Legal Watch Nr. 68 – Februar 2024.

CNIL-Kontrollen: Was sind die Prioritäten für 2024? ?

Wie jedes Jahr hat die CNIL Anfang 2024 einen Rückblick auf ihre bisherige Tätigkeit und ihre Prioritäten für die kommenden Monate veröffentlicht.

Es deutet auf stetig zunehmende Kontrollen hin, die durch die Einführung eines vereinfachten Verfahrens für bestimmte Fälle effizienter gestaltet werden.

Im vergangenen Jahr betrafen die Kontrollen diverse Sektoren wie Werbung und Online-Handel, Sicherheit, Fahrzeugortung, Arbeitnehmerrechte und die Verarbeitung von Gesundheitsdaten.

Die CNIL hat sowohl multinationale Konzerne als auch KMUs sowie öffentliche und private Akteure sanktioniert.

Die Kommission scheint sich jedoch der zusätzlichen Anstrengungen bewusst geworden zu sein, die für die Verantwortlichen kleiner Organisationen erforderlich sind, um die DSGVO einzuhalten.

In einer am 1. März veröffentlichten Studie über die wirtschaftlichen Auswirkungen der DSGVO merkt sie an, dass „die DSGVO im Verhältnis vorteilhafter für große Wirtschaftsakteure ist, da diese mehr Ressourcen für die Einhaltung der Vorschriften aufwenden können“.

Sie zieht daraus den Schluss, dass „die Regulierungsbehörde diesem Trend aktiv entgegenwirken muss, indem sie gegenüber großen Akteuren und insbesondere gegenüber sehr großen Akteuren eine anspruchsvolle Politik verfolgt, und zwar im Verhältnis zu den von ihnen ausgehenden Risiken und den ihnen zur Verfügung stehenden Ressourcen.“

Wie die gemeinsame Erklärung der CNIL und der Wettbewerbsbehörde vom Dezember 2023 ebenfalls ausführt, geht die CNIL bereits jetzt von einer asymmetrischen Dimension in ihren Regulierungsmaßnahmen auf den digitalen Märkten aus und wird diese in Zukunft noch verstärken.verbunden mit einem umfassenden Verständnis von Geschäftsmodellen, zum Wohle der Einzelpersonen und zum Schutz ihrer Grundrechte.

Zu den in diesem Jahr angekündigten Maßnahmen gehören, wenig überraschend, die Akten im Zusammenhang mit den Olympischen und Paralympischen Spielen 2024 sowie das Recht von Einzelpersonen auf Zugang zu ihren Daten.

Bezüglich der Olympischen SpieleDie CNIL beabsichtigt, den Einsatz von Sicherheitsvorrichtungen und insbesondere den Einsatz von Überwachungskameras, QR-Codes für Bereiche mit beschränktem Zugang und Zugangsberechtigungen zu überprüfen.

Das Datenvolumen und die Anzahl der an der Veranstaltung beteiligten Partner werden die Kommission auch veranlassen, die Verwendung der Ticketdaten zu überprüfen, um eine betrügerische Wiederverwendung der Daten der betroffenen Personen zu verhindern.

Beachten Sie, dass die Frage des Einsatzes von Gesichtserkennung durch Strafverfolgungsbehörden auch in den Prioritäten des Europäischen Datenschutzausschusses (EDPB) in seinem Arbeitsprogramm 2023-2024 enthalten ist.

Das Recht des Einzelnen auf Zugang zu seinen Daten ist das Thema der koordinierten Maßnahmen des Europäischen Datenschutzausschusses für das Jahr 2024 (siehe auch unten).

Der Europäische Datenschutzausschuss (EDPB) verabschiedete im Jahr 2023 Leitlinien zu diesem Thema, um Datenverantwortliche bei der Umsetzung von Zugriffsverfahren zu unterstützen, die die von der CNIL veröffentlichten ergänzen.

