Dunkle Muster: Was Sie schon immer wissen wollten, aber nie zu fragen wagten ...

Legal Watch Nr. 45 – März 2022.

Dieser schwer zu übersetzende englische Begriff findet sich in vielen Veröffentlichungen zur Informationstechnologie. 

Ähnlich wie „Nudging“, das darauf abzielt, Internetnutzer subtil zum gewünschten Verhalten zu bewegen, verfolgen „Dark Patterns“ dasselbe Ziel durch die Gestaltung von Webschnittstellen.

Am 14. März verabschiedete der Europäische Datenschutzausschuss Leitlinien zu „Dark Patterns“ in den Schnittstellen von Social-Media-Plattformen. 

Das Dokument, das Gegenstand einer öffentlichen Konsultation ist, richtet sich an Benutzer, um ihnen bei der Identifizierung dieser Techniken zu helfen, und an Designer, denen es bewährte Verfahren zur Erleichterung der Einhaltung der DSGVO bietet. 

Das Dokument listet in einer Art Inventar im Stil von Prévert verschiedene Praktiken auf: 

• Informationsüberflutung konfrontiert den Benutzer mit einer Flut von Daten oder Optionen (beispielsweise einer endlosen Liste von Cookie-Empfängern), was dazu führt, dass er mehr Informationen preisgibt, als er möchte. 

• Überspringen führt dazu, dass der Benutzer vergisst, bestimmte Bedingungen für die Nutzung seiner Daten zu prüfen, beispielsweise indem er seine Aufmerksamkeit woanders hinlenkt.

• Rühren beeinflusst die Entscheidungen der Benutzer, indem es mit ihren Emotionen spielt (zum Beispiel, um sie davon abzuhalten, sich von einem sozialen Netzwerk abzumelden)

• Behinderung verhindert, dass Internetnutzer ihre Auswahl über nicht funktionierende Links treffen und Informationen erhalten, die länger als nötig oder irreführend sind.

• Designinkonsistenz (wankelmütig) wird die Navigation durch die Kontrolltools durch eine dekontextualisierte oder nicht-hierarchische Darstellung der Informationen erschweren.

• Schließlich kann das Design den Internetnutzer im Dunkeln lassen, Verwendung widersprüchlicher, mehrdeutiger Informationen (verschiedenfarbige Schaltflächen standardmäßig aktiviert oder deaktiviert) oder Diskontinuität bei den verwendeten Sprachen (Wechsel von Französisch zu Englisch).

Man könnte fast Ehrfurcht vor solchen Techniken und Vorstellungskraft empfinden, wenn diese Praktiken nicht illegal wären, weil sie dem in Artikel 5(1)(a) der DSGVO festgelegten Loyalitätsgrundsatz sowie den Grundsätzen der Transparenz, Datenminimierung, Rechenschaftspflicht, Zweckbindung und Gültigkeit der Einwilligung zuwiderlaufen.

Die EDPB-Richtlinien enthalten Beispiele für jede Art von Technik und Ratschläge, um den Benutzern die Auswahl zu erleichtern. 

Zu den bewährten Verfahren gehören: 

• Verwenden von Verknüpfungen zum Aktivieren schneller Aktionen (Abmelden von einem Konto).

• Die Verwendung von Bannern oder Pop-ups im Falle einer Änderung oder eines besonderen Risikos (z. B. Sicherheitsverletzung).

• Die Verwendung einer einfachen und konsistenten Sprache.

• Eine Liste mit Definitionen.

• Die Verwendung von Beispielen.

• Erläuterung der Konsequenzen der verschiedenen vorgeschlagenen Optionen.

• Die systematische Anzeige der Sitemap und eine „Zurück“-Schaltfläche ermöglichen dem Benutzer, seine Navigation fortzusetzen.

Es sei darauf hingewiesen, dass die Entscheidungen der CNIL vom vergangenen Januar gegen Google und Facebook, die diese Unternehmen mit Geldstrafen von 150 bzw. 60 Millionen Euro belegten, die Verwendung von Dark Patterns bei der Verwendung von Cookies bestrafen: Die Schnittstellen boten eine einfache Möglichkeit, Cookies mit einem Klick zu aktivieren, während mehrere Aktionen erforderlich waren, um alle Cookies abzulehnen. 

