Rechtsbeobachtung Nr. 61 – Juli 2023.

APIs als Kernstück des persönlichen Datenaustauschs.

Anwendungsprogrammierschnittstellen, im Englischen auch „APIs“ genannt, werden häufig verwendet, um den Informationsaustausch zwischen öffentlichen und privaten Organisationen zu erleichtern.

Dieser Datenaustausch wird vom Gesetzgeber unterstützt, wie die europäische Strategie für digitale Souveränität bestätigt: Ziel ist die Entwicklung eines einheitlichen Datenmarktes „durch die Unterstützung des verantwortungsvollen Zugangs, der Weitergabe und der Wiederverwendung im Einklang mit den Werten der Europäischen Union und insbesondere dem Schutz personenbezogener Daten“.

Sie ergänzt die europäische Strategie für künstliche Intelligenz.

APIs können, sofern sie den Datenschutz bereits in der Entwurfsphase des Sharing-Systems integrieren, einen günstigen technischen Rahmen bieten, der mit der DSGVO vereinbar ist.

Die CNIL befürwortet daher deren Verwendung in einer am 7. Juli verabschiedeten Empfehlung.

Sie hebt insbesondere die Wichtigkeit eines Sicherheitsniveaus hervor, das den Risiken der Wiederverwendung angemessen ist, und dass die Weitergabe von Daten auf das unbedingt notwendige Minimum beschränkt wird.

Die Empfehlung richtet sich an drei Arten von Akteuren: Dateninhaber, API-Manager und Datenwiederverwender.

Der Dateninhaber ist dadurch gekennzeichnet, dass es Daten auf technische oder organisatorische Weise kontrolliert.

Ein API-Manager ist die Organisation, die für einige oder alle technischen Komponenten verantwortlich ist, auf denen der Datenaustausch basiert.

Endlich, der Datenwiederverwender Jede Organisation, die plant, über APIs auf Daten zuzugreifen oder diese zu empfangen, um sie selbst zu nutzen.

Die CNIL (französische Datenschutzbehörde) betont, dass ein und dieselbe Organisation mehrere Rollen innehaben kann, beispielsweise wenn der Datenverantwortliche selbst eine API entwickelt: In diesem Fall ist er gleichzeitig API-Administrator und muss die Empfehlungen für beide Rollen beachten. Die Identifizierung der eigenen Rolle bei der Nutzung einer API ist daher unerlässlich.

Jede Kategorie ist auf Maßnahmen ausgerichtet, die es ermöglichen, das gewünschte Sicherheitsniveau zu erreichen und die Datenschutzgrundsätze einzuhalten.

Die Beteiligten werden ermutigt, bei der Umsetzung dieser Empfehlungen zusammenzuarbeiten.                              

• Die Dateninhaber müssen besonderes Augenmerk auf die Information der Wiederverwender, die Genauigkeit und Integrität der Daten sowie die Datensicherheit (Trennung und Verfügbarkeit, Authentifizierung, Protokollierung) legen.
• API-Manager werden sich auf Dokumentation, Datenminimierung, Ausübung von Rechten in Bezug auf die Datenweitergabe und Sicherheit (Kommunikation, Informationssystemsicherheit, Protokollierung) konzentrieren.
• Wiederverwender haben spezifische Pflichten hinsichtlich der Information der betroffenen Personen, der Minimierung des Datenvolumens und der Sicherheit (Risikomanagement, Sicherung der Schlüssel, Protokollierung).

Die Empfehlung bezieht sich auf konkrete Fälle des Datenaustauschs, beispielsweise zwischen sozialen Netzwerken und Forschern oder auf die Öffnung von Regierungsdaten.

Die Qualifikation der verschiedenen Akteure lässt keine Rückschlüsse auf ihren Status als Datenverantwortlicher oder Datenverarbeiter im Sinne der DSGVO zu.

Allerdings lassen sich einige Richtlinien ableiten: Der Dateninhaber ist grundsätzlich für die Verarbeitung der geteilten Daten verantwortlich, sofern er die Zwecke und Mittel der Verarbeitung frei bestimmt hat oder wenn er rechtlich dazu verpflichtet ist.

