Legal Watch Nr. 75 – September 2024.  

Anonymisierung oder Pseudonymisierung: Qualifikationen, die sich im Laufe der Zeit verändern?

Am 5. September 2024 verhängte die CNIL gegen Cegedim Santé eine Geldstrafe von 800.000 Euro wegen der Verarbeitung von Gesundheitsdaten ohne Genehmigung.

Die Aufsichtsbehörde stellt fest, dass diese Daten trotz ihrer Anonymisierung weiterhin identifizierbar waren.

Diese Sanktion gibt uns die Gelegenheit, die Feinheiten der DSGVO hinsichtlich der Anonymisierung und Pseudonymisierung von Daten zu überprüfen.

Cegedim veröffentlicht und verkauft Managementsoftware an Allgemeinmediziner, die in Privatpraxen und Gesundheitszentren tätig sind.

Mithilfe dieser Softwareprogramme können Ärzte ihre Termine, Patientenakten und Rezepte verwalten.

Kunden haben außerdem Zugriff auf eine Datenbank, die die Erstellung von Studien und Statistiken im Gesundheitsbereich ermöglicht.

Die von der CNIL im Jahr 2021 durchgeführten Prüfungen ergaben insbesondere, dass es sich bei den vom Unternehmen verarbeiteten Daten – ohne vorherige Genehmigung – um pseudonymisierte Gesundheitsdaten handelte, die identifizierbar waren.

Lediglich vollständig anonymisierte Daten sind von den Verpflichtungen der DSGVO ausgenommen.

Der Anonymisierungsprozess ist jedoch besonders anspruchsvoll.

Im vorliegenden Fall hatte Cegedim ein Verfahren zur Löschung von Identifikatoren eingerichtet, und im Kontext früherer Feststellungen aus dem Jahr 2012 war die CNIL ebenfalls der Ansicht, dass die verarbeiteten Daten tatsächlich anonym waren.

Die Kommission hat diese Feststellungen heute erneut geprüft und klargestellt, dass der aktuelle Kontext der Doktrin und Rechtsprechung berücksichtigt werden muss, um die mögliche Reidentifizierung von Daten zu beurteilen.

Daten, die vor zehn Jahren anonym waren, sind es heute möglicherweise nicht mehr: „Um festzustellen, ob mit hinreichender Wahrscheinlichkeit Mittel zur Identifizierung einer natürlichen Person eingesetzt werden können, müssen alle objektiven Faktoren berücksichtigt werden, wie etwa die Kosten der Identifizierung und der dafür benötigte Zeitaufwand, wobei die zum Zeitpunkt der Verarbeitung verfügbaren Technologien und deren Entwicklung zu berücksichtigen sind.“

Genauer gesagt hat die CNIL – wie ihre europäischen Pendants seit 2014 – die Anforderungen festgelegt, die im Rahmen eines Anonymisierungsverfahrens zu beachten sind.

Sie erläutert die wichtigsten Anonymisierungstechniken:

• Randomisierung (die darauf abzielt, die Attribute in einem Datensatz so zu verändern, dass sie weniger präzise sind, während die Gesamtverteilung erhalten bleibt) und
• Generalisierung (die darin besteht, den Maßstab der Attribute der Datensätze oder deren Größenordnung zu verändern).

Die CNIL rät:

• Um die aufzubewahrenden Informationen nach ihrer Relevanz zu ermitteln.
• Um sowohl direkt identifizierende Merkmale als auch seltene Werte zu entfernen, die eine einfache Reidentifizierung von Personen ermöglichen könnten;
• Um wichtige Informationen von zweitrangigen oder nutzlosen Informationen zu unterscheiden;
• Den idealen und akzeptablen Detaillierungsgrad für jede gespeicherte Information festlegen.

