Legal Watch Nr. 69 – März 2024.

Datensicherheit, Cyberbedrohungen: Aktuelle Lage und Leitlinien.

Mehrere Organisationen veröffentlichen zu Beginn dieses Jahres ihre Berichte über den Stand der Cybersicherheitsbedrohungen: eine Gelegenheit, eine Bestandsaufnahme der Risiken vorzunehmen und Ratschläge zum Schutz personenbezogener Daten zu geben.

Die Europäische Agentur für Cybersicherheit (ENISA) hat ihren Bericht über Cybersicherheitsbedrohungen bis 2030 veröffentlicht.

Der Bericht nennt Bedrohungen im Zusammenhang mit Softwareabhängigkeiten und Desinformationskampagnen sowie solche, die auf menschliches Versagen zurückzuführen sind, als besonders besorgniserregend.

Zu den langfristigen Bedrohungen zählt die Behörde den Fachkräftemangel und das Versagen von Dienstleistern sowie die Zunahme von Bedrohungen im Zusammenhang mit KI.

Die Initiative „Maßnahmen gegen Cyberkriminalität“ teilt anlässlich der Veröffentlichung ihres jährlichen Tätigkeitsberichts auch ihre Analyse der Bedrohungslage in Frankreich mit. 

Phishing bleibt die größte Bedrohung: Die Methoden werden vielfältiger und raffinierter. Zu den häufigsten Formen des Phishings gehören vorgetäuschte Verkehrsverstöße, Kinderpornografie und gefälschter technischer Support.

Darüber hinaus bleibt die Zahl der Betrugsfälle mit falschen Bankberatern konstant hoch.

Das Hacken von Konten stellt eine weitere große Bedrohung dar, deren Folgen zu Identitätsdiebstahl und finanziellen Schäden führen können.

Schließlich stellen Ransomware-Angriffe und Malware (Viren) eine bedeutende und zunehmende Ursache für Hilfsanfragen von Opfern dar.

Am 27. März veröffentlichte die CNIL einen Bericht über Sicherheitslücken der letzten fünf Jahre.

Sie merkt an, dass der Privatsektor für etwa zwei Drittel der der CNIL gemeldeten Verstöße verantwortlich ist, darunter 39 % von KMU.

Der öffentliche Sektor ist unterdessen für 22 % der Meldungen verantwortlich.

Bezüglich der Verteilung nach Tätigkeitsbereichen entfallen 18 % der Meldungen auf öffentliche Verwaltungen.

Spezialisierte, wissenschaftliche und technische Tätigkeiten sind im Privatsektor am stärksten vertreten, gefolgt von Finanz- und Versicherungstätigkeiten.

Aktivitäten im Zusammenhang mit der menschlichen Gesundheit machen ebenfalls 12 % der Meldungen aus.

In diesem Zusammenhang und um den neuen Risiken für Daten Rechnung zu tragen, hat die CNIL Ende März ihren Leitfaden zur Datensicherheit aktualisiert.

Diese neue Version gliedert den Leitfaden in fünf Teile: Benutzer, Ausrüstung, Datenkontrolle, Vorbereitung auf Zwischenfälle und schließlich ein Schwerpunkt auf besonders aktuelle Themen.

Die CNIL stellt neue Informationsblätter vor, insbesondere zu künstlicher Intelligenz (KI), mobilen Anwendungen, Cloud Computing und Anwendungsprogrammierschnittstellen (APIs).

Der Leitfaden enthält außerdem Informationsblätter zur Risikoanalyse und Verschlüsselung.

Am Ende des Dokuments ermöglicht eine Checkliste die Überprüfung der von der verantwortlichen Person getroffenen Maßnahmen und die Beurteilung ihres Sicherheitsniveaus.

Unter den empfohlenen Schutzmaßnahmen wird häufig die Multi-Faktor-Authentifizierung (MFA) genannt und zunehmend empfohlen, um Datenbanken vor betrügerischen Zugriffsversuchen zu schützen.

