Legal Watch Nr. 65 – November 2023.

Beschwerden und Sanktionen: Was steht 2024 auf der Agenda der Datenschutzbehörden?

Das Inkrafttreten der DSGVO hat zu einem gesteigerten Bewusstsein für den Datenschutz geführt, sowohl bei den Verantwortlichen für die Datenverarbeitung als auch bei den betroffenen Personen.

Dies hat zu einer Zunahme von Beschwerden bei den ODAs geführt, denen mitunter vorgeworfen wird, diesen Beschwerden aufgrund mangelnder Ressourcen nicht nachzugehen.

Während im Vereinigten Königreich der „Information Commissioner“ beschlossen hat, bestimmte Arten von Beschwerden, die als nicht prioritär gelten, nicht mehr zu bearbeiten, sind die Behörden in der Europäischen Union grundsätzlich verpflichtet, jede Beschwerde zu bearbeiten, sofern diese zulässig ist.

Die norwegische Datenschutzbeschwerdekommission hob somit eine Entscheidung der Datenschutzbehörde auf, mit der ein Beschwerdeverfahren durch ein einfaches Informationsschreiben an den Datenverantwortlichen eingestellt worden war. Sie verpflichtete den Verantwortlichen, die Rechtmäßigkeit der Verarbeitung zu prüfen, und betonte, dass die Datenschutzbehörde nicht frei entscheiden könne, welche Fälle sie untersucht und welche nicht.

In Frankreich führte die CNIL im Jahr 2022 ein vereinfachtes Sanktionsverfahren ein, das es ihr ermöglicht, bestimmte Arten von Beschwerden schneller zu bearbeiten.

Hierbei handelt es sich um Fälle, für die es bereits etablierte Rechtsprechung, Entscheidungen des beschränkten Gremiums oder Sach- oder Rechtsfragen gibt, die sich als einfach zu entscheiden erweisen.

Das Verfahren ist schriftlich festgelegt, ermöglicht es der betroffenen Organisation jedoch, angehört zu werden und mündliche Stellungnahmen abzugeben.

Bei dieser Konfiguration sind die Sanktionen begrenzter und können aus einer Verwarnung, einer Anordnung zur Einhaltung der Vorschriften bei der Verarbeitung – einschließlich einer Strafe von bis zu 100 € pro Tag der Verzögerung – oder einer Verwaltungsstrafe von bis zu 20.000 € bestehen.

Die CNIL hat soeben zehn private und öffentliche Akteure mit Geldstrafen in Höhe von insgesamt 97.000 € wegen Verstößen belegt:

• Zur Verpflichtung, Anfragen der CNIL zu beantworten;
• Zur Datenminimierung;
• Informationen über die durchgeführte Datenverarbeitung und deren Zwecke;
• Die Verpflichtung, die Rechte des Einzelnen zu achten und insbesondere auf einen Widerspruchsersuchen zu reagieren.

Die CNIL hebt hervor, dass zwei Punkte bei den Beschwerden, mit denen sie zu tun hatte, besonders hervorstechen: Geolokalisierung und permanente Videoüberwachung von Mitarbeitern.

Die durchgeführte Verarbeitung verstößt häufig gegen den in der DSGVO vorgesehenen Grundsatz der Datenminimierung.

Die Kommission stellt insbesondere fest, dass „die kontinuierliche Aufzeichnung von Geodaten ohne die Möglichkeit für die Arbeitnehmer, das Gerät während der Pausen anzuhalten oder zu deaktivieren, sofern sie nicht ausdrücklich gerechtfertigt ist, einen unverhältnismäßigen Eingriff in die Bewegungsfreiheit und das Recht auf Privatsphäre der Arbeitnehmer darstellt.“

Das Gleiche gilt für Videoüberwachungssysteme, die Mitarbeiter an ihren Arbeitsplätzen permanent filmen.

„Die Verhinderung von Arbeitsunfällen und die Beweissicherung rechtfertigen nicht die Durchführung einer kontinuierlichen Videoüberwachung von Arbeitsplätzen“, und die erhobenen personenbezogenen Daten scheinen weder angemessen noch relevant zu sein.

Die ständige Überwachung der Mitarbeiter steht, bis auf wenige Ausnahmen, in keinem Verhältnis zu den angestrebten Zielen.

Die CNIL kündigt ihre Absicht an, ihre repressive Politik im Jahr 2024 zu intensivieren und ihre Entscheidungen in kürzeren Zeiträumen zu treffen.