Der Weiterverwender ist häufig ein „Empfänger“ im Sinne der DSGVO.

Der API-Manager seinerseits fungiert als Unterauftragnehmer, d. h. im Auftrag und nach Weisungen des Dateninhabers und/oder des Wiederverwenders.

Die Empfehlungen der CNIL sollten bald durch die begrüßenswerte Veröffentlichung von Praxisbeispielen auf der Website der Kommission ergänzt werden.

 

Und auch

• Am 27. Juli veröffentlichte die CNIL einen Aufruf zur Einreichung von Beiträgen zu ihrer Arbeit im Bereich KI.

Bei dieser Gelegenheit gibt sie ein erstes Update zum Stand ihrer Arbeit nach der Veröffentlichung ihres Aktionsplans zur künstlichen Intelligenz am 16. Mai und ruft zur Einreichung von Beiträgen auf, um ihre Überlegungen zu bereichern, bevor die ersten Veröffentlichungen im Herbst geplant sind.

• Die CNIL schlägt außerdem einen neuen „Sandkasten“ vor, um drei Projekte zu unterstützen, die künstliche Intelligenz (KI) zum Nutzen öffentlicher Dienste einsetzen.

Die Einreichungsfrist für Projekte läuft bis zum 30. September 2023.

• Als Teil ihres Aktionsplans für mobile Anwendungen veröffentlicht die CNIL einen Empfehlungsentwurf zur öffentlichen Konsultation, der die Pflichten der verschiedenen Akteure in diesem Ökosystem verdeutlichen, deren Einhaltung erleichtern und die Umsetzung bewährter Verfahren fördern soll.
• Mehr als sechzig europäische Nichtregierungsorganisationen schrieben am 26. Juli einen Brief an den EU-Kommissar Thierry Breton, um ihn um Klarstellung seiner jüngsten Äußerungen zu bitten, in denen er andeutete, dass die Sperrung von Online-Plattformen eine zulässige und gerechtfertigte Maßnahme gemäß dem Digital Services Act (DSA) sein könnte.

Diese Kommentare folgten auf Äußerungen des Präsidenten der Republik, in denen er die Möglichkeit erwähnte, den Zugang zu Social-Media-Plattformen im Falle von Störungen der öffentlichen Ordnung zu sperren.

NGOs befürchten, dass diese Kommentare Regierungen weltweit dazu ermutigen könnten, Online-Plattformen willkürlich zu sperren.

Sie fordern die Europäische Kommission auf, sicherzustellen, dass die Umsetzung und Anwendung des DSA durch die Mitgliedstaaten nicht zu einer übermäßig weiten Auslegung dieser Maßnahmen führt, die seinen regulatorischen Zielen zuwiderlaufen und gegen die EU-Grundrechtecharta verstoßen würde.

• Am 26. Juni entschied der Staatsrat, dass das Recht auf Berichtigung zur Korrektur von Daten nach einem Identitätswechsel genutzt werden kann, nicht jedoch rückwirkend zur Korrektur von Dokumenten vor dem Identitätswechsel: Diese früheren Daten können nämlich nicht als unrichtig angesehen werden.
• Die Nationalversammlung verabschiedete am 28. Juni einstimmig den „Gesetzentwurf zur Schaffung einer digitalen Mehrheit und zur Bekämpfung von Online-Hass“.

Das Projekt wurde am 29. Juni 2023 auch vom Senat einstimmig angenommen.

Der Text legt die digitale Volljährigkeit mit 15 Jahren fest, dem Alter, ab dem Minderjährige keine elterliche Zustimmung mehr benötigen, um sich in einem sozialen Netzwerk anzumelden.

 

Europäische Institutionen und Gremien

• Am 10. Juli verabschiedete die Europäische Kommission ihren Angemessenheitsbeschluss für den „EU-US-Datenschutzrahmen“ und kam zu dem Schluss, dass der von den Vereinigten Staaten gewährleistete Schutz für übermittelte Daten mit dem in der EU angebotenen Schutz vergleichbar ist.

Der neue Rahmen trat am 11. Juli in Kraft.

