Projekte

Nach der Aufnahme der Tätigkeiten von noyb per 25. Mai 2018 haben wir die ersten Projekte gestartet, die sich allen voran auf die Untersuchung von Durchsetzungsmöglichkeiten fokussieren. Auf dieser Seite findest du eine Liste unserer derzeitigen Projekte, wobei wir je nach Entwicklungsstand des Projektes nicht alle Informationen preisgeben können – zumindest vorerst nicht…

Derzeitige Durchsetzungsprojekte

Zwangszustimmungen (Datenschutzbehörden in Österreich, Belgien, Frankreich, Deutschland)

Wenn sich Unternehmen bei der Verarbeitung personenbezogener Daten auf die Zustimmung als Rechtsgrundlage verlassen, müssen sie die strengen Anforderungen der DSGVO erfüllen. Im Mai 2018 reichte noyb vier Klagen ein; in Frankreich gegen Google, in Österreich gegen Facebook, in Belgien gegen Instagram und in Deutschland gegen Whatsapp. Der Grund hierfür war, dass diese großen Unternehmen einen „take it or leave it“-Ansatz verfolgten, der ihre Nutzer zwang, sowohl ihrer Datenschutzerklärung als auch ihren Bedingungen vollständig zuzustimmen, um ihre Dienste weiterhin nutzen zu können.

Im Jänner 2019 verhängte die französische Aufsichtsbehörde (CNIL) nach unserer Beschwerde eine Geldstrafe von 50 Millionen Euro gegen Google auf Grund der ungültigen Zustimmungsmechanismen des Unternehmens. Die Sanktion wurde angefochten, und ein Verhandlungstermin vor dem französischen Conseil d’Etat steht noch aus. Alle drei anderen Beschwerden (Facebook, Instagram und WhatsApp) haben den europäischen Kooperationsmechanismus ausgelöst und werden noch heute untersucht. Wir beobachten die Zusammenarbeit zwischen dem irischen DPC und seinen Kollegen aufmerksam und hoffen, in naher Zukunft von unseren jüngsten Beiträgen zu hören.

Streaming-Dienste

Im Jahr 2018 stellten betroffene Personen, die von noyb vertreten wurden, Anträge auf den Zugang ihrer Daten bei acht Streaming-Diensten. Artikel 15 DSGVO gewährt den Nutzern das „Recht auf Zugang“ – ein Recht auf eine Kopie aller Rohdaten, die ein Unternehmen über den Nutzer besitzt, sowie zusätzliche Informationen über die Quellen und Empfänger der Daten, sowie den Zweck, für den die Daten verarbeitet werden.  noyb stellte fest, dass die Antworten auf Zugangsanfragen oft unvollständig oder nicht benutzerbezogen waren. In acht von acht Fällen hat noyb im Januar 2019 Beschwerden bei den zuständigen Datenschutzbehörden (DPAs) eingereicht. Alle Beschwerden sind noch offen, wobei laufende Untersuchungen vor den DPAs in den Niederlanden, dem Vereinigten Königreich, Irland, Luxemburg, Österreich, Schweden und Berlin laufen. Weitere Informationen zu den Beschwerden finden Sie hier.

Kreditscoring

Kreditscoring ist die Praxis, die kreditwürdigkeit einer Einzelpersonen zu ermitteln und festzustellen, ob ihnen Geld verliehen oder eine postpaid-Dienstleistung (z.B. ein Stromvertrag) angeboten werden soll. Folglich erschwert eine schlechte Kreditwürdigkeit die Teilnahme eines Einzelnen an der Gesellschaft. Die Kreditwürdigkeitsprüfung wird in der EU sehr unterschiedlich behandelt. Dieses Projekt zielt darauf ab, die Rechte des Einzelnen bezüglich genauer und ungenauer Kreditwürdigkeit zu stärken. 