Es sei darauf hingewiesen, dass die Datenschutzbehörden, die Mitglieder des Europäischen Datenschutzausschusses sind, im Rahmen ihrer Zusammenarbeit auf europäischer Ebene beschlossen haben, den Rechten von Einzelpersonen im nächsten Jahr Priorität einzuräumen. Ihr koordiniertes Vorgehen wird sich darauf konzentrieren, wie Datenverantwortliche auf Anfragen von Einzelpersonen nach Zugang zu ihren Daten reagieren – ein Thema, das in die demnächst erscheinenden vereinfachten Sanktionsverfahren der CNIL aufgenommen werden sollte.

 

  

• Die CNIL veröffentlichte am 15. November einen Leitfaden zu Aufbewahrungsfristen für die gängigsten Behandlungen im sozialen und medizinisch-sozialen Bereich und ein praktischer Leitfaden, der den betroffenen Fachleuten eine Methodik bietet.
• In Zusammenarbeit mit der französischen Wettbewerbsbehörde (AdlC) und der Wirtschaftshochschule Toulouse veranstaltet die CNIL am 12. Dezember eine Veranstaltung mit dem Titel „Datenschutz und Wettbewerb: Ein gemeinsames Ziel“. Im Rahmen dieser halbtägigen Veranstaltung für Regulierungsbehörden, Forscher und Fachleute werden die AdlC und die CNIL eine gemeinsame Erklärung verabschieden und vorstellen.
• Am 9. November 2023 erteilte die CNIL (französische Datenschutzbehörde) dem Ministerium für Transformation und öffentlichen Dienst sowie dem Ministerium für Wirtschaft, Finanzen und industrielle und digitale Souveränität eine Warnung wegen der Verwendung von … Kontaktdaten von mehr als zwei Millionen Amtsträgern um das damals verabschiedete Rentenreformprojekt zu kommunizieren und zu rechtfertigen.

Der Minister hatte ENSAP genutzt, eine digitale Plattform, auf der vertrauliche Dokumente von Beamten, wie zum Beispiel ihre monatlichen Gehaltsabrechnungen, verfügbar sind. 

Das eingeschränkte CNIL-Gremium wies ausdrücklich darauf hin, dass die ENSAP-Plattform nicht für Kommunikation politischer Natur genutzt werden darf.

• In einem Beschluss vom 16. November rügt der Verfassungsrat Fernaktivierung von Mobiltelefonen zum Aufnehmen von Ton und Bildern vorgesehen durch das Gesetz über die Ausrichtung und Programmierung der Justiz in Bezug auf das Organgesetz über die Eröffnung, Modernisierung und Verantwortung der Justiz.

Der Rat ist der Ansicht, dass diese Fernaktivierung, bei der die Ermittler keinen physischen Zugang zu privaten Räumlichkeiten benötigen, um Überwachungsgeräte aufzustellen, wahrscheinlich einen besonders schwerwiegenden und unverhältnismäßigen Eingriff in das Recht auf Achtung des Privatlebens darstellt.

Er betont außerdem, dass diese Maßnahme es ermöglicht, sowohl die von den Ermittlungen Betroffenen als auch Dritte zu überwachen. 

Der Verfassungsrat verurteilt jedoch nicht die Fernaktivierung elektronischer Geräte zu Geolokalisierungszwecken.

• Mit einer einstweiligen Verfügung vom 22. November 2023 entschied das Verwaltungsgericht Caen, dass Briefcam algorithmisches Videoüberwachungssystem Die Verwendung der Software durch die interkommunale Behörde Cœur Côte Fleurie (einschließlich Deauville-Trouville) stellt einen schwerwiegenden und offenkundig rechtswidrigen Verstoß gegen das Recht auf Privatsphäre dar. Die Behörde hat die Verantwortlichen angewiesen, die durch die Verwendung der Software entstandenen personenbezogenen Daten zu löschen.

Der Richter stellte in seiner Sitzung fest, dass die Nutzung außerhalb jeglichen rechtlichen oder regulatorischen Rahmens liege und hielt fest, dass „weder nachgewiesen noch auch nur behauptet wurde, dass nicht andere, weniger eingreifende Mittel in Bezug auf die Privatsphäre hätten eingesetzt werden können, um die öffentliche Ordnung aufrechtzuerhalten.“

• Am 8. November 2023 reichte ein Bündnis aus sechs Organisationen, darunter La Quadrature du Net und EDRi, beim Staatsrat eine Beschwerde gegen das französische Dekret zur Umsetzung der Verordnung zur Bekämpfung der Verbreitung terroristischer Inhalte im Internet ein.

