Legal Watch Nr. 62 – August 2023.

DMA, DSA: Die neuen Verpflichtungen der Tech-Giganten.

Anfang September wird der Schutz der Rechte von Online-Nutzern ausgeweitet, mit der Anwendung des Gesetzes über digitale Dienste auf große Plattformen und der Veröffentlichung der Liste der Unternehmen, die dem Gesetz über digitale Märkte unterliegen.

• Seit dem 25. August gilt die europäische Verordnung über digitale Dienste (DSA) für sehr große Online-Plattformen (VLOPs) und sehr große Online-Suchmaschinen (VLOSEs).

Die Verordnung gilt ab dem 17. Februar 2024 auch für alle Vermittler, die ihre Dienste Nutzern mit Sitz in der EU anbieten, einschließlich Online-Plattformen wie App-Stores, Plattformen der kollaborativen Wirtschaft und Social-Media-Plattformen, allerdings mit eingeschränkteren Verpflichtungen.

Für kleine und mittlere Unternehmen (KMU) sowie Kleinstunternehmen gelten zusätzliche Ausnahmen.

Neunzehn Unternehmen fallen gemäß dem Beschluss der Europäischen Kommission vom 25. April in die Kategorie der VLOPS und VLOSES, darunter TikTok, Facebook, X, Snapchat, YouTube und Google Search, einflussreiche Online-Händler wie Amazon und Zalando sowie die beiden großen Online-Suchmaschinen Bing und Google Search.

Diese Unternehmen müssen eine Reihe von Verpflichtungen hinsichtlich Transparenz, Schutz von Minderjährigen, Inhaltsmoderation und Achtung der Privatsphäre einhalten.

Insbesondere müssen sie die systemischen Risiken ihrer Dienstleistungen, einschließlich algorithmischer Systeme, identifizieren und bewerten, wie zum Beispiel:

• Die Verbreitung illegaler Inhalte
• Die negativen Auswirkungen auf die Ausübung der Grundrechte
• Die negativen Auswirkungen auf den gesellschaftlichen Diskurs und die Wahlprozesse;
• Die negativen Auswirkungen auf geschlechtsspezifische Gewalt, den Schutz der öffentlichen Gesundheit und Minderjährige;
• Die schwerwiegenden negativen Folgen für das körperliche und seelische Wohlbefinden der Person.

Einige Verpflichtungen aus dem Datenschutzgesetz überschneiden sich mit denen der DSGVO. Diese sind in einem kürzlich erschienenen Artikel des „Future of Privacy Forum“ aufgeführt.

Beispielsweise gibt es ähnliche oder komplementäre Verpflichtungen in Bezug auf „Dark Patterns“, gezielte Werbung auf der Grundlage sensibler Daten oder in Bezug auf Minderjährige, Transparenz, Profiling, Risikoanalyse und Entfernung illegaler Inhalte.

Die Kontrollverfahren sind komplex und können mit denen der DSGVO kollidieren: Im Gegensatz zur DSGVO, die eine Regulierung hauptsächlich auf nationaler Ebene mit Koordinierung durch den Europäischen Datenschutzausschuss für grenzüberschreitende Fälle gewährleistet, zentralisiert die DSA die Kontrollen auf EU-Ebene in Bezug auf VLOPs und VLOSEs, während die Verantwortung für andere zwischengeschaltete Dienstleister den Mitgliedstaaten übertragen wird.

Hoffen wir, dass eine Koordinierung zwischen diesen verschiedenen Gremien eingerichtet wird, um sowohl die betroffenen Unternehmen als auch die Einzelpersonen, die rechtliche Schritte einleiten möchten, zu unterstützen.

• Das Gesetz über digitale Märkte ist zwar bereits seit Mai in Kraft, doch erst am 6. September veröffentlichte die Kommission die Liste der sechs Technologiekonzerne – der sogenannten „Gatekeeper“ –, die sich an seine Grundsätze halten müssen. Es handelt sich um Alphabet, Amazon, Apple, ByteDance, Meta und Microsoft.

