Données sensibles : un champ d’application particulièrement large

Sensible Daten: Ein besonders breiter Anwendungsbereich

Legal Watch Nr. 50 – August 2022.

Es kann schwierig sein, zu beurteilen, ob die von Ihnen erfassten Daten sensibel sind oder nicht, und zu entscheiden, ob diese Daten gemäß der DSGVO besonderen Schutz benötigen.

Wir haben diese Interpretationsschwierigkeiten in unserem Leitartikel vom vergangenen Februar wiederholt.

Der Gerichtshof der Europäischen Union hat gerade die Tragweite des Urteils vom 1. August 2022 klargestellt des Begriffs sensibler Daten oder genauer gesagt besonderer Kategorien von Daten.

Und dieser Anwendungsbereich ist laut Gericht besonders weit gefasst.

Es sei daran erinnert, dass Artikel 9 der DSGVO für Daten gilt, aus denen die angebliche rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftsmitgliedschaft hervorgehen, sowie für die Verarbeitung genetischer Daten, biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Das fragliche Urteil betrifft die Bestimmungen eines litauischen Gesetzes zur Korruptionsbekämpfung, das bestimmte Beschäftigte im öffentlichen Dienst dazu verpflichtet, ihre privaten Interessen sowie Informationen über ihre Ehepartner und Familien offenzulegen, die fast vollständig im Internet veröffentlicht werden.

Auf Einspruch einer von dieser Verpflichtung betroffenen Person muss der Gerichtshof entscheiden

  • Zur Notwendigkeit der Online-Offenlegung von Daten des Ehepartners
  • Zur Frage, ob diese Daten über den Ehepartner als sensible Daten im Sinne von Artikel 9 der DSGVO anzusehen sind, da sie Rückschlüsse auf die sexuelle Orientierung der betroffenen Personen zulassen. Der Gerichtshof ist zunächst der Auffassung, dass die Online-Verbreitung dieser Daten für das verfolgte Ziel der Korruptionsbekämpfung nicht erforderlich erscheint, und stellt dann klar, dass der Begriff der sensiblen Daten weit auszulegen ist.

Bislang blieben einige Fragen hinsichtlich der unterschiedlichen Begriffe im Wortlaut von Artikel 9 bestehen, der Daten regelt, die einerseits politische Meinungen, Gewerkschaftsmitgliedschaften usw. „offenbaren“ oder andererseits die Gesundheit oder die sexuelle Orientierung „betreffen“.

Der Gerichtshof ist der Auffassung, dass alle besonderen Kategorien von Daten unter Berücksichtigung des Kontexts und anderer Bestimmungen der DSGVO weit ausgelegt werden müssen.

Hierzu zählen in diesem Fall also Daten, die durch einen intellektuellen Vergleichs- oder Deduktionsvorgang Aufschluss über die sexuelle Orientierung einer natürlichen Person geben können.

Dieses Urteil könnte erhebliche Auswirkungen auf den Umfang der Pflichten derjenigen haben, die für die Verarbeitung „potenziell“ sensibler Daten verantwortlich sind.

Die CNIL scheint diese Verpflichtungen bisher restriktiver ausgelegt zu haben: Im Januar letzten Jahres erklärte sie, dass „der bloße Akt des Fotografierens oder Filmens eines Bildes, aus dem möglicherweise bestimmte Elemente Rückschlüsse auf personenbezogene Daten zulassen sensible Daten stellen an sich noch keine Verarbeitung sensibler Daten dar (…). Dies Nur wenn diese Bilder verarbeitet werden, um die genannten sensiblen Daten zu extrahieren, zu interpretieren oder zu verwenden, fällt die Verarbeitung unter die Regelung zur Verarbeitung sensibler Daten.

Ein entscheidendes Element in der Argumentation des Gerichtshofs scheint die Tatsache zu sein, dass die Daten öffentlich zugänglich sind: Von diesem Moment an kann jeder die Daten sammeln, sensible Informationen daraus ableiten und sie für einen Zweck verarbeiten, der mit dem ursprünglichen Zweck überhaupt nichts zu tun hat, mit den Konsequenzen, die man für die betroffenen Personen befürchten könnte.