Die CNIL hat soeben eine öffentliche Konsultation zur Vereinbarkeit von Lösungen, die den AMF nutzen, mit der DSGVO eröffnet.

Ein aktuelles Beispiel bestätigt die Notwendigkeit, den Kontext der Nutzung von AMF zu klären: In Spanien wurde ein Unternehmen vor Gericht verurteilt, weil es seinen Mitarbeitern AMF auf ihren privaten Handys aufzwang, obwohl das Gesetz vorschrieb, dass es ihnen zu diesem Zweck Firmenhandys zur Verfügung stellen musste.

In ihrer Empfehlung befasst sich die CNIL mit der Festlegung einer Rechtsgrundlage, der Minimierung der erhobenen Daten, den Aufbewahrungsfristen und der Achtung der Rechte der betroffenen Personen.

Es liefert praktische Beispiele für die Implementierung einer datenschutzkonformen Multi-Faktor-Authentifizierung.

 

      

Am 20. März verhängte die französische Wettbewerbsbehörde eine Geldstrafe von 250 Millionen Euro gegen Google, weil das Unternehmen seinen Verpflichtungen nicht nachgekommen war und Presseartikel zum Trainieren seines KI-Systems verwendet hatte (Bard/Gemini). 

Diese Entscheidung, die vierte in diesem Fall innerhalb von vier Jahren, steht im Zusammenhang mit der Verabschiedung des Gesetzes vom 24. Juli 2019 über verwandte Schutzrechte, das die Voraussetzungen für eine ausgewogene Verhandlung zwischen Verlagen, Presseagenturen und digitalen Plattformen schaffen soll.

Am 8. April veröffentlichte die CNIL Empfehlungen für den Einsatz von KI unter Berücksichtigung personenbezogener Daten.

Ihr Ziel ist es, konkrete Antworten, illustriert mit Beispielen, auf die rechtlichen und technischen Herausforderungen im Zusammenhang mit der Anwendung der DSGVO auf KI zu geben.

Die in diesen ersten Empfehlungen angesprochenen Punkte ermöglichen es insbesondere, die anwendbare Rechtsordnung und die rechtliche Qualifikation der Akteure zu bestimmen, gegebenenfalls eine Folgenabschätzung durchzuführen und den Datenschutz von der Entwurfsphase des Systems an zu integrieren (Privacy by Design).

 

Europäische Institutionen und Gremien

Am 11. März stellte der Europäische Datenschutzbeauftragte (EDPS) fest, dass die Europäische Kommission bei der Nutzung von Microsoft 365 gegen mehrere wichtige Datenschutzregeln verstoßen hatte.

Insbesondere hat die Kommission keine angemessenen Garantien dafür geschaffen, dass personenbezogene Daten, die außerhalb der EU/des EWR übermittelt werden, ein Schutzniveau genießen, das im Wesentlichen dem in der EU/im EWR garantierten Schutzniveau entspricht.

Darüber hinaus hat die Kommission in ihrem Vertrag mit Microsoft nicht ausreichend spezifiziert, welche Arten von personenbezogenen Daten bei der Nutzung von Microsoft 365 erhoben werden sollen und zu welchen expliziten und präzisen Zwecken (...).

Der Europäische Datenschutzausschuss (EDPB) hat der Kommission Korrekturmaßnahmen auferlegt, darunter die Aussetzung sämtlicher Datenflüsse ab dem 9. Dezember 2024, die sich aus der Nutzung von Microsoft 365 ergeben, an Microsoft und seine verbundenen Unternehmen und Unterauftragnehmer in Ländern außerhalb der EU/des EWR, für die kein Angemessenheitsbeschluss vorliegt.

Während diese Entscheidung europäische Institutionen betrifft, hat die Begründung des EDPS eine viel breitere Tragweite und könnte Auswirkungen auf die Nutzung von Microsoft 365 in den EU-Mitgliedstaaten haben.

Am 15. März wandte sich der Europäische Bürgerbeauftragte mit einem Schreiben an die Europäische Kommission und fragte, wie diese KI in ihren Entscheidungsprozessen einsetzt.

