Legal Watch Nr. 80 – Februar 2025. 

Datentransfers in die Vereinigten Staaten: ein geschwächter Rechtsrahmen.

Am 5. Februar forderten 19 Abgeordnete des Europäischen Parlaments aus dem gesamten politischen Spektrum die Europäische Kommission auf zu prüfen, ob der „Datenschutzrahmen“ (DSF), der den transatlantischen Datentransfer regelt, noch tragfähig ist.

Am 6. Februar stellte ihm der Vorsitzende des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres eine ähnliche Frage.

Diese Fragen wurden durch Donald Trumps Entscheidung aufgeworfen, die Amtszeiten der drei demokratischen Mitglieder des Repräsentantenhauses zu beenden. Der Privacy and Civil Liberties Oversight Board (PCLOB) verfügt nicht mehr über die erforderliche Beschlussfähigkeit.

Im Kontext des transatlantischen Abkommens wurde das PCLOB als unerlässliches Rechtsmittel zur Wahrung der individuellen Rechte in Fragen der Massenüberwachung betrachtet.

Seitdem erweisen sich die amerikanischen Garantien in Bezug auf den Datenschutz zunehmend als brüchig.

Laut einem Artikel, der am 3. März von Euractiv veröffentlicht wurde, ist einer der Richter des Beschwerdegremiums des PCLOB, des Datenschutzprüfungsgerichts, von der Richterliste auf der Website verschwunden, und ein Sonderanwalt ist zurückgetreten.

Darüber hinaus hieß es: „Wenn Donald Trump nicht die Generalinspekteure entlassen hat, die für die Überwachung der Geheimdienste zuständig sind, hat er mindestens 17 andere entlassen“, und auch Mitglieder der Datenschutzabteilung des „Office of Personnel Management“ wurden Berichten zufolge entlassen.

Schließlich vertritt das „Projekt 2025“, ein mit der Trump-Administration verbundenes politisches Programm, die Ansicht, dass der künftige Präsident eine Studie über die Exekutivanordnung „Biden“ zum DPF durchführen und „die Erwartungen Europas neu justieren“ sollte.

Dieses Projekt sieht außerdem die Aussetzung von Bestimmungen vor, die die Informationsbeschaffung unangemessen behindern.

Es sei daran erinnert, dass der Mangel an unabhängigen Kontroll- und Beschwerdemechanismen gegenüber amerikanischen Geheimdiensten der Grund für die Aufhebung des vorherigen Abkommens, des Privacy Shield, war. 

Diese verschiedenen Faktoren verheißen nichts Gutes für die Zukunftsfähigkeit des transatlantischen Abkommens. Die offene Frage ist, wann die Situation offiziell geklärt wird.

Die Europäische Kommission schweigt vorerst, es wird jedoch erwartet, dass sie noch vor Monatsende auf parlamentarische Anfragen antworten wird.

Der Gerichtshof der Europäischen Union, der sich bereits mit der Angelegenheit befasst, könnte eine Entscheidung im Einklang mit seinen beiden früheren Entscheidungen fällen, mit denen er die „Safe Harbour Principles“ bzw. den „Privacy Shield“ für ungültig erklärt hat; der Zeitpunkt dieser Entscheidung ist jedoch noch unbekannt.

Und wie sieht es mit den Datenschutzbehörden aus?

Die norwegische Datenschutzbehörde (Datatilsynet) gab am 26. Februar eine Erklärung zu dem Thema ab. Darin bekräftigte sie, dass der Angemessenheitsbeschluss der Europäischen Kommission zur Bestätigung des transatlantischen Handelsabkommens so lange in Kraft bleibt, bis er gegebenenfalls von der Europäischen Kommission oder dem Gerichtshof der Europäischen Union (EuGH) widerrufen wird.

Die Datenschutzbehörden sind an diese Entscheidungen gebunden und können Übermittlungen, die im Einklang mit einem Angemessenheitsbeschluss erfolgen, nicht untersagen.