Drei Kriterien können herangezogen werden, um sicherzustellen, dass ein Datensatz wirklich anonym ist:

1. Individualisierung: Es darf nicht möglich sein, eine einzelne Person im Datensatz zu isolieren;
2. Korrelation: Es sollte nicht möglich sein, unterschiedliche Datensätze, die sich auf dieselbe Person beziehen, miteinander zu verknüpfen;
3. Schlussfolgerung: Es sollte nicht möglich sein, mit nahezu absoluter Sicherheit neue Informationen über eine Person abzuleiten.

Im Fall von Cegedim wurde das Kriterium der Individualisierung nicht eingehalten: Der Dienst ermöglichte es, Personen über einen längeren Zeitraum hinweg anhand einer eindeutigen Kennung zu verfolgen und die über sie erhobenen Daten zu vermehren.

Dadurch war es möglich, eine einzelne Person in einem Datensatz zu isolieren und somit das Risiko einer Aufhebung der Pseudonymität zu erhöhen.

Abschließend sei darauf hingewiesen, dass die für die Einrichtung eines Gesundheitsdatenlagers verantwortliche Person dieses nur nach Genehmigung durch die CNIL oder unter der Bedingung implementieren kann, dass es einem Standard entspricht.

Bei der Vergabe von Unteraufträgen muss der Verantwortliche in den Unterauftragsvertrag alle Anforderungen aufnehmen, die erforderlich sind, um die Einhaltung der Vorschriften, insbesondere im Hinblick auf die Datensicherheit, zu gewährleisten.

In den meisten der heute Schlagzeilen machenden Fälle von Datenpannen (siehe unten) war der Subunternehmer das schwächste Glied an der Quelle der Verletzung.

 

 

Die Zusammensetzung der neuen Regierung ist seit dem 21. September bekannt, wobei es einige neue Entwicklungen in Bezug auf digitale Fragen gab.

Der Begriff „digitale Souveränität“ verschwindet aus dem Titel des Ministeriums für Wirtschaft und Finanzen, und die Zuständigkeit für digitale Angelegenheiten wird dem Ministerium für Hochschulbildung und Forschung zugeordnet.

Der Titel des zuständigen Sekretariats lautet nun: Künstliche Intelligenz und digitale Technologie.

Für Henri d'Agrain, Generaldelegierter von Cigref (einem Verband, der Unternehmen und Regierungsbehörden im digitalen Sektor vertritt), wird in diesem Titel „die Bedeutung des Kontinuums aus Cloud, Daten und KI nicht ausreichend erfasst, das jede ernstzunehmende öffentliche Politik in diesem Bereich berücksichtigen muss“. Er fügt hinzu: „Die Betonung der künstlichen Intelligenz in diesem Titel sollte im Hinblick auf die Ambitionen des Élysée-Palastes für den AI Action Summit betrachtet werden, der im Februar 2025 in Paris stattfinden wird.“

Nach einer öffentlichen Konsultation veröffentlichte die CNIL am 24. September die endgültige Fassung ihrer Empfehlungen, um Fachleuten bei der Entwicklung datenschutzkonformer mobiler Anwendungen zu helfen..

Ab 2025 wird durch eine gezielte Kontrollkampagne sichergestellt, dass diese Faktoren angemessen berücksichtigt werden.

Die CNIL beabsichtigt, die Rolle von Fachleuten zu klären und zu regeln sowie die Qualität der Informationen und die Einwilligung der Nutzer mobiler Anwendungen sicherzustellen.

Nach SFR im letzten Monat ist nun Free an der Reihe, seine Kunden vor einem Datenleck zu warnen.

Zu den Daten, auf die der Angreifer Zugriff erlangte, gehörten mindestens Name, Nachname, Telefonnummer und Postanschrift der Kunden.

Neben diesen beiden Anbietern wurden Mitte September auch viele französische Einzelhändler, darunter Boulanger, Cultura, Truffaut und Grosbil, Opfer eines Hackerangriffs auf ihre Lieferdaten, die anschließend vom selben Hacker im Darknet veröffentlicht und weiterverkauft wurden.

