Rechtsbeobachtung Nr. 79 – Januar 2025. 

Hosting professioneller Daten: Vorsicht vor Verbraucherplattformen.

Die Verpflichtungen der Datenhosting-Anbieter im Hinblick auf die Bekämpfung von Kinderpornografie haben weitreichende Auswirkungen auf die Vertraulichkeit der Dokumente, die wir ihnen anvertrauen.

Das musste ein Pariser Anwalt kürzlich schmerzlich erfahren, als er im Rahmen eines Strafverfahrens äußerst sensible vertrauliche Informationen auf Google Drive speicherte.

Die Entscheidung des Pariser Berufungsgerichts vom 24. Januar erinnert Anwälte – sowie alle Fachleute, die mit sensiblen Daten zu tun haben – daran, dass die Vertraulichkeit von Daten bei Hosting-Diensten wie Google Drive nicht gewährleistet ist.

Tatsächlich kann Google, wie jedes andere Unternehmen, das dem US-amerikanischen Recht unterliegt, im Rahmen der Bekämpfung des sexuellen Missbrauchs von Kindern ein Hosting-Konto oder ein E-Mail-Konto löschen, wenn der Verdacht besteht, dass die Daten illegal sind.

In diesem speziellen Fall wurde dem Anwalt, der mehrere Dutzend Bilder von Kinderpornografie auf Google Drive gespeichert und diese im legitimen Kontext eines Strafverfahrens verarbeitet hatte, sowohl sein Drive-Konto als auch sein Gmail-Konto gelöscht.

Er wurde auch dem NCMEC (National Center for Missing and Exploited Children) gemeldet.

Konfrontiert mit dem Anwalt, der die Rückgabe seiner Daten sowie Schadensersatz von Google forderte, bestätigte das Gericht, dass der Besitz der Dateien, selbst im beruflichen Kontext, deren Aufbewahrung nicht rechtfertigte und dass die Sperrung des Kontos und die Meldung aufgrund der rechtlichen Verpflichtungen, denen der Hosting-Anbieter unterliegt, rechtmäßig waren.

Man sollte bedenken, dass Erkennungsalgorithmen, die ständig gespeicherte Dateien und E-Mails durchsuchen, nicht zwischen rechtmäßig gespeicherten sensiblen Dateien und illegalen Inhalten unterscheiden, noch zwischen privaten und beruflichen Aktivitäten.

Ein Konto kann ohne Vorwarnung und ohne Rechtsmittel gesperrt werden, was bedeutet, dass ein Anwalt den sofortigen Zugriff auf seine Dateien und Kommunikation verlieren kann, selbst im Rahmen legitimer Geschäftstätigkeiten.

Darüber hinaus sind amerikanische Hosting-Anbieter, die die auf ihren Servern gespeicherten Inhalte bereits scannen, verpflichtet, den Benutzer der zuständigen französischen Polizeibehörde OFMIN zu melden.

Die Nutzung sicherer Dienste ist umso wichtiger bei der Ausübung eines reglementierten Berufs.

In diesem Zusammenhang sei an den 2023 von der ANSSI veröffentlichten Bericht über den Stand der Cyberbedrohung für Anwaltskanzleien erinnert.

Obwohl Anwälte in der Regel über ein eigenes und sicheres System (e-Drive) und eine eigene Adresse (avocat.fr) verfügen, genau wie Ärzte, ist dies nicht unbedingt für alle Berufe der Fall, insbesondere nicht für solche, die nicht reglementiert sind.

Die europäischen Vorschriften, insbesondere das LCEN in Frankreich (Gesetz vom 21. Juni 2004 über das Vertrauen in die digitale Wirtschaft), sehen heute keine Verpflichtung für Hosting-Anbieter vor, gespeicherte Daten systematisch zu scannen, sondern lediglich eine Verpflichtung zur Überprüfung im Falle einer Meldung und eines Verdachts auf Rechtsverletzungen.

Der Rechtsrahmen könnte sich dennoch auf europäischer Ebene weiterentwickeln, etwa durch die Verabschiedung der künftigen CSAR-Verordnung, die auf die Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern abzielt.

Während die Zielsetzungen unbestritten sind, sorgt der Plan, das systematische Scannen privater Kommunikation zu ermöglichen, für heftige Debatten.

Derzeit wird in jedem Fall dringend davon abgeraten:

• Um Cloud-Lösungen für Fachleute zu nutzen, die gegebenenfalls für reglementierte Berufe konzipiert sind und die Wahrung der beruflichen Schweigepflicht gewährleisten;
• Zur strikten Trennung von privater und beruflicher Nutzung;
• Um Daten Ende-zu-Ende zu verschlüsseln;
• Um einen in Frankreich oder zumindest in Europa ansässigen Sovereign-Hosting-Anbieter zu wählen.

