Rechtsbeobachtung Nr. 67 – Januar 2024.

Rolle und Ressourcen von Datenschutzbeauftragten: Ergebnisse eines Jahres von Audits

Am 17. Januar veröffentlichten die CNIL und ihre europäischen Partnerbehörden die Ergebnisse ihrer Untersuchungen zur Rolle und den Ressourcen von Datenschutzbeauftragten im Kontext der Anwendung der DSGVO.

Dieses Thema war 2023 Gegenstand koordinierter europäischer Maßnahmen des Europäischen Datenschutzausschusses (EDPB).

Zu den Hauptaufgaben des Datenschutzbeauftragten gemäß Artikel 37 bis 39 der DSGVO gehören die Information und Beratung des Verantwortlichen in Bezug auf Datenschutzfragen (einschließlich der Durchführung von Folgenabschätzungen), die Sensibilisierung und Schulung der Mitarbeiter sowie die Überwachung von Datenschutzverletzungen.

Der Datenschutzbeauftragte arbeitet mit der Aufsichtsbehörde zusammen und ist Ansprechpartner für Personen, deren Daten verarbeitet werden.

Die Untersuchungen der Datenschutzbehörden basierten auf einem Fragebogen, der von allen beteiligten Behörden gemeinsam entwickelt wurde.

In Frankreich hat die CNIL 14 Datenverantwortliche geprüft und die Versendung des Fragebogens durch mehrere Vor-Ort-Kontrollen ergänzt.

Die Überprüfungen umfassten öffentliche Akteure wie Krankenhäuser, Universitäten, Kommunen, Managementzentren sowie private Akteure im Luxus- und Transportsektor.

Die besonders geringe Anzahl der geprüften Beamten ist bemerkenswert.

Wie einige europäische Behörden hat sich auch die CNIL dafür entschieden, nur eine begrenzte Anzahl eingehender Untersuchungen durchzuführen, während andere Behörden Zehntausende von Managern kontaktiert haben, ohne derart gründliche Überprüfungen vorzunehmen.

Der EDPB-Bericht berücksichtigt diese unterschiedlichen Herangehensweisen in seiner Analyse.

Die CNIL gibt eine insgesamt positive Bewertung der Rolle und der dem Datenschutzbeauftragten zugewiesenen Ressourcen ab.

Sie merkt an, dass sie im Allgemeinen über ausreichende Ressourcen verfügen.

Sie hebt jedoch große Unterschiede hervor zwischen den Ressourcen, die DPOs in öffentlichen Strukturen zur Verfügung gestellt werden, die oft allein arbeiten, insbesondere in kleinen Gemeinden, während DPOs im privaten Sektor in der Regel über ein Team verfügen.

Diese Beobachtung wird auf europäischer Ebene bestätigt.

Zu den festgestellten Mängeln zählen das Risiko von Interessenkonflikten zwischen den Pflichten des Datenschutzbeauftragten und anderen ihm übertragenen Aufgaben sowie die mangelnde Einbeziehung des Datenschutzbeauftragten in Entscheidungen, die den Datenschutz betreffen.

Die CNIL weist in diesem Zusammenhang darauf hin, dass sie (außerhalb dieser Untersuchung) eine Organisation im sozialen Sektor mit einer Geldbuße von 10.000 Euro belegt hat, weil der Beauftragte seine Aufgaben nicht ordnungsgemäß wahrnehmen konnte: Er war nicht ausreichend in Angelegenheiten des Schutzes personenbezogener Daten eingebunden, und seine Funktionen waren für die Mitarbeiter der Organisation nicht ausreichend sichtbar.

Der europäische Bericht schließt diese Analyse mit dem Hinweis ab, dass Datenschutzbeauftragte neben ihrer Rolle im Zusammenhang mit der DSGVO zunehmend auch Schlüsselrollen im Kontext neuer europäischer Vorschriften übernehmen, beispielsweise solcher, die KI, digitale Dienste, den digitalen Markt oder Daten betreffen. 

Sie erhalten außerdem neue Aufgaben im Bereich Ethik, Daten-Governance und Datenräume.

Angesichts dieser Entwicklung warnt der Ausschuss vor dem erhöhten Risiko von Interessenkonflikten oder der Unzulänglichkeit der den Datenschutzorganisationen zur Verfügung stehenden Ressourcen.

