Legal Watch Nr. 63 – September 2023.

Brexit: Ein Überblick zum Datenschutz.

Seit dem Austritt des Vereinigten Königreichs aus der Europäischen Union am 31. Januar 2020 sind zunehmend bedeutende Unterschiede zwischen den Datenschutzrahmen auf beiden Seiten des Ärmelkanals entstanden.

Das Land wendet weiterhin das Gesetz an, mit dem die DSGVO auf nationaler Ebene umgesetzt wurde, das sogenannte „UK GDPR“, und seit dem 28. Juni 2021 profitiert das Vereinigte Königreich von einem angemessenen Schutzniveau, das den Datenaustausch mit der EU erlaubt.

Der Angemessenheitsbeschluss gilt bis zum 27. Juni 2025, könnte aber früher revidiert werden, falls sich der britische Rechtsrahmen vor diesem Datum wesentlich ändern sollte.

Zu den Entwicklungen, die bei der Europäischen Kommission Besorgnis auslösen könnten, gehören das Bestreben Großbritanniens, ein „Datenzentrum“ zu werden, das den internationalen Datenaustausch erleichtert, und der aktuelle Entwurf einer Überarbeitung der „UK GDPR“, der darauf abzielt, die Pflichten britischer Unternehmen zu vereinfachen.

Am 21. September formalisierte das Vereinigte Königreich die im Juni mit den Vereinigten Staaten abgeschlossene „Datenbrücke“.

Das Abkommen tritt am 12. Oktober in Kraft.

Das Vereinigte Königreich hat außerdem Abkommen mit mehreren Ländern geschlossen, die die EU bereits als angemessen betrachtet: Kanada, Israel, Japan, Neuseeland, Schweiz und Uruguay.

Zu seinen Prioritäten zählen außerdem Australien, Kolumbien, Dubai, die Republik Korea und Singapur.

Diese Erleichterung des internationalen Datenaustauschs wirft die Frage nach nachfolgenden Übermittlungen europäischer Daten auf, die, nachdem sie das Vereinigte Königreich durchlaufen haben, zu einem späteren Zeitpunkt von einem Land empfangen würden, das nach Ansicht der EU keinen gleichwertigen Datenschutz gewährleistet.

Großbritannien bewegt sich tatsächlich hin zu einer pragmatischeren Bewertung der von Drittländern angebotenen Garantien, die stärker auf dem Risiko basiert.

Parallel zu diesen Initiativen zum Thema Datentransfers bereitet das Vereinigte Königreich einen Gesetzentwurf zum Datenschutz und zu digitalen Informationen vor („Data Protection and Digital Information (No. 2) Bill“), der die derzeitige britische DSGVO ersetzen soll.

Dieser Text wurde im vergangenen Frühjahr bereits zweimal im Parlament verlesen und muss noch in dritter Lesung debattiert werden.

Das Projekt wahrt den Grundsatz der Zweckbindung, ändert aber seinen Anwendungsbereich: Es genehmigt die Weiterverarbeitung, wenn Daten ohne Einwilligung erhoben wurden, beispielsweise im Falle einer Nutzung im öffentlichen Interesse.

Die Auswirkungen dieser Regelung auf die Verwendung von Cookies sind noch nicht absehbar, obwohl die Regierung angibt, unerwünschte „Pop-ups“, die um die Zustimmung des Nutzers bitten, einschränken zu wollen.

Die Definition der wissenschaftlichen Forschung wurde aktualisiert und erweitert, und ihre Anwendungsbedingungen wurden gelockert.

Dies könnte es Unternehmen ermöglichen, Daten leichter für kommerzielle Zwecke zu verarbeiten, da diese kommerziellen Praktiken aus technologischer Forschung und Entwicklung bestehen. 

Das Projekt reduziert auch die Anforderungen an Unternehmen hinsichtlich der Aufzeichnungspflichten und der proaktiven Kontrolle ihrer Datenverarbeitungsaktivitäten, mit Ausnahme derjenigen, deren Verarbeitung ein hohes Risiko für die Rechte von Einzelpersonen darstellt.

Der Text stellt außerdem einen Rahmen für die Nutzung von „zuverlässigen und sicheren digitalen Verifizierungsdiensten“ vor, der offenbar auf das Projekt der Europäischen Union zur digitalen Identität reagiert.