 

Am 10. und 11. Februar findet in Frankreich der Aktionsgipfel für Künstliche Intelligenz (KI), Bei dieser Veranstaltung im Grand Palais werden Staats- und Regierungschefs, Leiter internationaler Organisationen, CEOs kleiner und großer Unternehmen, Vertreter der Wissenschaft, Nichtregierungsorganisationen, Künstler und Mitglieder der Zivilgesellschaft zusammenkommen.

Die CNIL veröffentlicht ihren Strategieplan 2025-2028Letztere umfasst vier Hauptachsen:

• Künstliche Intelligenz,
• Rechte von Minderjährigen,
• Cybersicherheit
• Digitale Alltagsanwendungen.

Im Fokus stehen zwei dieser Anwendungsbereiche: mobile Anwendungen und digitale Identität.

Die CNIL veröffentlicht Anfang dieses Jahres auch mehrere Leitlinien für Datenverantwortliche.

Sie veröffentlichte die endgültige Fassung am 31. Januar. Leitfaden für Folgenabschätzungen bei Datentransfers außerhalb der Europäischen Union.

In einem Beitrag vom 23. Januar erinnert sie uns an die Prüfungen, die bei der Nutzung frei verfügbarer Datenbanken im Internet durchzuführen sind oder von einem Dritten bereitgestellt wird.

Es reagiert außerdem auf die großflächigen Datenpannen, von denen im Jahr 2024 Millionen von Menschen betroffen waren, und schlägt Maßnahmen zur Stärkung der Sicherheit vor, um den Risiken von Angriffen zu begegnen.

Diese beziehen sich auf interne Unternehmensverfahren sowie auf Vorsichtsmaßnahmen, die im Falle der Vergabe von Unteraufträgen zu treffen sind.

Sie erinnert sich noch immer an sie Empfehlungen zur Integration von SDKs (Software Development Kits) in mobile Anwendungenund gibt an, dass sie Kontrollen durchführen wird, um deren Einhaltung der DSGVO sicherzustellen.

Sie veröffentlichte es schließlich am 20. Januar. Überprüfung seiner Kontrollen im Rahmen einer koordinierten europäischen Maßnahme zur Achtung des Zugangsrechts, und weist darauf hin, dass die von den Datenverantwortlichen getroffenen Maßnahmen manchmal unzureichend sind: Wenn beispielsweise Einzelpersonen ihr Recht auf Zugang zu all ihren Daten ausüben, geben einige Organisationen nur eine teilweise oder unvollständige Antwort.

Der Verbraucherverband UFC-Que Choisir hat seinen Rechtsstreit gegen Google verloren.

Im Juni 2019 reichte sie eine Sammelklage gegen das Unternehmen ein und prangerte Praktiken an, die gegen die DSGVO verstoßen: aufdringliche Geolokalisierung, Verfolgung von Bewegungen ohne Einwilligung, unerwünschte zielgerichtete Werbung.

Die Sammelklage basierte auf einer Entscheidung der CNIL, die Google eine Rekordstrafe von 50 Millionen Euro auferlegt hatte.

Der Verband forderte 1000 Euro pro betroffenem Nutzer, insgesamt also 27 Milliarden Euro.

Das Pariser Gericht wies den Antrag mangels ausreichender Beweise zurück und verurteilte den Verband zur Zahlung von 10.000 Euro an Google als Anwaltskosten.

 

Europäische Institutionen und Gremien

Am 16. Januar Der Europäische Datenschutzausschuss hat Leitlinien zur Pseudonymisierung verabschiedet.

Diese Bestimmungen legen die Definition und die Anwendungsbedingungen der Pseudonymisierung sowie deren Vorteile fest.

Sie liefern auch eine Reihe von Beispielen.

Obwohl die Pseudonymisierung Daten nicht von der Anwendung der DSGVO ausnimmt, verringert sie dennoch die mit der Verarbeitung verbundenen Risiken (zum Beispiel im Falle von Ransomware).

Die Richtlinien können bis zum 28. Februar kommentiert werden.

Am Mittwoch, dem 29. Januar, entschied das Gericht der Europäischen Union (EuG) in einem Streit mit der irischen Datenschutzbehörde (DPA) zugunsten des Europäischen Datenschutzausschusses (EDPB).

Der vom Ausschuss getroffene und von Irland angefochtene Beschluss forderte die Datenschutzbehörde auf, ihre Untersuchung der DSGVO-Verstöße von Meta auszuweiten.