Er betont, dass sowohl den Datenschutzbehörden als auch den Datenverantwortlichen eine wesentliche Rolle zukommt, damit der Datenschutzbeauftragte seine Aufgaben vollumfänglich wahrnehmen kann.

 

     

• Die CNIL hat in den letzten Wochen mehrere bedeutende Sanktionen verhängt.
• Am 29. Dezember 2023 verhängte die EU-Kommission eine Geldstrafe von 10 Millionen Euro gegen Yahoo, weil das Unternehmen die Entscheidung von Internetnutzern, die Cookies auf seiner Website ablehnten, nicht respektierte und den Nutzern seines Messengerdienstes nicht erlaubte, ihre Einwilligung zu Cookies frei zu widerrufen.
• Nach Vor-Ort-Inspektionen in den Lagern von Amazon France Logistique stellte die französische Datenschutzbehörde (CNIL) am 27. Dezember mehrere Verstöße gegen die DSGVO im Zusammenhang mit der umfassenden Überwachung von Arbeitsplätzen fest und verhängte gegen den multinationalen Konzern eine Geldstrafe von 32 Millionen Euro. Laut CNIL hat Amazon ein „übermäßig aufdringliches“ Überwachungssystem implementiert, das ohne Informationsbereitstellung arbeitet und unzureichend gesichert ist.
• Am 29. Dezember verhängte die CNIL außerdem eine Geldbuße von 105.000 Euro gegen NS Cards France, einen Anbieter von elektronischem Geld, wegen übermäßiger Speicherung personenbezogener Daten, unvollständiger Datenschutzrichtlinien, unzureichender Sicherheitsmaßnahmen und fehlender Einwilligung der Nutzer in Bezug auf nicht unbedingt notwendige Cookies.
• Schließlich startet die EU eine öffentliche Konsultation zu einem Entwurf eines Leitfadens zur Folgenabschätzung von Datentransfers außerhalb des Europäischen Wirtschaftsraums: Vor jedem Transfer in ein Land ohne Angemessenheitsbeschluss muss das Datenschutzniveau im Empfängerland bewertet und die für diesen Transfer zu treffenden Schutzmaßnahmen geprüft werden. Beiträge können bis zum 12. Februar 2024 eingereicht werden.
• Die französische Cybersicherheitsbehörde ANSSI hat Hackropole vorgestellt, eine neue Plattform, die Interessierten den Einstieg in die Cybersicherheitsbranche erleichtern soll. Die Plattform bietet über 300 offene Herausforderungen aus allen Bereichen der Cybersicherheit, von Kryptografie bis hin zu Hacking.

 

Europäische Institutionen und Gremien 

• Belgien übernahm Anfang Januar für sechs Monate die Präsidentschaft des Rates der Europäischen Union unter dem Motto „Schützen, stärken und vorbereiten“.

Zu den Themen, die im Jahr 2024 behandelt werden sollen, gehören die Cyberresilienz vernetzter Produkte, digitale Identität, Datenräume, die grenzüberschreitende Anwendung der DSGVO und künstliche Intelligenz.

 2024 wird auch ein Jahr der Umsetzung vieler im letzten Jahr verabschiedeter Gesetze sein, einschließlich der Gesetz über digitale Dienste, Dort Gesetz über digitale Märkte und die Datenschutzgesetz.

• Am 2. Februar billigten die Botschafter der 27 Länder der Europäischen Union einstimmig, wenn auch nicht ohne Schwierigkeiten, die Vorschriften zur künstlichen Intelligenzund billigte damit auf Regierungsebene die im Dezember erzielte politische Vereinbarung.

Nach der Abstimmung der Ausschüsse des Europäischen Parlaments Mitte Februar ist die Annahme im Plenum vorläufig für den 10. und 11. April angesetzt.

Die Verordnung tritt 20 Tage nach ihrer Veröffentlichung im Amtsblatt in Kraft.

Die Verbote verbotener Praktiken treten sechs Monate später in Kraft, die Verpflichtungen in Bezug auf KI-Modelle innerhalb eines Jahres.

• Parallel dazu kündigte die Europäische Kommission am 24. Januar die Einrichtung eines europäischen KI-Büros an, das zur Umsetzung und Anwendung der künftigen Verordnung beitragen soll.

