Legal Watch Nr. 64 – Oktober 2023.

Verschlüsselung und Hintertüren: von technischen Beschränkungen zu gesellschaftlichen Herausforderungen.

Die aktuellen Ereignisse in Frankreich spiegeln die gegenwärtige Debatte in Europa wider, nämlich den Zugriff der Strafverfolgungsbehörden auf den Inhalt verschlüsselter Nachrichten.

Der Innenminister äußerte sich am 22. Oktober im Radio zum jüngsten Anschlag auf das Gymnasium in Arras und äußerte den Wunsch, dass eine Hintertür in Ende-zu-Ende-verschlüsselte Nachrichtensysteme integriert werde, die es ermöglichen würde, die Verschlüsselung der Nachrichten zu umgehen und auf deren Inhalt zuzugreifen.

Laut dem Minister ist diese Technik eine effektivere Alternative zu den derzeitigen Lösungen, bei denen Geheimdienste das Telefon des Verdächtigen hacken, um beispielsweise Spyware zu installieren.

Diese gesetzlich streng geregelte Praxis hatte bei der Überwachung des Terroristen, der den Anschlag verübt hatte, versagt.

In letzter Zeit ist viel von „Client-Side Scanning“ die Rede, einer Technik, die sich von der des Abfangens von Nachrichten („Man-in-the-Middle“ – HDM) unterscheidet.

Ein Experte, der auf einem Seminar zu diesem Thema sprach, das am 23. Oktober vom europäischen Datenschutzbeauftragten organisiert wurde, beschrieb diese Techniken wie folgt: Der „Man-in-the-Middle“ fängt Nachrichten während ihrer Übertragung ab, während das „Client-Side Scanning“ bildlich gesprochen darin besteht, dem Einzelnen beim Schreiben über die Schulter zu schauen – vor der Verschlüsselung –, um seine Nachricht mit dem Inhalt einer anstößigen Datenbank zu vergleichen.

Dies ist eine Form der Inhaltsmoderation, die auf dem Endgerät des Nutzers durchgeführt wird.

Zwei Initiativen, die auf den systematischen Einsatz von kundenseitigem Scannen abzielen, stoßen aufgrund ihres aufdringlichen Charakters derzeit in Brüssel und London auf heftige Reaktionen.

Auf europäischer Ebene stößt der CSAM-Regulierungsvorschlag auf die größte Kritik.

Der Text zielt darauf ab, Online-Kinderpornografie durch die Aufdeckung der Verbreitung illegaler Inhalte zu bekämpfen.

Obwohl Einigkeit über die überragende Bedeutung dieses Ziels besteht, stellen viele Interessengruppen die Wirksamkeit, Notwendigkeit und Verhältnismäßigkeit der vorgeschlagenen Maßnahmen in Frage.

Ernsthafte Bedenken wurden von EU-Datenschutzbehörden, Experten europäischer Institutionen sowie Kinderschutzorganisationen, Akademikern, Cybersicherheitsexperten und Überlebenden von sexuellem Kindesmissbrauch geäußert.

Neben der Gefahr, die Strafverfolgungsbehörden mit Fehlalarmen zu überlasten, befürchten Kritiker einen Schritt zu weit hin zu einer Gesellschaft, in der jeder von uns in einem Gefühl ständiger Überwachung leben wird.

Für mehr als hundert führende Forscher auf diesem Gebiet ist es letztlich technisch unmöglich, eine Inhaltsprüfung durchzuführen, ohne die Ende-zu-Ende-Verschlüsselung zu schwächen und die Privatsphäre der Nutzer zu verletzen.

Viele Experten sind sich einig, dass die derzeitigen Spitzentechnologien nicht zuverlässig genug und zudem anfällig für Cyberangriffe sind.

Zu diesem Schluss kam auch Apple, das im Sommer die Einstellung seines Algorithmusprojekts bekannt gab, sowie Meredith Whittaker, Präsidentin des Messengerdienstes Signal: „Wenn die Polizei eindringen kann, können es auch Hacker, feindliche Staaten, Putin, die iranische Regierung und jeder, der Schaden anrichten will (...). Daher ist es unerlässlich, dass wir die Sicherheit und Integrität dieser Systeme gewährleisten.“

In dieser Hinsicht scheint die britische Regierung ihre Haltung zu ihrem neuen Gesetz zur Online-Sicherheit („Online Safety Bill“), das am 26. Oktober in Kraft trat, abgeschwächt zu haben.

Die Minister haben die umstrittene Überwachungsklausel jedoch nicht gestrichen, sondern ihre Umsetzung von ihrer technischen Machbarkeit abhängig gemacht.