Der Ombudsmann merkte an, dass „rasante Entwicklungen im Bereich der KI zwar die Qualität und Effizienz der Arbeit verbessern können, sie aber große Herausforderungen in Bezug auf Genauigkeit, potenzielle Voreingenommenheit, Erklärbarkeit und menschliche Kontrolle mit sich bringen.“

Sie betonte außerdem, dass die öffentlichen Verwaltungen sicherstellen müssten, dass KI die menschliche Entscheidungsfindung lediglich unterstützt und nicht ersetzt.

Die Fragen konzentrieren sich auf den Einsatz von KI in drei spezifischen Bereichen: Analyse von öffentlichem Feedback, Aufdeckung potenzieller Verstöße gegen EU-Wettbewerbsregeln und Bearbeitung von Beschwerden.

Während das Europäische Parlament gerade erst über die KI-Verordnung abgestimmt hat, sind die Verordnungen über digitale Märkte (DMA) und digitale Dienste (DSA) bereits in Kraft getreten, und die Kommission hat bereits mehrere Verfahren auf der Grundlage dieser beiden Texte eingeleitet.

Am 25. März leitete die DMA ein Verfahren gegen Alphabet, Apple und Meta ein.

Hinsichtlich Apple und Alphabet beabsichtigt die Kommission festzustellen, ob die im Zusammenhang mit ihren Verpflichtungen bezüglich App-Stores getroffenen Maßnahmen gegen das Gesetz über das öffentliche Beschaffungswesen verstoßen, das Gatekeeper dazu verpflichtet, App-Entwicklern zu ermöglichen, Verbraucher kostenlos auf Angebote hinzuweisen, die nicht in ihren App-Stores aufgeführt sind.

Bezüglich Meta hat die Kommission ein Verfahren eingeleitet, um festzustellen, ob das kürzlich in der EU eingeführte Modell „Zahlen oder zustimmen“ für Nutzer mit dem Datenschutzrecht vereinbar ist, das von den Verantwortlichen verlangt, die Zustimmung der Nutzer einzuholen, wenn sie beabsichtigen, deren personenbezogene Daten zu kombinieren oder übergreifend zu nutzen.

Dieses jüngste Verfahren ergänzt das vom Europäischen Datenschutzausschuss zum selben Thema eingeleitete Verfahren.

Die Kommission eröffnete am 14. März außerdem ein formelles Verfahren nach dem Digital Services Act, um festzustellen, ob AliExpress gegen den Digital Services Act in Bereichen wie Risikomanagement und Risikominderung, Inhaltsmoderation und interne Beschwerdebearbeitungsmechanismen, Transparenz von Werbung und Empfehlungssystemen, Rückverfolgbarkeit von Händlern und Zugang zu Daten für Forscher verstoßen hat.

Am selben Tag schickte sie außerdem eine Anfrage an LinkedIn bezüglich potenziell zielgerichteter Werbung auf Basis sensibler Daten.

Am 4. März veranstaltete die Europäische Kommission das allererste hochrangige Treffen zum Thema grenzüberschreitende Datenflüsse.

Das Treffen brachte den Kommissar für Justiz, den Vorsitzenden des Europäischen Datenschutzausschusses sowie Minister und Leiter der Datenschutzbehörden aus 15 Ländern und Gebieten zusammen, für die die EU einen Angemessenheitsbeschluss gefasst hat.

Ziel ist es, die Zusammenarbeit zwischen diesen Teilnehmern im Bereich des Datenschutzes zu verbessern.

In einem Urteil vom 7. März bestätigte der Gerichtshof der Europäischen Union (EuGH), dass die von Werbetreibenden zur Kodierung von Nutzerpräferenzen verwendete TC-Zeichenkette („TC-Zeichenkette“) „Informationen über einen identifizierbaren Nutzer enthält und daher personenbezogene Daten im Sinne der DSGVO darstellt“.