Während sich die Aufmerksamkeit der Aufsichtsbehörden bislang auf Cookies konzentrierte, geht es nun um ein breiteres Spektrum an Praktiken. Die Rolle der Interface-Designer wird dabei immer wichtiger.

Und auch

Frankreich:

Die Abteilung für Cyberkriminalität der Pariser Staatsanwaltschaft hat eine gerichtliche Untersuchung wegen eines massiven Lecks medizinischer Daten eingeleitet. 

Das Datenleck dürfte rund 500.000 Personen betroffen haben und stammte aus rund dreißig medizinisch-biologischen Laboren. Untersuchungen werden auch von ANSSI und CNIL in Zusammenarbeit mit dem Herausgeber der von den Laboren verwendeten Verwaltungssoftware durchgeführt.

Ein weiteres massives Datenleck veranlasste die Nationale Krankenversicherungskasse am 17. März zu einer Erklärung, in der sie erklärte, die Konten von mindestens 19 Angehörigen der Gesundheitsberufe auf dem Amelipro-Portal seien von Hackern kompromittiert worden.  

Von diesem Cyberangriff sind die Identifikationsdaten und Sozialversicherungsnummern von rund 500.000 Versicherten betroffen.

Ebenfalls im Gesundheitssektor wurde die gemeinsame Patientenakte (DMP) im Januar 2022 in den digitalen Gesundheitsbereich (ENS oder „Mein Gesundheitsbereich“) integriert.  

Die CNIL erinnert auf ihrer Website an die Funktionsweise dieser beiden Systeme und die Rechte der betroffenen Personen.

Am 28. Juni 2022 organisiert die CNIL die erste Ausgabe des Privacy Research Day in Paris., eine internationale Konferenz, die sich der Forschung im Bereich Privatsphäre und Schutz personenbezogener Daten widmet.

Europa: 

Zwischen Europa und den USA ist ein Abkommen über die Übermittlung personenbezogener Daten in Sicht. 

Ursula von der Leyen und Joe Biden gaben am 25. März eine politische Einigung zu diesem Thema bekannt. Der EU-Justizkommissar Didier Reynders präzisierte diese Ankündigung, indem er angab, es handele sich um eine Einigung über die „Grundsätze“ eines künftigen transatlantischen Abkommens. 

Der neue Rechtsrahmen würde die „Safe Harbour Principles“ und den „Privacy Shield“ ablösen, die beide vom Europäischen Gerichtshof wegen Nichteinhaltung europäischer Datenschutzgrundsätze für obsolet erklärt wurden. 

Die von der Europäischen Kommission vorgeschlagene Erweiterung der Covid-Zertifikatsverordnung (EUDCC) steht im Visier der Datenschutzbehörden. 

Der EDSB und der EDSA äußerten Bedenken hinsichtlich des Fehlens einer Folgenabschätzung vor den Vorschlägen der Kommission, diese Zertifikate um ein Jahr zu verlängern.  

Der Ausschuss und der Europäische Datenschutzbeauftragte räumten jedoch ein, dass die Ausweitung der zugelassenen Testarten und die Aufnahme der Anzahl der verabreichten Dosen in das Zertifikat keine wesentlichen Änderungen an den geltenden Bestimmungen mit sich bringen.

Mitte März reichten Amazon-Mitarbeiter einen Massenantrag auf Zugriff auf die Daten ein, die das Unternehmen über sie gespeichert hatte, um die Überwachungsbedingungen an ihren Arbeitsplätzen zu überprüfen.  

Die Antragsteller aus Deutschland, Großbritannien, Italien, Polen und der Slowakei stellten ihren Antrag gemäß Artikel 15 der DSGVO in Zusammenarbeit mit der Global Workers' Union (UNI) und der NGO NOYB.  