Die britische Technologieaufsichtsbehörde Ofcom behält sich das Recht vor, Technologieunternehmen zu verpflichten, Scansoftware im Einklang mit der sich entwickelnden Technologie zu entwickeln.

Sollte diese Technologie verfügbar werden, bleibt abzuwarten, wie das Gleichgewicht zwischen den repressiven Zielen der Behörden und der Privatsphäre des Einzelnen beurteilt werden wird.

 

• Am 12. Oktober verhängte die CNIL eine Geldstrafe von 600.000 Euro gegen die CANAL+ GROUP.

Die Geldbuße bezieht sich insbesondere auf Verstöße gegen die Informationspflicht, die Ausübung der Rechte der betroffenen Personen, Sicherheitsprobleme im Zusammenhang mit den Passwörtern der Mitarbeiter des Unternehmens, die Vergabe von Unteraufträgen und die Tatsache, dass das Unternehmen die CNIL nicht über eine schwerwiegende Verletzung des Schutzes personenbezogener Daten im Jahr 2020 informiert hat.

• Die CNIL organisiert am 28. November eine Veranstaltung zur ethischen Reflexion mit dem Titel „KI und freier Wille: Sind wir digitale Schafe?“

Forscher, Experten und bildende Künstler werden sich über wichtige ethische Fragen im Zusammenhang mit dem Einfluss künstlicher Intelligenz auf individuelle Entscheidungen austauschen.

• Ebenfalls zum Thema KI veröffentlichte die CNIL am 11. Oktober praktische Leitfäden zur Erstellung von Trainingsdatenbanken für KI-Systeme.

Diese Informationsblätter sollen Fachleuten helfen, Innovation mit der Achtung individueller Rechte in Einklang zu bringen. Sie stehen bis zum 16. November 2023 zur öffentlichen Konsultation offen.

• Die Nichtregierungsorganisation noyb reichte am 14. September in Frankreich drei Beschwerden gegen Fnac, die Immobilien-App SeLoger und die Fitness-App MyFitnessPal ein.

Die Anwendungen dieser Unternehmen würden illegal auf die persönlichen Daten der Nutzer zugreifen und diese zu Zwecken komplexer Analysen an Dritte weitergeben, sobald die Anwendung geöffnet wird, ohne die betroffenen Personen darüber zu informieren oder deren Zustimmung einzuholen.

Die NGO plant, weitere Beschwerden gegen Anbieter mobiler Anwendungen einzureichen.

 

Europäische Institutionen und Gremien

• Nachdem die Europäische Kommission am 12. Oktober eine Untersuchung zur Einhaltung der Digital Services Regulation (DSA) durch X eingeleitet hatte, prüft sie nun auch Meta und TikTok.

Berichten zufolge haben Social-Media-Unternehmen seit Beginn des Krieges zwischen Israel und der Hamas formelle Anfragen nach Informationen über ihren Umgang mit illegalen Inhalten und Desinformationen erhalten.

• Manche kritisieren die Europäische Kommission dafür, dass sie ihre eigenen Regeln bezüglich Microtargeting in sozialen Netzwerken nicht einhält.

Heute wird ihr von der Presse, Nichtregierungsorganisationen und europäischen Parlamentariern vorgeworfen, in ihrer Kommunikation mit einem Publikum in Ländern, die ihrer vorgeschlagenen Regelung zur Kinderpornografie (CSAM) skeptisch gegenüberstehen, gezielt bestimmte Profile von Internetnutzern angesprochen zu haben.

• Im September 2023 veröffentlichte die Europäische Kommission zwei Mustervertragsklauseln für KI, die bei öffentlichen KI-Aufträgen freiwillig verwendet werden können, und zwar für Aufträge mit oder ohne hohes Risiko.

Die Klauseln richten sich an öffentliche Einrichtungen, die ein von einem externen Anbieter entwickeltes KI-System erwerben möchten.

• Der Europäische Datenschutzbeauftragte (EDPS) veröffentlichte am 23. Oktober Empfehlungen für die EU-Mitgesetzgeber für die Trilogverhandlungen zur KI-Verordnung.

Insbesondere unterstützt es die Aufnahme des Rechts von Personen, die von der Nutzung von KI-Systemen betroffen sind, in die Regulierung, eine Beschwerde bei einer zuständigen Behörde einzureichen und einen wirksamen Rechtsbehelf gegen deren Entscheidungen in Anspruch zu nehmen.

Er bekräftigt zudem seine Forderung nach der Benennung von Datenschutzbehörden als nationale Aufsichtsbehörden.