Die Risiken für Einzelpersonen betreffen im Allgemeinen Identitätsdiebstahl und den Erwerb von Daten, die mit ihrer Adresse in Verbindung stehen.

Bei Cultura, einem Unternehmen, das sich auf den Verkauf von Kulturprodukten spezialisiert hat, wurden ebenfalls die Inhalte der Warenkörbe durchgesickert. Dies liefert genaue Informationen über die Lesegewohnheiten der Käufer und hat potenziell sehr einschneidende Folgen.

Bei den meisten dieser Angriffe hatte der Hacker einen Dienstleister der beteiligten Unternehmen ins Visier genommen.

Am 25. September erließ die Sozialkammer des Kassationsgerichtshofs ein Urteil, mit dem sie die Entlassung eines Arbeitnehmers aufgrund des Abfangens von E-Mails, die von seiner dienstlichen Adresse aus versandt wurden, für ungültig erklärte.

Das Gericht erinnert daran, dass „der Arbeitnehmer auch am Arbeitsplatz und zur dortigen Arbeitszeit das Recht auf Achtung der Privatsphäre seines Privatlebens hat.“

Dies betrifft insbesondere die Vertraulichkeit der Korrespondenz.

Der Arbeitgeber darf daher, ohne gegen diese grundlegende Freiheit zu verstoßen, den Inhalt persönlicher Nachrichten, die der Arbeitnehmer mit einem für Arbeitszwecke bereitgestellten Computerprogramm sendet oder empfängt, nicht zu Disziplinierungsmaßnahmen verwenden.

 

Europäische Institutionen und Gremien

Am 25. September brachte die Kommission in Brüssel wichtige Akteure des KI-Sektors zusammen, um die ersten 100 Unterzeichnungen der Verpflichtungen des KI-Pakts zu feiern.

Zu den Unterzeichnern gehören multinationale Konzerne sowie kleine und mittlere europäische Unternehmen aus verschiedenen Branchen. Meta und Apple haben das Abkommen bisher nicht unterzeichnet.

Die freiwilligen Verpflichtungen in diesem Dokument fordern die teilnehmenden Unternehmen auf, sich zur Durchführung von mindestens drei grundlegenden Maßnahmen zu verpflichten:

• Entwickeln Sie eine KI-Governance-Strategie, um die KI-Einführung innerhalb der Organisation zu fördern und auf die zukünftige Einhaltung der KI-Vorschriften hinzuarbeiten.
• Identifizieren und kartieren Sie KI-Systeme, die gemäß der KI-Regulierung als risikoreich eingestuft werden könnten.
• Das Bewusstsein der Mitarbeiter für KI fördern.

Unternehmen werden ermutigt, weitere, auf ihre Aktivitäten zugeschnittene Verpflichtungen einzugehen, darunter die Gewährleistung menschlicher Aufsicht, die Minderung von Risiken und die transparente Kennzeichnung bestimmter Arten von KI-generierten Inhalten, wie zum Beispiel „Deepfakes“.

Der Gerichtshof der Europäischen Union (EuGH) hat mit Urteil vom 4. Oktober (C 621/22) entschieden, dass ein kommerzielles Interesse ein „berechtigtes Interesse“ im Sinne von Artikel 6 Absatz 1 Buchstabe f DSGVO sein kann, sofern es nicht gegen geltendes Recht verstößt.

Auch wenn diese Position selbstverständlich erscheinen mag, war dies in den Niederlanden einige Jahre lang nicht mehr der Fall: Laut der niederländischen Datenschutzbehörde (DPA) musste ein berechtigtes Interesse auf einer Rechtsgrundlage beruhen.

Das Gericht bekräftigt, dass eine solche Anforderung übertrieben ist und es für den Zweck ausreicht, wenn sie nicht gegen geltendes Recht verstößt. Es sei darauf hingewiesen, dass diese Entscheidung keine Freikarte für alle Marketingpraktiken darstellt: Die betroffenen Interessen und Rechte müssen stets abgewogen werden.