Soft opt-in

„Soft opt-in“ impliziert, dass Sie damit einverstanden sind, Marketingkommunikation über ähnliche Produkte oder Dienstleistungen zu erhalten, die bereits bei einem Unternehmen bestellt wurden. Während ein aktives opt-in (z.B. durch Ankreuzen des Kästchens „Ja“) weiterhin der Standard für das Direktmarketing in elektronischer Form ist, erlaubt Artikel 13 Absatz 2 der ePrivacy-Richtlinie eine Ausnahme dieser Regel in Form des „Soft opt-in“. Folgende drei Punkte müssen allerdings beachtet werden. Zum einen müssen die E-Mail-Adressen der Kunden „im Zusammenhang mit dem Verkauf oder Kauf eines Produkts oder einer Dienstleistung“ eingeholt werden. Zweitens kann nur das Unternehmen, das die E-Mail-Adresse ursprünglich gesammelt hat, von der „soft- opt-In“-Lösung profitieren, und es kann die E-Mail-Adresse nur nutzen, um für „eigene“  „ähnliche“ Produkte beziehungsweise Dienstleistungen zu werben. Drittens kann sich ein Unternehmen nur auf Artikel 13 Absatz 2 der Datenschutzrichtlinie für die elektronische Kommunikation stützen, sofern die Endnutzer „klar und deutlich die Möglichkeit erhalten, einer solchen Nutzung kostenlos und auf einfache Weise zu widersprechen“. noyb prüft derzeit die Fälle von Missbrauch der „Soft Opt-In“-Lösung und wird Beschwerden einreichen, sobald alle Ergebnisse vorliegen.

Werbe-IDs

Wir alle benutzen Smartphones. Mit ihnen surfen wir im Internet, machen Recherchen, laden Apps herunter und nutzen sie. Was wir nicht wissen, ist, dass unsere Aktivitäten durch eingebaute eindeutige Identifikatoren verfolgt werden, die es verschiedenen Personen ermöglichen, unsere Handlungen zu kennen und unsere Präferenzen zu nutzen. Dieses Projekt untersucht diese Angelegenheit und plädiert für die Möglichkeit des Benutzers, diese Tracker dauerhaft löschen zu lassen.

Rechtswidrige Verarbeitung

Einige Plattformen verarbeiten personenbezogene Daten (Fotos, Kontaktdaten, etc.), die nicht ausschließlich ihren Nutzern gehören, beispielsweise weil andere Nutzer ein Foto von jemand anderem als sich selbst hochladen. Diese Informationen werden ohne Zustimmung oder Vertrag mit der betroffenen Person verarbeitet. In solchen Fällen scheint es, dass keine Rechtsgrundlage nach Artikel 6 DSGVO die Verarbeitung hinreichend rechtfertigen kann.

Metadaten

Der Wert und die Kraft von Metadaten werden zunehmend erkannt. Einiger Analysten zufolge können diese Daten dazu verwendet werden, die Verbindungen und Präferenzen der Benutzer zu verfolgen. Die von den wichtigsten Akteuren der Datenwirtschaft bereitgestellten Informationen über ihre Verarbeitung von Metadaten sind sehr allgemein gehalten und geben keine Auskunft darüber, wie Metadaten verwendet werden. Mit diesem Projekt versuchen wir, ein sehr wichtiges Thema zu beleuchten

DNA-Analyse

Obwohl die Untersuchung der DNA von Individuen in Europa noch recht jung ist, wird sie von Jahr zu Jahr immer umfangreicher. Unternehmen versprechen ihren Kunden zu helfen und herauszufinden, wer ihre Vorfahren sind oder welche Krankheiten sie in Zukunft entwickeln könnten, indem sie ihnen preiswerte Gentestsets verkaufen. Der Grund, warum diese Kits erschwinglich wurden, liegt in der sekundären Nutzung der Daten. Sobald ein Kunde über seine Abstammung informiert ist, nutzen Unternehmen seine genetischen Informationen weiterhin für Forschungszwecke. Dies ist sehr beunruhigend, wenn man bedenkt, wie sensibel genetische Daten sind. noyb untersucht, wie die boomende Industrie der DNA-Tests mit den personenbezogenen Daten der betroffenen Personen umgeht und ob die beteiligten Prozesse im Einklang mit der DSGVO stehen.

