Die Datenschutzstelle (DSS) publiziert regelmässig kurze Hinweise und Informationen aus ihrer Praxis im Rahmen des Newsletters. Dabei handelt es sich jeweils um drei Themen, welche mehrfach in der DSS aufkamen bzw. von ihr in Verfahren gerügt wurden.
- Hinweis zur optischen Gestaltung von Einwilligungsmanagement-Tools (Cookie-Bannern) auf Webseiten
Wie die DSS kürzlich in ihrem Newsletter «Aktuelles aus der Datenschutzstelle #3» vom 20.12.2024 mitteilte, müssen Webseitenbetreiber sicherstellen, dass sie bei einwilligungspflichtigen Verarbeitungsvorgängen vor der eigentlichen Verarbeitung die Einwilligung der Webseitenbesucher einholen. Dies geschieht üblicherweise durch Cookie-Banner.
Nicht nur in technischer Hinsicht, sondern auch bei der optischen Gestaltung von Cookie-Bannern sind jedoch Regeln zu beachten. Sowohl Aufsichtsbehörden als auch Gerichte fordern unmissverständlich, dass bei der Gestaltung von Cookie-Bannern auf sogenannte «Deceptive Design Patterns» zu verzichten ist. Als «Deceptive Design Pattern» wird ein Design bezeichnet, das die betroffene Person zu Handlungen verleiten soll, die ihren Interessen entgegenlaufen. Somit darf kein deutlicher optischer Anreiz nur für den Einwilligungs-Button gegeben sein; klar irreführende Designs sind verboten. Ausserdem muss das Ablehnen von Cookies genauso einfach sein wie das Annehmen. Folglich gilt: Wird die Option «Akzeptieren» im Gegensatz zur Option «Ablehnen» merklich graphisch hervorgehoben und/oder sind zusätzliche Schritte notwendig zur Ablehnung von Cookies, so ist die Einwilligung nach Art. 6 Abs. 1 Bst. a DSGVO ungültig.
Es gibt jedoch keinen allgemeinen Standard für die Gestaltung von Einwilligungsbannern in Bezug auf Farbe, Grösse oder Kontraste, sodass ein gewisser Spielraum für die Verantwortlichen verbleibt. Sogenanntes «Nudging» (Verhaltenssteuerung durch Gestaltung) im vertretbaren Rahmen ist erlaubt. Meist wirken denn auch mehrere Gestaltungselemente zusammen, wenn es sich um unzulässige Cookie-Banner handelt (z.B. deutliche Farbe plus grössere Schriftgrösse für die Option «Annehmen» sowie erschwerte Auffindung plus unscheinbare Gestaltung der Option «Ablehnen»). Eine unterschiedliche Farbwahl der Optionen «Annehmen» und «Ablehnen» alleine führt somit nicht zwangsläufig zur Ungültigkeit einer Einwilligung. Cookie-Banner sollten jedenfalls so ausgestaltet sein, dass die betroffene Person ihre Handlungsoptionen auf einen Blick erkennen kann. Dies muss unabhängig von der Bildschirmgrösse des genutzten Endgerätes gewährleistet werden.
Abschliessend weist die DSS erneut darauf hin, dass geprüft werden sollte, ob ein Cookie-Banner für die eigene Webseite überhaupt erforderlich ist. Um den eigenen Aufwand gering zu halten, empfiehlt es sich ganz generell, auf einwilligungspflichtige Cookies und Verarbeitungen bzw. solche nutzenden Applikationen so weit wie möglich zu verzichten. Weitere Informationen zum Thema Cookies und Cookie-Banner finden sich etwa im Abschlussbericht der Cookie-Banner Taskforce des Europäischen Datenschutzausschusses (EDSA)1 sowie auf der Internetseite der DSS.
| 1Hinweis: In Liechtenstein sind für Cookies nur die Bestimmungen der DSGVO, nicht aber der in der EU mit RL 2009/136/EG angepassten ePrivacy Richtlinie (RL 2002/58/EC) zu beachten. |
- Vorsicht bei der selbst-deklarierten DSGVO-Konformität von Softwarelösungen oder Cloud-Diensten
Eigene Aussagen (oder Labels) von Anbietern von Softwarelösungen oder Cloud-Diensten über die «DSGVO-Konformität» ihrer Produkte sind mit Vorsicht zu geniessen! Eine solche Deklaration befreit den Verantwortlichen keinesfalls vor dem Kauf der Leistung oder des Dienstes von einer konkreten Prüfung der datenschutzrechtlichen Fragen in Zusammenhang mit der geplanten Datenverarbeitung (Einsatzzweck, zu verarbeitende Daten, etc.) und der Vornahme von den Datenschutz gewährleistenden Einstellungen im Dienst. Auch wenn die DSS immer wieder die Frage erreicht, ob solche pauschalen Selbstdeklarationen tatsächlich eine Gewähr für die Einhaltung des Datenschutzes bieten, ist unmissverständlich festzuhalten, dass eine solche pauschale datenschutzrechtliche Beurteilung einer Software oder eines Online-Dienstes ohne Kenntnis der spezifischen Details einer geplanten Datenverarbeitung in der Regel nicht möglich ist.
