Rechtsbeobachtung Nr. 59 – Mai 2023.

Metasanktion: 1,2 Milliarden Euro… und was dann?

Die von der irischen Behörde am 12. Mai gegen Meta, die Muttergesellschaft von Facebook, verhängte Strafe ist die höchste, die jemals von einer Datenschutzbehörde seit Inkrafttreten der DSGVO verhängt wurde, und das zu einem Zeitpunkt, an dem die Verordnung ihr fünftes Anwendungsjahr feiert.

Im Zentrum dieser Entscheidung steht die Facebook übermittelt Daten seiner europäischen Nutzer in die Vereinigten Staaten, ein Land, das kein angemessenes Schutzniveau mehr bietet. seit der Entscheidung des Gerichtshofs der Europäischen Union vom 16. Juli 2020 (Schrems-II-Urteil).

Diese neue Sanktion ist auch ein Symbol für die Zusammenarbeit zwischen den Datenschutzbehörden, da die Entscheidung der irischen Behörde das Ergebnis eines langen und mühsamen Verfahrens sowie eines Tauziehens mit ihren europäischen Pendants ist.

Die APD sah sich daher gezwungen, den Umfang ihrer Entscheidung auszuweiten und eine erhebliche Geldstrafe zu verhängen.

Laut der Nichtregierungsorganisation NOYB und ihrem Präsidenten Max Schrems, der die Beschwerde einreichte, gibt es nicht unbedingt etwas zu feiern.

Das Verfahren dauerte drei Jahre und sah sich einer nationalen Behörde gegenüber, die den Prozess in verschiedenen Phasen systematisch blockierte. Es entstanden Anwaltskosten in Höhe von mehr als zehn Millionen Euro… für eine Geldstrafe, die dem irischen Staat zufließt.

 

Welche konkreten Konsequenzen ergeben sich für Meta?

Die Entscheidung beinhaltet eine Übergangsfrist: Das Unternehmen hat bis Mitte Oktober Zeit, die Übermittlung der Daten seiner Nutzer in die Vereinigten Staaten einzustellen.

Außerdem muss das Unternehmen vor Mitte November alle Daten löschen, die bereits aus seinen US-Rechenzentren übertragen wurden.

Obwohl das Unternehmen gedroht hat, seine Dienstleistungen in Europa einzustellen, ist die Wahrscheinlichkeit dieser Ankündigung zweifelhaft, da Europa nach den Vereinigten Staaten seine größte Einnahmequelle darstellt und mehrere Rechenzentren auf europäischem Gebiet errichtet wurden.

Das Unternehmen kündigte an, landesweit Berufung gegen die irische Behörde einzulegen und einen Aufschub der Anordnung bis zum Abschluss des Rechtswegs zu beantragen.

Meta spielt vermutlich auf Zeit und hofft auf ein neues transatlantisches Abkommen zur Regelung des Datentransfers in die Vereinigten Staaten noch vor dem Herbst.

Man sollte jedoch einerseits bedenken, dass ein neues Abkommen vergangene Transfers und bereits nachgewiesene Gesetzesverstöße nicht legalisieren wird, und andererseits, dass die Anforderungen an ein künftiges transatlantisches Abkommen hoch sind.

Das aktuelle Projekt ist bereits auf starke Kritik seitens des Europäischen Parlaments gestoßen, und es ist nicht sicher, ob es einer Überprüfung durch den Gerichtshof der Europäischen Union (EuGH) standhalten wird.

 

Auswirkungen auf GAFAMs und Datenverantwortliche im Allgemeinen

Die US-Überwachungsgesetze, die die Grundlage für die Entscheidungen der irischen Aufsichtsbehörde, des Europäischen Datenschutzausschusses und des EuGH bilden, stellen ein Problem für alle großen US-Cloud-Dienstleister wie Microsoft, Google oder Amazon dar.

Es ist zu beachten, dass das entsprechende US-Überwachungsgesetz (FISA 702) bis Dezember 2023 neu verabschiedet werden muss.

Obwohl mehrere europäische Aufsichtsbehörden die Nutzung amerikanischer Dienste, die Datentransfers beinhalten, bereits für illegal erklärt haben, gingen ihre Entscheidungen nicht mit einer so hohen Geldstrafe einher wie die gegen Meta verhängte.