Dieses Büro wird sich zum Ziel setzen, Leitlinien zu veröffentlichen, um harmonisierte Regeln in der gesamten EU zu etablieren und die Entwicklung von Verhaltenskodizes und Verhaltensregeln auf Unionsebene zu fördern und zu erleichtern.

• Der Gesetzgebungsprozess in Bezug auf CSAR-Vorschriften Da die Chat-Kontrolle noch lange nicht abgeschlossen ist, hat die Europäische Union vorgeschlagen, eine Übergangslösung zu verlängern, die es Technologiekonzernen ermöglicht, die Geräte ihrer Kunden auf freiwilliger Basis auf Kinderpornografie zu überprüfen.

Diese Maßnahme stieß auf Kritik, insbesondere vom Europäischen Datenschutzbeauftragten (EDSB). In einer am 29. Januar veröffentlichten Stellungnahme äußerte der EDSB Bedenken hinsichtlich der Ziele dieser Verordnung, die das Recht von Einzelpersonen auf die Vertraulichkeit ihrer Kommunikation einschränken würde.

• Am 31. Januar veröffentlichte die Europäische Kommission das Transparenz-Scoreboard zum Digital Services Act (DSA). Dieses bietet einen Überblick über die Entscheidungen zur Inhaltsmoderation der größten Online-Plattformen.
• Die europäische Datenschutzverordnung trat im Januar 2024 in Kraft.

Zu ihren Zielen gehören die Förderung des fairen Datenaustauschs, die Ermöglichung der Nutzung von Daten durch öffentliche Stellen im Besitz der Privatwirtschaft für bestimmte Zwecke von öffentlichem Interesse sowie die Erleichterung des Wechsels von Datenverarbeitungsdienstleistern durch die Kunden, um den europäischen Cloud-Markt zu fördern.

• Die Europäische Kommission wird die Angelegenheit untersuchen. Partnerschaft zwischen Microsoft und OpenAIIm Rahmen dessen plant Microsoft, eine Reihe von KI-Tools in seine eigenen Produkte zu integrieren.

In einer Pressemitteilung vom 9. Januar lädt die Kommission alle interessierten Parteien ein, ihre Erfahrungen und Kommentare zum Wettbewerbsniveau im Kontext von virtuellen Welten und generativer KI sowie ihre Ideen darüber, wie das Wettbewerbsrecht dazu beitragen kann, dass diese neuen Märkte wettbewerbsfähig bleiben, mitzuteilen.

• Die Europäische Kommission veröffentlichte ihren Bericht am 15. Januar. die Auswertung der 11 Eignungsentscheidungen verabschiedet gemäß der Datenschutzrichtlinie von 1995.

Darin wird darauf hingewiesen, dass personenbezogene Daten, die aus der Europäischen Union nach Andorra, Argentinien, Kanada, auf die Färöer-Inseln, nach Guernsey, auf die Isle of Man, nach Israel, Jersey, Neuseeland, in die Schweiz und nach Uruguay übermittelt werden, weiterhin von einem Angemessenheitsbeschluss gemäß der DSGVO profitieren.

• Der Europäische Datenschutzausschuss (EDPB) hat Folgendes veröffentlicht: ein Website-Audit-Tool zur Einhaltung der EU-Datenschutz-Grundverordnung.

Das Tool wurde vom Expertenteam des Europäischen Datenschutzausschusses (EDPB) entwickelt und kann von Datenschutzbehörden sowie von Verantwortlichen und Auftragsverarbeitern genutzt werden, um die Vorbereitung, Durchführung und Auswertung von Audits zu optimieren. Es handelt sich um freie Open-Source-Software unter der EUPL 1.2, die unter code.europa.eu heruntergeladen werden kann.

• Der Europäische Datenschutzausschuss veröffentlichte am 18. Januar auch einen Datei zur Datenverarbeitungssicherheit und Benachrichtigung bei Datenschutzverletzungen.

Das Dokument analysiert die von den Aufsichtsbehörden gemäß Artikel 60 der DSGVO im Rahmen des One-Stop-Shop-Mechanismus getroffenen Entscheidungen im Bereich der Verarbeitungssicherheit und von Datenschutzverletzungen.

• Der Gerichtshof der EU urteilte am 30. Januar, dass die allgemeine und unterschiedslose Speicherung biometrischer und genetischer Daten von Personen, die wegen Straftaten verurteilt wurden, bis zu deren Tod gegen EU-Recht und insbesondere gegen das Recht auf Vergessenwerden verstößt.
• Der EuGH entschied am 16. Januar außerdem, Die DSGVO gilt für nationale Parlamentsausschüsse..