Das Gericht stellt fest, „dass eine Ausweitung der Untersuchung, die notwendigerweise von mindestens der Hälfte der Aufsichtsbehörden beantragt wird (...), nicht dazu bestimmt ist, entgegen der Behauptung des Beschwerdeführers die Aufgabe der Person, die eine Beschwerde eingereicht hat, oder die des von ihr betroffenen Verantwortlichen zu erschweren, sondern eine Maßnahme zur Wahrung ihrer jeweiligen Rechte darstellt“ (§ 56).

Mit seinem Urteil T-354/22 verurteilte das Gericht der Europäischen Union die Europäische Kommission wegen Verstoßes gegen die DSGVO im Zusammenhang mit der Online-Anmeldung zu einer von ihr organisierten Veranstaltung.

Mit dem auf der Homepage angezeigten Hyperlink „Mit Facebook verbinden“ schuf die Kommission „die Voraussetzungen, die die Übermittlung der IP-Adresse des Beschwerdeführers an Facebook“ und damit in die Vereinigten Staaten ermöglichten.

Zu diesem Zeitpunkt war der Privacy Shield für ungültig erklärt worden, und die Übermittlung wurde daher als Verstoß gegen Artikel 46 der Verordnung 2018/1725 angesehen.

Der Gerichtshof urteilte, dass „der vom Beschwerdeführer geltend gemachte immaterielle Schaden als real und sicher anzusehen ist“, da die Übermittlung „den Beschwerdeführer in eine Situation der Unsicherheit hinsichtlich der Verarbeitung seiner personenbezogenen Daten, insbesondere seiner IP-Adresse, versetzt hat“.

Diese Entscheidung könnte Konsequenzen haben, wenn der „Datenschutzrahmen“ für ungültig erklärt wird, da er davon ausgeht, dass bereits die Verbindung eines Internetnutzers mit einem US-Dienst eine Übermittlung personenbezogener Daten in die Vereinigten Staaten darstellt.

Im Urteil „Mousse“ vom 9. Januar 2025 (C-394/23) ist der Gerichtshof der Europäischen Union (EuGH) der Ansicht, dass es nicht erforderlich ist, Käufer von Zugfahrkarten zu fragen, ob sie mit „Sir“ oder „Madam“ angesprochen werden möchten.

Der Gerichtshof erinnert daran, dass „die Verarbeitung personenbezogener Daten, um im Sinne dieser Bestimmung als für die Erfüllung eines Vertrags erforderlich angesehen zu werden, objektiv unerlässlich sein muss, um einen Zweck zu erreichen, der integraler Bestandteil der für die betroffene Person vorgesehenen vertraglichen Leistung ist“.

In diesem Fall deutet das Gericht an, dass eine praktische und weniger aufdringliche Lösung zu existieren scheint: Das betreffende Unternehmen könnte sich für eine Kommunikation entscheiden, die auf allgemeinen, inklusiven Höflichkeitsformeln basiert, die nicht mit einer vermuteten Geschlechtsidentität korrelieren.

In einem Urteil vom 9. Januar präzisierte der EuGH auch die Kriterien für die Definition von „übermäßigen“ Anfragen im Sinne von Artikel 57 Absatz 4 DSGVO und betonte, dass es nicht nur auf die Anzahl der von der betroffenen Person gestellten Anfragen ankomme, sondern vielmehr auf die missbräuchliche Absicht hinter diesen Anfragen.

Diese Entscheidung betrifft zwar APDs, die Begründung ist aber auch für Datenverantwortliche interessant.

Der EuGH ist der Ansicht, dass die Aufsichtsbehörden die Beweislast tragen und eine missbräuchliche Absicht seitens der Person, die den Antrag gestellt hat, nachweisen müssen.

Das Urteil des EuGH vom 19. Dezember 2024 (Rechtssache C-65/23) stellt klar, dass Unternehmensvereinbarungen zwar eine spezifische Rechtsgrundlage darstellen können, Arbeitgeber jedoch sicherstellen müssen, dass diese Art von Vereinbarung mit der DSGVO vereinbar ist.

In diesem speziellen Fall hatten ein deutsches Unternehmen und sein Betriebsrat Vereinbarungen über die Verarbeitung von Mitarbeiterdaten getroffen.

Der Streit betraf die Nutzung einer neuen Cloud-basierten Software, durch die personenbezogene Daten an Server in den Vereinigten Staaten übertragen wurden.

