Legal Watch Nr. 57 – März 2023.

Intelligente Kameras und Biometrie – welche Auswirkungen wird das Gesetz in Bezug auf die Olympischen Spiele haben?

Am 23. März verabschiedete die Nationalversammlung Artikel 7 des Gesetzes über die Olympischen Spiele.

Der Gesetzentwurf, der in einer nur spärlich besuchten Versammlung verabschiedet wurde (73 von 577 Mitgliedern waren anwesend), hat bereits für viel Diskussion gesorgt und wird in den kommenden Monaten sicherlich noch viele weitere Reaktionen hervorrufen.

Es legalisiert faktisch den Einsatz algorithmischer Überwachung bis Dezember 2024 in einem Kontext, der als Ausnahmefall beschrieben wird, außer bei Ereignissen, die über den strengen Rahmen der Olympischen Spiele hinausgehen.

Die Überwachung kann sich auf „Sport-, Freizeit- oder Kulturveranstaltungen“ im Allgemeinen beziehen, die „Risiken terroristischer Akte oder ernsthafter Bedrohungen der Sicherheit von Personen ausgesetzt sind“.

Es kann daher bei Sportveranstaltungen wie der diesjährigen Rugby-Weltmeisterschaft getestet werden.

 

Was ist algorithmische Überwachung? Handelt es sich um eine Form der biometrischen Überwachung, die den strengen Auflagen der DSGVO und der künftigen europäischen Verordnung über künstliche Intelligenz unterliegt?

Das Projekt plant den Einsatz von KI-gestützten „erweiterten Kameras“, die von Drohnen gesteuert werden und Bilder in Echtzeit mithilfe von Algorithmen automatisch analysieren, um vorbestimmte Ereignisse wie Menschenmengenbewegungen, Gepäck, Gesten oder verdächtiges Verhalten zu erkennen.

Obwohl die CNIL in ihren Feststellungen vom 8. Dezember die gravierenden Probleme von Augmented-Reality-Kameras in Bezug auf Datenschutz und den Schutz personenbezogener Daten hervorhob, schien sie nicht zu berücksichtigen, dass biometrische Verfahren zum Einsatz kommen würden.

Sie merkte an, dass mehrere Maßnahmen mit ihren Empfehlungen übereinstimmten:

• Experimenteller Einsatz, zeitlich und räumlich begrenzt, für bestimmte Zwecke und verbunden mit ernsthaften Risiken für Menschen,
• Mangelnde Verarbeitung biometrischer Daten und fehlender Abgleich mit anderen Dateien, und
• Entscheidungen unterliegen dem vorherigen Eingreifen von Menschen.

Für die Zivilgesellschaft fällt die eingesetzte Technologie jedoch eindeutig in die Kategorie Biometrie.

Tatsächlich „erkennt, analysiert und klassifiziert es ständig Körper, physische Merkmale, Gesten, Silhouetten und Gangarten, die unbestreitbar biometrische Daten darstellen.“

La Quadrature du Net und etwa vierzig internationale Organisationen haben diese Perspektive in einem offenen Brief an die Nationalversammlung weiterentwickelt, der vom ECNL (European Centre for Nonprofit Law) koordiniert und veröffentlicht wurde.

Die DSGVO definiert biometrische Daten als „personenbezogene Daten, die sich auf die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person beziehen und die deren eindeutige Identifizierung ermöglichen oder bestätigen“ (Artikel 4.14).

In dem offenen Brief wird darauf hingewiesen, dass Kameras unweigerlich physiologische Merkmale und Verhaltensweisen von Personen in überwachten öffentlichen Räumen erfassen und analysieren werden und dass die Isolierung dieser Personen von ihrer Umgebung, die sich als wesentlich für die Erfüllung des Systemziels erweist, eine „einzigartige Identifizierung“ darstellt.

Gemäß der DSGVO und der Auslegung des Europäischen Datenschutzausschusses zu diesem Thema stellt die Möglichkeit, eine Person aus einer Menschenmenge oder aus ihrer Umgebung zu isolieren, unabhängig davon, ob ihr Name oder ihre Identität bekannt ist oder nicht, einen „eindeutigen Identifikator“ dar.