Laut Kommission führen die amerikanischen Zusagen „neue verbindliche Garantien ein, um allen vom Europäischen Gerichtshof geäußerten Bedenken Rechnung zu tragen, insbesondere indem der Zugang der US-Geheimdienste zu EU-Daten auf das Notwendige und Verhältnismäßige beschränkt und ein Datenschutzgericht eingerichtet wird.“

Wenig überraschend vertrat Max Schrems die Ansicht, dass das neue transatlantische Rahmenabkommen zum Schutz personenbezogener Daten im Wesentlichen eine Kopie des „Privacy Shield“ sei und dass er die Entscheidung vor Gericht anfechten werde.

Der Europäische Datenschutzausschuss (EDPB) hat seinerseits ein Informationsblatt veröffentlicht, um die betroffenen Unternehmen und Einzelpersonen zu beraten.

• Am 4. Juli veröffentlichte die Europäische Kommission ihren „Vorschlag für eine Verordnung zur Festlegung zusätzlicher Verfahrensregeln für die Anwendung der DSGVO“, mit dem eine einheitliche Anwendung der Verordnung in grenzüberschreitenden Fällen gewährleistet werden soll.

In einer Nachricht auf Twitter begrüßte der Europäische Datenschutzausschuss die schnelle Reaktion der Kommission auf seine Anfragen nach Klarstellung.

Die vorgeschlagene Regelung wird jedoch von einigen NGOs kritisiert, die darauf hinweisen, dass sie die Beteiligung der Bürger an Beschwerden, die sie bei den Datenschutzbehörden im Falle des Missbrauchs ihrer Daten einreichen, einschränken könnte.

• Vernetzte Geräte wie Überwachungskameras, Kühlschränke und Smart-TVs könnten schon bald einen besseren Schutz vor Cyberangriffen bieten.

Die EU-Mitgliedstaaten haben sich kürzlich auf einen gemeinsamen Standpunkt hinsichtlich der Sicherheitsanforderungen für die vorgenannten digitalen Produkte geeinigt.

Das vorgeschlagene Gesetz zur Cyberresilienz würde verbindliche Anforderungen an die Konstruktion, Entwicklung und Produktion von Geräten einführen.

• Mit Urteil vom 4. Juli 2023 nahm der Gerichtshof der Europäischen Union in einem Streit zwischen Meta und einer deutschen Wettbewerbsbehörde Stellung.

Der EuGH urteilte, dass eine Wettbewerbsbehörde einen Verstoß gegen die DSGVO feststellen kann und, ohne die Datenschutzbehörde zu ersetzen, weiterhin freisteht, aus der Perspektive der Anwendung des Wettbewerbsrechts eigene Schlussfolgerungen zu ziehen.

Der EuGH stellt außerdem fest, dass Facebook wahrscheinlich „sensible“ Daten aus der Nutzeraktivität verarbeitet, ohne dass der Nutzer diese unbedingt veröffentlichen wollte, was die Ausnahme von der Einwilligung ausschließt.

Das Gericht wies auch Metas Berufung auf die Notwendigkeit der Vertragserfüllung und das berechtigte Interesse zur Rechtfertigung der Personalisierung von Inhalten zurück.

Schließlich wird festgestellt, dass die dominante Stellung von Facebook auf dem Markt für soziale Netzwerke Bedenken hinsichtlich der Gültigkeit der Einwilligung aufwirft und dass es Sache des Betreibers ist, nachzuweisen, dass die Einwilligung tatsächlich freiwillig erteilt wurde.

Meta kündigte am 1. August an, die Rechtsgrundlage für seine zielgerichtete Werbung in Europa ändern zu wollen: Das Unternehmen wird künftig die Zustimmung der Nutzer einholen.

Diese Änderung ist eine direkte Folge der Beschlüsse des Europäischen Datenschutzausschusses sowie nationaler und europäischer Justizbehörden.

