Legal Watch Nr. 66 – Dezember 2023.

Rechtsprechung zur DSGVO: Wichtige Trends für 2023

Sowohl in Frankreich als auch auf europäischer Ebene trafen Datenschutzbehörden und Justizorgane im Jahr 2023 zahlreiche Entscheidungen, die die Bedingungen für die Anwendung der DSGVO präzisierten.

Auf europäischer Ebene betreffen die bedeutendsten Sanktionen der Datenschutzbehörden internationale Technologiekonzerne sowie einige wenige nationale Unternehmen.

Sie zielen gezielt auf Werbung ohne Zustimmung der Nutzer ab und versäumen es, die Nutzer darüber zu informieren.

• Am 4. Januar 2023 verhängte die irische Datenschutzkommission eine Geldstrafe von 390 Millionen Euro gegen Meta Platforms Ireland Ltd. wegen unrechtmäßiger Verwendung personenbezogener Daten zu Werbezwecken auf Facebook und Instagram.

Zudem verhängte die US-Justiz im Mai 2023 eine historische Geldstrafe von 1,2 Milliarden Euro gegen Meta wegen der illegalen Übermittlung von Daten in die Vereinigten Staaten.

• Die irische Datenschutzbehörde (DPA) verhängte im Januar 2023 außerdem eine Geldstrafe von 5,5 Millionen Euro gegen WhatsApp, weil das Unternehmen Nutzer zwang, der Verwendung ihrer personenbezogenen Daten zum Zwecke der „Verbesserung von Diensten und Sicherheit“ zuzustimmen.
• Am 15. Juni 2023 verhängte die CNIL eine Geldbuße von 40 Millionen Euro gegen CRITEO, ein auf Online-Werbung spezialisiertes Unternehmen, insbesondere weil es nicht überprüft hatte, ob die Personen, deren Daten es verarbeitete, ihre Einwilligung dazu gegeben hatten.
• Die italienische Datenschutzbehörde verhängte im vergangenen Juni eine Geldstrafe von 7,6 Millionen Euro gegen das Telemarketingunternehmen TIM SpA wegen unzureichender Überwachung von Callcentern mit missbräuchlichen Praktiken.

In Frankreich hat die CNIL mehrere weitere Sanktionen verhängt, die erwähnenswert sind. Die Kommission hat sich insbesondere auf Folgendes konzentriert:

• Aufgrund des Fehlens einer Rechtsgrundlage im Zusammenhang mit der Erhebung biometrischer Daten durch die Firma Clearview;
• Hinsichtlich der Frage der Einhaltung des Grundsatzes der Minimierung der erhobenen Daten, in diesem Fall Geodaten im Fall Cityscoot vom 16. März 2023;
• Bezüglich der Aufbewahrungsfristen für Daten im Fall KG COM vom 8. Juni 2023 und im Fall Doctissimo vom 11. Mai 2023;
• Hinsichtlich der Achtung der Rechte von Einzelpersonen in den Fällen Canal+ (12. Oktober), Free (20. März) und Criteo (15. Juni).

Hinsichtlich dieses letzten Punktes betont die CNIL, dass die Daten dem Antragsteller in verständlicher Form mitgeteilt werden müssen.

Sie merkt außerdem an, dass die Nichteinhaltung der einmonatigen Frist für die Beantwortung des Auskunftsersuchens ein häufiges Vergehen darstellt.

Es sei daran erinnert, dass die Ausübung der Rechte des Einzelnen das Thema der koordinierten Untersuchungen der Datenschutzbehörden in Europa für das Jahr 2024 ist.

Erwähnenswert sind auch einige neuere Entscheidungen französischer Gerichte und Tribunale im Zusammenhang mit Videoüberwachung.

• Die Verwaltungsgerichte von Nizza und Lille urteilten am 23. bzw. 29. November zugunsten von Gemeinden, die algorithmische Gesichtserkennungssysteme für die Videoüberwachung installiert hatten, mit der Begründung, dass diese Systeme (noch) nicht vollständig aktiviert oder für die erweiterte Videoüberwachung eingesetzt worden seien.
• Das Verwaltungsgericht Caen hingegen kam in einer einstweiligen Verfügung vom 22. November zu dem entschiedeneren Schluss, dass das algorithmische Videoüberwachungssystem Briefcam einen schwerwiegenden und offenkundig rechtswidrigen Eingriff in das Recht auf Privatsphäre darstelle.