Die Einteilung von Personen in eine Kategorie, die „risikobehaftete“ Verhaltensweisen auf der Grundlage dieser Daten zusammenfasst, würde somit eine biometrische Kategorisierung darstellen, die wahrscheinlich den Bestimmungen der künftigen europäischen Verordnung über künstliche Intelligenz widerspricht.

In diesem Zusammenhang sei auf die Stellungnahme der europäischen Datenschutzbehörden vom 18. Juni 2021 hingewiesen, in der ein generelles Verbot jeglicher Nutzung von KI zur automatischen Erkennung menschlicher Merkmale in öffentlich zugänglichen Räumen gefordert wird.

Diese Argumente werden auch in einem Brief von 41 Mitgliedern des Europäischen Parlaments an die Nationalversammlung angeführt, die betonen, dass Frankreich mit diesem Gesetz das erste Land in Europa wäre, das die Massenüberwachung des öffentlichen Raums legalisiert.

Die Gesetzgebung muss daher möglicherweise einem Test auf Vereinbarkeit mit europäischem Recht unterzogen werden.

In diesem Zusammenhang sei darauf hingewiesen, dass der Entwurf einer Verordnung über künstliche Intelligenz auf der Tagesordnung der Plenarsitzung des Europäischen Parlaments Ende Mai steht.

 

Und auch

CNIL    

 Die CNIL hat ihre Liste veröffentlicht Prioritätssteuerungsthemen Für 2023: In diesem Jahr wird sie sich auf Folgendes konzentrieren:

• Der Einsatz von „erweiterten“ Kameras durch Akteure des öffentlichen Lebens,
• Die Nutzung der Akte über Vorfälle im Zusammenhang mit Verbraucherkrediten,
• Die Verwaltung von Patientengesundheitsakten und
• Mobile Anwendungen.

Sie veröffentlichte Ende März auch ihr erstes thematisches Dossier zu folgendem Thema: digitale Identität, in der die wichtigsten Grundsätze und die Positionen des Landes zu diesem Thema vorgestellt werden.

Das Dossier richtet sich an die breite Öffentlichkeit sowie an öffentliche oder private Organisationen und Forscher.

In diesem Zusammenhang sei daran erinnert, dass die CNIL in einer Veröffentlichung vom 22. Februar das seit 2019 laufende Experiment mit der elektronischen Krankenversicherungskarte („e-carte Vitale“) überprüft hat, die allen Sozialversicherungsempfängern vor Ende 2025 optional angeboten werden soll.

Über den alltäglichen Gebrauch hinaus wird die "e-Carte Vitale" eine Alternative zu FranceConnect für den digitalen Gesundheitssektor darstellen.

Am 16. März 2023 verhängte die CNIL eine Geldbuße von 125.000 Euro gegen das Unternehmen. CITYSCOOT.

Die CNIL stellte fest, dass das Unternehmen die Geolokalisierung seiner Kunden bei der Anmietung eines Rollers nahezu permanent erfasste und diese Daten speicherte.

Die Kommission stellte außerdem fest, dass die Unterauftragsvereinbarungen bestimmte wesentliche Klauseln nicht enthielten, darunter Angaben zur Art der erhobenen Daten, zu treffenden Sicherheitsmaßnahmen und zum Schicksal der Daten im Falle der Beendigung der Verträge.

Das Unternehmen nutzte außerdem einen reCAPTCHA-Mechanismus, der die gesammelten Daten zur Analyse an GOOGLE übermittelte, ohne dem Nutzer Informationen zukommen zu lassen und ohne dessen vorherige Zustimmung einzuholen.

 

Europäische Institutionen und Gremien

EDSA

Der Europäische Datenschutzausschuss (EDPB) hat seine koordinierte jährliche Inspektionsaktion eingeleitet.

In den kommenden Monaten werden sich 26 nationale Datenschutzbehörden aus dem EWR an dieser Aktion zur Benennung und Stellung von Datenschutzbeauftragten beteiligen.

Die Untersuchungen sollen klären, ob die Delegierten über eine Position verfügen, die den Anforderungen der Artikel 37 bis 39 der DSGVO entspricht, und ob sie über die notwendigen Ressourcen zur Erfüllung ihrer Aufgaben verfügen.