Die Kommission gibt an, dass insgesamt 22 grundlegende Plattformdienste betroffen sind, die von diesen sechs Anbietern betrieben werden.

Das Hauptziel besteht darin, diese Unternehmen daran zu hindern, ihre marktbeherrschende Stellung auszunutzen.

Der Text verbietet daher die Selbstreferenzierung und verpflichtet professionelle Nutzer, ausschließlich die Dienstleistungen oder Produkte des betreffenden Unternehmens zu nutzen.

Gatekeeper dürfen Geschäftskunden auch nicht daran hindern, konkurrierende Dienstleistungen anzubieten und zu bewerben, und sie sind verpflichtet, die durch die Nutzung ihrer Plattform generierten Informationen mit ihnen zu teilen.

Für Online-Messaging-Dienste sind außerdem spezifische Interoperabilitätsanforderungen geplant, ebenso wie Optionen für Betriebssysteme, Browser, Suchmaschinen und virtuelle Assistenten.

Darüber hinaus ist es „Gatekeepern“ untersagt, Nutzer zu Zwecken der Werbeausrichtung zu verfolgen und Profile von ihnen zu erstellen, es sei denn, sie holen deren Zustimmung ein, und sie dürfen sie nicht daran hindern, ihre vorinstallierten Anwendungen zu deinstallieren.

Einige dieser Verpflichtungen verstärken daher die im DSA vorgesehenen Verpflichtungen hinsichtlich des Schutzes der Nutzer, insbesondere im Hinblick auf das Profiling.

Mehrere Unternehmen wie TikTok, Meta und Google haben ihre Nutzungsbedingungen bereits geändert.

Die von der DSA und der DMA vorgesehenen Geldbußen können 61.040 bzw. 101.040 des Umsatzes der betroffenen Unternehmen erreichen.

Bei wiederholten Verstößen gegen das DMA kann die Strafe bis zu 201.400 US-Dollar Umsatz betragen…

Beträge, die den in der DSGVO vorgesehenen Betrag von 4% überschreiten, wurden vom Gesetzgeber bereits zum Zeitpunkt des Inkrafttretens der Verordnung als abschreckend dargestellt.

 

Und auch

• Die CNIL erarbeitet einen Empfehlungsentwurf zu Systemen, die im Falle einer Sicherheitsverletzung einem hohen Risiko ausgesetzt sind, und startet eine öffentliche Konsultation.

Ziel ist es, alle fortgeschrittenen Sicherheitspraktiken in einem einzigen Dokument zusammenzufassen, das sich speziell auf die sogenannte „kritische“ Verarbeitung konzentriert, die durch die folgenden beiden kumulativen Kriterien definiert ist:

• Die Verarbeitung ist im Sinne der DSGVO umfangreich;
• Ein Verstoß gegen den Schutz personenbezogener Daten könnte sehr schwerwiegende Folgen für die betroffenen Personen, für die nationale Sicherheit oder für die Gesellschaft als Ganzes haben.

Die Teilnahme an der Konsultation ist bis zum 8. Oktober 2023 möglich.

• Am 8. August veröffentlichte die CNIL ein Informationsblatt zu vernetzten Beacons, um allen Opfern von Missbrauch oder illegaler Nutzung zu helfen, sich zu schützen.

Diese Anhänger, mit denen Gegenstände (z. B. Schlüssel oder eine Geldbörse) lokalisiert und gefunden werden können, werden manchmal auch dazu verwendet, Personen ohne deren Wissen zu orten.

• Pôle emploi gab am 23. August bekannt, dass die persönlichen Daten von etwa zehn Millionen in seinen Akten registrierten Personen nach einem „Akt von Cyberkriminalität“ gestohlen wurden.

Diese Daten wurden an das Unternehmen Majorel ausgelagert, das für die Digitalisierung der von Arbeitssuchenden eingesandten Dokumente zuständig ist.

Name und Nachname, aktueller oder ehemaliger Status als Arbeitssuchender sowie die Sozialversicherungsnummer könnten betroffen sein.

Allerdings wurden „E-Mail-Adressen, Telefonnummern, Passwörter und Bankdaten“ nicht kompromittiert.