Wenn die in einem TC String enthaltenen Informationen mit einer Kennung verknüpft sind, wie beispielsweise der IP-Adresse des Geräts des Benutzers, können diese Informationen verwendet werden, um ein Profil dieses Benutzers zu erstellen und ihn zu identifizieren. 

Des Weiteren muss IAB Europe als „gemeinsam Verantwortlicher“ im Sinne der DSGVO betrachtet werden. (...)

Der Verband scheint Einfluss auf Datenverarbeitungsvorgänge auszuüben, wenn die Einwilligungspräferenzen der Nutzer in einer TC-Zeichenkette aufgezeichnet werden, und bestimmt gemeinsam mit seinen Mitgliedern sowohl den Zweck dieser Vorgänge als auch die ihnen zugrunde liegenden Mittel. 

Der EuGH hat am 7. März im Rahmen der Berufung über eine Entscheidung des EU-Gerichtshofs entschieden, die den Begriff der personenbezogenen Daten betrifft.

 Das Gericht kam zu dem Schluss, dass die Identifizierbarkeit nicht damit zusammenhängt, dass ein „durchschnittlicher Leser“ eine Person identifizieren kann, sondern davon abhängt, ob „zusätzliche Faktoren … die zur Identifizierung erforderlich sind … [diese Faktoren] können einer anderen Person als dem Verantwortlichen zugänglich sein (siehe C-582/14, Rn. 39 und 41)“.

Das Gericht irrte sich auch in seiner Argumentation, dass die „vernünftigerweise zur Identifizierung einer betroffenen Person einzusetzenden Mittel“ begrenzt seien.

Das Gericht hätte die Kosten und den Zeitaufwand für die Identifizierung des Klägers berücksichtigen müssen, um festzustellen, ob dieser mit „angemessenen Mitteln“ identifiziert werden konnte.

Diese Entscheidung betraf die Anwendung der für europäische Institutionen geltenden Datenschutzverordnung, deren Definitionen mit denen der DSGVO identisch sind.

Auf der Kaizener-Website finden Sie eine Reihe von Tabellen, in denen die zahlreichen europäischen Regulierungsinitiativen im digitalen Sektor sowie deren Umsetzungsstand aufgeführt sind. 

 

Neuigkeiten aus den Mitgliedsländern Europas.

Die belgische Datenschutzbehörde veröffentlichte am 15. März eine Entscheidung über die Rechtsgrundlage für die Verarbeitung von Daten, die zum Trainieren von KI-Modellen verwendet werden, und die anschließende, separate Nutzung dieser Modelle für kommerzielle Zwecke. 

Die APD war der Ansicht, dass der Verantwortliche sich nicht auf eine vereinbare Verwendung (Artikel 6 Absatz 4 DSGVO) berufen könne, da der Zweck der Schulung nicht von Anfang an klar festgelegt worden sei.

Auch die weitere Verwendung erforderte eine eigene Rechtsgrundlage.

Der Datenverantwortliche muss seinen Kunden auch das Recht einräumen, der Verwendung ihrer Daten für das Modelltraining zu widersprechen.

Die belgische Datenschutzbehörde war außerdem der Ansicht, dass ein Datenverantwortlicher gegen Artikel 5(1) der DSGVO verstoßen hatte, indem er das E-Mail-Konto eines ehemaligen Mitarbeiters nicht rechtzeitig gelöscht hatte.

Die APD gab an, dass das Postfach am letzten Werktag deaktiviert werden sollte und dass die automatische Antwort innerhalb eines Monats oder in bestimmten Ausnahmefällen innerhalb von drei Monaten deaktiviert werden sollte.

In einem ähnlichen Fall kam die italienische Datenschutzbehörde (APD) zu dem Schluss, dass der Datenverantwortliche gegen den Grundsatz der Datenminimierung verstoßen hatte, weil er das E-Mail-Konto eines ehemaligen Mitarbeiters nicht deaktiviert hatte, und begründete dies mit der Notwendigkeit, Kunden auf ein anderes Konto umzuleiten.

Der Datenverantwortliche wurde mit einer Geldstrafe von 15.000 Euro belegt.

