Legal Watch Nr. 70 – April 2024.

Datentransfers außerhalb der EU: Aktuelle Situation.

Die Landschaft des internationalen Datentransfers wird mit der Ergreifung institutioneller Entscheidungen und Positionen immer klarer. 

Wir haben daher mehrere jüngste Initiativen auf europäischer und nationaler Ebene zur Kenntnis genommen, die darauf abzielen, den Datenfluss unter Wahrung der Grundrechte zu erleichtern.

Bei einem Treffen am 4. März mit Vertretern der fünfzehn Länder, die bereits als geeignet anerkannt wurden, zeigte die Europäische Kommission damit ihre Bereitschaft, die Formen der internationalen Zusammenarbeit der EU zu erweitern.

Während die Kommission in der Vergangenheit die Zusammenarbeit mit dem Europarat im Bereich der Menschenrechte bevorzugt hat, erwähnte der EU-Kommissar für Justiz im März auch eine engere Zusammenarbeit mit der OECD, einer Organisation, deren Ausrichtung auf die wirtschaftliche Entwicklung gerichtet ist.

 Die betroffenen Länder in Amerika und Asien verfolgen beim Datenschutz Ansätze, die sich deutlich von denen der Europäischen Union unterscheiden.

Es sei daran erinnert, dass die Europäische Kommission im Januar die Angemessenheitsbeschlüsse aller Länder erneuert hat, die bereits von einem positiven Beschluss profitiert hatten.

Dies hat auch im aktuellen politischen Kontext Reaktionen hervorgerufen. In einem offenen Brief vom 22. April, der von 11 zivilgesellschaftlichen Organisationen unterstützt wurde, wurde der EU-Kommissar für Justiz aufgefordert, seine Entscheidung zur Verlängerung seines Angemessenheitsbeschlusses in Bezug auf Israel zu erläutern.

 In dem Schreiben werden insbesondere die Einhaltung der Angemessenheitskriterien im Zusammenhang mit der Verarbeitung von Daten für Zwecke der nationalen Sicherheit, die Achtung der Menschenrechte, die Rechtsstaatlichkeit und der Zugang zur Justiz in Frage gestellt.

Datentransfers sind selbstverständlich weiterhin in Länder möglich, die nicht von einem Angemessenheitsbeschluss profitieren, vorausgesetzt beispielsweise, dass Standardvertragsklauseln angenommen wurden oder dass innerhalb der Unternehmensgruppe verbindliche Regeln für Datentransfers eingeführt wurden.

Um Gruppen in diesem Prozess zu unterstützen, hat die CNIL soeben ein Selbstbewertungsinstrument veröffentlicht.

Hierbei handelt es sich um einen Fragebogen, mit dem wir den Reifegrad des Projekts im Hinblick auf die Anforderungen der vom Europäischen Datenschutzausschuss (EDPB) verabschiedeten BCR-Standards überprüfen können.

Die CNIL empfiehlt, das Projekt zu testen, bevor die BCRs zur Genehmigung eingereicht werden.

Das Tool ermöglicht die Überprüfung der effektiven Umsetzung der folgenden Verpflichtungen:

• Eine Haftungsregelung, bei der die europäische Zentrale oder die per Delegation für den Datenschutz verantwortliche europäische Tochtergesellschaft zuständig ist;
• Ein Schulungsverfahren für Mitarbeiter;
• Ein Prüfverfahren zur Sicherstellung der Einhaltung der GCRs;
• Ein internes Beschwerdeverfahren;
• Ein Netzwerk von Datenschutzbeauftragten oder qualifizierten Mitarbeitern zur Überwachung der Einhaltung der Regeln;
• Ein Verfahren zur Feststellung der Angemessenheit der Durchführung einer Datenschutz-Folgenabschätzung (DSFA);
• Für BCRs „Subunternehmer“ die Verpflichtungen des Subunternehmers gegenüber dem Datenverantwortlichen;
• Geeignete technische und organisatorische Maßnahmen zur Gewährleistung der Einhaltung der Datenschutzgrundsätze.

Die CNIL bietet eine interaktive Weltkarte an, um den Status jedes Landes in Bezug auf den Datenschutz zu ermitteln, und die Liste der Länder, die von einem Angemessenheitsbeschluss profitieren, ist auf der Website der Europäischen Kommission verfügbar.