Ebenfalls am 4. Oktober erließ der EuGH ein Urteil in der Rechtssache C-446/21, in dem er die gegen Meta im Zusammenhang mit ihrem Facebook-Dienst erhobene Klage unterstützt.

Die Fragen betrafen die Beschränkung der Verwendung personenbezogener Daten für Online-Werbung und die Beschränkung der Verwendung öffentlich zugänglicher personenbezogener Daten auf die ursprünglich für die Veröffentlichung vorgesehenen Zwecke.

Am selben Tag bestätigte der EuGH im Fall C-21/23 auch die Möglichkeit für einen Wettbewerber eines Unternehmens, auf der Grundlage des Verbots unlauterer Geschäftspraktiken vor den Zivilgerichten Klage zu erheben, um einen Verstoß dieses Wettbewerbers gegen die materiellen Bestimmungen der DSGVO zu unterbinden.

Es sei darauf hingewiesen, dass es in diesem Sinne bereits eine Rechtsprechung im französischen Recht gibt.

Der EuGH entschied am 26. September (Rechtssache C 768/21), dass Datenschutzbehörden nicht verpflichtet sind, ihre Korrekturbefugnisse nach Artikel 58 Absatz 2 DSGVO auszuüben, wenn dies nicht angemessen, notwendig oder verhältnismäßig ist, um den festgestellten Mangel zu beheben.

Nach Ansicht des Gerichts können die Datenschutzbehörden nach Prüfung aller Umstände des Falles von der Ausübung dieser Korrekturbefugnis absehen, beispielsweise wenn der Verantwortliche geeignete technische und organisatorische Maßnahmen ergriffen hat, um sicherzustellen, dass der Verstoß aufhört und nicht wiederkehrt.

Der Gerichtshof entschied schließlich mit Urteil vom 12. September (verbundene Rechtssachen C 17/22 und C 18/22), dass nicht nur ein Rechtsakt, sondern auch die nationale Rechtsprechung eine rechtliche Verpflichtung gemäß Artikel 6 Absatz 1 Buchstabe c DSGVO vorsehen kann, einem Aktionär die Identität aller anderen betroffenen Aktionäre offenzulegen.

Nach Initiativen in Frankreich, Dänemark, Spanien und Deutschland im Bereich der Online-Altersverifizierung veröffentlichten die europäische Nichtregierungsorganisation EDRi und 63 Organisationen, Akademiker und Experten aus den Bereichen Datenschutz, Verschlüsselung, Kinderschutz, Rechte von Sexarbeitern und Verbraucherrechte am 16. September eine gemeinsame Erklärung.

Sie fordert die Europäische Kommission nachdrücklich auf, wirksamen Kinderschutzmaßnahmen Priorität einzuräumen, und äußert gleichzeitig ernsthafte Bedenken hinsichtlich der Angemessenheit, Verhältnismäßigkeit und der negativen Auswirkungen der aktuellen Vorschläge auf die Grundrechte.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Eine am 11. September von der Konferenz der unabhängigen Datenschutzbehörden Deutschlands (DSK) veröffentlichte Entschließung enthält praktische Empfehlungen für der Rahmen für die Übermittlung personenbezogener Daten im Kontext von „Asset Deals“ betreffend personenbezogene Daten, die von Unternehmen gespeichert werden: Daten der Kunden und Interessenten des Unternehmens, seiner Mitarbeiter, Geschäftspartner usw.

In Deutschland hat die Hamburger DPA ein umstrittenes Dokument zu großen Sprachmodellen (LLM) verabschiedet.

Die Behörde kam daher zu dem Schluss, dass LLMs keine personenbezogenen Daten speichern und dass diese Schlussfolgerung mit der Auffassung des EuGH übereinstimmt.

Allerdings können die Eingabe- und Ausgabedaten eines KI-Systems im Gegensatz zur Trainingsphase personenbezogene Daten darstellen, was entsprechende Konsequenzen nach sich zieht: Anfragen auf Zugriff, Löschung oder Berichtigung können sich daher auf diese Daten beziehen.