Für Unternehmen, die in der gesamten EU tätig sind, werden einige Vorteile der Reform zur Verringerung des Verwaltungsaufwands begrenzt sein: Sie müssen beispielsweise weiterhin einen Datenschutzbeauftragten ernennen und können nicht von der Lockerung bestimmter Vorschriften zur Datenaufbewahrung profitieren.

Der Plan sieht außerdem vor, die bestehende Regulierungsbehörde, das ICO, durch einen Rat zu ersetzen und dem Staatssekretär die Befugnis zu erteilen, bestimmte Aktivitäten der Institution durch die Festlegung strategischer Prioritäten zu steuern.

Die Existenz einer unabhängigen Datenschutzbehörde wird eines der Schlüsselelemente sein, die die EU bei der Neubewertung der „wesentlichen Gleichwertigkeit“ der britischen Datenschutzbestimmungen berücksichtigen wird.

Diese Frage hat bereits im Europäischen Parlament Fragen aufgeworfen.

Das Gesetz könnte im nächsten Frühjahr verabschiedet werden.

 

• Am 18. September 2023 verhängte die CNIL eine Geldstrafe von 200.000 Euro gegen das Luftfrachtunternehmen SAF LOGISTICS, weil dieses zu viele Daten von seinen Mitarbeitern gesammelt hatte, darunter sensible Daten und Auszüge aus Strafregistern.

Sie wird außerdem sanktioniert, weil sie nicht ausreichend mit den CNIL-Diensten kooperiert hat.

• Ende September fand die Europäische Woche der nachhaltigen Entwicklung statt, die der CNIL die Gelegenheit bot, über ihre dem Thema gewidmete Broschüre zu informieren: Darin werden die Schnittstellen zwischen Datenschutz, Freiheiten und Umwelt untersucht: „Schützt der Schutz von Daten den Planeten? Befinden sich unsere Freiheiten im Wandel? Sollten wir Daten teilen, um die Umwelt zu schützen?“

Das Dokument versucht, diese Fragen zu beantworten und unterbreitet Empfehlungen zur Vereinbarkeit der beiden Ziele.

• Die CNIL veröffentlichte diesen Sommer einen Entwurf eines Leitfadens zur Wiederverwendung öffentlicher Daten.

Der Leitfaden berücksichtigt die Position der CNIL, ihrer Partnerbehörden sowie französische und europäische Gerichtsentscheidungen und wurde durch eine Reihe von Konsultationen mit verschiedenen Akteuren ergänzt, die direkt an der Entwicklung von Ansätzen zur Öffnung, Weitergabe und Wiederverwendung öffentlich zugänglicher Daten beteiligt sind (institutionelle Partner, Verbände und Unternehmen, Anwälte, Forscher).

• Am 29. August ordnete die CNIL (französische Datenschutzbehörde) Boursorama an, die Bestimmungen der DSGVO einzuhalten, „insbesondere die Verarbeitung der Zugangsdaten für die Website impots.gouv.fr einzustellen“. Boursorama hatte nämlich von Nutzern, die einen Kredit aufnehmen oder einen Aktiensparplan eröffnen wollten, Zugangsdaten für die Website impots.gouv.fr angefordert.

Die CNIL gibt an, dass das Unternehmen eine Frist von zwei Monaten zur Einhaltung der Vorschriften hat.

• Mozilla startet einen öffentlichen Aufruf, auf das künftige SREN-Gesetz zu reagieren, das die Einführung eines „Anti-Betrugsfilters“ im Internet vorsieht.

Die Stiftung argumentiert im Titel ihrer Petition, dass Frankreich Webbrowser dazu zwinge, „Webseiten zu zensieren“.

Ein obligatorischer Mechanismus würde Vermittler dazu verpflichten, alle geeigneten Maßnahmen zu ergreifen, um Internetnutzer für einen Zeitraum von mindestens sieben Tagen daran zu hindern, auf als schädlich eingestufte Adressen zuzugreifen.

Grundsätzlich hält die Stiftung es für lobenswert, gegen Online-Betrug vorzugehen.