Der Gerichtshof präzisierte den Begriff der nationalen Sicherheit und stellte fest, dass die nationalen Gerichte in Ermangelung von Anhaltspunkten für ein nationales Sicherheitsziel prüfen müssen, ob Artikel 2(2)(a) über den Anwendungsbereich der DSGVO Anwendung findet.

• Die Tech-Giganten haben bis zum 6. März Zeit, die Bestimmungen der europäischen Verordnung über digitale Märkte einzuhalten, und müssen insbesondere ihren Nutzern ermöglichen, sich für einen einzelnen Dienst zu registrieren, ohne diesen automatisch mit einem anderen zu verknüpfen.

In diesem Zusammenhang kündigte Meta am 22. Januar an, dass Instagram- und Facebook-Nutzer ihre Konten künftig separat verwalten können, sodass ihre Informationen nicht mehr zwischen den beiden Konten ausgetauscht werden.

Google erwähnte auf seiner Hilfeseite auch die Möglichkeit für europäische Nutzer, die Dienste auszuwählen, die hinsichtlich der Datenweitergabe miteinander verknüpft bleiben sollen.

 

Nachrichten aus den europäischen Mitgliedstaaten

• Am 11. Dezember 2023 erließ die niederländische Datenschutzbehörde (APD) in Zusammenarbeit mit der CNIL eine Entscheidung gegen die Unternehmen. Uber BV und Uber Technologies

Inc. wurde wegen mehrfacher Versäumnisse bei der Bereitstellung von Informationen für Fahrer mit einer Geldstrafe von zehn Millionen Euro belegt. 

Diese Mängel betreffen insbesondere die Verfahren für das Recht auf Auskunft über Daten, Datenübermittlungen außerhalb der EU, Aufbewahrungsfristen und das Recht auf Datenübertragbarkeit.

• Die niederländische Datenschutzbehörde verhängte außerdem eine Geldstrafe von 150.000 Euro gegen ICS, ein Kreditkartenunternehmen, weil dieses keine Folgenabschätzung (DSFA) durchgeführt hatte.

Die APD betonte in ihren Erwägungen, dass das Fehlen einer Datenschutz-Folgenabschätzung an sich schon einen Verstoß gegen die DSGVO darstellt, dass es aber auch die Wahrscheinlichkeit anderer Verstöße gegen die Verordnung erhöht, da vor der Durchführung der Verarbeitung keine Risikobetrachtung stattfindet.

• Die belgische Datenschutzbehörde (APD) hat einen Datenbroker mit einer Geldstrafe von 174.640 Euro belegt.

Unter anderem konnte sich der Datenverantwortliche nicht auf ein berechtigtes Interesse berufen, um Daten von Dritten zu erheben.

Er hat es außerdem versäumt, den Antragsteller über die Quellen und Empfänger der Daten im Rahmen eines Auskunftsersuchens zu informieren. 

• Die belgische Behörde untersuchte auch die Praktiken eines Datenverantwortlichen nach einer Datenschutzverletzung, von der fast 90.000 Menschen betroffen waren.

Es wurden keine Sanktionen verhängt, da es sich bei der Datenschutzverletzung um einen Einzelfall handelte und der Verantwortliche für die Datenverarbeitung Artikel 33 der DSGVO eingehalten hatte.

• Die österreichische Datenschutzbehörde (APD) hat einen Datenverantwortlichen mit einer Geldbuße von 10.000 Euro belegt, weil er bei einem Beschwerdeverfahren nicht mit ihr kooperiert und damit gegen Artikel 31 der DSGVO verstoßen hat.
• In Deutschland wurde ein Sicherheitsforscher am 17. Januar mit einer Geldstrafe von 3.000 Euro belegt, weil er eine Sicherheitslücke in einer E-Commerce-Datenbank entdeckt und gemeldet hatte, durch die fast 700.000 Kundendatensätze offengelegt wurden.

Das Auffinden eines Passworts im Klartext und dessen unbefugte Verwendung bei der Suche gilt als Straftat.

Diese Entscheidung, gegen die Berufung eingelegt wird, wird von einem Sicherheitsexperten wegen ihrer abschreckenden Wirkung auf legitime Forschungen zu Systemschwachstellen kritisiert.