• Im Kontext der Diskussionen über den Entwurf einer europäischen Verordnung zur Medienfreiheit fordern 80 zivilgesellschaftliche Organisationen, Medienorganisationen, Verlage und Rundfunkanstalten sowie Gewerkschaften das Europäische Parlament auf, den Einsatz von Spyware gegen Journalisten ausnahmslos zu verbieten.
• Am 3. Juli wandten sich auch zivilgesellschaftliche Gruppen und Internetexperten mit einem Schreiben an die Kommissare Jourova und Reynders, um ihre tiefe Besorgnis über den von der britischen Regierung vorgeschlagenen Gesetzentwurf zum Datenschutz und zu digitalen Informationen (DPDI) zum Ausdruck zu bringen, der Großbritannien in ein „undichtes Ventil“ verwandeln und die Datenschutzrechte der europäischen Bürger untergraben würde.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• Die belgische Datenschutzbehörde (APD) vertrat die Auffassung, dass ein Apothekerverband durch die unbefristete Aufbewahrung von Daten über Disziplinarmaßnahmen, die gemäß einer alten Verordnung verhängt wurden, unter anderem gegen die Grundsätze der Rechtmäßigkeit, Zweckbindung, Datenminimierung, Genauigkeit und Aufbewahrungsbegrenzung verstößt.

Der Verein wurde mit einer Geldstrafe von 30.000 Euro belegt.

• Nach Angaben der belgischen Datenschutzbehörde unterliegt ein in den Vereinigten Staaten ansässiger Datenverantwortlicher, dessen Tätigkeit die Organisation von Konferenzen in Europa umfasst, der DSGVO und muss unter anderem einen Vertreter in Belgien benennen.
• Die lettische Datenschutzbehörde (APD) war der Ansicht, dass die Verwendung einer eindeutigen persönlichen Kennung nicht ausreiche, um eine betroffene Person eindeutig zu identifizieren und die unrechtmäßige Offenlegung besonderer Kategorien von Daten durch den nationalen Gesundheitsdienstleister zu verhindern.

Die Verwendung zusätzlicher Kriterien, wie beispielsweise des Namens der betroffenen Person, war notwendig.

• Die spanische Datenschutzbehörde (APD) hat einen Wachmann mit einer Geldstrafe von 10.000 Euro belegt, weil er Bilder aus der Videoüberwachungsanlage eines Gefängnisses aufgenommen und diese über WhatsApp verbreitet hatte, was gegen Artikel 6 der DSGVO verstößt.
• In einer Entscheidung vom 22. Juni verhängte die italienische Datenschutzbehörde (APD) eine Geldstrafe von einer Million Euro gegen das italienische Autobahnunternehmen, weil dieses seine Rolle als Datenverantwortlicher im Zusammenhang mit der Nutzung von Cashback-Diensten nicht offengelegt hatte.
• Die isländische Datenschutzbehörde (APD) hat das Amt des Nationalen Gerichtsmediziners wegen mehrerer Verstöße gegen die DSGVO mit einer Geldstrafe von rund 82.000 Euro belegt. Grund dafür war eine Sicherheitslücke auf der Website Heilsuvera, die ein Online-Gesundheitssystem und ein Rezeptportal anbietet.
• Nach einer Überprüfung von vier Unternehmen, die Google Analytics auf ihren Webseiten einsetzten, ordnete die schwedische Datenschutzbehörde diesen Unternehmen an, die Nutzung des Tools einzustellen.

Zwei der Unternehmen wurden mit einer Verwaltungsstrafe belegt, während ein weiteres die Nutzung des Tools freiwillig einstellte.

Die Prüfungen wurden aufgrund von Beschwerden der Organisation noyb durchgeführt, die den Unternehmen vorwarf, personenbezogene Daten unter Verstoß gegen europäische Gesetze illegal in die Vereinigten Staaten zu übermitteln.

• Nach dem oben erwähnten Urteil des EuGH erklärte die norwegische Datenschutzbehörde verhaltensbasierte Werbung auf Facebook und Instagram für illegal.

Für die nächsten drei Monate oder bis das Social-Media-Unternehmen seine Einhaltung des norwegischen Rechts nachweisen kann, ist es ihm nicht mehr gestattet, diese Vorgehensweise anzuwenden.

 

• Mitte Juli legte das Weiße Haus Übergangsmaßnahmen in Form freiwilliger Verpflichtungen für eine „sichere, geschützte und transparente Entwicklung und Nutzung von KI“ vor.

Amazon, Anthropic, Google, Inflection, Meta, Microsoft und OpenAI haben vereinbart, der Forschung zu den gesellschaftlichen Risiken von KI-Systemen Priorität einzuräumen und die Entdeckung und Meldung von Problemen und Schwachstellen zu fördern.