Allerdings beanstandet sie die gewählten Methoden zur Erreichung dieses Ziels, da diese einen Präzedenzfall schaffen, weil die Filterstrategie, sobald sie einmal etabliert ist, auf andere Themenbereiche ausgeweitet werden könnte.

 

 

Europäische Institutionen und Gremien

• Die Europäische Kommission veröffentlicht Leitlinien zur neuen europäischen Cybersicherheitsrichtlinie NIS2.

Diese Richtlinie verpflichtet Einrichtungen in verschiedenen kritischen Sektoren, darunter Energie, Transport, Finanzen, Gesundheit und digitale Infrastruktur, zu Sicherheitsmaßnahmen, Meldung von Vorfällen und zur Einhaltung der Governance-Vorgaben.

Die beiden Leitfäden helfen dabei, festzustellen, ob NIS2-Anforderungen oder sektorspezifische Anforderungen gelten, und zielen darauf ab, sicherzustellen, dass die Registrierungsanforderungen in der gesamten Union einheitlich sind.

• Im Oktober wird der Ausschuss für bürgerliche Freiheiten des Europäischen Parlaments mit der Prüfung der Verordnung zum „Schutz von Kindern im Internet“ (CSAM) beginnen.

Dieser Text ist Gegenstand zunehmend heftiger Kritik, insbesondere hinsichtlich der Maßnahme, die darauf abzielt, große Plattformen zu verpflichten, private Inhalte, die über ihre Dienste ausgetauscht werden, proaktiv auf Kinderpornografie zu überprüfen.

Viele zivilgesellschaftliche Akteure, alle europäischen Datenschutzbehörden sowie Juristen des Rates der EU sind der Ansicht, dass die Verordnung „besonders erhebliche Einschränkungen des Rechts auf Privatsphäre“ mit sich bringen würde und dass ein „ernsthaftes Risiko“ bestehe, dass sie gegen grundlegende EU-Texte verstoße.

• Der Monat der Cybersicherheit bietet der ENISA, der Agentur der Europäischen Union für Informationssicherheit, die Möglichkeit, Empfehlungen zum Thema Ransomware zu veröffentlichen.

Unter den verfügbaren Dokumenten befinden sich Tipps für Betreiber im Elektrizitätssektor, einem Hauptziel für Hacker.

• Am 7. September focht der Abgeordnete Philippe Latombe, ein Mitglied der CNIL, den Datenschutzrahmen vor dem Gerichtshof der Europäischen Union an, der seit diesem Sommer den Datenaustausch zwischen der EU und den Vereinigten Staaten ermöglicht.
• Latombe legte zwei Berufungen ein, eine auf sofortige Aussetzung des Abkommens und die andere bezüglich des Inhalts des Textes.

Er beantragt beim Gerichtshof die dringende Aussetzung des Abkommens und beruft sich dabei auf eine europäische Verordnung aus dem Jahr 1958, die vorschreibt, dass europäische Texte von allgemeiner Geltung in den vier Amtssprachen verfasst sein müssen; seit dem 10. Juli existiert das DPF jedoch nur in englischer Sprache.

• Die Nutzung von Videokonferenzsystemen wirft datenschutzrechtliche Fragen auf, insbesondere da Daten sehr oft außerhalb der EU übertragen werden.

Der Gerichtshof der EU führte im Zusammenhang mit der Nutzung von Cisco Webex eine Folgenabschätzung für Datentransfers durch und unterstellte die Verarbeitung der Genehmigung des Europäischen Datenschutzbeauftragten (EDPS).

Die Entscheidung des EDPS und die Folgenabschätzung des EuGH sind nützliche Referenzen für jeden Datenverantwortlichen, der diese Instrumente in einem professionellen Kontext einsetzt.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• Die belgische Datenschutzbehörde (APD) wies am 16. August eine Beschwerde trotz des Vorliegens von Verstößen gegen die DSGVO zurück.

Sie war der Ansicht, dass die Verstöße keine „wesentlichen sozialen und/oder persönlichen Auswirkungen“ gehabt hätten und dass der Aufwand für die Prüfung der Beschwerde daher unverhältnismäßig wäre.

• Nach der verbindlichen Streitbeilegungsentscheidung des Europäischen Datenschutzausschusses veröffentlichte die irische Datenschutzkommission am 1. September ihre endgültige Entscheidung und stellte insbesondere fest, dass TikTok gegen den Grundsatz der Fairness der DSGVO bei der Verarbeitung personenbezogener Daten von Kindern im Alter von 13 bis 17 Jahren verstoßen hat.