Am Beispiel eines Cloud-Dienstes ist unter anderem vorab zu prüfen, wie schutzwürdig die zu verarbeitenden – in der Cloud zu speichernden – Daten sind und welche möglichen Folgen sich für die Betroffenen bei Verlust, Veränderung oder Offenlegung ergeben (Art. 32 DSGVO). Anschliessend ist zu prüfen, ob der jeweilige Cloud-Dienst das zuvor ermittelte Schutzniveau mit entsprechenden Einstellungen bzw. Massnahmen erreichen kann. (Schutz-)Massnahmen in der Cloud sind unter anderem Verschlüsselungsmechanismen oder Regelungen zu Zugriffsrechten. Unter bestimmten Voraussetzungen ist die vorgenannte Prüfung sogar in Form einer sogenannten Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Werden die in der Cloud gespeicherten Daten womöglich in einen Drittstaat ausserhalb des EU/EWR-Raumes übermittelt, ist ausserdem zu prüfen, ob dieser ein dem EU/EWR-Raum gleichwertiges Schutzniveau bietet oder ob dieses über geeignete Massnahmen und Garantien sichergestellt werden kann (Art. 44 ff. DSGVO). Zudem sind Anbieter von Cloud-Diensten meistens als Auftragsverarbeiter gemäss Art. 28 DSGVO zu qualifizieren, weshalb das Vorliegen eines rechtskonformen Auftragsverarbeitungsvertrages zu prüfen ist.
Zusammenfassend kann festgehalten werden, dass der Einsatz einer bestimmten Softwarelösung oder eines Cloud-Dienstes nicht grundsätzlich unzulässig oder zulässig bzw. mit dem Datenschutz unvereinbar oder vereinbar ist. Vielmehr kommt es auf den konkreten Einzelfall und die spezifischen Einstellungen im Dienst an. Pauschale Aussagen von Anbietern von Softwarelösungen oder Cloud-Diensten sind deshalb stets mit der entsprechenden Vorsicht zu geniessen.
Falls von den Anbietern jedoch offiziell vom Europäischen Datenschutz-Ausschuss genehmigte Zertifikate und Labels verwendet werden, so stellen diese eine bessere und ganz grundsätzlich auch eine vertrauenswürdige Grundlage zur Beurteilung der DSGVO-Konformität eines Produkts bzw. Dienstes dar. Doch auch hier wird man als Verantwortlicher nicht um eine zusätzliche, eigene datenschutzrechtliche Beurteilung des Einsatzes für eine konkrete Datenverarbeitung herumkommen. (Die DSS wird zu den offiziell genehmigten Zertifikaten und Labels separat berichten.)
- Hinweis zu Risiken bei der Nutzung von DeepSeek
Die Verwendung der neu erschienenen künstlichen Intelligenz (KI) DeepSeek R1 (DeepSeek) geht mit erheblichen datenschutzrechtlichen Risiken einher. Zwar ist dieses Modell einer generativen KI mittlerweile auch hierzulande frei zugänglich im Internet verfügbar, doch ist zu beachten, dass es nicht für europäische Nutzerinnen und Nutzer konzipiert wurde.
Das in China entwickelte DeepSeek wird als Open Source zur Verfügung gestellt und ist im EU/EWR-Raum über Plattformen wie Hugging Face aufrufbar. Die Verwendung dieser KI ist aus datenschutzrechtlicher Sicht jedoch äusserst bedenklich, da insbesondere die Erhebung und Verarbeitung von Daten durch das KI-Modell derzeit (noch) ohne ausreichende Schutz-Garantien stattfindet. So können etwa die von den Nutzern als „Prompts“ eingegebenen Daten von DeepSeek unbeschränkt aufgezeichnet, übertragen, gespeichert oder analysiert werden.
Aufgrund fehlender Transparenz zur Governance dieser KI ist die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch DeepSeek zweifelhaft. Zudem könnte es im Fall von DeepSeek aufgrund der in China angesiedelten Datenverarbeitung zu einer Beteiligung staatlicher oder dritter Akteure kommen, wodurch aus europäischer Sicht das Risiko von Datenschutzverletzungen und Verletzungen des Grundrechts auf Privatsphäre noch vergrössert wird.
Die Tatsache, dass DeepSeek bzw. sein für die Verarbeitung Verantwortlicher nicht im EU/EWR-Raum ansässig ist und hier auch keinen gesetzlichen Vertreter ernannt hat, erschwert nicht nur die Zusammenarbeit mit den europäischen Datenschutzbehörden signifikant und macht eine Regulierung oder Abhilfe im Falle von Missbrauch besonders kompliziert. Das Fehlen eines Vertreters von DeepSeek in Europa macht auch die Ausübung der in der DSGVO festgelegten Rechte der betroffenen Bürgerinnen und Bürger (Zugang, Berichtigung, Löschung von Daten) schwierig oder sogar unmöglich.
Um die mit der Nutzung von DeepSeek verbundenen Risiken zu begrenzen, empfiehlt die DSS deshalb:- Vermeiden Sie die Installation der DeepSeek-Vorlage und ihrer Konfigurationsdateien in jeder IT-Umgebung, um die Gefährdung durch Datenlecks oder Datenmissbrauch zu begrenzen.
- Geben Sie bei der Nutzung der Online-Schnittstelle niemals personenbezogene oder vertrauliche Daten ein, da diese ohne angemessene Sicherheitsvorkehrungen ausgewertet werden könnten.
- Sensibilisieren Sie Personen in Ihrem beruflichen und persönlichen Umfeld aktiv über die Risiken, die mit der Nutzung dieser KI verbunden sind.
- Bevorzugen Sie KI-Tools, die dem europäischen Rechtsrahmen (DSGVO, AI Act) entsprechen, die Datenschutzgrundsätze einhalten und Garantien für Sicherheit und Privatsphäre bieten.
Die DSS, gemeinsam mit den anderen europäischen Aufsichtsbehörden, wird die weitere Entwicklung dieser und anderer KI-Modelle eng mitverfolgen und ihrer Aufsichtsfunktion nachkommen, um die liechtensteinischen und europäischen Bürgerinnen und Bürger vor den mit diesen neuen Technologien verbundenen Risiken zu schützen.