Dies könnte große amerikanische Technologieunternehmen und alle, die Cloud-Dienste amerikanischer Herkunft nutzen, dazu anregen, ihre Praktiken zu überprüfen und zumindest eine Folgenabschätzung der Datentransfers durchzuführen.

 

Dennoch müssten die Datenschutzbehörden bei der Anwendung der DSGVO ausreichend abschreckend wirken.

Sie werden nun wegen ihrer mangelnden Effektivität kritisiert, wie aus dem jüngsten Bericht des Irish Council for Civil Liberties (ICCL) hervorgeht.

Seine Analyse zeigt, dass die DSGVO selten gegenüber großen Technologiekonzernen angewendet wird.

Nur wenige bedeutende europäische Fälle hätten zu ernsthaften Durchsetzungsmaßnahmen geführt: „Das Register der endgültigen Entscheidungen des Europäischen Datenschutzausschusses zeigt, dass die meisten (64 %) der 159 Durchsetzungsmaßnahmen, die Ende 2022 ergriffen wurden, lediglich Verwarnungen waren.“

Die Studie kritisiert wenig überraschend die irische Datenschutzkommission, da 75 ihrer Untersuchungsentscheidungen in EU-Fällen durch eine Mehrheitsentscheidung des Europäischen Datenschutzausschusses aufgehoben wurden.

Der Kontext hinsichtlich der Rechtsbehelfe entwickelt sich hin zu einem besseren Schutz von Einzelpersonen: Die europäische Richtlinie über kollektive Rechtsbehelfe soll in diesem Sommer in Kraft treten und wird europäischen Nutzern eine zusätzliche Möglichkeit des Rechtsbehelfs eröffnen, indem sie es ihnen ermöglicht, im Falle eines Verstoßes gegen die DSGVO in der gesamten Europäischen Union kollektive Klagen zu erheben.

In den Niederlanden, wo diese Art von Rechtsbehelf bereits zulässig ist, ist ein Anstieg der Klagen zu verzeichnen.

Die niederländische Verbraucherschutzorganisation „Consumentenbond“ mobilisiert derzeit niederländische Facebook-Nutzer, um eine Beschwerde gegen Datentransfers zwischen der Europäischen Union und den Vereinigten Staaten einzureichen.

Schließlich hat ein Urteil des EuGH (Österreichische Post AG) den Weg für „Klagen mit geringem Streitwert“ bei Datenschutzverletzungen geebnet und bestätigt, dass keine Schwelle für die Schwere des erlittenen immateriellen Schadens erforderlich ist. Dies könnte es Nutzern ermöglichen, Schadensersatz für Verstöße zu fordern, die beispielsweise die Massenüberwachung durch die Vereinigten Staaten betreffen.

Dies würde zu Entschädigungsforderungen führen, die die derzeitigen Strafen bei Weitem übersteigen.

 

Und auch

     

• Am 16. Mai veröffentlichte die CNIL einen Aktionsplan für den Einsatz von KI-Systemen, die die Privatsphäre von Einzelpersonen respektieren.

Das Unternehmen beabsichtigt, seine Arbeit an erweiterten Kameras auszubauen und seine Forschung auf generative KI und große Sprachmodelle (LLMs) sowie abgeleitete Anwendungen (einschließlich Chatbots) auszudehnen.

Diese Arbeit wird auch dazu beitragen, die Vorbereitungen für das Inkrafttreten des Entwurfs der europäischen Verordnung über KI zu unterstützen.

• Die CNIL hat gegen das Unternehmen DOCTISSIMO eine Geldstrafe von 380.000 Euro verhängt.

Die Kommission stellte mehrere Mängel in der DSGVO fest, insbesondere hinsichtlich der Aufbewahrungsfristen für Daten, der Erhebung von Gesundheitsdaten über Online-Tests, der Datensicherheit und der Methoden zur Platzierung von Cookies auf den Endgeräten der Nutzer.

• Die CNIL veröffentlichte ihren Tätigkeitsbericht 2022 am 23. Mai.

Darin werden die Höhepunkte des vergangenen Jahres aufgeführt, darunter die Stärkung der Unterstützung für Unternehmen und Verwaltungen, öffentliche Informationskampagnen und digitale Bildung für junge Menschen, der Umgang mit Beschwerden und repressive Maßnahmen.