Sie ersuchen den Staatsrat, dem Gerichtshof der Europäischen Union (EuGH) eine Vorabfrage zur Gültigkeit der TERREG-Verordnung im Hinblick auf die durch das Recht der Europäischen Union geschützten Grundrechte vorzulegen und auf die Verstöße gegen die Meinungsfreiheit und das Recht auf Online-Information hinzuweisen.

 

 

Europäische Institutionen und Gremien

• Der Umweltausschuss und der Ausschuss für bürgerliche Freiheiten des Europäischen Parlaments haben ihre Position am 28. November angenommen. Schaffung eines europäischen Gesundheitsdatenraums um die Portabilität persönlicher Gesundheitsdaten und deren sicherere Weitergabe zu fördern.

Die Abgeordneten des Parlaments wollen insbesondere die Einholung einer ausdrücklichen Genehmigung der Patienten für die Sekundärnutzung ihrer Gesundheitsdaten vorschreiben.

• Die Europäische Union hat eine Überarbeitung der eIDAS-Verordnung verabschiedet und damit den Weg geebnet für die Einführung einer digitalen Identität in der gesamten EU.

Einige Aspekte sind weiterhin umstritten, insbesondere die „Qualified Web Authentication Certificates“ (QWAC), die von Browsern verlangen, von der Regierung ausgestellte Stammzertifikate zu akzeptieren, die Betrug und Identitätsdiebstahl verhindern sollen. Einige Cybersicherheitsexperten sehen darin ein Risiko für die Einmischung in die Webauthentifizierung: Browserhersteller könnten ein QWAC nicht ablehnen, selbst wenn es eine Sicherheitsbedrohung darstellen würde.

• Während Die Verhandlungen über die künftige Regulierung von KI dauern an. Zum Zeitpunkt der Abfassung dieses Textes sind noch einige Fragen unbeantwortet, unter anderem die Berücksichtigung von Basismodellen wie ChatGPT in den Regulierungen.

Eine Stellungnahme der Zivilgesellschaft, die den europäischen Verhandlungsführern am 16. November übermittelt wurde, hebt ebenfalls die Frage des Umfangs des Schutzes vor Schäden hervor, die mit dem Einsatz von KI für polizeiliche Aufgaben, Migration und nationale Sicherheit verbunden sind.

• Der Europäische Datenschutzausschuss (EDPB) hat am 14. November Leitlinien zum technischen Anwendungsbereich von Artikel 5 Absatz 3 der ePrivacy-Richtlinie verabschiedet.

Der Ausschuss erklärt, dass Das Aufkommen neuer Tracking-Methoden, die darauf abzielen, bestehende Tracking-Tools wie Cookies zu ersetzen und neue Geschäftsmodelle zu schaffen, ist zu einem großen Problem geworden. im Hinblick auf den Datenschutz.

Die Richtlinien befassen sich insbesondere mit dem „Geräte-Fingerprinting“ und den gängigsten Techniken wie URL- und Pixel-Tracking, IP-Only-Tracking, Internet-of-Things-Reporting (IoT) und eindeutigen Kennungen.

• Der Europäische Datenschutzbeauftragte (EDPS) veröffentlichte Mitte November einen „TechDispatch“, der sich folgendem Thema widmete: erklärbare künstliche Intelligenz ("erklärbare KI"), um den "Black-Box"-Effekt der KI zu beheben.

Es befasst sich mit dem Risiko intransparenter KI-Systeme und beschreibt, wie KI Transparenz, Interpretierbarkeit und Erklärbarkeit integrieren kann.

Der EDPS veröffentlichte am 8. November auch eine Studie über das Wesen der Grundrechte auf Achtung der Privatsphäre und Schutz personenbezogener Daten.

Dieses Dokument untersucht die Notwendigkeit, den „Wesen“ dieser Rechte zu achten, wenn sie nach dem Recht der Europäischen Union (EU) eingeschränkt werden.

• In einem Urteil vom 9. November hat der EuGH seine Auslegung des Begriffs „personenbezogene Daten“ präzisiert.

Sie hatte das Gefühl, dass Fahrzeugidentifikationsnummern sind als solche keine personenbezogenen Daten..