Der Richter stellte in seiner Sitzung fest, dass die Nutzung außerhalb jeglichen rechtlichen oder regulatorischen Rahmens liege und hielt fest, dass „weder nachgewiesen noch auch nur behauptet wurde, dass nicht andere, weniger eingreifende Mittel in Bezug auf die Privatsphäre hätten eingesetzt werden können, um die öffentliche Ordnung aufrechtzuerhalten.“

Die Frage nach der Rechtsgrundlage für den Einsatz algorithmischer Videoüberwachung dürfte mit der Verabschiedung der europäischen Verordnung über künstliche Intelligenz, die die Gesichtserkennung im öffentlichen Raum besonders streng regeln wird, noch dringlicher werden (siehe die nachstehenden Kurzdarstellungen).

Schließlich hat der Gerichtshof der Europäischen Union (EuGH) auf europäischer Ebene mehrere Entscheidungen getroffen, die insbesondere die für die automatisierte Verarbeitung geltenden Grundsätze und die Berücksichtigung von Schäden bei Verstößen gegen die DSGVO präzisieren:

• Der EuGH hat daher am 7. Dezember zwei wichtige Urteile in Bezug auf den marktbeherrschenden Anbieter von Kreditauskunftsdiensten in Deutschland („Schufa“) gefällt.

Der Gerichtshof stellte insbesondere fest, dass die automatisierte Bonitätsprüfung („Scoring“) einem allgemeinen Verbot gemäß Artikel 22 der DSGVO unterliegt.

Sie fügt hinzu, dass das Unternehmen, das eine Kreditwürdigkeitsbewertung auf automatisiertem Wege erstellt, weiterhin Artikel 22 unterliegt, selbst wenn es sich um ein anderes Unternehmen handelt, das sich auf diese Bewertung stützt, um Entscheidungen zu treffen, die sich (negativ) auf die betroffene Person auswirken. Diese Argumentation könnte auch Auswirkungen auf KI-gestützte Systeme haben.

• Hinsichtlich des Schadensersatzes entschied der Gerichtshof im Urteil der Österreichischen Post AG vom 4. Mai 2023, dass ein Verstoß gegen die Bestimmungen der DSGVO allein nicht ausreicht, um der von der unrechtmäßigen Verarbeitung betroffenen Person einen Anspruch auf Entschädigung zuzuerkennen: Sie muss auch einen Schaden nachweisen. Dieser Schaden ist jedoch auch dann zu ersetzen, wenn er einen bestimmten Schweregrad nicht erreicht.
• In seinem Urteil vom 14. Dezember 2023 gibt der EuGH eine weite Auslegung des Begriffs des immateriellen Schadens.

Das Gericht stellt insbesondere fest, dass die Angst, die eine Person hinsichtlich eines möglichen Missbrauchs ihrer personenbezogenen Daten durch Dritte nach einem Verstoß gegen die DSGVO empfindet, an sich bereits einen immateriellen Schaden darstellt.

Zusammen mit dem Urteil der Österreichischen Post AG, das feststellt, dass es keine Mindestschwelle für immaterielle Schäden gibt, könnte dieses Urteil die Entwicklung von Sammelklagen in Europa fördern.

Es sei daran erinnert, dass Frankreich, wie seine europäischen Partner, derzeit die Richtlinie vom 25. November 2020 über Sammelklagen zur Wahrung der kollektiven Interessen der Verbraucher in nationales Recht umsetzt.

 

   

• Mitte Dezember veröffentlichte die CNIL die „Tabellen zur Datenverarbeitung und zu den Datenschutzrechten“ für Datenschutzexperten.

Diese Tabellen gruppieren und klassifizieren Zusammenfassungen zahlreicher Entscheidungen französischer und europäischer Gerichte, darunter des Europäischen Gerichtshofs für Menschenrechte, des Gerichtshofs der Europäischen Union, des Verfassungsrats, des Staatsrats und des Kassationsgerichtshofs.

Die Tabellen enthalten auch bestimmte Beschlüsse des Europäischen Datenschutzausschusses und der CNIL, wobei der Schwerpunkt auf solchen liegt, die eine neue Doktrin begründen oder Grundsätze festlegen.