Der EuGH betont, dass die nationalen Gerichte verpflichtet sind, die Einhaltung aller Grundsätze der DSGVO zu überprüfen, selbst wenn die Datenverarbeitung auf einem Kollektivvertrag beruht.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

In Belgien rügte die belgische Datenschutzbehörde (APD) am 7. Januar einen Arbeitgeber wegen des rechtswidrigen Umgangs mit Vorwürfen bezüglich des sexuellen Missbrauchs eines Minderjährigen durch einen seiner Angestellten.

Der Sicherheitsbeauftragte des Arbeitgebers hatte die französische nationale Sicherheitsbehörde um eine Verlängerung der Sicherheitsfreigabe eines seiner Mitarbeiter gebeten. Dieser Antrag wurde von der Behörde mit einer begründeten Entscheidung abgelehnt, die der Geschäftsleitung und dem Mitarbeiter mitgeteilt wurde.

Die Geschäftsleitung informierte jedoch den direkten Vorgesetzten des Betroffenen, der daraufhin ein Disziplinarverfahren gegen ihn einleitete.

Die APD verweist auf mehrere Verstöße, darunter das Fehlen einer Rechtsgrundlage, die Übermittlung von Daten ohne entsprechenden Zweck, die unrechtmäßige Verarbeitung sensibler Daten und die mangelnde Transparenz gegenüber der betroffenen Person.

In Dänemark hat die APD dem Antrag des FC Kopenhagen auf den Einsatz von Gesichtserkennungstechnologie während Fußballspielen gemäß nationalem Recht stattgegeben, da die beabsichtigte Anwendung von Sperren ein erhebliches öffentliches Interesse darstellt.

Für andere Veranstaltungen als Fußballspiele wurde keine Genehmigung erteilt.

Der dänische Verein „Danes je nov dan“ hat ein Tool auf den Markt gebracht, das die Fähigkeit der Nutzer testen soll, KI-generierte Inhalte zu erkennen und sie gleichzeitig über die Risiken des Missbrauchs aufzuklären.

Das Tool präsentiert sich in Form eines interaktiven Quiz und deckt verschiedene Bereiche ab, wie beispielsweise die Erkennung synthetischer Bilder, Texte und Videos.

Im Gegensatz zu ihrem dänischen Pendant vertrat die spanische Datenschutzbehörde (APD) die Auffassung, dass die Implementierung eines optionalen Gesichtserkennungssystems zur Zugangskontrolle in einem Fußballstadion gegen den Grundsatz der Datenminimierung verstoße, da weniger invasive Alternativen existierten, und verhängte auf dieser Grundlage eine Geldstrafe von 200.000 Euro gegen die Verantwortlichen.

Die spanische Datenschutzbehörde (APD) verhängte außerdem eine Geldstrafe von 200.000 Euro gegen den Betreiber CI Postal, weil dieser zwischen September und Oktober 2022 rund 8.000 ihm von verschiedenen Unternehmen anvertraute Briefe im öffentlichen Raum zurückgelassen hatte.

Die APD stellt einen Verstoß gegen Artikel 5(1)(f) und Artikel 32 der DSGVO in Bezug auf Vertraulichkeit und Sicherheit fest und weist auf das Fehlen eines Rückverfolgbarkeitssystems für Postsendungen sowie auf unzureichende Schulungen der Mitarbeiter zu Datenschutzbestimmungen hin.

Zudem verhängte das Gericht eine Geldstrafe von 4.000.000 € gegen Generali España, nachdem es erhebliche Mängel im Umgang des Unternehmens mit Datensicherheit festgestellt hatte.Dadurch konnte ein unbefugter Dritter auf die Daten von mehr als 25.000 ehemaligen Kunden zugreifen.

Die estnische Datenschutzbehörde (APD) hat Asper Biogene mit einer Geldstrafe von 85.000 € (10 % des Umsatzes) belegt, weil das Unternehmen sensible Daten bei einem Ransomware-Angriff nicht ausreichend geschützt hat..

Das Unternehmen führt Gentests durch, wie zum Beispiel Vaterschaftstests und Screenings auf Erbkrankheiten.

Den Hackern gelang es, mehr als 33 GB an PDF-Dateien herunterzuladen, die weder anonymisiert noch pseudonymisiert waren und Daten von etwa 100.000 Esten betrafen.

In Griechenland verhängte die Datenschutzbehörde (DPA) eine Geldstrafe von 50.000 € gegen das Ministerium für Klimakrise und Katastrophenschutz, weil es keinen Datenschutzbeauftragten (DSB) ernannt hatte.und verstößt damit unter anderem gegen Artikel 37 der DSGVO.