Die CNIL wird sich auch auf online gesammelte Daten von Minderjährigen konzentrieren. Es wird überprüft, ob Mechanismen zur Alterskontrolle implementiert sind, welche Sicherheitsmaßnahmen geplant sind und ob der Grundsatz der Datenminimierung beachtet wird.

Abschließend wird der Einfluss der Digitalisierung von Kassenbons und der Nutzung von Kundenbindungsprogrammen auf die Rechte des Einzelnen untersucht..

Die Ersetzung von Papierbelegen durch SMS oder E-Mail erfordert beispielsweise die Erfassung zusätzlicher Daten.

Die CNIL legt fest, dass diese Daten, genau wie Informationen über die Einkäufe von Einzelpersonen, nur mit vorheriger Zustimmung der betroffenen Personen für Werbezwecke verwendet werden dürfen.

Abschließend sei darauf hingewiesen, dass die CNIL auch unabhängig von den festgelegten Prioritäten einen Fall aufgreifen kann, beispielsweise aufgrund einer Beschwerde, einer Veröffentlichung in der Presse oder eines Berichts einer Datenschutzbehörde eines anderen europäischen Landes.

 

    

• Am 31. Januar verhängte die CNIL eine Geldbuße von 100.000 Euro gegen den Immobiliendienstleister PAP.

Die französische Datenschutzbehörde CNIL stellte Mängel hinsichtlich der Aufbewahrungsfristen für Daten, der Information der Betroffenen, der Verwaltung der Beziehungen zwischen dem persönlichen Zugangspunkt (PAP) und einem Unterauftragnehmer sowie der Datensicherheit (Speicherung von Passwörtern im Klartext) fest. Die identifizierten Sicherheitslücken setzten die Daten dem Risiko von Cyberangriffen und Datenlecks aus.

• Am 31. Januar verhängte das Gericht außerdem eine Geldstrafe von 310.000 Euro gegen FORIOU, weil das Unternehmen Daten von Datenhändlern für kommerzielle Akquisezwecke nutzte, ohne sicherzustellen, dass die betroffenen Personen wirksam ihre Einwilligung zur Kontaktaufnahme erteilt hatten.

Die CNIL weist darauf hin, dass es in der Verantwortung des Unternehmens liegt, das die Daten verwendet, sicherzustellen, dass die betroffenen Personen vor der Datenerhebung eine gültige Einwilligung erteilt haben.

Die Kommission stellte fest, dass das Unternehmen zwar bestimmte vertragliche Anforderungen an seine vorgelagerten Datenlieferanten stellte, jedoch keine wirksame Kontrolle dieser Anforderungen auf nachgelagerter Ebene ausübte.

• Am 30. Januar kam der Staatsrat zu dem Schluss, dass die automatischen Übermittlungen von Steuerdaten zwischen Frankreich und den Vereinigten Staaten im Rahmen des FATCA-Abkommens nicht gegen die Artikel 5 und 46 der DSGVO verstoßen, da das Fehlen eines Angemessenheitsbeschlusses die Datenübermittlungen, die „aus wichtigen Gründen des öffentlichen Interesses erforderlich“ sind, nicht verhindert.

Die Vereinigung der zufälligen Amerikaner hatte den Staatsrat aufgefordert, die Entscheidung der CNIL aufzuheben, die ihre Beschwerde abgewiesen hatte.

Der Staatsrat war der Ansicht, dass die CNIL ihre Entscheidung ausreichend begründet hatte.

Zu beachten ist, dass die belgische Datenschutzbehörde in derselben Angelegenheit zu einem anderen Schluss gekommen ist und die Übermittlung von Steuerdaten versehentlich belgischer Amerikaner an die Vereinigten Staaten untersagt hat.

• Das französische Start-up-Unternehmen Mistral, das sich auf die Entwicklung von KI spezialisiert hat, gab am 26. Februar eine strategische Partnerschaft mit Microsoft bekannt.

Laut der Zeitung Le Monde sorgt diese Ankündigung in Brüssel für Spannungen, nachdem vor allem von Frankreich intensive Lobbyarbeit betrieben wurde, um europäische Start-ups zu begünstigen und die ihnen obliegenden Verpflichtungen in der künftigen KI-Regulierung einzuschränken.