Angesichts des aktuellen Kontextes Die APD rät Datenverantwortlichen dennoch, eine Ausstiegsstrategie zu entwickeln für den Fall, dass der aktuelle Rahmen ungültig wird. weil der Wandel ohne Übergangszeit erfolgen könnte.

Die erste Empfehlung an Datenverantwortliche lautet heute, ein umfassendes Verzeichnis aller von ihrem Unternehmen durchgeführten Datentransfers zu erstellen.

Die Aufgabe ist schwierig, weil die Vereinigten Staaten in unserer digitalen Welt mittlerweile allgegenwärtig sind und wir, wie Monsieur Jourdain, täglich Daten austauschen, ohne es zu wissen.

Es wird notwendig sein, die in den Vereinigten Staaten klar identifizierten Empfänger zu berücksichtigen, aber beispielsweise auch die Nutzung amerikanischer „Cloud“-Dienste auf europäischem Boden sowie die verschiedenen Anzeige- oder Verbindungsdienste wie Google Fonts, Analytics oder Maps oder sogar Facebook: Der Gerichtshof der Europäischen Union verurteilte in seinem Urteil T-354/22 die Europäische Kommission wegen Verstoßes gegen die DSGVO im Zusammenhang mit der Online-Registrierung für eine von ihr organisierte Veranstaltung.

Durch den auf der Homepage angezeigten Hyperlink „Mit Facebook verbinden“ habe man „die Voraussetzungen geschaffen, die die Übermittlung der IP-Adresse des Antragstellers an Facebook“ und folglich in die Vereinigten Staaten ermöglichten, und zwar in einem Zeitraum, in dem der Privacy Shield ungültig war.

Wo es europäische Alternativen gibt, könnten diese eine interessante Lösung darstellen.Wir verweisen beispielsweise auf die europäische Cloud oder die zertifizierte französische Cloud.

Was Tracking-Tools betrifft, hat die CNIL eine Liste anonymer Reichweitenmessungsinstrumente veröffentlicht.

In Fällen, in denen die Übermittlung unerlässlich bleibt, muss der Exporteur auf Instrumente wie Standardvertragsklauseln oder verbindliche Unternehmensregeln zurückgreifen und eine Folgenabschätzung durchführen, indem er die Risiken des Abfangens von Daten über den Atlantik durch die Behörden und die vorgesehenen Schutzmaßnahmen genau dokumentiert – eine besonders schwierige Aufgabe.

Am 31. Januar veröffentlichte die CNIL die endgültige Fassung ihres Leitfadens zu Folgenabschätzungen für Datentransfers außerhalb der Europäischen Union.

Ähnlich wie ihr norwegisches Pendant wird sie voraussichtlich Empfehlungen zu bevorstehenden internationalen Entwicklungen veröffentlichen.

 

  

In einen Gesetzesentwurf zur Bekämpfung des Drogenhandels wurde soeben ein Änderungsantrag eingebracht, der Plattformen dazu zwingen soll, Maßnahmen zu ergreifen, die es den Strafverfolgungsbehörden ermöglichen, auf Daten zuzugreifen, insbesondere auf solche von verschlüsselten Messaging-Diensten.

In Stellungnahmen an die Regierung und die Parlamentarier sprachen sich mehrere Unternehmen, darunter Apple, Amazon, Google und Microsoft, gegen diesen Änderungsantrag aus und verwiesen auf die Positionen des Europäischen Datenschutzausschusses (EDPB) und des Europäischen Datenschutzbeauftragten (EDPS) gegen eine Schwächung der Ende-zu-Ende-Verschlüsselung.

Der Vorschlag wird in der Plenarsitzung ab dem 17. März geprüft.

Diese Entwicklungen spiegeln ähnliche Regierungsinitiativen in mehreren europäischen Ländern sowie in den Vereinigten Staaten wider (siehe unten, nationale Entwicklungen).