Zusätzlich zu seinen Richtlinien zu „dunklen Mustern“ in sozialen Medien Der Europäische Datenschutzausschuss hat auf seiner Plenarsitzung am 14. März Leitlinien zur Anwendung von Artikel 60 der DSGVO hinsichtlich der Zusammenarbeit zwischen Datenschutzbehörden verabschiedet. 

Ziel dieses Dokuments ist es, die Anwendung der Bestimmungen des Single Window zu verbessern. 

Das System sieht für in der Europäischen Union ansässige Unternehmen eine Kontaktstelle auf Basis ihres Hauptniederlassungsortes sowie ein Verfahren zur Zusammenarbeit mit allen anderen aufgrund von Beschwerden oder Niederlassungsbeteiligten in ihrem Land beteiligten Behörden vor. 

Die italienische Datenschutzbehörde verhängte am 10. Februar eine Geldstrafe von 20.000.000 € gegen Clearview IA. wegen der Verwendung biometrischer Erkennungssysteme auf öffentlichen Internetquellen unter Verstoß gegen die DSGVO. Es ordnete die Löschung der Daten an. Die britische Datenschutzbehörde verhängte am 28. Februar eine Geldstrafe von 117.000 Euro gegen eine Anwaltskanzlei. bei Verstößen gegen Art. 5 Abs. 1 lit. f und Art. 32 DSGVO und insbesondere bei Nichterfüllung geeigneter Sicherheitsmaßnahmen. 

Spanien hat am 17. Februar einen Verhaltenskodex verabschiedet zum Datenschutz im Rahmen klinischer Studien und der Pharmakovigilanz.

Die irische Datenschutzbehörde verhängte am 15. März nach mehreren Sicherheitsverletzungen eine Geldstrafe von 17 Millionen Euro gegen Meta (ehemals Facebook). : Die Aufsichtsbehörde war der Ansicht, dass das Unternehmen nicht die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit getroffen hatte. 

Die Entscheidung wurde im Anschluss an ein Kooperationsverfahren mit den anderen am Fall beteiligten europäischen Aufsichtsbehörden getroffen (Art. 60 DSGVO).

In Deutschland verhängte die Bremer Datenschutzbehörde am 3. März gegen die Brebau GmbH eine Geldbuße in Höhe von 1.900.000 Euro wegen der unrechtmäßigen Verarbeitung sensibler Daten. zu mehr als 9.500 Mietinteressenten. 

Zu den verarbeiteten Daten gehörten unter anderem Hautfarbe, Religion, sexuelle Orientierung, Gesundheitszustand, Frisur und Körpergeruch.

Internationales: 

In einem Vergleichsbeschluss vom 4. März Die Federal Trade Commission der Vereinigten Staaten fordert von WW International (Weight Watchers), Algorithmen oder Modelle künstlicher Intelligenz zu zerstören, die auf der Grundlage personenbezogener Daten von Minderjährigen entwickelt wurden. ohne vorherige Zustimmung der Eltern. 

Das Unternehmen wurde außerdem mit einer Geldstrafe von 1,5 Millionen US-Dollar belegt und zur Vernichtung der illegal gesammelten Daten verpflichtet. 

Dies ist das dritte Mal, dass die FTC in einem Vergleich die Vernichtung eines Algorithmus für künstliche Intelligenz verlangt hat.  

DER Sri Lanka hat am 19. März 2022 ein Gesetz zum Schutz personenbezogener Daten verabschiedet.

Nokia, das aufgrund des Krieges in der Ukraine die Einstellung seiner Geschäftstätigkeit in Russland angekündigt hatte, wird beschuldigt, ein Telekommunikationssystem zurückgelassen zu haben, das die Überwachung der russischen Bevölkerung ermöglichte. 

Laut internen Dokumenten, die der New York Times vorliegen, beliefert Nokia Russland seit mehr als fünf Jahren mit Ausrüstung und Dienstleistungen, um das russische Überwachungssystem SORM (System for Operative Investigative Activities) mit Russlands größtem Telekommunikationsdienst MTS zu verbinden.

Anne Christine Lacoste  Anne Christine Lacoste, Partnerin bei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und arbeitete an der Umsetzung der DSGVO in der Europäischen Union.