• Ende Januar stellte die dänische Datenschutzbehörde (APD) fest, dass eine Gemeinde gegen die Sicherheitsbestimmungen der DSGVO verstoßen hatte, indem sie ihre Computerfestplatten nicht verschlüsselte.

Ein Arbeitscomputer war aus dem Haus eines Mitarbeiters gestohlen worden und enthielt sensible persönliche Daten, Sozialversicherungsdaten und Daten über Minderjährige.

Die Festplatte war nicht verschlüsselt.

Die Untersuchung ergab, dass fast 1.200 Laptops der Gemeinde ebenfalls nicht verschlüsselt waren.

• Am 24. Januar veröffentlichte das britische Nationale Zentrum für Cybersicherheit einen besorgniserregenden Bericht über die kurzfristigen Auswirkungen von KI auf die Cyberbedrohung.

Der Bericht stellt insbesondere fest, dass Künstliche Intelligenz wird in den nächsten zwei Jahren mit Verbesserungen der bestehenden Taktiken, Techniken und Verfahren sicherlich das Ausmaß und die Auswirkungen von Cyberangriffen erhöhen.

Er merkt außerdem an, dass KI die Schwierigkeiten für Amateur-Cyberkriminelle einschränkt, die schon bald in der Lage sein werden, ausgeklügelte Phishing-Angriffe zu starten, die für die Empfänger schwer zu erkennen sind.

 

• Ende Januar erörterten Thierry Breton, Kommissar für den Binnenmarkt, und Alejandro N. Mayorkas, US-Minister für Innere Sicherheit, die Gemeinsamer Aktionsplan EU-USA für cybersichere Produkteim Anschluss an den EU-US-Gipfel im Oktober 2023.

Ziel dieser Zusammenarbeit zwischen der Kommission und den zuständigen US-Regulierungsbehörden ist es, eine mögliche gegenseitige Anerkennung der Cybersicherheitsanforderungen für Hardware- und Softwareprodukte für Verbraucher im Bereich des Internets der Dinge zu prüfen.

Der Aktionsplan basiert auf dem Rahmenwerk des EU-Rechts zur Cyberresilienz und auf dem von den Vereinigten Staaten vorgeschlagenen Cybersicherheits-Kennzeichnungsprogramm (Cyber Trust Mark Act).

• Die Biden-Harris-Regierung kündigte am 29. Januar wichtige Maßnahmen im Bereich der Künstlichen Intelligenz an, nachdem Präsident Biden drei Monate zuvor eine entsprechende Anordnung erlassen hatte.

Das Dekret sieht insbesondere die Festlegung wesentlicher Offenlegungspflichten für Entwickler der leistungsstärksten Systeme, die Bewertung der Risiken von KI für kritische Infrastrukturen und die „Bemühungen ausländischer Akteure zur Entwicklung von KI für schädliche Zwecke zu behindern“ vor.

Die zuständigen Bundesbehörden und -ministerien gaben an, alle im Dekret festgelegten Maßnahmen innerhalb von 90 Tagen abgeschlossen zu haben, und informierten über den Fortschritt der längerfristig geplanten Maßnahmen.

• Die kanadische Regierung hat ein „Glossar für persönliche Informationen und Datenschutz“ erstellt, das die englischen und französischen Begriffe für mehr als 300 Konzepte enthält.

Sie enthält außerdem weitere terminologische Informationen (die von Eintrag zu Eintrag variieren können), darunter andere Bezeichnungen, Definitionen, Anmerkungen und Anwendungsbeispiele.

• Zwei Forscher der Carnegie-Stiftung für Internationalen Frieden haben die südafrikanische Regierung dringend aufgefordert, der Cybersicherheit höchste Priorität einzuräumen und auf internationaler Ebene eine stärkere Führungsrolle in diesem Bereich zu übernehmen.

Trotz seiner digitalen Abhängigkeit weisen Forscher darauf hin, dass die Cyberstrategie des Landes stark unterfinanziert ist und die Regierung in Debatten über Cyber-Governance keine klare Position einnimmt.

Nach Angaben des südafrikanischen Rates für wissenschaftliche und industrielle Forschung ist Südafrika das afrikanische Land, das am häufigsten von diesen Cyberangriffen betroffen ist, und belegt weltweit den achten Platz.