Die italienische Datenschutzbehörde (APD) verhängte eine Geldstrafe von 800.000 Euro gegen einen Subunternehmer, weil dieser ohne vorherige Genehmigung des Datenverantwortlichen einen weiteren Subunternehmer eingesetzt und den Datenverantwortlichen verspätet über eine Datenschutzverletzung informiert hatte.

Zudem wurden fünf Unternehmen mit Geldstrafen belegt, die Gesichtserkennung zur Überwachung der Anwesenheit am Arbeitsplatz einsetzten.

Die Behörde stellte fest, dass die Datenschutzmaßnahmen unzureichend waren, dass die Menschen die erforderlichen Informationen nicht erhalten hatten und dass ein weniger aufdringliches System hätte verwendet werden können.

Die italienische Datenschutzbehörde (APD) leitete am 8. März ebenfalls eine Untersuchung gegen OpenAI ein, das die Einführung eines neuen KI-Modells namens „Sora“ angekündigt hatte.

Dieses Modell wäre in der Lage, anhand weniger Textanweisungen dynamische, realistische und fantasievolle Szenen zu erzeugen.

Die APD hat OpenAi um eine Reihe von Klarstellungen gebeten, da „Sora“ Auswirkungen auf die Verarbeitung personenbezogener Daten von Nutzern in der Europäischen Union und insbesondere in Italien haben könnte.

Am 25. März beschloss die portugiesische Datenschutzbehörde (APD), die Worldcoin Foundation anzuweisen, die Erfassung biometrischer Daten durch „Orb“ auf nationalem Gebiet vorübergehend einzuschränken, um die Rechte der Bürger, insbesondere von Minderjährigen, zu schützen.

Mit der Entscheidung wird der Worldcoin Foundation als Datenverantwortlicher eine dringende einstweilige Maßnahme auferlegt, bis deren Untersuchung abgeschlossen ist.

Spanien hat eine ähnliche Entscheidung getroffen.

Die finnische Datenschutzbehörde (APD) hat einen IT-Händler mit einer Geldstrafe von 856.000 Euro belegt, weil er die Aufbewahrungsfrist für die Daten seiner Kunden nicht festgelegt hatte.

Die APD berücksichtigte auch Folgendes: Für die Verarbeitung personenbezogener Daten im Zusammenhang mit einem einzelnen Online-Kauf ist die Erstellung eines Kundenkontos nicht erforderlich.

In Deutschland urteilte ein Berliner Gericht, dass sich der Datenverantwortliche bei der Beantwortung eines Auskunftsersuchens nicht darauf beschränken darf, einen abstrakten Überblick über die Verarbeitung zu geben.

Der Beamte hatte unverhältnismäßige Anstrengungen angeführt.

Laut Gericht können diese nur in absoluten Ausnahmefällen angewendet werden.

Die isländische Datenschutzbehörde (APD) hat Stjörnuna ehf mit einer Geldstrafe in Höhe von 10.059,92 Euro (1.500.000 ISK) belegt. dem Betreiber von Subway in Island vorzuwerfen, seine Angestellten illegal überwacht zu haben, ohne sie angemessen zu informieren.

In Österreich urteilte der Oberste Verwaltungsgerichtshof, dass ein Algorithmus Die Ermittlung der Einstellungswahrscheinlichkeit von Bewerbern stellt eine automatisierte Entscheidungsfindung im Sinne von Artikel 22 DSGVO dar, selbst wenn das Ergebnis ausschließlich von einer öffentlichen Stelle dazu verwendet wird, Arbeitssuchenden gezielte Beschäftigungsberatung zu geben.

 

Die britische Regierung Im März wurde ein Leitfaden für die verantwortungsvolle Anschaffung und den Einsatz von KI im Personalwesen und im Rekrutierungssektor veröffentlicht.

Am 21. März verabschiedeten die Vereinten Nationen eine umfassende Resolution zum Thema KI.