Allerdings werden sie zu personenbezogenen Daten, wenn eine natürliche Person, die Zugriff darauf hat, die Möglichkeit besitzt, den Eigentümer des Fahrzeugs zu identifizieren.

• Der EuGH hat am 7. Dezember zwei wichtige Urteile in Bezug auf den marktbeherrschenden Anbieter von Kreditauskunftsdiensten („Schufa“) in Deutschland gefällt.

Das Gericht stellte insbesondere fest, dass Die automatisierte Bonitätsprüfung („Scoring“) unterliegt einem allgemeinen Verbot. gemäß Artikel 22 der DSGVO.

Sie fügt hinzu, dass ein Unternehmen, das eine Kreditwürdigkeitsbewertung auf automatisiertem Wege erstellt, weiterhin Artikel 22 unterliegt, selbst wenn ein anderes Unternehmen sich auf diese Bewertung stützt, um Entscheidungen zu treffen, die sich negativ auf die betroffene Person auswirken. – Überlegungen, die Auswirkungen auf KI-gestützte Systeme haben könnten.

Der Gerichtshof bestätigte außerdem, dass nationale Gerichte weitreichende Befugnisse zur Überwachung der Datenschutzbehörden besitzen.

• Der Europäische Gerichtshof für Menschenrechte veröffentlichte im November ein Dokument, in dem seine Rechtsprechung zum Schutz personenbezogener Daten aufgeführt ist.
• ENISA, die Agentur der Europäischen Union für Cybersicherheit, hat Folgendes veröffentlicht: Überblick über Cyberbedrohungen nach Wirtschaftssektor im Jahr 2023.

Laut dem Bericht „Bedrohungslandschaft 2023“ bleiben die öffentliche Verwaltung und Regierungen die Hauptziele, gefolgt von den Sektoren Gesundheit, Produktion, Transport und Finanzen.

• Am 28. November reichte die NGO noyb eine Beschwerde gegen Meta bei der österreichischen Datenschutzbehörde ein.

LANG bestreitet die „Wahlmöglichkeit“, die europäischen Nutzern eingeräumt wird, entweder der Nachverfolgung zu personalisierten Werbezwecken zuzustimmen oder bis zu 251,88 Euro pro Jahr zu zahlen. „um ihr Grundrecht auf Datenschutz auf Instagram und Facebook zu wahren.“ 

Im gleichen Zusammenhang reichte die Europäische Verbraucherorganisation (BEUC) am 30. November eine Beschwerde beim Verbraucherschutznetzwerk (CPC) ein, in der sie Meta unlautere Geschäftspraktiken vorwirft.

Außerdem wird geprüft, ob Meta gegen die DSGVO verstößt.

• 110 zivilgesellschaftliche Organisationen fordern die EU-Politiker auf, die laufende EURODAC-Reform abzulehnen.

Die Datenbank, die zur Erfassung und Speicherung von Daten über Asylsuchende konzipiert wurde, „würde in ein Überwachungsinstrument umgewandelt werden, das Schutzsuchende wie kriminelle Tatverdächtige behandelt, darunter auch Kinder im Alter von nur 6 Jahren, deren Fingerabdrücke und Gesichtsbilder in die Datenbank integriert würden.“

 

Neuigkeiten aus den Mitgliedsländern Europas.

• In Belgien kam die APD am 23. November in einem Fall von Arbeitsplatzüberwachung zu dem Schluss, dass die kontinuierliche kamerabasierte Überwachung der Arbeit nicht mit dem Grundsatz der minimalen Datenverarbeitung vereinbar ist.

Die APD-Streitbeilegungskammer erklärte, es handele sich um einen schwerwiegenden Verstoß, da es sich jedoch um ein kleines Unternehmen handele, habe sie dieses über den Verstoß informiert und es aufgefordert, die Verarbeitung in Übereinstimmung mit den Vorschriften zu bringen, ohne eine Geldstrafe zu verhängen.

• Die dänische Datenschutzbehörde lehnte den Plan der Stadt Kopenhagen zur Entwicklung von KI-Tools zur Identifizierung von Bürgern, die einer Rehabilitation bedürfen, ab, da die für die Zwecke von Artikel 6(1)(e) und Artikel 6(3) der DSGVO herangezogene nationale Gesetzgebung hinsichtlich des Umfangs der KI-Nutzung nicht ausreichend spezifisch sei.
• Das deutsche Bundesarbeitsgericht Die Entscheidung des EuGH C-453/21 wurde unter Berücksichtigung folgender Punkte umgesetzt: Der Vorsitzende des Betriebsrats einer Tochtergesellschaft war aufgrund eines Interessenkonflikts zwischen den beiden Funktionen zu Recht als Datenschutzbeauftragter der Unternehmensgruppe abberufen worden.
• In den Niederlanden ist die ODA hat am 24. November Abhilfemaßnahmen gegen den Arbeitnehmerversicherungsträger (Uitvoeringsinstituut Werknemersverzekeringen – UWV) in Bezug auf 703 Leistungsempfänger verhängt.