• Der Staatsrat hat die Aufzeichnung des Diskussionstages, den er am 10. Februar 2023 gemeinsam mit der CNIL und der Alliance IHU France zum Thema „KI und Big Data: Wie werden sie die medizinische Forschung und Praxis von morgen revolutionieren?“ veranstaltet hat, online gestellt.

Es folgte der Studie des Staatsrats „Künstliche Intelligenz und öffentliches Handeln“ vom August 2022.

• In einem Urteil vom 23. April 2023 entschied das Pariser Berufungsgericht, dass WhatsApp-Nachrichten wie SMS-Nachrichten zu behandeln seien, wenn sie unter den gleichen Bedingungen ausgetauscht würden.

Im Rahmen eines Streits zwischen einem Unternehmen und ehemaligen Mitarbeitern entschied das Gericht, dass der Arbeitgeber auf nicht näher spezifizierte „persönliche“ Nachrichten aus einer WhatsApp-Gruppe auf den Diensthandys der ehemaligen Mitarbeiter zugreifen dürfe.

 

Europäische Institutionen und Gremien

• Anlässlich des fünften Jahrestages der DSGVO präsentieren zahlreiche Studien ein gemischtes Bild ihrer Umsetzung.

Die NGO noyb veröffentlicht zu diesem Thema eine Übersicht über die 800 DSGVO-Fälle, die sie in den letzten fünf Jahren bei den Datenschutzbehörden eingereicht hat, von denen 86 Fälle noch auf eine Entscheidung warten.

Die Nichtregierungsorganisation hat mehr als 60 Verfahrensprobleme identifiziert, die die Anwendung der DSGVO behindern.

Während die gegen Meta verhängte Geldstrafe für Schlagzeilen sorgt, ist die NGO der Ansicht, dass die Datenschutzbehörden die DSGVO im Allgemeinen nicht zeitnah anwenden.

• Eine vom Future of Privacy Forum (FPF) durchgeführte Bewertung zeigt, dass Verstöße gegen Artikel 25 der DSGVO in Bezug auf „Datenschutz durch Technikgestaltung“ diejenigen sind, die zu den höchsten Geldstrafen geführt haben.

Die Studie stützt sich auf mehr als 90 Fälle und erklärt, dass „einige Datenschutzbehörden Artikel 25 anwenden, bevor andere Verstöße gegen die DSGVO vorliegen oder sogar bevor die beabsichtigte Datenverarbeitung stattfindet.“

• Der Europäische Datenschutzausschuss (EDPB) hat soeben Anu Talus, die finnische Datenschutzbeauftragte, zu seiner Präsidentin gewählt.

Die neue Präsidentin wird die scheidende Präsidentin Andrea Jelinek ersetzen und die Arbeit des Komitees für die nächsten fünf Jahre leiten.

• Der Europäische Datenschutzausschuss (EDSA) veröffentlicht eine Sammlung von Fällen zum Widerspruchsrecht und zum Recht auf Löschung gemäß Artikel 17 DSGVO. Er untersucht eine Auswahl von Beispielentscheidungen aus seinem öffentlichen Register.
• Die Lenkungsgruppe „Transparency and Consent Framework“ des IAB Europe hat die Version 2.2 ihres Referenzrahmens veröffentlicht.

Zu den wichtigsten Änderungen gehören die Abschaffung der Rechtsgrundlage des berechtigten Interesses für die Personalisierung von Werbung und Inhalten, die Verbesserung der den Endnutzern bereitgestellten Informationen und die Verpflichtung der Anbieter, zusätzliche Informationen über ihre Datenverarbeitungsaktivitäten bereitzustellen.

• Eine Gruppe von 30 IT- und Cybersicherheitsexperten aus Europa hat einen offenen Brief an die EU-Spitzenpolitiker verfasst.

Sie äußern ihre Besorgnis über die ernsten Risiken, die die von der Europäischen Kommission vorgeschlagene Verordnung über sexuellen Kindesmissbrauch (CSA) für die Vertraulichkeit und Sicherheit der gesamten Kommunikation sowie für die allgemeine Gesundheit des Internets und des Informationsökosystems birgt.

 

Neuigkeiten aus den Mitgliedsländern Europas.