Ihnen werden Fragebögen zugesandt, um ihre Situation zu erfassen und festzustellen, ob eine formelle Untersuchung gerechtfertigt ist.

DSA

Mit der Verordnung über digitale Dienste (DSA) hat die Europäische Union neue Regeln aufgestellt, die sehr große Online-Plattformen (Very Large Online Platforms und Very Large Search Engines) mit mehr als 45 Millionen Nutzern verpflichten, sich bis zum 17. Februar bei der Europäischen Kommission zu registrieren.

Laut einer Analyse eines Professors der London School of Economics and Political Science wären 18 Akteure beteiligt: AliExpress, Amazon Marketplace, Apple App Store, Booking.com, Facebook, Google Maps, Google Play, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, YouTube, Wikipedia, Bing Search und Google Search.

TikTok

Das soziale Netzwerk TikTok kündigte Mitte Februar seine Absicht an, den DSA einzuhalten, der Mitte 2023 in Kraft treten wird.

TikTok kündigte außerdem die Einrichtung von Rechenzentren in Europa an, um grenzüberschreitende Datenflüsse einzuschränken.

Diese Ankündigung erfolgt zu einem Zeitpunkt, an dem EU-Institutionen sowie die Regierungen der Niederlande, Kanadas und das Weiße Haus in den Vereinigten Staaten ihre Mitarbeiter kürzlich aufgefordert haben, die Anwendung von ihren beruflichen und privaten Geräten zu deinstallieren, und dabei Bedenken hinsichtlich des Datenschutzes angeführt haben.

DMA

Ende März richtete die Europäische Kommission eine hochrangige Arbeitsgruppe ein, um die einheitliche Anwendung der Verordnung über digitale Märkte (DMA) mit anderen europäischen Verordnungen sicherzustellen.

Zu den ernannten Personen gehören der Europäische Datenschutzbeauftragte (EDPS) und der Europäische Datenschutzausschuss (EDPB).

Das Gesetz über digitale Märkte gilt insbesondere für große Online-Plattformen, die als „Gatekeeper“ bezeichnet werden.

ENISA 

Die europäische Agentur ENISA veröffentlicht am 29. März eine Studie über Cybersicherheitsbedrohungen bis 2030.

Ziel dieser Studie ist es, Informationen über zukünftige Bedrohungen zu identifizieren und zu sammeln, die die Infrastruktur und die Dienstleistungen der Union sowie ihre Fähigkeit, die digitale Sicherheit der europäischen Gesellschaft und ihrer Bürger zu gewährleisten, beeinträchtigen könnten.

ENISA veröffentlicht außerdem einen Bericht über KI-Cybersicherheit und Standardisierung.

Ziel des Dokuments ist es, einen Überblick über bestehende und zukünftige Standards zu geben, ihren Anwendungsbereich zu bewerten und Lücken in der Standardisierung zu identifizieren.

Dabei werden die Besonderheiten der KI und insbesondere des maschinellen Lernens berücksichtigt, und es wird eine umfassende Vision der Cybersicherheit verfolgt, die die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit sowie das weiter gefasste Konzept der KI-Zuverlässigkeit einschließt.

Abschließend untersucht der Bericht, wie die Standardisierung die Umsetzung von Cybersicherheitsaspekten unterstützen kann, die in die vorgeschlagene EU-Verordnung über KI integriert sind.

EUROPÄISCHE KOMMISSION

Am 6. März gab die Europäische Kommission bekannt, dass WhatsApp sich nach einem Dialog mit den EU-Verbraucherschutzbehörden verpflichtet hat, Änderungen seiner Nutzungsbedingungen transparenter zu kommunizieren.

Das Unternehmen wird es den Nutzern außerdem erleichtern, Aktualisierungen abzulehnen, wenn sie damit nicht einverstanden sind, und wird erläutern, wann eine solche Ablehnung dazu führt, dass der Nutzer die Dienste nicht mehr nutzen kann.

WhatsApp hat außerdem bestätigt, dass die persönlichen Daten der Nutzer nicht zu Werbezwecken an Dritte oder andere Metaunternehmen weitergegeben werden.