Grüne Europaabgeordnete haben einen Brief an die Europäische Kommission geschickt, in dem sie Fragen zu möglichen Interessenkonflikten und Transparenzproblemen im Zusammenhang mit Mistrals Lobbyarbeit zu dieser Verordnung aufwerfen.

• Mitte Januar veröffentlichte ANSSI drei Leitfäden mit dem Ziel, „die Behebung eines Cybervorfalls zu managen“.

Diese Leitfäden bestehen aus drei Teilen: einem strategischen, einem operativen und einem technischen Teil.

Die Behörde weist darauf hin, dass „wenn ein schwerwiegender Vorfall nur teilweise oder unzureichend behoben wird, seine Auswirkungen sich über einen längeren Zeitraum erstrecken können.“

„Dieses hohe Destabilisierungspotenzial erfordert (...) Expertise in der Eindämmung dieser Cyberangriffe, in der Wiedererlangung der Kontrolle über das kompromittierte Informationssystem und in der Wiederherstellung eines ausreichenden Betriebszustands.“

Die Behebung von Sicherheitslücken ist neben der Untersuchung und dem Krisenmanagement ein wichtiger Aspekt der Reaktion auf Cybervorfälle.

• Nach achtmonatiger Testphase ist der digitale Führerschein seit dem 14. Februar für alle Antragsteller erhältlich.

Mit der französischen Identitäts-App ist es auch möglich, den Personalausweis zu digitalisieren und ihn für bestimmte Vorgänge zu verwenden, beispielsweise zur Erstellung einer Vollmacht.

 

Europäische Institutionen und Gremien

• Am 28. Februar hat der Europäische Datenschutzausschuss (EDPB) seinen „koordinierten Rahmen für Untersuchungen“ (CFE) für das Jahr 2024 ins Leben gerufen.

Das ganze Jahr über werden sich europäische Datenschutzbehörden an dieser Initiative zur Umsetzung des Auskunftsrechts beteiligen.

Auf seiner Plenarsitzung im Oktober 2023 wählte der Europäische Datenschutzausschuss das Zugangsrecht als dritte koordinierte Umsetzungsmaßnahme, „weil es im Mittelpunkt des Datenschutzes steht und eines der am häufigsten ausgeübten Datenschutzrechte ist und über das die Datenschutzbehörden viele Beschwerden erhalten.“

• Der Europäische Datenschutzausschuss (EDPB) wird in Kürze eine abschließende Stellungnahme zum Geschäftsmodell „Akzeptieren oder Bezahlen“ abgeben, das von Besuchern, die Cookies ablehnen, die Zahlung für den Zugriff auf Website-Inhalte verlangt.

Meta hat diesen Ansatz im November 2023 übernommen, was die niederländischen, norwegischen und Hamburger Datenschutzbehörden dazu veranlasste, den Europäischen Datenschutzausschuss um eine verbindliche Stellungnahme zur Rechtmäßigkeit dieser Praxis zu bitten.

Die Zivilgesellschaft befürchtet, dass, wenn dieses Wirtschaftsmodell legitimiert wird, Unternehmen in allen Industriesektoren dem Beispiel von Meta folgen werden, was das Ende einer echten Einwilligung zur Datennutzung bedeuten könnte.

28 Nichtregierungsorganisationen haben einen Brief an den Europäischen Datenschutzausschuss (EDPB) geschickt, in dem sie ihn auffordern, eine Stellungnahme abzugeben, die das Grundrecht auf Datenschutz schützt.

• Während ihrer Plenarsitzung Mitte Februar verabschiedete der Europäische Datenschutzausschuss (EDPB) eine Stellungnahme, in der er den Begriff der Hauptniederlassung im Kontext des „One-Stop-Shops“ präzisierte.