 

Die CNIL verhängte am 4. April eine Geldstrafe von 525.000 Euro gegen HUBSIDE.STORE. für die Durchführung von Akquisekampagnen unter Verwendung personenbezogener Daten, die durch irreführend gestaltete Formulare erlangt wurden, welche es dem Datenverantwortlichen nicht ermöglichten, eine gültige Einwilligung einzuholen.

Am 25. März präsentierte der Staatssekretär für Digitales Frankreichs strategischen Fahrplan für das digitale Jahrzehnt. in Anwesenheit des Generaldirektors für Kommunikationsnetze, Inhalte und Technologien (GD Connect) der Europäischen Kommission.

„Der Fahrplan ist in vier Arbeitsbereiche gegliedert, die auf die Erreichung der Ziele des „digitalen Jahrzehnts“ abzielen:

• Digitale Kompetenzen
• Digitale Infrastruktur,
• Die digitale Transformation von Unternehmen und
• Die Digitalisierung öffentlicher Dienstleistungen.

La Quadrature du Net reichte am 2. Mai eine Beschwerde bei der CNIL gegen den Einsatz algorithmischer Videoüberwachung (VSA) ein. was sie für illegal hält.

Das Projekt Prevent PCP, an dem SNCF und RATP sowie eine Gruppe von Unternehmen, darunter die Atos-Gruppe und ChapsVision, beteiligt sind, ist als öffentlicher Auftrag angelegt, der es den Unternehmen ermöglicht, ihre VSA-Systeme in großen Bahnhöfen in ganz Europa einzusetzen, um „zurückgelassenes Gepäck“ mithilfe einer Methode zu erkennen, die auf der Identifizierung und Verfolgung der Gepäckbesitzer basiert.

In Frankreich sind diese VSA-Systeme seit Monaten im Gare du Nord und Gare de Lyon in Paris bzw. seit Kurzem im Gare de Marseille-Saint-Charles im Einsatz.

 

Europäische Institutionen und Gremien

Der Europäische Datenschutzausschuss (EDPB) hat Mitte April sein Arbeitsprogramm für den Zeitraum 2024-2027 verabschiedet.

In den kommenden vier Jahren wird der Europäische Datenschutzausschuss (EDPB) die Einhaltung der DSGVO weiterhin fördern, indem er praktische Leitfäden und Materialien für ein breiteres Publikum entwickelt.

Die Zusammenarbeit bei der Anwendung der Gesetzgebung bleibt ebenfalls eine Priorität. 

Ein neuer Aspekt der Strategie ist die Betonung der Interaktion mit dem neuen digitalen Regulierungsrahmen.

Der Europäische Datenschutzausschuss wird den Herausforderungen durch neue Technologien wie KI weiterhin besondere Aufmerksamkeit widmen.

Der Europäische Datenschutzausschuss (EDPB) bezog am 17. April auch Stellung zum „Zahlen oder Cookies akzeptieren“-Modell, das den Nutzern großer Online-Plattformen auferlegt wird.

Im November 2023 führte Meta eine monatliche Gebühr für Nutzer ein, die sich weigerten, für personalisierte Werbezwecke getrackt zu werden.

Als Reaktion darauf reichten Bürgerrechtsorganisationen mehrere Beschwerden bei den zuständigen Datenschutzbehörden ein, die den Europäischen Datenschutzausschuss um eine verbindliche Stellungnahme zu dem Thema baten.

Diese Stellungnahme stellt das von Meta und ähnlichen Plattformen vorgegebene Modell in Frage: Für den Ausschuss gilt: „In den meisten Fällen wird es für große Online-Plattformen nicht möglich sein, die Anforderungen an eine gültige Einwilligung zu erfüllen, wenn sie die Nutzer nur vor die Wahl stellen, entweder der Verarbeitung personenbezogener Daten für verhaltensbasierte Werbung zuzustimmen oder eine Gebühr zu zahlen.“

Der Ausschuss bekräftigt, dass die Zustimmung freiwillig erfolgen muss und dass eine Alternative, die eine abschreckende Zahlung vorsieht, eine freiwillige Zustimmung ausschließen würde.

Es fordert die Plattformen auf, ein alternatives Werbemodell einzuführen, das auf einer begrenzteren Erhebung personenbezogener Daten basiert.

Die Initiative der Europäischen Kommission, große Technologieunternehmen zu einer freiwilligen „Cookie-Verpflichtung“ zu bewegen, die die Nachverfolgung von Internetnutzern reduzieren und deren Zustimmung stärken würde, konnte sich nicht durchsetzen.