Er unterstützt auch die Notwendigkeit eines europäischen Ansatzes, insbesondere in grenzüberschreitenden Fällen mit erheblichen Auswirkungen, und den vom Europäischen Parlament unterbreiteten Vorschlag zur Einrichtung eines „Europäischen KI-Büros“.

• Der EDPS veröffentlichte am 11. Oktober auch eine Stellungnahme zu zwei vorgeschlagenen Leitlinien in Bezug auf Haftungsregeln für KI.
• Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben am 19. September eine gemeinsame Stellungnahme zum Vorschlag für eine Verordnung über zusätzliche Verfahrensregeln für die Anwendung der DSGVO verabschiedet.

Dieser Vorschlag zielt darauf ab, die Umsetzung schneller Korrekturmaßnahmen für Einzelpersonen in grenzüberschreitenden Fällen zu gewährleisten.

Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) fordern eine umfassende Harmonisierung der Zulässigkeitsvoraussetzungen, schlagen eine Verbesserung der Konsensfindung durch eine stärkere Einbeziehung der zuständigen Aufsichtsbehörden vor und fordern die Mitgesetzgeber auf, den gegenwärtigen Ansatz hinsichtlich des Rechts der Parteien auf Anhörung im Streitbeilegungsverfahren beizubehalten.

• Der Europäische Datenschutzausschuss (EDPB) und der Europäische Datenschutzbeauftragte (EDPS) haben am 17. Oktober eine gemeinsame Stellungnahme zum Vorschlag für eine Verordnung über den digitalen Euro veröffentlicht.

Die Regulierungsbehörden begrüßen insbesondere, dass den Nutzern die Wahlmöglichkeit bleibt, entweder in digitalen Euros oder in bar zu bezahlen.

Dennoch machen sie einige Anmerkungen, um sicherzustellen, dass nur die notwendigen personenbezogenen Daten verarbeitet werden, insbesondere im Zusammenhang mit der Betrugsbekämpfung, und um eine übermäßige Zentralisierung personenbezogener Daten durch die Europäische Zentralbank oder nationale Zentralbanken zu vermeiden.

• Während seiner Plenarsitzung im Oktober wählte der Europäische Datenschutzausschuss das Thema seiner dritten koordinierten Maßnahme zur Umsetzung der DSGVO: Wie Unternehmen das Auskunftsrecht von Einzelpersonen umsetzen.

Diese Maßnahme ist für 2024 geplant und wird auf nationaler und europäischer Ebene gezielt überwacht.

• Am 31. Oktober gab die norwegische Datenschutzbehörde (DPA) eine Erklärung ab, in der sie mitteilte, dass ihre Entscheidung gegen Meta auf die EU/den EWR ausgeweitet werde.

In der Pressemitteilung heißt es, dass der Europäische Datenschutzausschuss (EDPB) soeben die dauerhafte Ausweitung des norwegischen Verbots von Verhaltensmarketing auf Facebook und Instagram auf ganz Europa genehmigt hat.

• Nach den Enthüllungen und der Untersuchung des Europäischen Parlaments zur Pegasus-Spionagesoftware untersucht ein Bericht von Amnesty International und der European Investigative Collaborations (EIC) den Fall Predator und hebt die Unfähigkeit der EU hervor, den Missbrauch von Spionagesoftware auf ihrem eigenen Territorium zu regulieren.

Der Bericht konzentriert sich auf eine Gruppe namens Intellexa Alliance mit Sitz in Europa, die zwischen 2007 und 2022 eine Reihe von Überwachungsprodukten entwickelt, betrieben und vermarktet hat. 

Diese Produkte ermöglichen es, unbemerkte Infektionsversuche an Benutzer kooperierender Internetdienstanbieter zu senden oder, falls der Betreiber der Spyware direkten Zugriff auf den Internetverkehr hat, an Benutzer in einem ganzen Land.

• Am 6. September sprachen sich Vertreter der Europäischen Pharmaindustrie (EPFIA) gegen die Einführung eines Opt-out-Mechanismus für die Erhebung von Gesundheitsdaten zur Sekundärnutzung in der vorgeschlagenen Verordnung über den künftigen Europäischen Gesundheitsdatenraum (EHDS) aus.

Die Position der Gruppe spiegelt die Bedenken von Forschern und Technologieentwicklern wider, die befürchten, dass die Einführung einer Opt-out-Option in das System die Nutzung von Daten für Forschung und Innovation beeinträchtigen wird.

• In einer Pressemitteilung vom 5. September 2023 gab TikTok bekannt, den Datenschutz seiner europäischen Nutzer zu verstärken.

Das Unternehmen plant neben dem Rechenzentrum in Dublin zwei weitere Rechenzentren in Europa.