In Belgien distanziert sich Flandern in Fragen des Datenschutzes von der Bundesregierung.

Die Zeitung Le Soir verkündete am 1. September, dass Jan Jambon, der flämische Ministerpräsident, seinen Ministern am 20. September, wenige Tage vor seinem Ausscheiden aus dem Amt, befohlen habe, Entwürfe von Verordnungen und Beschlüssen nicht mehr der föderalen Datenschutzbehörde (APD), sondern deren regionaler Behörde, der Vlaamse Toezichtcommissie (VTC), vorzulegen.

Tatsächlich umging die flämische Regierung bereits seit 2019 systematisch die APD, indem sie ihre Dekrete über die VTC erließ, obwohl das Verfassungsgericht im März 2023 darauf hingewiesen hatte, dass die flämische Regierung zur Verabschiedung ihrer Texte die APD einhalten müsse.

Heute möchte der Ministerpräsident die flämische Zuständigkeit formalisieren: Er hat einen Brief an die Europäische Kommission geschickt, in dem er die Anerkennung der Zuständigkeiten der Videokonferenzsysteme im Hinblick auf die DSGVO beantragt.

Die belgische Datenschutzbehörde (APD) verhängte gegen einen Datenverantwortlichen eine Geldstrafe von 100.000 Euro, weil dieser nicht rechtzeitig auf die Auskunftsanfrage einer betroffenen Person reagiert hatte.

Die APD wies dennoch den Antrag des Betroffenen auf Auskunft über die konkreten Mitarbeiter zurück, die auf seine Daten zugegriffen hatten.

Auch in Belgien wies die Streitbeilegungskammer der APD am 6. September die Gültigkeit des von Noyb vorgelegten Vertretungsmandats in einem Fall zurück, der die Integration von Google Analytics-Skripten in eine Website zu einem Zeitpunkt betraf, als der Privacy Shield vom EuGH für ungültig erklärt worden war.

Die Streitbeilegungskammer war der Ansicht, dass das Mandat einen Rechtsmissbrauch seitens Noyb darstellte.

In einem anderen Fall gab die belgische Datenschutzbehörde (APD) jedoch mehreren Beschwerden statt, die Noyb im Jahr 2023 eingereicht hatte, und ordnete an, dass vier große belgische Nachrichtenseiten ihre Cookie-Banner an die DSGVO anpassen müssen.

Die spanische Datenschutzbehörde veröffentlichte am 2. Oktober einen Bericht über die Verarbeitung personenbezogener Daten und die Überprüfung des Alters von Kindern im digitalen Umfeld.

Das Dokument plädiert für die Entwicklung proaktiver Schutzrichtlinien durch Dienste der Informationsgesellschaft.

Die spanische Datenschutzbehörde (APD) hat ein Fintech-Unternehmen mit einer Geldstrafe von 72.000 Euro belegt, weil es unzureichende Maßnahmen zur Überprüfung der Kundenidentität implementiert hatte, wodurch Betrüger ohne Wissen des Opfers einen Kredit in dessen Namen aufnehmen konnten.

Am 27. September verhängte die irische Datenschutzkommission (DPC) eine Geldstrafe von 91 Millionen Euro gegen Meta.

Die Entscheidung bezieht sich auf die Maßnahmen, die das Unternehmen ergriffen hat, um ein den Risiken bei der Verarbeitung von Passwörtern angemessenes Sicherheitsniveau zu gewährleisten, sowie auf die Verpflichtung, Datenschutzverletzungen zu dokumentieren und der Datenschutzbehörde zu melden.

Die Behörde erinnert die Verantwortlichen für die Datenverarbeitung daran, dass sie die mit der Speicherung von Benutzerpasswörtern verbundenen Risiken bewerten und Maßnahmen zur Minderung dieser Risiken ergreifen müssen.