Laut einer Sprecherin der Kommission gegenüber Euronews war die Mehrheit der Unternehmen der Ansicht, dass die Einführung eines freiwilligen Ansatzes für digitale Werbung „angesichts des kürzlichen Inkrafttretens neuer Rechtsvorschriften in diesem Bereich, wie der Verordnung über digitale Dienste (DSA) und der Verordnung über digitale Märkte (DMA), verfrüht“ sei.

Am 11. April entschied der EuGH, dass ein Datenverantwortlicher nicht von der Haftung für Schäden gemäß der DSGVO befreit ist, nur weil eine in seinem Auftrag handelnde Person seinen Anweisungen nicht Folge geleistet hat.

Bei der Ermittlung der Höhe des als Entschädigung geschuldeten Schadens sollten die für die Festsetzung von Verwaltungsstrafen festgelegten Kriterien nicht berücksichtigt werden.

Der Generalanwalt des EuGH hat am 25. April seine Schlussanträge in einem Rechtsstreit um die Verwendung von Daten durch Meta gestellt, die von der Beschwerdeführerin öffentlich gemacht worden waren.

Laut Generalanwalt beschränkt die Anwendung des „Grundsatzes der Datenminimierung“ die Verwendung personenbezogener Daten zu Werbezwecken, selbst wenn die Nutzer der Werbung zugestimmt haben.

Dieser Grundsatz gilt unabhängig von der Rechtsgrundlage der Verarbeitung: Auch wenn ein Nutzer personalisierter Werbung zustimmt, dürfen seine personenbezogenen Daten nicht unbegrenzt verwendet werden.

Darüber hinaus bleibt der in Artikel 5 Absatz 1 DSGVO festgelegte Grundsatz der Zweckbindung auch im Zusammenhang mit „Web Scraping“ anwendbar: Öffentlich verfügbare Informationen (in diesem Fall sensible Informationen) dürfen nicht für andere Zwecke wie gezielte Werbung gesammelt und verarbeitet werden.

Die Nichtregierungsorganisation noyb hat bei der österreichischen Datenschutzbehörde (APD) eine Beschwerde wegen der „Halluzinationen“ von ChatGPT eingereicht, die gegen die Grundsätze der DSGVO verstoßen würden.

Max Schrems, Direktor von noyb, sagte, seine Beschwerde sei dadurch ausgelöst worden, dass ChatGPT sein genaues Geburtsdatum nicht angegeben, sondern durch eine weit hergeholte Vermutung ersetzt habe, während der Chatbot die Benutzer nicht darüber informiere, dass er nicht über die korrekten Daten verfüge, um auf eine Anfrage zu antworten.

Das KI-Unternehmen weigerte sich Berichten zufolge, falsche Antworten zu korrigieren oder zu löschen, und gibt keinerlei Informationen über die verarbeiteten Daten, deren Quellen oder Empfänger preis.

Seit dem Inkrafttreten des DSA im August 2023 sind große Online-Plattformen und Suchmaschinen („VLOP“ und „VLOSE“) verpflichtet, öffentlich zugängliche und transparente Werbedatenbanken bereitzustellen.

Ein neuer Bericht von Mozilla in Zusammenarbeit mit CheckFirst untersucht dieses Thema für Dienste, die von 11 Unternehmen angeboten werden, darunter AliExpress, Apples App Store, Bing, Booking.com, Alphabet (Google Search und YouTube), LinkedIn oder Meta (Facebook und Instagram).

Der Bericht stellt fest, dass es „große Unterschiede zwischen den Plattformen“ gibt und dass keine von ihnen „über ein voll funktionsfähiges Werbearchiv verfügt und keine Forschern und zivilgesellschaftlichen Gruppen die Werkzeuge und Daten zur Verfügung stellt, die sie benötigen, um die Auswirkungen von VLOPs-Anzeigen bei den bevorstehenden Wahlen in Europa effektiv zu überwachen“ (via GDPRtoday).

  

Neuigkeiten aus den Mitgliedsländern Europas.

Die belgische Datenschutzbehörde (APD) vertrat am 2. April die Auffassung, dass die Erfassung des digitalen Fingerabdrucks eines Benutzerterminals („Online-Fingerprinting“) grundsätzlich auf der Einwilligung der betroffenen Person beruhen sollte.

Diese Technik ermöglicht es dem Datenverantwortlichen, Dienste anzubieten, die den Website-Besucher auch dann identifizieren, wenn er im Inkognito-Modus surft oder ein VPN verwendet, indem ihm eine eindeutige Kennung zugewiesen wird.