TikTok hat außerdem ein europäisches Drittunternehmen für Sicherheit beauftragt, eine unabhängige Prüfung seiner Datenverarbeitung durchzuführen.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• Die belgische Datenschutzbehörde (APD) veröffentlichte am 20. Oktober eine Checkliste, um Organisationen dabei zu helfen, sicherzustellen, dass ihre Praktiken in Bezug auf Cookies und andere Tracking-Mechanismen den geltenden Vorschriften entsprechen.

Das Dokument ermöglicht es Ihnen, gute und schlechte Vorgehensweisen Schritt für Schritt durchzugehen.

Die APD erinnert uns daran, dass nur unbedingt notwendige Cookies von der Einwilligungspflicht ausgenommen sind und dass alle anderen Kategorien von Cookies nur dann gesetzt und gelesen werden dürfen, wenn der Nutzer zuvor seine freie, spezifische, informierte, unmissverständliche und aktive Einwilligung erteilt hat.

• Das Bezirksgericht Amsterdam hat am 18. Oktober in einem Eilverfahren zu AdTech und Tracking-Cookies eine wichtige Entscheidung getroffen.

Das französische Unternehmen Criteo kann sich nicht einfach auf die vertragliche Verpflichtung seiner Kunden (Website-Betreiber) berufen, die Einwilligung der Internetnutzer einzuholen: Es ist auch dafür verantwortlich, eine gültige Einwilligung für die Platzierung von Cookies einzuholen, andernfalls (und falls keine Einwilligung seitens des Herausgebers vorliegt) ist die Platzierung von Cookies illegal.

Die Entscheidung basiert auf dem Rom-II-Übereinkommen (Zuständigkeit des Gerichtshofs), der „ePrivacy“-Richtlinie und der DSGVO.

Das Gericht erkennt die Entscheidung der CNIL an und weist die Einrede von Criteo zurück, der Kläger habe seinen Browser nicht so konfiguriert, dass er Cookies ablehnt.

Das Gericht weist auch das Argument zurück, dass die Forderungen des Klägers seinem Geschäftsmodell schaden würden, da die Datenschutzinteressen des Klägers Vorrang haben.

Das Gericht wendet ferner das Urteil des Gerichtshofs in der Rechtssache Österreichische Post (C-154/21) an und entscheidet, dass Criteo einen vollständigen Überblick über die Drittparteien, mit denen die Daten geteilt wurden, bereitstellen muss.

• Die griechische Datenschutzbehörde (DPA) hat die Athener Stadtverkehrsorganisation (OASA) mit einer Geldbuße von 50.000 Euro belegt, weil sie gegen Artikel 5(1)(e) der DSGVO verstoßen hat, da ihr elektronisches Ticketsystem dem Grundsatz der Speicherbegrenzung nicht entsprach.

Sie rügte die OASA außerdem wegen Verstoßes gegen Artikel 35(1) der DSGVO, da ihre Datenschutz-Folgenabschätzung für ihr elektronisches Ticketsystem unzureichend war.

• Die schwedische Datenschutzbehörde (APD) hat gegen den Stockholmer Schulrat eine Geldstrafe von 800.000 Schwedischen Kronen (ca. 68.324 Euro) verhängt, weil dieser in einer Schule Überwachungskameras eingesetzt hatte, was gegen Artikel 5(1)(a), (c), Artikel 6(1) und Artikel 13 der DSGVO verstieß.
• Die italienische Datenschutzbehörde (APD) hat eine italienische Anwaltskammer mit einer Geldstrafe von 20.000 Euro belegt, weil sie auf ihrer Website Informationen über zwei Beschwerdeführer ohne rechtmäßige Grundlage veröffentlicht hatte. Dies steht im Einklang mit den kombinierten Bestimmungen von Artikel 10 der DSGVO und Artikel 2octies des italienischen Datenschutzgesetzes.
• Die kroatische Datenschutzbehörde (APD) hat gegen das Inkassounternehmen EOS Matrix doo wegen mehrfacher Verstöße gegen die DSGVO die höchste jemals verhängte Verwaltungsstrafe in Höhe von 5.470.000 Euro verhängt.
• In Großbritannien gewann Clearview AI seinen Einspruch gegen die Geldbuße der britischen Datenschutzbehörde (DPA) vor dem First Tier Tribunal (FTT).

Das Gericht kam zu dem Schluss, dass die „UK GDPR“ nicht anwendbar sei, da die Verarbeitungstätigkeiten von Clearview die Erbringung einer Dienstleistung im Auftrag von Strafverfolgungsbehörden in einem Drittland beträfen und somit nicht unter den Anwendungsbereich der DSGVO und der „UK GDPR“ fielen.