 

Europäische Institutionen und Gremien

• Am 11. Oktober veranstaltet die Europäische Agentur für Cybersicherheit (ENISA) in Zusammenarbeit mit der Europäischen Kommission das Trust Services and eID Forum, um die Entwicklungen im rechtlichen Umfeld, die europäische digitale Geldbörse und den Schutz der Online-Aktivitäten der Bürger in der gesamten EU zu beobachten.

ENISA veröffentlicht außerdem Richtlinien für Smartphones: „SMASHING – Smartphone Secure development Guidelines“.

Das Tool bietet eine Übersicht über Maßnahmen für Entwickler von Smartphone-Anwendungen, die darauf abzielen, die Entwicklung sicherer mobiler Anwendungen zu gewährleisten.

• Das Europäische Institut für Telekommunikationsnormen (ETSI) hat einen Bericht zum Thema „Sicherheit künstlicher Intelligenz (SAI); Automatisierte Manipulation von Multimedia-Identitätsdarstellungen“ veröffentlicht.

Das Dokument behandelt KI-basierte Techniken zur automatischen Manipulation bestehender Identitätsdaten oder zur Erstellung gefälschter Identitätsdaten in verschiedenen Medienformaten wie Audio, Video und Text (Deepfakes).

Es beschreibt die verschiedenen technischen Ansätze und analysiert die von Deepfakes ausgehenden Bedrohungen in unterschiedlichen Angriffsszenarien.

Anschließend schlägt er technische und organisatorische Maßnahmen zur Minderung dieser Bedrohungen vor und untersucht deren Wirksamkeit und Grenzen.

• Im Rahmen seines Prüfprogramms 2023 konzentriert sich der Europäische Datenschutzausschuss (EDPB) auf die Rolle der Datenschutzbeauftragten.

Ein von der IAPP am 31. Juli veröffentlichter Artikel listet die Referenzentscheidungen europäischer Datenschutzbehörden hinsichtlich der Benennung und der Qualifikation von Datenschutzbeauftragten auf.

• Das zu Google gehörende Unternehmen Fitbit sieht sich in der Europäischen Union mit Datenschutzbeschwerden konfrontiert. Dem Unternehmen wird vorgeworfen, Nutzerdaten illegal zu exportieren und damit gegen EU-Datenschutzbestimmungen zu verstoßen.

Die Beschwerden richten sich gegen Fitbits Behauptung, die Nutzer hätten der internationalen Übermittlung ihrer Daten – in die Vereinigten Staaten und anderswo – zugestimmt, während das Unternehmen laut der NGO NOYB die Nutzer zur Zustimmung zwingt.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• In den Niederlanden fordert ein erster Bericht der Datenschutzbehörde (DPA) vom 1. September zusätzliche Maßnahmen zur Kontrolle der mit Algorithmen und KI verbundenen Risiken im Hinblick auf die bevorstehende europäische Gesetzgebung.

Um sie besser kontrollieren zu können, müssen sich öffentliche Behörden und Unternehmen zwei Herausforderungen stellen.

Erstens die Risiken, die mit der schnellen Integration von KI-Innovationen in die Gesellschaft verbunden sind, wie beispielsweise intelligente Chatbots.

Zweitens unterstreicht der Bericht die Notwendigkeit, dass alle wichtigen öffentlichen und privaten Institutionen in den Niederlanden ihren Umgang mit Hochrisiko-Algorithmen – also solchen, die erhebliche Auswirkungen auf das Leben von Einzelpersonen haben – verstehen. Der Bericht listet die umzusetzenden Maßnahmen auf.

• Die spanische Datenschutzbehörde (APD) hat ein Medienunternehmen mit einer Geldstrafe von 20.000 Euro belegt, weil es ein Foto aus dem privaten Instagram-Profil einer Person veröffentlicht und es zusammen mit deren Namen und Alter auf einem Blog gepostet hatte, was gegen Artikel 6(1) der DSGVO verstößt.