Die Organisation erkennt an, dass KI dazu beitragen kann, die Erreichung der 17 Ziele für nachhaltige Entwicklung zu beschleunigen, und betont die Dringlichkeit, „einen globalen Konsens über sichere und vertrauenswürdige Systeme künstlicher Intelligenz zu erzielen“.

Die Entschließung fordert die Mitgliedstaaten auf, KI-Regulierungen und -Richtlinien zu verschiedenen Themen, einschließlich des Datenschutzes, zu erlassen.

Die Versammlung rief alle Mitgliedstaaten und Interessengruppen dazu auf, „von der Nutzung von KI-Systemen abzusehen oder diese einzustellen, die nicht im Einklang mit internationalem Menschenrechtsrecht betrieben werden können oder die ein übermäßiges Risiko für die Ausübung der Menschenrechte darstellen.“

Laut einem Techcrunch-Artikel vom 26. März hat ein Bundesgericht in Kalifornien im Rahmen einer Sammelklage von Verbrauchern gegen Meta mehrere Dokumente veröffentlicht.

Im Jahr 2016 startete Facebook Berichten zufolge ein geheimes Projekt mit dem Ziel, den Netzwerkverkehr zwischen Nutzern der Snapchat-Anwendung und den Servern des Unternehmens abzufangen und zu entschlüsseln.

Ziel war es, das Nutzerverhalten zu verstehen und Facebook dabei zu helfen, mit Snapchat zu konkurrieren.

Das Justizministerium und das FBI gaben am 25. März bekannt, dass Millionen von Online-Konten amerikanischer Nutzer Opfer eines chinesischen Hackerangriffs geworden waren.

Sieben chinesische Staatsangehörige wurden beschuldigt, eine groß angelegte Cyberangriffskampagne durchgeführt zu haben.

Das Justizministerium erklärte, die Hacker hätten es auf amerikanische und ausländische Kritiker Chinas, Unternehmen und Politiker abgesehen.

Am 25. März unterzeichnete der republikanische Gouverneur von Florida ein Gesetz, das Kindern unter 14 Jahren den Zugang zu sozialen Medien verbietet.

Minderjährige im Alter von 14 oder 15 Jahren benötigen die ausdrückliche Zustimmung ihrer Eltern, um ein Konto zu erstellen.

Wenn die Regeln am 1. Juli 2024 in Kraft treten, werden Unternehmen wie Facebook, Instagram und TikTok grundsätzlich verpflichtet sein, bestehende Konten, die diesen Anforderungen nicht entsprechen, zu kündigen und alle entsprechenden personenbezogenen Daten zu löschen.

Diese Maßnahme wurde kritisiert und es wird erwartet, dass sie vor Gericht auf der Grundlage des verfassungsmäßigen Rechts auf freie Meinungsäußerung angefochten wird.

Inzwischen erwägen die Vereinigten Staaten ein landesweites Verbot von TikTok.

Am 13. März verabschiedete das Repräsentantenhaus den sogenannten „Protecting Americans from Foreign Adversary Controlled Applications Act“.

Sollte der Senat den Gesetzentwurf annehmen und er in Kraft treten, müsste TikTok die Videoplattform von ihrem chinesischen Mutterkonzern ByteDance trennen oder den Amerikanern den Zugang zur Anwendung verwehren.

Am 18. März schlossen sich Südkorea, Finnland, Deutschland, Irland, Japan, Polen und die Republik Korea beim dritten Demokratiegipfel in Seoul den Vereinigten Staaten in einer gemeinsamen Erklärung zu den Bemühungen zur Bekämpfung der Verbreitung und des Missbrauchs kommerzieller Spionagesoftware an.

Die Staaten verpflichten sich, im Rahmen ihrer nationalen Systeme wirksame Schutzmechanismen zu etablieren, um der Verbreitung und dem Missbrauch dieser Überwachungstechnologie entgegenzuwirken.

In Kuwait hat die Regulierungsbehörde für Informations- und Kommunikationstechnologien (CITRA) ein neues Gesetz zum Schutz personenbezogener Daten veröffentlicht.