Im Anmeldefenster wurden Kinder dazu angehalten, sich für ein öffentliches Konto zu entscheiden.

Die APD kommt in ihrer endgültigen Entscheidung zu dem Schluss, dass die standardmäßigen öffentlichen Einstellungen auch gegen die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, der Datenminimierung und der Transparenz verstoßen.

Zusätzlich zu einer Rüge und einer Anordnung zur Einhaltung der Vorschriften verhängte die irische Datenschutzbehörde eine Geldstrafe von 345 Millionen Euro.

• Die Niedersächsische Datenschutzbehörde hat in Zusammenarbeit mit sechs anderen Datenschutzbehörden einen Leitfaden zur Nutzung von Microsoft 365 für berufliche Zwecke erstellt.

Die Behörden empfehlen, dass zwischen dem Verantwortlichen und Microsoft eine Zusatzvereinbarung geschlossen wird, die Vorrang vor allen widersprüchlichen Vertragstexten haben muss.

Diese Vereinbarung sollte insbesondere die auf die Bedürfnisse des Datenverantwortlichen abgestimmten Löschfristen, die Informationspflichten hinsichtlich des Einsatzes von Unterauftragnehmern sowie die Verarbeitung von Daten durch Microsoft für eigene kommerzielle Zwecke regeln.

• In einer Mitte Juli ergangenen Anordnung zur Verarbeitung von Daten zu Marketingzwecken weist die italienische Datenschutzbehörde (APD) darauf hin, dass es angesichts des Grundsatzes der Datenspeicherungsbegrenzung nicht gerechtfertigt ist, Daten bis zum Widerruf der Einwilligung aufzubewahren.

Dieser Hinweis ist bereits in den Leitlinien 5/2020 des Europäischen Datenschutzausschusses enthalten, wonach der Kontext und die berechtigten Erwartungen der Betroffenen berücksichtigt werden müssen: Es ist eine gute Praxis, regelmäßig eine erneute Einwilligung einzuholen.

• Der italienische Kassationsgerichtshof hat die Unrechtmäßigkeit der Entlassung eines Mitarbeiters durch eine italienische Bank aufgrund illegaler Überwachung von E-Mails und der Überwachung dieses Mitarbeiters bestätigt.

Der Oberste Gerichtshof stellte fest, dass es je nach den Umständen notwendig sei, ein gerechtes Gleichgewicht zwischen den Erfordernissen des Schutzes der Interessen und des Eigentums des Unternehmens im Zusammenhang mit der wirtschaftlichen Handlungsfreiheit und dem Schutz der Würde und der Privatsphäre des Arbeitnehmers zu gewährleisten.

Die Überwachung sämtlicher Kommunikationen auf dem Firmenlaptop des Beklagten war ungerechtfertigt, da sie wahllos und unbegrenzt erfolgte und der Kläger den Beklagten weder über die mögliche Überwachung der Kommunikation auf seinem Laptop noch über Art und Umfang der Überwachung informiert hatte.

• In einer am 21. August veröffentlichten Entscheidung verhängte die spanische Datenschutzbehörde (APD) Sanktionen gegen einen Datenverantwortlichen wegen Verstoßes gegen Artikel 28(2) und 28(3) der DSGVO.

Diese Sanktion wurde verhängt, obwohl zwischen dem Datenverantwortlichen und den Unterauftragnehmern kein Vertrag bestand und der Datenverantwortliche nicht über die Beteiligung der Unterauftragnehmer an den Datenverarbeitungsaktivitäten informiert worden war.

• Die spanische Datenschutzbehörde (APD) veröffentlicht einen Blog über digitale Währungen, in dem sie auf die größten Risiken von Kryptowährungen eingeht: Volatilität, Spekulation, falsches Gefühl der Verfügbarkeit, Sicherheit und Anonymität.
• Die britische Wahlkommission gab am 8. August bekannt, dass sie Opfer eines Datenlecks geworden sei.

Der Cyberangriff datiert vom August 2021 und wurde im Oktober 2022 entdeckt.