IAPP

Die IAPP-Website enthält eine Tabelle („EU-Dateninitiativen im Kontext“), die europäische Datenschutzbestimmungen und laufende Initiativen auflistet, von der DSGVO und dem DSA bis hin zur europäischen Cybersicherheitsstrategie. Diese Liste wurde im März 2023 aktualisiert.

 

Nationale Nachrichten

• VEREINIGTES KÖNIGREICH: Am Donnerstag, dem 9. März, legte die britische Regierung dem Parlament einen abgeschwächten Gesetzentwurf zum Datenschutz und zu digitalen Informationen vor. Die geplante Reform würde es Unternehmen insbesondere erleichtern, Daten ohne die Zustimmung ihrer Nutzer zu erheben, beispielsweise im Rahmen ihrer Forschungs- und Entwicklungspolitik.

Die Pflichten hinsichtlich der Einwilligung zur Platzierung von Cookies werden ebenfalls gelockert, und die Einstellung eines internen Datenschutzbeauftragten ist nicht mehr obligatorisch.

Immer noch im Vereinigten Königreich:

• Das Nationale Zentrum für Cybersicherheit hat einen Artikel veröffentlicht, in dem die Risiken bewertet und Empfehlungen für die Verwendung von LLMs (Großen Sprachmodellen) wie ChatGPT ausgesprochen werden.

Wenn die Abfragedaten heute nicht zur Modellierung verwendet werden, könnten sie in zukünftigen Versionen verwendet werden.

Der Artikel weist auf erhöhte Risiken im Bereich der Cyberkriminalität hin, wie etwa die Erstellung überzeugenderer Phishing-E-Mails oder das Erlernen neuer Angriffstechniken.

Er empfiehlt, in Anfragen an öffentliche LLM-Institute keine sensiblen Informationen aufzunehmen.

• Die britische Datenschutzbehörde hat ihrerseits auf Wunsch der Branche ihre Leitlinien zu KI und Datenschutz aktualisiert.

Die Richtlinien verdeutlichen die Fairnessanforderungen bei KI.

• ITALIEN: LLMs rücken zu Beginn des Frühlings in den Mittelpunkt. Am 31. März erließ die italienische Datenschutzbehörde eine Anordnung gegen OpenAI und blockierte ChatGPT in Italien aufgrund mangelnder Transparenz, fehlender legitimer Gründe für die Verarbeitung, unzureichender Gewährleistung der Richtigkeit der verarbeiteten Daten, fehlender Altersverifizierung und eines allgemeinen Verstoßes gegen den Grundsatz „Datenschutz durch Technikgestaltung“.
• TSCHECHISCHE REPUBLIK: Das Cybersicherheits- und Antivirenunternehmen Avast wurde von der tschechischen Datenschutzbehörde wegen Verstoßes gegen die DSGVO mit einer Geldstrafe von 13,7 Millionen Euro belegt.

Nutzerdaten, die über Google Maps, YouTube, LinkedIn und allgemeiner über Websuchen bei Google gesammelt wurden, wurden über die Tochtergesellschaft Jumpshot verkauft.

Die Untersuchung der tschechischen Datenschutzbehörde betrifft die Verarbeitung personenbezogener Daten vor Januar 2020, dem Zeitpunkt, als Avast Jumpshot schloss.

• NORWEGEN: Die norwegische Datenschutzbehörde (APD) hat Argon Medical Devices mit einer Geldstrafe von 220.000 Euro belegt, weil das Unternehmen die Meldung einer Datenschutzverletzung aufgrund des systematischen und umfassenden Einsatzes externer Berater verzögert hat.

Ein solcher Rückgriff auf Dritte wurde als unangemessene Verlangsamung des Prozesses zur Meldung von Sicherheitsvorfällen angesehen.