Unternehmen können nicht einfach durch ein Schild an der Tür eine Hauptniederlassung begründen: Die Niederlassung muss dort sein, wo die Entscheidungen zur Datenverarbeitung getroffen werden. Werden diese Entscheidungen im Ausland getroffen, kann keine Hauptniederlassung vorliegen; die Regelung zur zentralen Anlaufstelle findet keine Anwendung. Der Europäische Datenschutzausschuss (EDSA) verabschiedete zudem eine Erklärung, in der er die EU-Gesetzgeber aufforderte, sicherzustellen, dass die CSAM-Verordnung, die dem Schutz der Rechte von Kindern im Internet dient, das Recht auf Privatsphäre und Datenschutz wahrt. 

• Das Europäische Parlament und insbesondere der Verteidigungsausschuss befand sich Ende Februar in höchster Alarmbereitschaft, nachdem auf den Telefonen zweier seiner Mitglieder Spuren von Hacking entdeckt worden waren. Dies schürte die Angst vor Cyberangriffen und ausländischer Einmischung im Vorfeld der Europawahlen im Juni.

Im vergangenen Dezember berichtete Politico, dass die Cybersicherheit der Institution „noch nicht den Branchenstandards entspricht“ und „nicht vollständig dem Bedrohungsniveau“ durch Hacker gerecht wird.

Diese neuen Enthüllungen folgen auf frühere Vorfälle, bei denen andere Mitglieder des Europäischen Parlaments Ziel der Spyware Pegasus und Predator wurden.

• Am 19. Februar leitete die Europäische Kommission eine Untersuchung zu den Kinderrechten auf TikTok ein.

Sie vermutet insbesondere Verstöße gegen die Transparenzbestimmungen und die Pflichten zum Schutz von Minderjährigen gemäß der Verordnung über digitale Dienste (DSA), darunter suchterzeugendes Design, unzureichende Altersverifizierung und ungenügende Standardeinstellungen für den Datenschutz. Die DSA ist in der EU seit dem 17. Februar in Kraft.

• Die EU-Mitgliedstaaten haben mit Unterstützung der Europäischen Kommission und der Europäischen Agentur für Cybersicherheit (ENISA) am 21. Februar einen Bericht über Cybersicherheit und die Widerstandsfähigkeit europäischer Kommunikationsinfrastrukturen und -netze veröffentlicht.

Dieser Bericht folgt einer Risikobewertung der Mitgliedstaaten im Zusammenhang mit diesen Infrastrukturen und Netzen.

Die Analyse identifizierte eine Reihe von Bedrohungen, wie z. B. Datenlöschung, Ransomware-Angriffe, Angriffe auf die Lieferkette, physische Angriffe und Sabotage.

• Am 13. Februar fällte der Europäische Gerichtshof für Menschenrechte (EGMR) im Fall Podchasov ein Urteil über Russlands Erfassung und Zugriff auf die private Kommunikation seiner Bürger.

Inmitten der Debatte über die vermeintlichen Gefahren verschlüsselter Kommunikation machte der Gerichtshof deutlich, dass eine Abschwächung der Verschlüsselung der Kommunikation für alle Bürger nicht gerechtfertigt sei.

Laut E. Tuchtfeld sendet diese Entscheidung „eine wichtige Botschaft nicht nur an den russischen Staat, sondern auch an andere europäische Regierungen, die die Installation von ‚Hintertüren‘ in verschlüsselten Messaging-Diensten wie Telegram, Signal oder WhatsApp erwägen.“

• Der EGMR kam in einem Urteil vom 15. Februar außerdem zu dem Schluss, dass die systematische und wahllos erfolgte Speicherung von Telekommunikationsdaten, die in Slowenien während des Prozesses gegen einen ehemaligen Richter verwendet wurden, als Verletzung seines Rechts auf Privatsphäre zu werten ist.

Zum Zeitpunkt der Verurteilung des Antragstellers waren die Kommunikationsdienstleister verpflichtet, Telekommunikationsdaten systematisch und unterschiedslos für einen Zeitraum von 14 Monaten aufzubewahren.