Die Hacker, deren Identität weiterhin unbekannt ist, erlangten zwischen 2014 und 2022 Zugang zu den Daten von 40 Millionen registrierten Wählern.

• Die britische Regierung hat ihre Pläne zur Schwächung der Online-Verschlüsselung durch die Umsetzung des Online-Sicherheitsgesetzes vorerst auf Eis gelegt.

Dieser Gesetzentwurf sah vor, dass Messenger-Apps wie WhatsApp die Konversationen ihrer Nutzer auf Kinderpornografie analysieren sollten. Die umstrittenen Klauseln blieben zwar im Gesetzentwurf enthalten, die britische Regierung erklärte jedoch, sie werde Technologieunternehmen nicht zu deren Umsetzung zwingen.

• Ein britisches Forschungsteam veröffentlichte im August 2023 einen Artikel über die Entwicklung einer künstlichen Intelligenz (KI), die in der Lage ist, ein Passwort allein durch das Hören der von den Tastaturtasten erzeugten Geräusche zu entschlüsseln.

Die KI wurde anhand eines Datensatzes von über 100.000 Tastenanschlägen trainiert und erfolgreich auf einer Vielzahl von Geräten getestet, darunter Laptops, Smartphones und Smart Speaker.

 

• Die Internationale Organisation für Normung hat kürzlich die ISO 22989:2022 – KI-Konzepte und Terminologie veröffentlicht, die Terminologie festlegt und Konzepte auf dem Gebiet der KI beschreibt.

Dieses Dokument kann zur Entwicklung weiterer Standards und zur Unterstützung der Kommunikation zwischen verschiedenen Interessengruppen genutzt werden. Es ist für alle Arten von Organisationen (Wirtschaftsunternehmen, Regierungsbehörden, gemeinnützige Organisationen) anwendbar.

• Meta bereitet Berichten zufolge die Einführung eines kostenpflichtigen Abonnements für seine Social-Media-Plattformen Instagram und Facebook vor.

Laut dem Wall Street Journal müssen Nutzer, die nicht zu personalisierten Werbezwecken getrackt werden möchten, je nach verwendetem Gerät (Smartphone, Computer) zwischen 10 und 15 Euro pro Monat zahlen.

• Videoüberwachung mit biometrischer Erkennung steht im Zentrum eines Skandals in Argentinien: Fehler, ein manipulationsanfälliges System, unbefugter Zugriff, mangelnde Transparenzmaßnahmen…

75 Prozent der Hauptstadt werden videoüberwacht, doch das Gesichtserkennungssystem steht in der Kritik, nachdem seit 2019 mindestens 140 Fehler zu Polizeikontrollen oder Verhaftungen geführt haben.

Aktivisten beschlossen, die Stadtverwaltung zu verklagen und erreichten im April 2022 die Deaktivierung des Systems.

Seitdem kämpft die Stadt Buenos Aires darum, es wieder in Betrieb zu nehmen.

• Ein indonesischer Sicherheitsforscher gab auf Twitter bekannt, dass ein Hacker eine Datei mit den Daten von fast 35 Millionen Passinhabern für 10.000 Dollar zum Verkauf angeboten hat.

Der Hacker ist bereits dafür bekannt, im Jahr 2022 die Daten von 1,3 Milliarden SIM-Karten von den Servern des indonesischen Ministeriums für Kommunikation und Informationstechnologie gestohlen und zum Verkauf angeboten zu haben. Er steht außerdem im Verdacht, für den Diebstahl der persönlichen Daten von 17 Millionen Kunden des indonesischen Elektrizitätsunternehmens im Jahr 2022 (über das AFCDP) verantwortlich zu sein.

• Saudi-Arabien veröffentlichte Mitte September seine Durchführungsbestimmungen zum Gesetz über den Schutz personenbezogener Daten sowie Bestimmungen über die Übermittlung personenbezogener Daten außerhalb des Königreichs.
• Am 15. Oktober 2021 erließ die ruandische Regierung ein Gesetz zum Schutz personenbezogener Daten und der Privatsphäre.

Die Regierung hat eine zweijährige Übergangsfrist eingeräumt, damit Einzelpersonen und Organisationen ihre Datenverarbeitungsaktivitäten an das Gesetz anpassen können. Diese Frist endet am 15. Oktober 2023.