Die CNIL erinnerte die Suchmaschine Qwant an ihre Verpflichtungen gemäß der DSGVO in Bezug auf die Anonymisierung von Daten.

Die Daten, die das Unternehmen im Zusammenhang mit dem Verkauf von Werbeflächen auf der über MICROSOFT betriebenen Suchmaschine verwendet, wurden von Qwant als anonymisiert dargestellt. 

Die CNIL stellt fest, dass „trotz der im Jahr 2019 getroffenen strengen Vorkehrungen zur Vermeidung der Re-Identifizierung von Personen der übermittelte Datensatz zur Anwendung der DSGVO und insbesondere ihrer Artikel 12 und 13 geführt hat“.

Die Kommission ist der Ansicht, dass es sich hierbei um einen anfänglichen Analysefehler hinsichtlich der Klassifizierung der übermittelten Daten handelt, ohne dass die Absicht besteht, die Bestimmungen der DSGVO zu umgehen, und verhängt daher keine Sanktion.

Die Kommission verhängte außerdem eine Geldstrafe von 40.000 € gegen eine Immobilienagentur wegen übermäßiger Überwachung ihrer Mitarbeiter mithilfe der Software Time Doctor, die die Arbeitszeiten aufzeichnete. angeblichen Phasen der Inaktivität und fertigten regelmäßig Screenshots von ihrem Computer an.

Darüber hinaus wurden die Mitarbeiter ständig gefilmt.

Die CNIL kritisiert insbesondere die verantwortliche Person wegen des Fehlens einer Folgenabschätzung, des Fehlens einer Rechtsgrundlage für die Verarbeitung und der Nichteinhaltung des Grundsatzes der Datenminimierung.

Außerdem hat die Behörde eine Aktualisierung ihrer Datenschutztabellen sowie die Zusammenfassungshefte 2024 veröffentlicht, die ihre wichtigsten neuen Entscheidungen sowie die wichtigsten nationalen und europäischen Rechtsprechungen zum Datenschutz zusammenfassen.

 

Europäische Institutionen und Gremien

Im Anschluss an den am 3. Oktober 2024 veröffentlichten Bericht „Digital Fairness Fitness Check“ erwägt die Europäische Kommission die Entwicklung einer Verordnung zur digitalen Fairness („Digital Fairness Act“), um Verbraucherschutzfragen im Online-Umfeld anzugehen, wie etwa die automatische Kündigung oder Verlängerung von Abonnements und die Umwandlung von kostenlosen Testversionen in kostenpflichtige Abonnements.

Berichten zufolge werden eine öffentliche Konsultation und eine vorläufige Folgenabschätzung vorbereitet.

Die Kommission hat nun endgültig beschlossen, ihren Vorschlag für eine ePrivacy-Verordnung zurückzuziehen, mit dem die Verpflichtungen der geltenden Richtlinie modernisiert und präzisiert und gleichzeitig mit den Grundsätzen der DSGVO in Einklang gebracht werden sollten.

Der Text löste Kontroversen aus, insbesondere hinsichtlich des Umfangs der Ausnahmen von den Grundsätzen der Vertraulichkeit von Mitteilungen.

Neue Gesetzesvorschläge liegen vor, die darauf abzielen, Datenschutzfragen anzugehen und gleichzeitig die kommerzielle Überwachung von der staatlichen Überwachung zu trennen.

Die Richtlinie über die Haftung für künstliche Intelligenz, mit der die EU-Produktsicherheitsvorschriften auf KI und Automatisierung ausgeweitet werden sollten, steht ebenfalls auf der Liste der zurückgezogenen Gesetzesvorschläge.

In Anlehnung an die Schlussfolgerungen des Pariser KI-Gipfels vom vergangenen Februar betont das Arbeitsprogramm der Europäischen Kommission für 2025 die Wettbewerbsfähigkeit mit dem ausdrücklichen Ziel, durch die Förderung von Innovationen das Wirtschaftswachstum anzukurbeln.

