücherhalle Hamburg äh ab, 12 Uhr. Ich fand ganz interessant äh der hamburgische Beauftragte hat ihr ein, Vortragslot zum Thema Kinderbilder im Netz, aber auch, wenn man vor Ort ist, kann man sich direkt mit Fachexpertin aus der Aufsichtsbehörde, Kurzschließen, weil diese auch dort sind zu persönlichen Gesprächen. Finde ich auch ganz schön, ganz nah war. Also wie gesagt, wer dort ist Das schon mal als kleiner Hinweis für morgen. Alternativ soll’s aber auch zehn Tage später ein Online-Seminar zum selben Thema geben, also am 13. Februar findet ab 19 Uhr ein Online-Seminar statt zum Thema Kinderbilder im Netz, Privatsphäre für kleine Persönlichkeiten. Auch das lege ich immer sehr gerne ans Herz, weil es ein sehr kritisches Thema ist, finde ich. Ein sehr wichtiges Thema gebe ich dir recht, Ja äh sehr fleißig die Hamburger, aber auch die Österreicher stehen dem im Nichts nach. Genauer gesagt die österreichische Datenschutzbehörde unter der Leitung von Andrea, Hat äh eine Schwerpunktkontrolle zum Datenschutz im Bankensektor durchgeführt. In den Fokus stellte die Behörde erstens die Frage, Ob die Verarbeitung von Bank und Kontodaten zu Werbezwecken korrekt vonstatten geht. Zum anderen wurde die Stellung der Datenschutzbeauftragen der Banken überprüft. Unregelmäßigkeiten tauchten zu den beliebten, Themenbestimmung der richtigen Rechtsgrundlage zu Speicherdauer und zu internationalen Datenübermittlungen auf, grobe Verfehlungen gab es aber nicht, deswegen lautet das Ergebnis insgesamt, dass die Branche ganz gut aufgestellt ist. Das freut uns doch auch mal eine positive Nachricht verkünden zu können. Richtig haben wir in der Vorbereitung gesagt, wir müssen ja auch mal das Schöne mitbringen. Nicht immer nur schwarz malen. Richtig. Ich komme jetzt zu einem weiteren Veranstaltungstipp beziehungsweise die Veranstaltung hat schon stattgefunden. Es geht um die Aufzeichnung dessen, denn am 29. Januar, also im Laufe der Woche hat der Europäische Datenschutztag in Berlin stattgefunden, Ähm hier haben sich, namhafte Expertinnen und Experten aus Deutschland der EU über wichtige Entwicklungen im Datenschutz unterhalten, beispielsweise zum Thema neue Gesetze, ähm aber natürlich auch das Thema künstliche Intelligenz hat’s auf den Plan geschafft und auch äh das Thema akkreditierte Zertifizierungsstellen, die ja ihre Arbeit aufgenommen haben, ähm die haben hier im Rahmen dessen berichtet, also wer da reinschauen möchte, ähm dem legen wir die Aufzeichnung ans Herz, ich habe noch nicht geschafft, reinzuschauen Aber äh ich glaube, das werde ich nochmal tun am Wochenende. Kurz reinblicken. Klingt nach einem guten Plan. Dann hat sich ja auch noch eine Lesetipp versprochen und mein Lesetipp ist ähm die Broschüre Achtung Kamera, die von der Datenschutzbeauftragten aus Sachsen, Juliane hundert jetzt. Veröffentlicht wurde. Die Broschüre legt ihren Fokus auf den privaten Bereich und zeigt in welchem Rahmen eine Videoüberwachung des eigenen Grundstücks erlaubt ist und was verboten ist. Darin heißt es, dass die Beschwerden über private Kameras deutlich erhöht haben und dass hier Bußgelder drohen. So wurden zum Beispiel im vergangenen Jahr sieben Bußgelder wegen eines rechtswidrigen Einsatzes von Dash Camps festgesetzt die Bußgeldhöhe bewegte sich hier jeweils zwischen 100 und tausend Euro, andere Problemfelder sind die Überwachung von Mehrfamilienhäusern und von öffentlichen Flächen insbesondere, Gehwegen und Das ist tatsächlich eine Sache, ähm die ich auch immer wieder feststelle und über die ich mich ärgere, wenn man so spazieren geht und ja als, Datenschütze hat man ja auch diese, Diesen äh Segen und gleichzeitig Berufskrankheit, dass man immer peripher alles auf Kameras und auf Hinweisschilder scannt und da muss ich doch sehr, sehr oft feststellen, dass die Kameras da sind, aber dass die Hinweisschilder fehlen und dass die Kameras oft auch auf Gehwege zeigen. So ist es. Geht mir aber eben so, wie du schon sagst, glaube ich, absolut Berufskrankheit. Ja äh wenn ich mit anderen unterwegs bin, die wundern sich immer, wie ich das so schnell identifiziere, aber das ist fluchend Segen. Und damit würde ich dann auch für heute schließen, es sei denn, dir ist noch was eingefallen, Laura. Nein, aber ich fand, es war schön, wie immer. Fand ich auch und dann machen wir doch damit auch zu. Man soll ja aufhören, wenn’s am schönsten ist. Ähm wir bedanken uns wie immer ganz herzlich fürs Zuhören. Wir wünschen Ihnen ein schönes Wochenende, wenn Sie uns heute am Freitag hören Wenn sie uns erst am Anfang der Woche hören, dann einen guten Start in die neue Woche. Bis bald.