Einigen akademischen Experten zufolge reichen diese Abkommen jedoch bei Weitem nicht aus.

„Die Vereinigten Staaten bieten weiterhin freiwillige Maßnahmen an, während die Europäische Union kurz davor steht, die umfassendste KI-Gesetzgebung zu verabschieden, die wir bisher gesehen haben“, sagte Brandie Nonnecke, Gründungsdirektorin des Citris Policy Lab an der Universität Berkeley.

• Inzwischen untersucht die Federal Trade Commission (FTC) OpenAI hinsichtlich der Funktionsweise von ChatGPT. Dabei stehen detaillierte Fragen zu den finanziellen Einnahmen, dem Training der Modelle und der Datenverarbeitung, Sicherheitsrisiken und -verfahren, der Generierung von Inhalten über Einzelpersonen, externen Angriffen zur Manipulation des LLM („Prompt Injections“) und dem Schutz personenbezogener Daten im Fokus.
• OpenAI hat sein Tool zur Unterscheidung zwischen von Menschen und KI generierten Texten eingestellt: „Aufgrund der geringen Genauigkeit ist der KI-Klassifikator seit dem 20. Juli 2023 nicht mehr verfügbar.“ Das Unternehmen arbeitet weiterhin an der Entwicklung eines effektiveren Tools.
• Amazon hat sich bereit erklärt, mehr als 30 Millionen Dollar zu zahlen, um zwei Klagen der FTC beizulegen, die wegen Verletzung der Privatsphäre von Nutzern, darunter auch Kindern, durch seinen Sprachassistenten Alexa und seine Ring-Türklingelkameras eingereicht wurden.

Amazon wurde vorgeworfen, Ring-Videoaufnahmen und Alexa-Sprachaufnahmen sowie die dazugehörigen Geodaten mehrere Jahre lang ohne Zustimmung und trotz Aufforderungen der Verbraucher zur Löschung dieser Daten gespeichert zu haben.

• Die Infocomm Media Development Authority Singapurs hat eine Partnerschaft mit Google zur Unterstützung einer „Tech-Sandbox“-Initiative angekündigt.

Diese Initiative soll Unternehmen dabei helfen, „die Privatsphäre der Nutzer zu schützen und ihnen Werkzeuge an die Hand zu geben, die es ihnen ermöglichen, weiterhin auf Daten zuzugreifen, ohne dass Cookies von Drittanbietern verwendet werden.“

Die IMDA-Google-Partnerschaft steht allen in Singapur ansässigen Unternehmen offen.

• Die südafrikanische Informationsbehörde hat am 3. Juli eine Mitteilung über einen Verstoß und eine Verwaltungsstrafe in Höhe von 5 Millionen Rand (ca. 240.000 Euro) an das Justizministerium und das Ministerium für Verfassungsentwicklung wegen Nichteinhaltung des Personal Information Protection Act (POPIA) ausgestellt.

Die Aufsichtsbehörde hatte im Mai eine einstweilige Verfügung erlassen, in der sie das Ministerium aufforderte, bestimmte IT-Sicherheitslizenzen (Antivirus, Anti-Intrusion, SIEM) zu erneuern und Disziplinarverfahren gegen die betroffenen Beamten einzuleiten.

• In Vietnam trat am 1. Juli ein Dekret zum Schutz personenbezogener Daten in Kraft.

Es sieht insbesondere die Durchführung von Folgenabschätzungen bei Datentransfers und die Ernennung eines Datenschutzbeauftragten für die Verarbeitung sensibler Daten vor.

• Die Meta-Tochtergesellschaften Onavo und Facebook Israel wurden am 26. Juli in Australien mit einer Geldstrafe von 20 Millionen australischen Dollar belegt, weil sie VPN-Nutzer nicht ausreichend darüber informiert hatten, dass ihre Daten zu kommerziellen Zwecken gesammelt würden.

Die von der australischen Wettbewerbs- und Verbraucherschutzbehörde (ACCC) verhängte Sanktion ist die höchste, die jemals in Australien im Bereich des Datenschutzes verhängt wurde.