• Mitte Dezember veröffentlichte die CNIL außerdem einen Leitfaden zur Sensibilisierung für die DSGVO, um die Arbeitsschutzdienste bei der Einhaltung der Vorschriften zu unterstützen.
• Nach dem Europäischen Datenschutzausschuss (EDPB) ist nun die Generaldirektion Wettbewerb, Verbraucherschutz und Betrugsbekämpfung an der Reihe, eine Seite zu veröffentlichen, die Verbraucher vor sogenannten „Dark Patterns“ warnen soll. Dabei handelt es sich um Techniken oder Prozesse, die darauf abzielen, die Entscheidungen von Internetnutzern zu beeinflussen, um sie dazu zu bringen, Produkte zu bestellen oder Dienstleistungen zu abonnieren, die sie sich sonst nicht ausgesucht hätten.
• Das Innenministerium hat die Reorganisation seiner Dienste zur Bekämpfung von Cyberkriminalität soeben abgeschlossen.
• Das neue „Ministerium für das Kommando im Cyberspace des Inneren“ (Comcyber-MI) wurde am 23. November 2023 per Dekret gegründet und wird alle Ressourcen des Ministeriums koordinieren.
• Ein weiteres Dekret formalisiert die Schaffung eines neuen „Büros zur Bekämpfung von Cyberkriminalität“ (OFAC), das innerhalb der Polizei die Unterdirektion zur Bekämpfung der Cybersicherheit und das frühere Büro, das Zentrale Büro zur Bekämpfung von Kriminalität im Zusammenhang mit Informations- und Kommunikationstechnologien (OCLCTIC), zusammenführt.
• Schließlich wird mit einem dritten Dekret die Schaffung einer nationalen Cybereinheit formalisiert, die der Generaldirektion der nationalen Gendarmerie unterstellt ist.

Die iliad, CMA CGM und Schmidt Futures Groups haben "Kyutai" gegründet: ein gemeinnütziges Forschungslabor für künstliche Intelligenz, dessen Ziel es ist, die wichtigsten Herausforderungen der KI anzugehen, wie die Entwicklung großer multimodaler Modelle und die Erfindung neuer Algorithmen.

 

Europäische Institutionen und Gremien

• Die EU erzielte am 9. Dezember eine politische Einigung über die KI-Verordnung, deren offizielle Verabschiedung für Anfang 2024 erwartet wird.

Die vorläufige Vereinbarung würde beispielsweise die kognitive Manipulation des Verhaltens, die nicht zielgerichtete Sammlung von Gesichtsbildern aus dem Internet oder von Überwachungskameraaufnahmen, die Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, Social Scoring, die biometrische Kategorisierung zur Ableitung sensibler Daten wie sexueller Orientierung oder religiöser Überzeugungen sowie bestimmte Fälle von Predictive Policing für Einzelpersonen verbieten.

Das Abkommen sieht mehrere Ausnahmen für Strafverfolgungsbehörden und Migration vor.

• Auf seiner letzten Plenarsitzung verabschiedete der Europäische Datenschutzausschuss ein Schreiben als Antwort auf die Initiative der Europäischen Kommission zur freiwilligen Verpflichtung in Bezug auf Cookies („Cookie-Versprechen“).

Der Ausschuss unterstützt das Dokument grundsätzlich und empfiehlt Unternehmen, nach der Ablehnung der Datenerhebung durch einen Nutzer ein Jahr zu warten, bevor sie erneut um Einwilligung bitten, um die sogenannte „Cookie-Müdigkeit“ der Nutzer zu reduzieren, die durch wiederholte Aufforderungen dazu führt, dass Nutzer wahllos klicken, anstatt ihre Rechte tatsächlich auszuüben.

• In einem Urteil vom 7. Dezember 2023 stellte der EuGH klar, dass die Verhängung einer Geldbuße wegen eines Verstoßes gegen die DSGVO voraussetzt, dass der Verstoß vorsätzlich oder fahrlässig begangen wurde.