Norwegen schon wieder:

• Nach einer der 101 Beschwerden der NGO NOYB bezüglich Datenübermittlungen in die Vereinigten Staaten teilte die norwegische Datenschutzbehörde einem Verantwortlichen ihre Absicht mit, ihn wegen der Nutzung von Google Analytics und der anschließenden Übermittlung personenbezogener Daten in die Vereinigten Staaten zu rügen, was einen Verstoß gegen Artikel 44 der DSGVO darstellt.
• Auch in Norwegen bestätigte der Datenschutz-Beschwerdeausschuss die Entscheidung der Datenschutzbehörde, eine Gemeinde mit einer Geldbuße von 352.555 Euro zu belegen, weil sie gegen Artikel 5(1)(f) sowie die Artikel 24 und 32 der DSGVO verstoßen hatte. Hintergrund war ein Ransomware-Angriff, der zum unwiederbringlichen Verlust hochsensibler personenbezogener Daten und deren Verkauf im Darknet führte.
• ÖSTERREICH: Die österreichische Datenschutzbehörde (APD) hat entschieden, dass die Verwendung des Tracking-Pixels von Facebook gegen die DSGVO und das Urteil des EuGH im Fall „Schrems II“ zu transatlantischen Datenflüssen verstößt.
• BELGIEN: In Belgien wurde einer öffentlichen Behörde die Anwendung von Artikel 6(1)(e) der DSGVO gestattet, um die Firmenwagen ihrer Mitarbeiter zu orten, da es keine anderen, weniger invasiven Lösungen gab und die Ortung für eine effiziente Nutzung ihrer begrenzten Ressourcen notwendig war.

In diesem Fall wurde der Datenverantwortliche jedoch wegen mehrerer anderer Verstöße gegen die Verordnung gerügt.

• IRLAND: Die Bank of Ireland wurde mit einer Geldstrafe von 750.000 € belegt. Die Datenschutzbehörde (DPA) stellte fest, dass der Datenverantwortliche die mit der Verarbeitung verbundenen Risiken nicht ausreichend bewertet und keine angemessenen Sicherheitsmaßnahmen implementiert hatte.
• SPANIEN: Die spanische Datenschutzbehörde (APD) hat Orange Spain mit einer Geldstrafe von 100.000 Euro belegt, weil das Unternehmen gegen den Grundsatz der Datenminimierung verstoßen hat, indem es für die Auslieferung eines online gekauften Telefons ein Foto der Vorder- und Rückseite des Personalausweises eines Kunden verlangte.
• Auch in Spanien haftet ein Datenverantwortlicher, der aufgrund eines Mitarbeiterfehlers nicht auf eine Auskunftsanfrage reagiert, dennoch für einen Verstoß gegen Artikel 15 der DSGVO.

 

• VEREINIGTE STAATEN: Am 25. März veröffentlichte die Federal Trade Commission auf ihrem Blog einen Artikel mit dem Titel „Chatbots, Deepfakes und Stimmklone“ oder Täuschung durch KI.

Die FTC weist auf eine besorgniserregende, neu auftretende Bedrohung hin, der sich Unternehmen im digitalen Ökosystem stellen müssen.

Das Technologiebüro der FTC veröffentlichte außerdem eine Analyse und Leitlinien zu Tracking-Pixeln von Drittanbietern, basierend auf seinen jüngsten Entscheidungen in Bezug auf Anbieter digitaler Gesundheitsdienstleistungen.

• Das NIST (National Institute of Standards and Technology) gründet ein Ressourcenzentrum für vertrauenswürdige und verantwortungsvolle künstliche Intelligenz.

Ziel ist es, die Akteure im Bereich der KI bei der Entwicklung dieser Technologien zu unterstützen.

Es wird von einem Risikomanagement-Rahmenwerk und einem Leitfaden begleitet und zielt darauf ab, Zugang zu einer breiten Palette relevanter Ressourcen zu diesem Thema zu ermöglichen.

• SÜDKOREA: Die südkoreanische Kommission zum Schutz personenbezogener Daten hat McDonald's, British American Tobacco und Samsung wegen Verstößen gegen den Datenschutz mit Geldstrafen belegt.

McDonald's wurde mit einer Geldstrafe von 484.000 Euro belegt, weil das Unternehmen Sicherungsdateien von Nutzern seines Lieferdienstes McDelivery auf einem Server speicherte, bei dem die Freigabefunktion aktiviert war, wodurch Hacker Zugriff auf die Daten von 4.876.106 Kunden erlangen konnten.

In einem anderen Vorfall wurden die Daten von 766.846 Hamburgerkäufern gestohlen, was dazu führte, dass das Unternehmen zunächst eine Geldstrafe von 7.000 Euro zahlen musste.

• ALGERIEN: Das Gesetz Nr. 18-07 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten tritt im August 2023 in Kraft.