Cookie-Banner

Cookie-Banner sind durch die ePrivacy-Richtlinie geregelt. Damit ein Unternehmen ein Cookie oder eine andere Tracking-Technologie auf dem Gerät eines Benutzers legal festlegen kann, muss es zunächst eine gültige Zustimmung einholen. Wie der EuGH kürzlich in seiner Planet49-Entscheidung klargestellt hat, kann eine solche Zustimmung nur dann gültig sein, wenn sie die strengen Zustimmungserfordernisse im Sinne der DSGVO erfüllt. Gemeinsam mit einem Forschungsinstitut untersucht noyb, wie Cookie-Banner online implementiert werden und ob die Entscheidungen der Nutzer in der Praxis respektiert werden.  

Dating-Apps

Dating-Apps verarbeiten große Mengen an personenbezogenen Daten, unter anderem sensible Daten wie Standort, sexuelle Orientierung, Alter, Fotos, Geburtsdatum. Was passiert, wenn die betroffenen Personen die Nutzung dieser Apps einstellen und ihre Konten pausieren? An wen werden die Daten weitergegeben? Entsprechen diese Austauschverfahren den Anforderungen der DSGVO? Wie lange speichern die Unternehmen personenbezogene Daten? noyb hat begonnen, eine Reihe von Dating-Apps zu untersuchen.

Erzwungene Konten

Viele Unternehmen nutzen die Vorteile der Digitalisierung ihrer Dienste und sammeln viel mehr Daten über ihre Kunden als nötig. Sehr oft ist es unmöglich, eine Transaktion online abzuschließen, ohne gezwungen zu sein, ein Konto beim Dienstleister zu registrieren. noyb untersucht ausgewählte Geschäftsmodelle und deren Praktiken im Hinblick auf das DSGVO-Prinzip der „Datenminimierung“, welches vorsieht, dass die Verantwortlichen nicht mehr personenbezogene Daten haben, als sie zur Erreichung ihres Ziels benötigen. Mit diesem Projekt wollen wir die Kultur der „erzwungene Konten“ in ausgewählten Branchen verändern und der übermäßigen Datenverarbeitung ein Ende setzen.

Verschlüsselungstechniken

Unsere E-Mails enthalten immer personenbezogene Daten. Auf ihrem Weg zum Empfänger werden diese Mitteilungen von verschiedenen Einheiten, Knotenpunkten und Dienstanbietern behandelt, die ihre Inhalte abfangen, manipulieren und rechtswidrig nutzen können. Um diese Risiken zu verringern, verlangt Artikel 32 DSGVO, dass die Verantwortlichen geeignete Sicherheitsmaßnahmen ergreifen. Ansonsten wird die Vertraulichkeit und Integrität unserer Kommunikation verletzt. Ziel dieses Projekts ist es, die Sicherheitsanforderungen der GDPR gegenüber einem multinationalen Internetunternehmen durchzusetzen.

EU-US Datentransfer (Europäischer Gerichtshof)

Im Jahr 2013 teilte Edward Snowden mit, dass US-Geheimdienste mit Hilfe von Überwachungsprogrammen wie „PRISM“ Zugang zu personenbezogenen Daten von europäischen Facebook-Nutzern haben. Die Beschwerde von Herrn Schrems zielt darauf ab, die Datenübertragung über Facebook zwischen der EU und den USA auf der Grundlage von Privacy Shield und Standard-Datenschutzklauseln zu stoppen.

Nach mehreren Verfahrensschritten erkannte der irische High Court die Existenz von Massenüberwachungsprogrammen der US-Regierung an und verwies elf Auslegungsfragen an den EuGH. Während der Anhörung stritten die Parteien über die wichtigsten Aspekte des Verfahrens, wie die Verletzung des Grundrechts auf Privatsphäre, die Rechtmäßigkeit der internationalen Datenübermittlung bei laufenden Massenüberwachungsprogrammen und die Aufgaben der beteiligten Datenschutzbehörden. 

Nach dem für Q1 2020 erwarteten Urteil des EuGH müsste der Data Protection Commissioner erstmals über die Beschwerde entscheiden. Die Entscheidung könnte erneut Gegenstand der Berufungen von Facebook oder Herrn Schrems sein.