Darüber hinaus präzisiert sie den Verantwortungsbereich und die Qualifikation des Datenverantwortlichen: Diese Definition kann sich somit auch auf eine Einrichtung beziehen, die ein Unternehmen mit der Entwicklung einer mobilen Computeranwendung beauftragt hat und die in diesem Zusammenhang an der Festlegung der Zwecke und Mittel der Verarbeitung beteiligt war, selbst wenn diese Einrichtung die Verarbeitungsvorgänge nicht selbst durchgeführt hat, ihre Zustimmung zur Durchführung dieser Vorgänge oder zur öffentlichen Zugänglichmachung der Anwendung nicht ausdrücklich erteilt hat.

Darin wird darauf hingewiesen, dass die Einstufung zweier Stellen als gemeinsam Verantwortliche für die Verarbeitung weder das Bestehen einer Vereinbarung zwischen diesen Stellen über die Festlegung der Zwecke und Mittel der Verarbeitung noch das Bestehen einer Vereinbarung, die die Bedingungen für ihre Verantwortlichkeit festlegt, voraussetzt.

• Am 21. Dezember urteilte der EuGH, dass das Recht auf Entschädigung nach Artikel 82 der DSGVO eine kompensatorische Funktion erfüllt, „insofern die auf dieser Bestimmung beruhende Geldentschädigung es ermöglichen muss, den tatsächlich durch den Verstoß gegen diese Verordnung entstandenen Schaden vollständig auszugleichen“, und keine abschreckende oder strafende Funktion hat.

Die Schwere des Verstoßes, der den betreffenden Schaden verursacht hat, sollte daher keinen Einfluss auf die Höhe des Schadensersatzes haben.

• Microsoft hat eine neue Version von Outlook vorgestellt, die das in Windows integrierte E-Mail- und Kalenderprogramm im Jahr 2024 ersetzen soll. Dies hat bei europäischen Datenschutzbehörden Besorgnis ausgelöst.

Microsoft könnte auf E-Mails und Anhänge zugreifen, wenn ein Benutzer ein Nicht-Microsoft-E-Mail-Konto zur Anwendung hinzufügt, und zwar über die IMAP- und SMTP-Anmeldeinformationen dieses Kontos.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• Während Marie-Laure Denis laut einer Ende November veröffentlichten Erklärung des Élysée-Palastes voraussichtlich als Präsidentin der CNIL wiederernannt wird, kündigte Helen Dixon, die Präsidentin der irischen Datenschutzkommission, am 15. November 2023 auf LinkedIn ihren Rücktritt im Februar 2024 nach zehn Jahren im Amt an.
• Die italienische Datenschutzbehörde (APD) hat einen Datenverantwortlichen mit einer Geldstrafe von 40.000 Euro belegt, weil er unter Verstoß gegen Artikel 5(1) und Artikel 13 der DSGVO auf die E-Mail-Konten dreier ehemaliger Mitarbeiter zugegriffen hatte.

Die Behörde kam außerdem zu dem Schluss, dass ein Verwalter einer Wohnanlage gegen Artikel 5(1)(a) und Artikel 6 der DSGVO verstoßen hatte, indem er ohne vorherigen Beschluss der Wohnanlage ein Videoüberwachungssystem illegal installiert hatte.

Die APD verhängte eine Geldstrafe von 1.000 Euro und ein Verarbeitungsverbot.

• Die norwegische Datenschutzbehörde (APD) hat die norwegische Arbeits- und Wohlfahrtsverwaltung (NAV) mit einer Geldstrafe von 1.754.678 Euro (20 Millionen norwegische Kronen) belegt und mehrere Anordnungen wegen 12 Verstößen erlassen, die auf „grobe Fahrlässigkeit über einen langen Zeitraum“ in Bezug auf die Informationssicherheit und die IT-Systeme der Verwaltung zurückgeführt werden.
• Die dänische Datenschutzbehörde (DPA) hat die Digital Government Agency wegen der Verwendung von JavaScript im Zusammenhang mit MitID, dem dänischen digitalen Identifikator, gerügt.

Obwohl die mit der Verwendung dieser Programmiersprache verbundenen Risiken bekannt sind, hat die Agentur sie verwendet, ohne vorher eine Risikobewertung durchzuführen, und damit unter anderem gegen Artikel 32(1) der DSGVO verstoßen.