Es sollte auch daran erinnert werden, dass die aus den verfügbaren Daten gezogenen Schlussfolgerungen nicht korrekt sein müssen, um den Anforderungen der DSGVO zu entsprechen: Tatsächlich kommt es nicht darauf an, ob die Schlussfolgerungen gültig sind oder nicht: Fehlerhafte Schlussfolgerungen können für die betroffenen Personen sogar noch schädlichere Folgen haben.

Es wird erwartet, dass diese Entscheidung Auswirkungen auf die für die Datenverarbeitung Verantwortlichen hat, die in großem Umfang Daten verarbeiten und Profile von Internetnutzern erstellen, insbesondere im Kontext sozialer Netzwerke, da eine ausdrückliche Zustimmung erforderlich wird.

Abschließend sei noch hinzugefügt, dass künftige Regelungen für digitale Dienste und digitale Märkte ein Verbot der Verwendung sensibler Daten für zielgerichtete Werbung vorsehen.

In Kombination mit der weiten Auslegung sensibler Daten durch den EuGH können wir uns eine Einschränkung der verhaltensbasierten Werbung auf europäischer Ebene vorstellen, die strenger ist als erwartet.

Und auch

Frankreich:

ACCOR wurde gerade mit einer Geldstrafe von 600.000 Euro belegt für die Durchführung kommerzieller Kundenwerbung ohne die Einwilligung der betroffenen Personen und für die Missachtung der Rechte von Kunden und potenziellen Kunden.

In den Buchungsformularen war standardmäßig eine Option voreingestellt, die den automatischen Versand eines Newsletters mit kommerziellen Angeboten von Partnern an Kunden ermöglichte.

Die CNIL stellte außerdem wiederholt technische Anomalien fest, die viele Menschen daran hinderten, den Empfang von Nachrichten abzulehnen.

Die Entscheidung der CNIL war Gegenstand eines Kooperationsverfahrens mit den Behörden anderer EU-Länder, in denen die ACCOR-Gruppe Daten verarbeitet. Am Ende dieses Verfahrens ordnete der Europäische Datenschutzausschuss an, dass die CNIL die Höhe der Geldbuße erhöhen müsse, damit die getroffene Maßnahme abschreckender wirke.

Zu den berücksichtigten Elementen zählen die Anzahl der Verstöße, die Tatsache, dass diese Verstöße mehrere grundlegende Prinzipien des Schutzes personenbezogener Daten betreffen und eine erhebliche Verletzung der Rechte natürlicher Personen darstellen, sowie die Anzahl der betroffenen Personen und die finanzielle Lage des Unternehmens.

Im August war es unmöglich, mit Ihren Ameli-Anmeldeinformationen eine Verbindung zu France Connect herzustellen., da die Verbindungsschaltfläche von Bercy deaktiviert wurde.

Der Grund dafür ist eine erneute Zunahme von Phishing-Angriffen unter Verwendung dieser Zugangsdaten. Die Generaldirektion für öffentliche Finanzen arbeitet Berichten zufolge an der Absicherung von France Connect und plant, die sensibelsten Verfahren, insbesondere jene, die den Zugang zu Finanzzahlungen ermöglichen, schrittweise auf sicherere Identifizierungsdienste umzustellen.

Am 25. August hat die NGO noyb.eu hat eine Beschwerde gegen Google bei der CNIL eingereicht.

Google wird vorgeworfen, das Urteil des Europäischen Gerichtshofs (EuGH) zu Direktmarketing-E-Mails zu ignorieren und seine E-Mail-Plattform Gmail zu nutzen, um ohne gültige Einwilligung der Nutzer unerwünschte Werbe-E-Mails zu versenden.

Dem französischen Adtech-Riesen Criteo droht eine Geldstrafe von 60 Millionen Euro

im Rahmen einer von der CNIL eingeleiteten Untersuchung.

Dies ist zum jetzigen Zeitpunkt eine vorläufige Entscheidung, die am 5. August von der Organisation, die die Beschwerde eingereicht hat, Privacy International, veröffentlicht wurde.