Das Gericht war der Ansicht, dass eine solche Erhaltung nicht im Rahmen dessen liege, was in einer demokratischen Gesellschaft notwendig sei.

Die Speicherung, der Zugriff und die Verarbeitung der Daten im Rahmen des Strafverfahrens gegen den Beschwerdeführer verletzten somit sein Recht auf Achtung des Privatlebens.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• In Belgien hat die belgische Datenschutzbehörde (APD) auf ihrer Website einen Bereich mit dem Titel „Dokumente für den Datenschutzbeauftragten“ zur Verfügung gestellt.

Dies umfasst insbesondere gerichtliche Entscheidungen und Entscheidungen der APD in Bezug auf Datenschutzbeauftragte, beispielsweise zu Themen wie Interessenkonflikte und Kündigungsschutz.

• Die belgische Datenschutzbehörde vertrat außerdem die Ansicht, dass sie unabhängig vom Rückzug einer Beschwerde weiterhin die Befugnis habe, eine Verletzung der Rechte der betroffenen Person festzustellen und wegen Nichteinhaltung der DSGVO eine Geldbuße zu verhängen.
• Die italienische Datenschutzbehörde (APD) gab am 29. Februar bekannt, dass sie gegen Enel Energia eine Geldbuße von mehr als 79 Millionen Euro wegen schwerwiegender Verstöße bei der Verarbeitung personenbezogener Daten zahlreicher Nutzer im Strom- und Gassektor zu Telemarketingzwecken verhängt hat.
• Die APD verhängte außerdem eine Geldstrafe von 5.000 Euro gegen die Gemeinde Syracuse, weil diese die Kontaktdaten des Datenschutzbeauftragten nicht gemäß Artikel 37 der DSGVO mitgeteilt hatte.
• Die griechische Datenschutzbehörde (DPA) hat einen Datenverantwortlichen mit einer Geldstrafe von 5.000 Euro belegt, weil sein Datenschutzbeauftragter (DSB) trotz mehrerer Mahnungen nicht auf den Fragebogen reagiert hat, den sie ihm im Rahmen der koordinierten europäischen Aktion der Datenschutzbehörden im Jahr 2023 zugesandt hatte.
• In Spanien hat die APD es abgelehnt, zuzulassen, dass die Sorgfaltspflichten zur Bekämpfung der Geldwäsche als Vorwand für eine Bank genutzt werden, um einen Beschwerdeführer zu zwingen, Einzelheiten über die Herkunft seines Geldes über unverschlüsselte E-Mails preiszugeben.

Es verhängte eine Geldstrafe von 2.500.000 Euro gegen den Datenverantwortlichen.

• Die dänische Datenschutzbehörde stellte in ihrer fünften Entscheidung im Zusammenhang mit Chromebooks fest, dass 53 Gemeinden personenbezogene Daten von Schülern illegalerweise an Google für Googles eigene Entwicklungszwecke weitergegeben hatten, was gegen Artikel 6(1)(e) der DSGVO verstößt.
• Im Vereinigten Königreich verhängte die DPA eine Geldstrafe von 409.080 Euro (350.000 Pfund Sterling) gegen das britische Verteidigungsministerium, weil es 265 E-Mail-Adressen von Personen offengelegt hatte, die nach der Machtübernahme der Taliban im Jahr 2021 Afghanistan verlassen wollten.
• Der Eidgenössische Nachrichtendienst (FIS) wird von der Zeitschrift Republik beschuldigt, die Mitte Januar eine Untersuchung veröffentlichte, in der behauptet wird, dass der FIS Zugriff auf die E-Mails aller Schweizer Bürger habe und deren Kommunikation massiv überwache, und zwar auf der Grundlage eines Gesetzes aus dem Jahr 2016.

Die Daten würden direkt von Kommunikationskabeln über in der Infrastruktur der Internetdienstanbieter installierte Geräte erfasst. Die SRC weist diese Vorwürfe zurück (in dem Schreiben an die AFCDP).