Außerdem wurde gegen Fourth Party Logistics SL eine Geldstrafe in Höhe von 120.000 € (reduziert auf 72.000 €) wegen illegaler Unterauftragsvergabe verhängt, da die Verträge nicht formalisiert und keine vorherigen Genehmigungen für die Formalisierung vorlagen.

• In Kroatien wurde ein Foto, das einen Polizisten identifiziert, als Kommentar zu einem Video eines Polizeieinsatzes gepostet, das in einer öffentlichen Facebook-Gruppe geteilt wurde.

Die APD stellte einen Verstoß gegen Artikel 5(1(b) und Artikel 6(1) der DSGVO fest und ordnete die Entfernung des Fotos an.

• In einem ähnlichen Fall verhängte die zypriotische Datenschutzbehörde eine Geldstrafe von 7.000 Euro gegen eine Lokalzeitung wegen Verstoßes gegen Artikel 5(1)(c) und Artikel 6 der DSGVO: Die Zeitung hatte die Namen und Fotos von im Dienst befindlichen Polizisten veröffentlicht.
• Im Rahmen einer gemeinsamen Untersuchung prüften und sanktionierten die Datenschutzbehörden der baltischen Staaten ein Autovermietungsunternehmen.

Bei der Berechnung der Geldbuße hob die lettische Datenschutzbehörde die völlige mangelnde Kooperation seitens des Datenverantwortlichen als erschwerenden Umstand hervor.

Sie hielt zunächst eine Geldstrafe von 15.000 Euro für angemessen. Angesichts der finanziellen Schwierigkeiten des Datenverantwortlichen und des hohen Insolvenzrisikos reduzierte sie die Geldstrafe jedoch schließlich auf 1.000 Euro.

• Das neue Schweizer Bundesgesetz zum Datenschutz trat am 1. September in Kraft.

Zu den neuen, von der DSGVO inspirierten Bestimmungen gehören die Folgenabschätzung für die Verarbeitung sensibler Daten, das Verarbeitungsverzeichnis, der Datenschutzbeauftragte (DSB) und die Meldepflichten bei Datenschutzverletzungen. Das Konzept des „Datenschutzes durch Technikgestaltung“ wird nun explizit erwähnt.

 

• Am 24. August gaben zwölf internationale Datenschutz- und Privatsphärenbehörden aus Amerika, Europa, Afrika und dem asiatisch-pazifischen Raum bekannt, dass sie von Social-Media-Plattformen und anderen Websites erwarten, dass diese sich vor illegalem Datenabruf („Web Scraping“) schützen.

Diese Mitteilung bekräftigt die Empfehlungen, die zuvor von Aufsichtsbehörden wie der australischen Information Commission, der CNIL und dem britischen Information Commissioner's Office im Anschluss an Untersuchungen zu den Praktiken von Clearview AI, Inc. im Umgang mit personenbezogenen Daten und ihren Pflichten zur Meldung von Datenschutzverletzungen ausgesprochen wurden.

• In den Vereinigten Staaten veröffentlichten die Cybersecurity and Infrastructure Security Agency („CISA“), die National Security Agency („NSA“) und das National Institute of Standards and Technology („NIST“) am 21. August ein gemeinsames Informationsblatt zur Vorbereitung auf Quantencomputer, um Organisationen – insbesondere solche, die Infrastruktursektoren unterstützen – zu warnen.

Kritikpunkte – an den Bedrohungen durch Quantencomputer und um diese Organisationen zu ermutigen, mit der Planung für die zukünftige Migration zu Post-Quanten-Kryptographiestandards („PQC“) zu beginnen.

• Die US-Regierung startet das Cyber Trust Mark, ihr Programm zur Kennzeichnung der Sicherheit des Internets der Dinge.
• In den Vereinigten Staaten ist auch Tesla von einem Datenleck betroffen: 75.000 Menschen sind betroffen.

Zwei ehemalige Tesla-Mitarbeiter gaben der Zeitung Handelsblatt persönliche Informationen und Kontaktdaten anderer Mitarbeiter.

Das Unternehmen informierte den Generalstaatsanwalt von Maine über die Sicherheitslücke und bot den Betroffenen Schutzmaßnahmen gegen Identitätsdiebstahl an.