Am 12. September kündigte die APD außerdem die Einleitung einer Untersuchung gegen Google wegen der Verwendung personenbezogener Daten europäischer Nutzer zur Entwicklung eines Modells künstlicher Intelligenz im Bereich Übersetzungen an.

Die Untersuchung betrifft das KI-Modell „Pathways Language Model 2“ (PaLM 2), das von Google im Jahr 2023 ohne vorherige Datenschutzfolgenabschätzung auf den Markt gebracht wurde.

In Italien verhängte die APD eine Geldstrafe von 5.000.000 € gegen einen Energieversorger, weil dieser keine angemessenen Maßnahmen ergriffen hatte, um die Einhaltung der DSGVO durch seine Subunternehmer sicherzustellen.

Dies ermöglichte es ihnen, ohne Wissen der Betroffenen Verträge mit ihnen abzuschließen.

Die portugiesische Datenschutzbehörde (APD) hat einen Datenverantwortlichen mit einer Geldstrafe von 107.000 Euro belegt, weil er wiederholt unerwünschte kommerzielle Mitteilungen versendet hatte.

Der Datenverantwortliche wurde zur Rechenschaft gezogen, obwohl die Versandabwicklung von einem Subunternehmer unter Verwendung seiner eigenen Datenbank durchgeführt worden war.

 

Ein am 19. September veröffentlichter Bericht der US-amerikanischen Federal Trade Commission (FTC) enthüllt, dass große Social-Media- und Videostreaming-Unternehmen eine weitverbreitete Überwachung ihrer Nutzer mit laschen Datenschutzmaßnahmen und unzureichendem Schutz für Kinder und Jugendliche betreiben.

Der Bericht empfiehlt, die Speicherung und Weitergabe von Daten einzuschränken, zielgerichtete Werbung zu beschränken und den Schutz von Jugendlichen zu stärken.

Die chinesische Regierung veröffentlichte am 30. September die „Vorschriften zum Netzwerkdatensicherheitsmanagement“, die am 1. Januar 2025 in Kraft treten werden. 

Der Text zielt darauf ab, Netzwerkdatenverarbeitungsaktivitäten zu regulieren, die Rechte und berechtigten Interessen von Einzelpersonen und Organisationen zu schützen und die nationale Sicherheit und öffentliche Interessen zu gewährleisten.

Auch in China hat das Nationale Technische Komitee für Standardisierung der Informationssicherheit (TC260) einen Rahmen für die Governance der Informationssicherheit im Zusammenhang mit KI veröffentlicht.

Das Dokument enthält eine Reihe von Grundsätzen und bietet eine nützliche Klassifizierung von KI-bezogenen Risiken sowie technologischen Maßnahmen zu deren Bewältigung.

IBM hat einen Bericht über die Kosten von Datenpannen im Jahr 2024 veröffentlicht.

Zu den Schlussfolgerungen des Berichts gehört unter anderem Folgendes:

• Die durchschnittlichen Gesamtkosten eines Datenlecks belaufen sich auf 4,88 Millionen US-Dollar, wobei Datenlecks in den Vereinigten Staaten am teuersten sind.
• Der Mangel an Fachkräften im Bereich Cybersicherheit hat sich verschärft.
• Bei fast der Hälfte der Verstöße handelt es sich um personenbezogene Daten (46 %) oder geistige Eigentumsrechte (43 %).
• Durch das Eingreifen der Strafverfolgungsbehörden lassen sich die Kosten von Ransomware-Angriffen im Durchschnitt um 1 Million Dollar senken.
• Zur Identifizierung und Eindämmung von Verstößen im Zusammenhang mit gestohlenen Zugangsdaten werden 292 Tage benötigt.

Instagram bietet jetzt Teenager-Accounts mit strengeren Sicherheitseinstellungen an, sodass Eltern die Nutzung der App einschränken können.

Teenager-Accounts wurden speziell entwickelt, um Minderjährige vor schädlichen Inhalten und unerwünschten Kontakten zu schützen und gleichzeitig die Nutzungsdauer der Anwendung zu reduzieren.