• Das Bundesamt für Datenschutz (BfDI) hat bestätigt, dass die Prüfung technologischer Entwicklungen wie generativer KI unter datenschutzrechtlicher Sicht zu seinem Aufgabenbereich gehört.
• Die dänische Datenschutzbehörde hat einen Datenverantwortlichen gerügt, weil er personenbezogene Daten an Meta Ireland weitergegeben hatte, ohne sich vorher zu vergewissern, dass Meta Ireland bei der Übermittlung der Daten an Meta-Plattformen in den Vereinigten Staaten die DSGVO einhielt.
• Nach einem aufsehenerregenden Datenskandal und einer Beschwerde der NGO noyb ordnete die maltesische Datenschutzbehörde (DPA) C-Planet an, einem Auskunftsersuchen nachzukommen und die Quelle der gespeicherten personenbezogenen Daten offenzulegen. Die Daten waren im Rahmen eines Datenlecks, das die politischen Meinungen von 335.000 Wählern der Insel betraf, offengelegt worden.
• Die niederländische Verbraucherorganisation hat eine Sammelklage gegen Google eingereicht, weil das Unternehmen ohne gültige Einwilligung den Standort, das Surfverhalten und die App-Nutzung seiner Nutzer verfolgt. Google wird voraussichtlich alle Nutzer entschädigen, die seine Dienste seit dem 1. März 2012 genutzt haben.
• Die belgische Datenschutzbehörde (APD) hat die Übermittlung von Steuerdaten von in Belgien lebenden US-Bürgern in die USA untersagt. Laut APD ist das FATCA-Abkommen, das solche Übermittlungen ermöglicht, nicht mit der DSGVO vereinbar, und die belgische Steuerbehörde hätte eine Folgenabschätzung durchführen müssen.
• Die norwegische Datenschutzbehörde hat festgestellt, dass eine Autovermietungsplattform gemäß Artikel 6(1)(f) der DSGVO eine Rechtsgrundlage hat, die Kreditwürdigkeit einer betroffenen Person zu beurteilen, um das finanzielle Risiko des Unternehmens zu reduzieren.
• Nach einer anonymen Beschwerde gegen ein Inkassobüro verhängte die kroatische Datenschutzbehörde (APD) eine Geldbuße in Höhe von 2.265.000 Euro wegen mangelnder Sicherheitsmaßnahmen, fehlender Einwilligung und Verletzung der Informationspflicht durch den Datenverantwortlichen.
• Nach einer Beschwerde erließ die österreichische Datenschutzbehörde (APD) am 10. Mai 2023 eine Entscheidung gegen das Gesichtserkennungsunternehmen Clearview AI. In der Entscheidung wurden Verstöße gegen die DSGVO (Artikel 5, 6 und 9) festgestellt, der Verantwortliche wurde angewiesen, die Daten des Beschwerdeführers zu löschen und gemäß Artikel 27 der Verordnung einen Vertreter in Österreich zu benennen.
• Am 15. Mai verhängte das Information Commissioner's Office (ICO) eine Geldstrafe von 12.700.000 Pfund gegen TikTok wegen einer Reihe von Verstößen gegen Datenschutzgesetze, darunter die unrechtmäßige Verwendung personenbezogener Daten von Kindern.

 

• Es zeichnet sich ein zunehmender Trend zur Nutzung von KI im beruflichen Kontext ab. So nutzte beispielsweise ein amerikanischer Anwalt ChatGPT, um für eine Gerichtsakte nach Präzedenzfällen zu suchen, wobei mindestens sechs der zitierten Fälle nicht existierten – ein typischer Fall von KI-Wahnvorstellungen, bei denen der Chatbot Informationen erfindet.

Der vorsitzende Richter schrieb: „Das Gericht steht vor einer beispiellosen Situation. Die vom Anwalt des Klägers eingereichte Klageerwiderung gegen den Abweisungsantrag enthält zahlreiche Verweise auf nicht existierende Fälle.“ Der Anwalt entschuldigte sich und muss sich nun einem Disziplinarverfahren stellen.

• Am 16. Mai sagte Sam Altman, CEO von OpenAI, vor dem US-Kongress aus.