Im April 2023 hatten Mitarbeiter private Videos angesehen und weitergegeben, die von Kunden in ihren Teslas mit dem Wächtermodus der Fahrzeuge aufgezeichnet worden waren.

Tesla ist nicht das einzige Unternehmen, das Bedenken hinsichtlich des Datenschutzes aufwirft.

Eine am 5. September von der Mozilla Foundation veröffentlichte Studie bezeichnet Autos von 25 Automobilherstellern als „Albträume auf Rädern, wenn es um Datenschutz geht“.

Die Stiftung bewertete die Richtlinien und Praktiken von 25 Autoherstellern und warnte davor, dass diese möglicherweise weit mehr als nur Standortverlauf, Fahrgewohnheiten, Navigationsverlauf im Auto und Musikpräferenzen der Nutzer sammeln und kommerziell nutzen.

Einige Hersteller verarbeiten möglicherweise sehr persönliche Daten, wie zum Beispiel – je nach Datenschutzrichtlinie – sexuelle Aktivität, Einwanderungsstatus, Rasse, Gesichtsausdruck, Gewicht, Gesundheitszustand und sogar genetische Informationen.

Darüber hinaus verkauft mehr als die Hälfte der Hersteller die Daten an Dritte.

• Am 25. August 2023 wurden in China neue Richtlinien zur Kennzeichnung von KI-generierten Inhalten veröffentlicht: Das chinesische Nationale Technische Komitee für Informationssicherheitsstandardisierung („TC260“) veröffentlichte die endgültige Fassung der „Praktischen Richtlinien für Cybersicherheitsstandards – Methode zur Kennzeichnung von Inhalten in generativen KI-Diensten“.
• Kanada veröffentlicht außerdem einen Verhaltenskodex für generative KI und ermutigt zur Mitarbeit an diesem Dokument.
• In Indien wurde der Digital Personal Data Protection Act 2023 am 12. August im Amtsblatt veröffentlicht.

Dieses Gesetz wird zwar begrüßt, weil es den Schutz der Daten von 760 Millionen Internetnutzern gewährleistet, es gibt aber auch Kritikpunkte hinsichtlich des angebotenen Schutzniveaus, insbesondere im Hinblick auf das wegweisende Puttaswamy-Urteil, das vor fünf Jahren das Recht auf Privatsphäre in Indien etablierte.

• Am 31. August gab Apple die Einstellung der Entwicklung seiner iCloud-Scanfunktion zur Identifizierung von kinderpornografischen Inhalten (CSAM) bekannt.

Das Unternehmen konzentriert sich nun auf eine Reihe von Tools und Ressourcen auf den Geräten der Nutzer, die als „Kommunikationssicherheitsfunktionen“ bezeichnet werden.

Nach der Zusammenarbeit mit einer Reihe von Sicherheits- und Datenschutzforschern, digitalen Rechtegruppen und Kinderschutzorganisationen kam das Unternehmen zu dem Schluss, dass es die Entwicklung eines Cloud-Scanning-Mechanismus nicht weiterverfolgen könne, selbst wenn dieser speziell zum Schutz der Privatsphäre konzipiert wäre. 

„Die Analyse der privaten iCloud-Daten jedes Nutzers würde neue Angriffsvektoren schaffen, die Datendiebe finden und ausnutzen könnten. Außerdem bestünde die Gefahr unbeabsichtigter Folgen. Die Suche nach einer bestimmten Art von Inhalten öffnet beispielsweise die Tür zur Massenüberwachung und könnte den Wunsch wecken, auch andere verschlüsselte Messaging-Systeme nach allen Arten von Inhalten zu durchsuchen.“

Diese öffentliche Haltung ist im aktuellen Kontext wichtig, da Großbritannien, die EU und die USA Gesetze vorbereiten, die darauf abzielen, eine umfassende Überprüfung von Internetakteuren im Rahmen der Bekämpfung von Cyberkriminalität im Allgemeinen und des Schutzes von Kindern im Internet im Besonderen durchzusetzen.