In Kombination mit dem Standort des Nutzers ermöglicht diese Kennung unter anderem die Nachverfolgung der Anzahl der Besuche des Nutzers.

Die APD hat eine Warnung speziell wegen Nichtbereitstellung von Informationen und wegen der Verwendung der Kontaktdaten der betroffenen Person zum Versenden von Marketing-E-Mails ausgesprochen.

Das Cybersicherheits- und Antivirenunternehmen Avast wurde von der tschechischen Datenschutzbehörde (APD) im Berufungsverfahren zu einer Geldstrafe von 13,7 Millionen Euro verurteilt – die höchste Geldstrafe, die die APD jemals verhängt hat.

Das Unternehmen anonymisierte die Browserdaten von mehr als 100 Millionen Nutzern nicht, bevor es sie zu Marktforschungszwecken an Dritte weitergab.

Erwähnenswert ist, dass Avast im Februar auch in den Vereinigten Staaten von der Federal Trade Commission (FTC) sanktioniert wurde und gezwungen war, eine Summe von mehr als 18 Millionen Dollar zu zahlen.

Sie ist in den Niederlanden auch Gegenstand einer Sammelklage wegen derselben Delikte.

In Finnland wurde der Hacker, der sich in die Patientenakten des Psychotherapiezentrums Vastaamo gehackt und für die gestohlenen Daten ein Lösegeld von 400.000 Euro gefordert hatte, vom Bezirksgericht Uusimaa West zu einer Haftstrafe von sechs Jahren und drei Monaten verurteilt. 

Bei dem Hackerangriff sind die Akten von etwa 33.000 Patienten betroffen – eine beispiellose Zahl von Opfern in der finnischen Rechtsgeschichte. 

Damals verhängte die APD eine Verwaltungsstrafe in Höhe von 608.000 Euro gegen Vastaamo wegen Verstoßes gegen die DSGVO, wegen Vernachlässigung der Pflichten hinsichtlich der sicheren Verarbeitung personenbezogener Daten und wegen Verzögerung der Meldung der Datenschutzverletzung.

Der ehemalige CEO des Unternehmens wurde letztes Jahr wegen Nichteinhaltung der Vorschriften zum Schutz sensibler personenbezogener Daten zu drei Monaten Haft auf Bewährung verurteilt.

Das Unternehmen hat inzwischen Insolvenz angemeldet.

In den Niederlanden wurde der Telekommunikationskonzern Odido, ehemals T-Mobile Nederland, mit einer Geldstrafe von 175.000 Euro belegt. von der digitalen Infrastrukturinspektion wegen fehlerhafter Verarbeitung von Verkehrsdaten im Rahmen eines gemeinsamen Projekts mit dem nationalen Statistikamt.

Ziel des Projekts war die Entwicklung eines Algorithmus, der Informationen über die Bewegungen großer Personengruppen liefern kann. Allerdings verstieß Odidos Vorgehen gegen Datenschutzgesetze: Odido hatte zwar darauf geachtet, die verarbeiteten Daten zu pseudonymisieren, jedoch ohne dass einer der Kunden über die Studie informiert wurde.

Die griechische Datenschutzbehörde (APD) hat gegen die griechische Post eine Geldstrafe in Höhe von 2.995.140 Euro verhängt. weil er es versäumt hat, angemessene Sicherheitsmaßnahmen umzusetzen, was zu einer Datenschutzverletzung führte, von der über 4 Millionen Menschen betroffen waren.

Die spanische Datenschutzbehörde (AEPD) hatte beschlossen, gegen eine Bank eine Geldstrafe in Höhe von 2.000.000 € zu verhängen. weil es nicht gelungen ist, die Einwilligung der von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen einzuholen.

Der Datenverantwortliche hatte sein Fehlverhalten eingestanden und zahlte schließlich eine reduzierte Geldstrafe von 1.200.000 Euro. 

Tatsächlich erlaubt ein spanisches Gesetz (39/2015) über Verwaltungsverfahren dem Verantwortlichen, die Verantwortung für einen mutmaßlichen Verstoß anzuerkennen und/oder die von der AEPD im Ermittlungsstadium vorgeschlagene Geldbuße zu zahlen, im Gegenzug für eine Reduzierung der Geldbuße um 40 %.

Die AEPD verhängte außerdem eine Geldstrafe von 3.500.000 € gegen einen Datenverantwortlichen, weil dieser keine angemessene Risikobewertung durchgeführt hatte. und die vermeidbare Sicherheitslücken ignoriert hatte, was zu einem Datenleck führte, von dem 1,3 Millionen Menschen betroffen waren.