Nachdem er eingeräumt hatte, dass KI potenziell „schiefgehen“ könne, und seinen Wunsch geäußert hatte, mit der Regierung zusammenzuarbeiten, um dies zu verhindern, differenzierte er seine Bemerkungen: Der Entwickler von ChatGPT ist der Ansicht, dass es wichtig sei, Unternehmen und Open-Source-Projekten zu ermöglichen, bestimmte Modelle „unterhalb einer signifikanten Kapazitätsschwelle“ zu entwickeln, ohne strenge Regulierungen oder Mechanismen wie Lizenzen oder Audits.

• Am 23. Mai veröffentlichte der US-Kongress einen Bericht mit dem Titel „Generative Künstliche Intelligenz und Datenschutz: Eine Einführung“. Der Bericht konzentriert sich auf Datenschutzfragen und politische Überlegungen, die für den Kongress relevant sind.
• Auch im Bereich der KI veröffentlichte das Electronic Privacy Information Center (EPIC) seinen Bericht mit dem Titel „Generating Harms – Generative AI's Impact & Paths Forward“. Das Dokument schlägt eine Brücke zwischen den Bereichen Datenschutz und KI aus der Perspektive potenzieller Schäden.
• Die US-amerikanische Federal Trade Commission hat eine Grundsatzerklärung zur Erhebung biometrischer Daten veröffentlicht, die nicht unbemerkt geblieben ist.

Die Behörde erklärt, dass sie ihre Expertise im Bereich unlauterer Geschäftspraktiken nutzen wird, um schädliche Verarbeitungen biometrischer Daten zu verfolgen, und dass sie eine breite Auslegung biometrischer Daten entwickelt, einschließlich Daten wie beispielsweise eines Gesichtsfotos, selbst wenn diese nicht zur Identifizierung der betreffenden Person verarbeitet werden.

• Am 18. Mai gab der Generalstaatsanwalt des Bundesstaates Washington bekannt, dass Google 39,9 Millionen Dollar an den Staat für irreführende Geolokalisierungspraktiken zahlen werde.

Google wird außerdem eine Reihe von Reformen umsetzen, um die Transparenz seiner Geolokalisierungseinstellungen zu erhöhen.

• Die Europäische Kommission hat in Zusammenarbeit mit der ASEAN (Verband Südostasiatischer Nationen) einen Leitfaden für die Übermittlung personenbezogener Daten unter Verwendung von Standardvertragsklauseln veröffentlicht, die von den beiden Organisationen angenommen wurden.

Der Leitfaden wird in zwei Teilen veröffentlicht: einem „Referenzleitfaden“, der einen Vergleich zwischen ASEAN CMCs und EU CSCs bietet, und einem „Implementierungsleitfaden“, der bewährte Verfahren von Unternehmen aufzeigt, die die Anforderungen beider Vertragsklauseln erfüllen.

• Das iberoamerikanische Netzwerk der Datenschutzbehörden („RIPD“) kündigte am 8. Mai an, eine Untersuchung bezüglich ChatGPT zu koordinieren.
• Am 11. April 2023 veröffentlichte die Cyberspace Administration of China (CAC) einen Entwurf von Verwaltungsmaßnahmen für generative künstliche Intelligenzdienste („Entwurf von KI-Maßnahmen“).

Dieses Projekt würde mit Chinas allgemeinem Ansatz zur Datenregulierung, Cybersicherheit und zu Online-Inhalten übereinstimmen, der großen Wert auf die Aufrechterhaltung der politischen und sozialen Ordnung legt.

Die CAC veröffentlichte am 30. Mai außerdem Richtlinien zur Registrierung von Standardverträgen für den Export personenbezogener Daten.

• Am 23. Mai finalisierte das pakistanische Ministerium für Informationstechnologie und Telekommunikation einen Gesetzentwurf zum Schutz personenbezogener Daten.

Es tritt spätestens zwei Jahre nach seiner Verkündung in Kraft, je nachdem, was die Bundesregierung festlegt.

• Die brasilianischen Behörden haben die Sperrung der in Brasilien weit verbreiteten Telegram-App angeordnet, da diese bei laufenden Ermittlungen gegen Neonazi-Gruppen nicht ausreichend kooperiere.

Das Gericht verurteilte Telegram zu einer Strafe von rund 200.000 € pro Tag, weil das Unternehmen diese Informationen nicht bereitgestellt hatte. Der Antrag enthielt nur teilweise die erforderlichen Angaben.