Das Gericht betrachtet Clearview und seine Kunden ferner als gemeinsam Verantwortliche für die Datenverarbeitung zu diesem repressiven Zweck.

Die Begründung des Gerichts hat unter Datenschutzexperten eine intensive Diskussion über die Qualifizierung gemeinsam Verantwortlicher und die Nichtanwendbarkeit europäischen und/oder britischen Rechts auf den konkreten Fall ausgelöst.

• Anfang Oktober erregte der KI-Chatbot von Snap die Aufmerksamkeit des ICO.

Die APD gab bekannt, dass sie eine vorläufige Durchsetzungsmitteilung gegen Snap erlassen hat, weil dieses ihrer Ansicht nach „möglicherweise die von seinem Chatbot ‚My AI‘ ausgehenden Datenschutzrisiken nicht ordnungsgemäß bewertet hat“.

Eine wachsende Zahl von Datenschutzbehörden, wie beispielsweise in Großbritannien und Italien, übernimmt die Aufgaben von KI-Regulierungsbehörden.

 

• Die Global Privacy Assembly (GPA) veranstaltete ihre jährliche Konferenz Mitte Oktober auf Bermuda.

Die Behörden erörterten die Anwendung von Datenschutzbestimmungen auf KI und verabschiedeten am 20. Oktober eine Entschließung zur generativen KI.

Die Resolution erfolgt, nachdem die G7-Staats- und Regierungschefs am 30. Oktober im Rahmen des Hiroshima-Prozesses zur künstlichen Intelligenz internationale Leitprinzipien für künstliche Intelligenz (KI) und einen freiwilligen Verhaltenskodex für KI-Entwickler verabschiedet haben.

• Die Vereinigten Staaten veröffentlichen am 30. Oktober ein Dekret zur KI und ein Handbuch zum KI-Risikomanagement, während das Vereinigte Königreich am 2. November einen KI-Sicherheitsgipfel veranstaltet.
• Das Büro des neuseeländischen Datenschutzbeauftragten hat einen Leitfaden zur Entwicklung und Nutzung von Systemen der künstlichen Intelligenz unter Einhaltung der Datenschutzprinzipien (Privacy Principles, PPP) veröffentlicht.
• Kanada veröffentlichte im September außerdem einen Verhaltenskodex für Entwickler und Manager von fortgeschrittenen generativen KI-Systemen.

Der Kodex benennt Maßnahmen zur Minderung der mit diesen Systemen verbundenen Risiken auf der Grundlage von sechs Grundprinzipien: Verantwortung, Sicherheit, Gerechtigkeit/Fairness, Transparenz, menschliche Aufsicht, Gültigkeit/Robustheit der Systeme.

• Vereinigte Staaten: Die Generalstaatsanwälte von 41 US-Bundesstaaten haben sich zusammengeschlossen, um eine Klage gegen Meta einzureichen. Sie behaupten, dass die Social-Media-Plattformen Instagram und Facebook des Unternehmens süchtig machen und schädlich für Kinder sind.

In der Klage wird Meta vorgeworfen, wiederholt und systematisch Informationen über Kinder unter 13 Jahren gesammelt und es versäumt zu haben, die Eltern über deren Verwendung zu informieren oder deren Zustimmung einzuholen.

• Kalifornien veröffentlichte am 12. Oktober 2023 einen Gesetzentwurf zur Regulierung von Datenbrokern, der das bestehende Gesetz von 2018 (CCPA) ändert.

Der Text legt fest, dass sich Datenbroker bei der Datenschutzbehörde registrieren und ihr detailliertere Informationen über individuelle Anfragen, die Erhebung bestimmter Daten und die obligatorische Überprüfung ihrer Einhaltung der gesetzlichen Bestimmungen zur Verfügung stellen müssen.

Das Projekt schafft außerdem einen Mechanismus, der es Einzelpersonen ermöglicht, von allen Datenbrokern die Löschung ihrer persönlichen Daten zu verlangen.

• Der Gentest-Anbieter 23andMe wurde Opfer eines Datenlecks.

Ein Hacker veröffentlichte die genetischen Informationen von vier Millionen Nutzern im Cyberkriminalitätsforum BreachForums.

Dieser Vorfall folgt auf ein weiteres Leck, das Anfang Oktober auftrat.

• In den Vereinigten Arabischen Emiraten veröffentlicht das Ministerium für Künstliche Intelligenz, Digitale Wirtschaft und Telearbeitsanwendungen ein Weißbuch mit dem Titel „Selbstverwaltungsrahmen für ein verantwortungsvolles Metaverse“.