• Ein Cyberangriff auf ein amerikanisches Unternehmen führte zur Veröffentlichung sensibler Informationen über die Schweizer Luftwaffe im Darknet.

Die Hackergruppe ALPHV bekannte sich zu dem Angriff, der zur Veröffentlichung geheimer Dokumente führte, darunter ein Vertrag über 5 Millionen Dollar zwischen der Schweiz und Ultra Intelligence & Communications, einem Anbieter von Verschlüsselungs- und Kommunikationstechnologien für den Verteidigungssektor.

Im Juli 2023 wurde das Schweizer Unternehmen Xplain von einem ähnlichen Angriff getroffen, gefolgt im November von einem Hackerangriff auf das Softwareunternehmen Concevis, das auch für den Verteidigungssektor und die Steuerverwaltung arbeitet.

 

• Die Biden-Administration verabschiedete am 28. Februar eine Exekutivverordnung, die darauf abzielt, sensible personenbezogene Daten von Amerikanern vor der Ausbeutung durch bestimmte Drittstaaten („besorgniserregende Länder“) zu schützen.

Dieses Dekret ermächtigt den Generalstaatsanwalt, die großflächige Übermittlung personenbezogener Daten von Amerikanern an besorgniserregende Länder zu verhindern und sieht Schutzmaßnahmen für andere Aktivitäten vor, die diesen Ländern Zugang zu sensiblen Daten von Amerikanern ermöglichen könnten.

Diese Daten umfassen insbesondere Genom-, Biometrie-, Gesundheits-, Geolokalisierungsdaten und Finanzdaten.

• Das US-amerikanische Nationale Institut für Standards und Technologie (NIST) veröffentlichte im Februar konkrete Maßnahmen zur Integration von Sicherheit in jede Phase des Softwareentwicklungszyklus.

Der Leitfaden empfiehlt den Herstellern, einer Reihe konkreter Maßnahmen Priorität einzuräumen, darunter die Festlegung grundlegender Sicherheitsanforderungen für die Integration von Open-Source-Software und die Ausweitung der Überwachung von Herkunftsdaten.

• Auch in den Vereinigten Staaten hat die Federal Trade Commission (FTC) Avast soeben verboten, die Browserdaten ihrer Kunden zu Werbezwecken zu verkaufen.

Die FTC untersuchte Vorwürfe, Avast habe Browserdaten verkauft, obwohl die Produkte des Unternehmens angeblich Online-Tracking blockierten. Avast wurde mit einer Geldstrafe von 16,5 Millionen US-Dollar belegt.

Beachten Sie, dass die tschechische Datenschutzbehörde das Unternehmen im April 2023 aus denselben Gründen sanktioniert hatte.

• Die Änderungen des georgischen Datenschutzgesetzes traten am 1. März in Kraft.

Diese Änderungen zielen darauf ab, einen Schutz zu gewährleisten, der dem der DSGVO näherkommt. 

Mobilfunkbetreibern und ihren SMS-Dienstleistern ist es nun untersagt, personenbezogene Daten von Bürgern ohne deren vorherige Zustimmung für Direktmarketingzwecke zu verwenden.

Darüber hinaus ist es nun für öffentliche Einrichtungen und bestimmte private Unternehmen verpflichtend, einen Datenschutzbeauftragten zu ernennen.

• Der Datenschutzbeauftragte von Hongkong (PDPC) führte von August 2023 bis Februar 2024 bei 28 lokalen Organisationen Kontrollen zur Einhaltung der Vorschriften hinsichtlich der Verarbeitung personenbezogener Daten im Zusammenhang mit dem Einsatz von KI durch.

Die Übung umfasste verschiedene Sektoren, darunter Telekommunikation, Finanz- und Versicherungswesen, Schönheitsdienstleistungen, Einzelhandel, Transportwesen, Bildung und Regierungsministerien.

Die PCPD stellte keine Verstöße fest, merkte jedoch an, dass eine wachsende Zahl öffentlicher und privater Organisationen KI einsetzt, um ihre tägliche betriebliche Effizienz zu verbessern.