Europa:

Kritik an den Ermittlungsbefugnissen der EU gegen Spyware während einer parlamentarischen Anhörung am Dienstag, dem 30. August, bei der ein Vertreter von Europol erklärte, das Mandat der Agentur beschränke sich auf die Unterstützung von Mitgliedstaaten, die sich für die Einleitung einer Untersuchung entscheiden.

Bislang ist bekannt, dass mindestens 14 europäische Regierungen Spyware von der NSO Group gekauft haben, die die Pegasus-Spyware entwickelt hat. Experten gehen davon aus, dass in der EU noch viele weitere Anbieter tätig sind.

Der ehemalige Sicherheitschef von Twitter, Peiter „Mudge“ Zatko, reichte Klage gegen das Unternehmen ein, die kürzlich öffentlich wurde.

Das Dokument enthält eine Reihe vernichtender Vorwürfe zu Sicherheits-, Privatsphäre- und Datenschutzfragen (unter anderem) sowie Behauptungen, Twitter habe regionale Aufsichtsbehörden hinsichtlich seiner Einhaltung lokaler Gesetze in die Irre geführt oder dies beabsichtigt.

Die irischen und französischen Aufsichtsbehörden haben sich des Falls angenommen.

Die irische Datenschutzkommission hat gegen die Social-Media-Plattform Instagram eine Geldstrafe von 405 Millionen Euro verhängt., im Besitz von Meta, wegen Verstoßes gegen die DSGVO.

Die Geldbuße ist nach der 746 Millionen Euro schweren Strafe gegen Amazon die zweithöchste im Rahmen der DSGVO und die dritte, die die irische Regulierungsbehörde einem Unternehmen im Besitz von Meta auferlegt hat.

Das Urteil richtet sich gegen die Verletzung der Privatsphäre von Kindern durch Instagram, einschließlich der Veröffentlichung der E-Mail-Adressen und Telefonnummern von Kindern.

Das Oberlandesgericht Köln (OLG Köln) sprach einer Einzelperson 500 Euro zu, aufgrund der Verzögerung, die ein für die Verarbeitung Verantwortlicher bei der Bereitstellung der angeforderten Informationen erfährt gemäß Art. 15 Abs. 1 DSGVO (über GDPRhub).

In einem ähnlichen Fall verhängte die italienische Datenschutzbehörde gegen die Deutsche Bank eine Geldstrafe von 20.000 Euro, weil sie nicht rechtzeitig auf die Auskunftsanfrage einer betroffenen Person reagiert hatte (über GDPRhub).

Die griechische Datenschutzbehörde hat ein medizinisches Diagnosezentrum mit einer Geldstrafe von 30.000 Euro belegt. gegen den Grundsatz der Datenintegrität und Vertraulichkeit verstoßen : Der Manager hatte aufgrund unzureichender technischer und organisatorischer Maßnahmen Mammographiebilder verloren.

Zusätzlich zur Geldbuße ordnete die Datenschutzbehörde an, dass das Zentrum die betroffenen Personen über den Verstoß informieren muss (über GDPRhub).

Der Oberste Gerichtshof Spaniens hat entschieden, dass die Ausübung der Rechte einer Person gegenüber dem Verantwortlichen (Artikel 15 bis 22 der DSGVO) keine Voraussetzung für die Einreichung einer Beschwerde ist. bei einer Datenschutzbehörde: Diese kann auch dann tätig werden, wenn die betroffene Person nicht zuvor Kontakt mit dem Verantwortlichen (über GDPRhub) aufgenommen hat.

In der Schweiz tritt am 1. September 2023 ein neues Datenschutzgesetz in Kraft.

Einige Kommentatoren weisen darauf hin, dass mehrere Grundsätze weniger restriktiv als die der DSGVO wären, insbesondere diejenigen, die sich auf die Einwilligung und den Datenschutzbeauftragten beziehen.

Besonders detailliert sind hingegen die Sicherheitsanforderungen.

Internationales:

Europäische Unternehmen können in den Anwendungsbereich des Cloud Act fallen, auch wenn sie sich außerhalb der Vereinigten Staaten, entscheidet eine Studie, die von einer Anwaltskanzlei im Auftrag der Ministerium für Justiz und Sicherheit der Niederlande und am 26. Juli veröffentlicht.