Bis Anfang dieses Jahres Die UWV verfolgte illegalerweise das Online-Verhalten dieser Arbeitslosengeldempfänger mithilfe eines Algorithmus.

• Im Rahmen eines Verfahrens nach Artikel 60 der DSGVO, Die irische Datenschutzbehörde (DPA) hat Airbnb Ireland wegen Verstoßes gegen die Grundsätze der Datenminimierung und Speicherbegrenzung gerügt. und weil er Artikel 6 Absatz 1 Buchstabe f DSGVO als Rechtsgrundlage für die Verarbeitung bei der Aufbewahrung der Ausweisdokumente einer betroffenen Person unzulässigerweise geltend gemacht hat.
• Die italienische APD Ende November wurde eine Untersuchung auf öffentlichen und privaten Webseiten eingeleitet, um die Übernahme von Angemessene Sicherheitsmaßnahmen zur Verhinderung der massenhaften Erfassung (Webscraping) personenbezogener Datenvon Dritten zum Zweck des Trainings von Algorithmen der künstlichen Intelligenz.
• Landgericht Berlin schätzte, dass LinkedIn hatte unlautere Geschäftspraktiken angewendet und gegen die DSGVO verstoßen, indem es die Nutzung von „Nicht verfolgen“-Parameter (DNT) als Widerspruch gegen die Verarbeitung und durch Vorauswahl der Einstellung "Off-LinkedIn-Sichtbarkeit", wenn Benutzer zum ersten Mal ein Konto erstellen.

DNTs stellen trotz fehlender Standardisierung nach Ansicht des Gerichts einen wirksamen Widerspruch gegen die Datenverarbeitung dar: mit anderen Worten, das in der DSGVO vorgesehene Widerspruchsrecht kann auch automatisiert, beispielsweise über Browsereinstellungen, ausgeübt werden.

• Die Digital- und Technologieminister der G7 und die OECD trafen sich Sie trafen sich virtuell am 1. Dezember 2023, um ihre Gespräche zur Operationalisierung des „Datenfreiflusses mit Vertrauen“ (DFFT) fortzusetzen, mit dem Ziel, grenzüberschreitende Datenflüsse zu erleichtern.

Der Fortschritt und die nächsten Schritte werden in einer online verfügbaren Pressemitteilung detailliert beschrieben.

• Die CEOs der größten Social-Media-Plattformen erscheinen vor dem Justizausschuss des US-Senats. Am 6. Dezember soll sie über die sexuelle Ausbeutung von Kindern und das angebliche Versäumnis von Unternehmen, Kinder auf ihren Plattformen zu schützen, aussagen.
• Die australische Regierung hat öffentlich reagiert. zum Bericht über die Überprüfung des Datenschutzgesetzes vom 28. September 2023 und bekräftigt sein Engagement für die Stärkung der australischen Datenschutzstandards, um diese besser an globale Standards anzugleichen.

 

Eine Reihe von Vorschlägen zielt darauf ab, zusätzliche Schutzmaßnahmen für die Privatsphäre von Kindern einzuführen.

• Elon Musk kündigte an, dass Grok, sein Chatbot mit künstlicher Intelligenz, Anfang Dezember einsatzbereit sein würde.

Der von xAI, Musks KI-Unternehmen, entwickelte Chatbot wird eine In-App-Funktion für X Premium+-Abonnenten sein.

• YouTube hat einen Blogbeitrag veröffentlicht, in dem verschiedene Maßnahmen zur Kennzeichnung KI-generierter Inhalte und zur Bekämpfung von „Deepfakes“ angekündigt werden.

Das Unternehmen beabsichtigt, Aktualisierungen einzuführen, die die Nutzer darüber informieren, wenn die angezeigten Inhalte synthetisch sind.

YouTube wird daher die Urheber bitten anzugeben, ob sie realistische, veränderte oder synthetische Inhalte erstellt haben, einschließlich der Verwendung von KI-Tools.