Das chinesische Startup Deepseek brachte Ende Januar einen Chatbot auf den Markt, der Ähnlichkeiten mit OpenAIs ChatGPT und Microsofts Co-Pilot aufweist.

Neben den Vorwürfen amerikanischer Konzerne, Deepseek habe Daten aus ihren eigenen Systemen verwendet, hat der chinesische Chatbot bereits die Aufmerksamkeit der italienischen Datenschutzbehörde (APD) auf sich gezogen: Am 30. Januar blockierte die APD den Chatbot in Italien und leitete eine Untersuchung ein, nachdem sie Antworten von Deepseek erhalten hatte, die als völlig unzureichend für ihre Fragen angesehen wurden.

Die irischen, belgischen und französischen Polizeibehörden (APDs) gaben ebenfalls an, sich des Themas angenommen zu haben.

Entscheidungen bezüglich sogenannter „Dark Patterns“ in Cookies häufen sich.In Schweden rügte die APD ein Glücksspielunternehmen wegen der mangelhaften Gestaltung seines Cookie-Banners.

Die grafische Hervorhebung der Annahmeoption und der zusätzlichen Schritte, die erforderlich sind, um Cookies abzulehnen, machte die Einwilligung gemäß Artikel 6 der DSGVO ungültig.

Die APD hat außerdem drei Rügen gegen Unternehmen ausgesprochen, die über einen Zeitraum von einigen Monaten bis zu mehreren Jahren den Publikumsmessungsdienst Meta (Meta Pixel) in ihre Webseiten integriert hatten.

Diese Integration hatte zur Folge, dass der Datenverkehr für die Nutzer unsichtbar zu Meta umgeleitet wurde.

 

Die britische Datenschutzbehörde (DPA) gab am 23. Januar in einer Pressemitteilung bekannt, dass sie sich mit dem Thema der Cookie-Konformität für die 1.000 größten Websites in Großbritannien befasst.

Das ICO veröffentlicht außerdem eine „Strategie“, um sicherzustellen, dass Online-Tracking den Menschen „klare Wahlmöglichkeiten und Vertrauen in die Verwendung ihrer Daten“ bietet, sowie neue Leitlinien zu „Einwilligungs- oder Bezahlmodellen“.

In den Vereinigten Staaten wurden die drei demokratischen Mitglieder des Privacy and Civil Liberties Oversight Board (PCLOB), eines Gremiums, das mit der Überprüfung nationaler Sicherheitsüberwachungsprogramme unter dem Gesichtspunkt des Datenschutzes beauftragt ist, am 27. Januar entlassen, nachdem sie sich geweigert hatten, auf Aufforderung des Weißen Hauses zurückzutreten.

Im Kontext des „Datenschutzrahmens“ zwischen Europa und den Vereinigten Staaten wurde das PCLOB als unerlässliches Instrument zur Wahrung der Rechte des Einzelnen in Angelegenheiten der Massenüberwachung betrachtet.

Die Auswirkungen dieser Maßnahme auf die Tragfähigkeit des transatlantischen Abkommens sind bis heute noch unbekannt.

Nachdem Donald Trump die Exekutivanordnung des ehemaligen Präsidenten Joe Biden zum Thema KI widerrufen hatte, unterzeichnete er eine neue, die „bestimmte bestehende KI-Richtlinien und -Leitlinien aufhebt, die Hindernisse für amerikanische Innovationen im Bereich der KI darstellen, und damit den Weg für die Vereinigten Staaten ebnet, entschlossen zu handeln, um ihre Position als weltweit führendes Land im Bereich der künstlichen Intelligenz zu erhalten.“

Am 23. Januar stellte OpenAI seinen Agenten „Operator“ vor, der als „ein Agent, der im Web Aufgaben für Sie ausführen kann“ beschrieben wird.

Während generative KI-Anwendungen beispielsweise Fragen beantworten, Texte zusammenfassen und synthetische Bilder und Videos erstellen können, sind agentenbasierte KI-Anwendungen in der Lage, komplexere Aufgaben zu übernehmen, indem sie nicht nur Inhalte erstellen, sondern auch implementieren.

Operator ist daher so konzipiert, dass er Aufgaben wie die Urlaubsplanung, das Ausfüllen von Formularen oder die Bestellung von Lebensmitteln automatisiert.

Es ist darauf trainiert, mit den üblichen Schaltflächen, Menüs und Textfeldern des Webs zu interagieren und kann außerdem zusätzliche Fragen stellen, um diese Aufgaben weiter zu personalisieren.

Open AI stellt klar, dass die Nutzer jederzeit die Kontrolle über den Bildschirm übernehmen können.