Europäische Unternehmen können dieses Risiko minimieren, indem sie eine „chinesische Mauer“ zu den USA errichten, insbesondere indem sie keine Amerikaner beschäftigen oder keine amerikanischen Kunden haben, was ein Eingreifen der USA im Rahmen des Cloud Act rechtfertigen könnte.

Allerdings wäre selbst dieser Schutz unzureichend, wenn das Unternehmen US-Technologien nutzt, da der Cloud Act den Zugriff auf Daten über Subunternehmer/Hardware- und Softwarelieferanten zu/von Cloud-Anbietern erlaubt.

Diese Erkenntnisse haben eine Debatte über Angebote wie die Bleu „Trusted Cloud“ (Microsoft-Technologien, angeboten von Orange und Capgemini) und S3ns (Googles mit Thales) ausgelöst.

In den USA hat Facebook einem Vergleich im Cambridge-Analytica-Skandal zugestimmt. Dabei geht es um den Zugriff des Unternehmens auf die privaten Daten von Millionen Facebook-Nutzern während eines Wahlkampfs. Der Skandal war nach den Enthüllungen eines Whistleblowers von Cambridge Analytica gegenüber dem Observer im Jahr 2018 ausgebrochen. Facebook hatte daraufhin bereits eine Milliardenstrafe zahlen müssen.

In Kuba gilt das Gesetz zum Schutz personenbezogener Daten wurde am 25. August im Amtsblatt veröffentlicht. Es tritt 180 Tage nach seiner Veröffentlichung in Kraft.

Russland hat sein Datenschutzgesetz nach der Unterzeichnung des Übereinkommens 108+ des Europarats geändert.

Das neue Bundesgesetz Nr. 266 vom 14. Juli 2022 ändert einige der Rechtsakte zur Verarbeitung personenbezogener Daten in Russland grundlegend und sieht nun eine Meldepflicht bei Datenschutzverletzungen vor.

Wachsende politische und sicherheitspolitische Spannungen zwischen Peking und dem Westen haben in Großbritannien zu Forderungen nach einer Überprüfung der Übermittlung genetischer Daten nach China aus einer biomedizinischen Datenbank, die die DNA von einer halben Million britischer Bürger enthält.

Die besten Sicherheitsmaßnahmen schützen nicht vor Schwachstellen bei Subunternehmern.

Am 24. August meldete Twilio, dass Hacker in seine Systeme eingedrungen seien.

Twilio bietet seinen Kunden Verifizierungsdienste an, darunter auch dem verschlüsselten Nachrichtenunternehmen Signal.

Wenn ein Benutzer seine Telefonnummer registriert, sendet Twilio ihm eine SMS mit einem Bestätigungscode, den er dann in Signal eingibt.

Obwohl die Auswirkungen auf Signal und seine Benutzer aufgrund der Art und Weise, wie der Dienst konzipiert ist, begrenzt sind, ist dies eine Warnung an alle Plattformen und Dienste, die manipuliert werden könnten, um Anmeldeinformationen an einen Angreifer zu übermitteln.

Google LLC muss in Australien eine Geldstrafe von 60 Millionen US-Dollar zahlen Dollar für die Irreführung von Verbrauchern über die Erfassung und Verwendung ihrer persönlichen Standortdaten auf Android-Telefonen.

Anne Christine Lacoste

Anne Christine Lacoste, Partnerin der Kanzlei Olivier Weber Avocat, ist Anwältin mit Spezialgebiet Datenschutz. Sie war Leiterin der Abteilung für internationale Beziehungen beim Europäischen Datenschutzbeauftragten und hat sich für die Umsetzung der DSGVO in der Europäischen Union eingesetzt.

Entdecken Sie Viqtor®
de_ATDE_AT
fr_FRFR en_USEN de_DE_formalDE es_ESES elEL it_ITIT hrHR pt_PTPT nl_NL_formalNL etET fiFI lvLV lt_LTLT sk_SKSK sl_SISL de_ATDE_AT