• In einem am 18. Dezember in New Scientist veröffentlichten Artikel wird erwähnt, dass eine künstliche Intelligenz, die mit persönlichen Daten (medizinischen, beruflichen und finanziellen Aufzeichnungen) von sechs Millionen Dänen trainiert wurde, in der Lage war, das Sterberisiko genauer vorherzusagen als bestehende Modelle, einschließlich der im Versicherungssektor verwendeten.

Die Forscher hinter dieser Technologie sagen, sie könne einen positiven Einfluss auf die Früherkennung sozialer und gesundheitlicher Probleme haben, aber sie dürfe nicht in die Hände großer Konzerne gelangen.

• Nach der Verabschiedung des Online-Sicherheitsgesetzes im vergangenen Oktober, das von der Zivilgesellschaft wegen der Gefährdung der Ende-zu-Ende-Verschlüsselung der Kommunikation kritisiert wurde, bereitet das Vereinigte Königreich ein neues, umstrittenes Gesetz über Ermittlungsbefugnisse vor.

Laut einem Bericht von Politico liegt die Hauptsorge bei diesem Projekt im sogenannten „Mitteilungsregime“: Dieses würde es dem Innenministerium ermöglichen, Unternehmen zu verpflichten, es über jegliche Pläne zur Änderung der Produkte oder Systeme ihrer Dienstleistungen zu informieren, was einen möglichen Kontrollverlust der Unternehmen über ihre eigenen Produkte zur Folge hätte und sie beispielsweise daran hindern würde, Schwachstellen im Code zu beheben, die die Regierung oder ihre Partner ausnutzen möchten.

Der Gesetzentwurf befindet sich derzeit in der Berichtsphase; die nächste Sitzung ist für den 23. Januar geplant.

 

• Cybersicherheitsbehörden aus 18 Ländern einigten sich in einem am 26. November 2023 veröffentlichten Dokument darauf, „Secure by Design“-Modelle für künstliche Intelligenz zu entwickeln: Unternehmen, die KI entwickeln und einsetzen, müssen diese so entwickeln und implementieren, dass ihre Kunden und die Öffentlichkeit vor Missbrauch geschützt sind.

Dieses nicht bindende Abkommen wurde von den Vereinigten Staaten, Kanada, Japan und 7 EU-Staaten (Deutschland, Estland, Frankreich, Italien, Polen, Tschechische Republik) sowie Norwegen und dem Vereinigten Königreich angenommen.

• In den USA einigte sich Google kurz vor Jahresende auf einen Vergleich in einem 5 Milliarden Dollar schweren Sammelklageverfahren bezüglich des Inkognito-Modus seines Chrome-Browsers. Google wurde vorgeworfen, die Browserdaten der Nutzer auch nach dem Öffnen eines neuen Inkognito-Fensters weiterhin in Echtzeit zu verfolgen, zu sammeln und zu identifizieren.

Laut Euractiv sind die genauen Bedingungen der Vereinbarung noch nicht öffentlich, es wird jedoch erwartet, dass eine formelle Vereinbarung bis zum 24. Februar beim Gericht eingereicht wird.

• Die kalifornische Datenschutzbehörde (CCPA) hat sich für einen Gesetzesvorschlag ausgesprochen, der Webbrowser-Anbieter dazu verpflichten würde, eine Funktion einzubauen, die es den Nutzern ermöglicht, ihre Rechte durch „Opt-out“-Präferenzsignale auszuüben.

Im CCPA wird darauf hingewiesen, dass viele Browser derzeit von den Verbrauchern die Installation eines Drittanbieter-Plugins verlangen, das in der Lage ist, das Signal zu übertragen. 

Browser, die Opt-out-Präferenzsignale nativ unterstützen, machen derzeit weniger als 10 % des globalen Webbrowser-Marktes aus.

• Die Federal Trade Commission (FTC) schlug Ende Dezember im Rahmen einer Aktualisierung ihres Children’s Privacy Protection Act (COPPA) neue Beschränkungen für Unternehmen vor, die Daten über Kinder unter 13 Jahren sammeln, sowie strengere Standards für die Aufbewahrung dieser Informationen.
• Ebenfalls in den Vereinigten Staaten wird in einer Sammelklage der amerikanische Krankenversicherer Humana beschuldigt, ein KI-Modell unrechtmäßig eingesetzt zu haben, um älteren Menschen notwendige Rehabilitationsmaßnahmen zu verweigern.