Berechtigte Interessen (Details nicht öffentlich)

Unabhängig vom Zweck muss die Verarbeitung personenbezogener Daten auf einer rechtmäßigen Grundlage erfolgen. Artikel 6 DSGVO legt verschiedene gesetzliche Grundlagen für die Verarbeitung fest. Neben der Zustimmung oder dem Vertrag kann die Verarbeitung auch durch die „berechtigten Interessen“  des Verantwortlichen gerechtfertigt sein (6(1)(f) DSGVO). Obwohl der Zweck der Bestimmung darin bestand, den Verantwortlichen ein gewisses Maß an Flexibilität zu gewähren, hat die Erfahrung gezeigt, dass „berechtigte Interessen“ tatsächlich missbraucht werden können, wenn keine andere Rechtsgrundlage geeignet ist, die Verarbeitung zu rechtfertigen. noyb hat sich verpflichtet, die genaue Bedeutung der „berechtigten Interessen“ und die notwendigen Bedingungen, die erfüllt sein müssen, um sich auf sie zu stützen, zu klären. noyb bereitet sich darauf vor, diese Forschung in Durchsetzungsmaßnahmen umzusetzen.

Derzeitige Untersuchungsprojekte

Offline-Käufe

Online-Tracking ist nur ein Teil des Problems. Stellen Sie sich vor, Werbetreibende könnten sehen, was wir tun und in physischen Geschäften kaufen. Angeblich kauft ein großes Technologieunternehmen „anonymisierte“ Datensätze von Kreditkartendienstleistern, um die Qualität seiner Online-Werbekampagnen zu verbessern. Theoretisch wäre es in Ordnung, denn anonyme Daten sind nicht personenbezogen. Nichtsdestotrotz ist zu prüfen, ob diese Daten tatsächlich anonym sind.

Nationale Verwaltungsverfahrensgesetze

noyb überprüft derzeit die nationalen Verfahren vor den Datenschutzbehörden (DPAs), da sie sich oft grundlegend unterscheiden (z.B. Zugang zu Dokumenten, Recht auf Beantragung bestimmter Maßnahmen durch die DPAs). Für strategische Rechtsstreitigkeiten ist es von entscheidender Bedeutung, sicherzustellen, dass wir einen vollständigen Überblick über die nationalen Verfahrensoptionen haben.

Nationale Implementierung der DSGVO

Die Datenschutz-Grundverordnung (DSGVO“) trat am 25. Mai 2018 in der gesamten EU in Kraft. Als Verordnung muss sie nicht von den EU-Mitgliedstaaten umgesetzt werden, aber es gibt mehr als 30 GDPR-Bestimmungen, bei denen die Mitgliedstaaten die Freiheit haben, ihre Gesetze nach eigenem Ermessen anzupassen. Anpassungen wie z.B. Einschränkungen der Rechte einer Person oder nationale Abweichungen bei der Verarbeitung von Beschäftigungsdaten sind in den nationalen Datenschutzgesetzen der Mitgliedstaaten enthalten. Bislang haben 27 Mitgliedstaaten ein nationales Durchführungsgesetz zum Datenschutz verabschiedet oder aktualisiert. noyb hat die verschiedenen nationalen Anpassungen der GDPR erfasst und wird einen Überblick veröffentlichen.

Derzeitige Kooperationsprojekte

Auskunftsanfragen / Überprüfung von Bestimmungen (Details nicht öffentlich)

 noyb hat die Datenschutzbestimmungen von acht Streaming-Dienstleistern gründlich überprüft und die Beobachtungen in einen Bericht aufgenommen, der im Oktober 2019 bei der Kammer für ArbeiterInnen und Angestellte (AK) eingereicht wurde. Ziel der Überprüfung war es zu untersuchen, wie größere Akteure der Streaming-Branche bestimmte Grundsätze der DSGVO einhalten. Die Untersuchung konzentrierte sich auf zwei Bereiche der Compliance: (1) die Pflicht zur Bereitstellung angemessener Informationen – in der Regel in einer so genannten „Datenschutzerklärung“ (Artikel 13 und 14 der DSGVO) – und (2) die Einhaltung des Rechts der Nutzer auf Zugang zu ihren Daten (Artikel 15 der DSGVO).

Die untersuchten Unternehmen waren: Amazon Prime (Musik und Video), Apple Music (Musik), DAZN (Video), Flimmit (Video), Netflix (Video), SoundCloud (Musik), Spotify (Musik) und YouTube (Video). Der Bericht wird veröffentlicht.