In Schweden erteilte die Datenschutzbehörde (APD) einem Datenverantwortlichen eine Rüge, weil er von den betroffenen Personen die Vorlage einer Kopie ihres Ausweisdokuments verlangt hatte. sowie per Post unterzeichnete Dokumente im Zusammenhang mit einem Antrag auf Datenlöschung, wenn kein vernünftiger Grund bestand, an der Identität der betreffenden Personen zu zweifeln.

 

Grindr war Gegenstand einer Sammelklage im Vereinigten Königreich. mit der Behauptung, dass die LGBTQ-Dating-App sensible Informationen über ihre Nutzer, wie etwa deren HIV-Status und sexuelle Orientierung, an Werbetreibende weitergibt.

Laut einem Bericht der BBC soll die App eine „geheime Tracking-Technologie“ verwendet haben, um diese Daten illegal zu sammeln und an Dritte weiterzugeben (via GDPRtoday).

Am 3. Mai verabschiedete der OECD-Rat Überarbeitungen der Grundsätze für künstliche Intelligenz.

Als Reaktion auf die jüngsten Entwicklungen im Bereich der KI-Technologien, einschließlich des Aufkommens von generalistischer und generativer KI, gehen die aktualisierten Prinzipien direkter auf die Herausforderungen im Zusammenhang mit KI in Bezug auf Datenschutz, geistige Eigentumsrechte, Sicherheit und Informationsintegrität ein.

In den Vereinigten Staaten wurde Abschnitt 702 des US-amerikanischen Foreign Intelligence Surveillance Act (FISA) gerade für zwei Jahre neu autorisiert.

Dieser Abschnitt, der die begrenzte Überwachung bestimmter Kommunikationsvorgänge ohne richterliche Anordnung erlaubt, muss regelmäßig vom Kongress erneuert werden.

Die Abstimmung war Berichten zufolge umstritten, da der Kongress mehrere Vorschläge zur Aktualisierung des Gesetzestextes prüfte: Laut Associated Press gab es Uneinigkeit darüber, ob das FBI bei der Nutzung des Gesetzes zur Überwachung von Amerikanern eingeschränkt werden sollte.

Der Senat verabschiedete den Gesetzentwurf schließlich am 20. April mit nur wenigen Änderungen am Text.

Am 23. April verabschiedete der Senat den „Protecting Americans from Foreign Adversary Controlled Applications Act“, ein Gesetz, das weithin als Verbot von TikTok bezeichnet wurde.

US-Präsident Joe Biden hat soeben das Gesetz unterzeichnet, das die chinesische Plattform zwingt, ihr US-Geschäft von dem ihres Mutterkonzerns ByteDance zu trennen, andernfalls können US-Bürger den Dienst nicht mehr nutzen. TikTok hat bereits rechtliche Schritte angekündigt.

In einem Entwurf der US-amerikanischen Federal Trade Commission (FTC) vom 15. April wird einem Unternehmen für telemedizinische Leistungen im Bereich der psychischen Gesundheit vorgeworfen, gegen seine Datenschutzrichtlinien verstoßen und seine Kunden hinsichtlich seiner Stornierungsbedingungen irregeführt zu haben.

Die FTC beabsichtigt, Cerebral und seinen CEO mit einer Geldstrafe von 7 Millionen Dollar zu belegen, weil sie personenbezogene Daten ihrer Kunden gesammelt und diese dann an Dritte verkauft haben.

Der Europäische Gerichtshof für Menschenrechte befasst sich derzeit mit mehreren tausend Fällen im Zusammenhang mit Verurteilungen in der Türkei wegen Mitgliedschaft in einer bewaffneten terroristischen Organisation, die auf der angeblichen Nutzung der verschlüsselten Messaging-Anwendung namens „Bylock“ beruhen.

Die Beschwerdeführer behaupten, ihre Verurteilungen beruhten auf der angeblichen Nutzung dieser Anwendung, die nach Ansicht der türkischen Gerichte unter dem Deckmantel einer globalen Anwendung ausschließlich für die Nutzung durch FETÖ/PDY-Mitglieder konzipiert worden sei.

Jeder, der Bylock benutzt hatte, konnte laut ihnen im Prinzip allein aufgrund dessen wegen Zugehörigkeit zu einer bewaffneten terroristischen Organisation verurteilt werden.