Am 2. Februar traten die ersten Bestimmungen der KI-Verordnung in Kraft, darunter Artikel 5, der sich mit verbotenen KI-Praktiken befasst.

Zwei Tage später veröffentlichte die Europäische Kommission Leitlinien, in denen KI-Praktiken aufgeführt wurden, die aufgrund der Risiken, die sie für europäische Werte und Grundrechte darstellen, als inakzeptabel gelten.

Mehrere Datenschutzbehörden, die am KI-Gipfel teilnahmen, gaben im Anschluss an eine Podiumsdiskussion „über die Schaffung verlässlicher Rahmenbedingungen für die Datenverwaltung zur Förderung der Entwicklung innovativer und datenschutzfreundlicher KI“ eine gemeinsame Erklärung ab, in der sie die Notwendigkeit betonten, Datenschutzprinzipien bereits in der Entwurfsphase von KI-Systemen zu integrieren und robuste interne Rahmenbedingungen für die Datenverwaltung zu implementieren.

Gleichzeitig gab der Europäische Datenschutzausschuss am 12. Februar bekannt, dass er den Aufgabenbereich seiner ChatGPT-Arbeitsgruppe auf die Anwendung von KI ausweitet und ein „Schnellreaktionsteam zur Koordinierung der Maßnahmen der Datenschutzbehörden“ in Bezug auf dringende sensible Fragen im Zusammenhang mit KI einrichtet.

Der Europäische Datenschutzausschuss (EDPB) kündigte Anfang März den Start seiner koordinierten Kontrollmaßnahmen für das Recht auf Löschung bis 2025 an.

Diese Maßnahme folgt auf koordinierte Maßnahmen zur Nutzung der Cloud durch den öffentlichen Sektor (2022), zur Benennung und Rolle von Datenschutzbeauftragten (2023) und zum Zugangsrecht (2024).

Der Forschungsdienst des Europäischen Parlaments veröffentlichte am 26. Februar ein Informationspapier über das Spannungsverhältnis zwischen der Verhinderung algorithmischer Diskriminierung und dem Umgang mit besonderen Kategorien von Daten.

Das Dokument benennt Unsicherheiten hinsichtlich der gemeinsamen Anwendung der KI-Verordnung und der DSGVO, die möglicherweise eine Gesetzesreform oder zusätzliche Leitlinien erfordern.

Am 27. Februar erließ der EuGH ein wichtiges Urteil zum Umfang der Rechte von Personen, die von einer automatisierten Entscheidung betroffen sind.

Im Fall C 203/22 Dun & Bradstreet Austria stellte der Gerichtshof klar, dass Artikel 15 Absatz 1 Buchstabe h der DSGVO „der betroffenen Person ein echtes Recht auf Erläuterung der Funktionsweise des Mechanismus einräumt, der einem automatisierten Entscheidungsprozess zugrunde liegt, dem diese Person unterworfen wurde, sowie auf Erläuterung des Ergebnisses, zu dem diese Entscheidung geführt hat“ (Rn. 57).

Die Verarbeitung von Daten geschützter Dritter oder Geschäftsgeheimnisse befreit den Verantwortlichen nicht von konkreten Erläuterungen: Dieser ist verpflichtet, „diese angeblich geschützten Informationen der zuständigen Aufsichtsbehörde oder dem zuständigen Gericht mitzuteilen, welches die betroffenen Rechte und Interessen abzuwägen hat, um den Umfang des Auskunftsrechts der betroffenen Person gemäß Artikel 15 DSGVO zu bestimmen“ (Abs. 67).

Der EuGH stellte am 13. Februar außerdem fest, dass Aufsichtsbehörden und Gerichte bei der Festsetzung der Höhe von Geldbußen berücksichtigen müssen, dass ein Datenverantwortlicher Teil eines Unternehmens im Sinne der Artikel 101 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) ist.

Darüber hinaus müssen sie die Höchsthöhe der Geldbußen auf den Umsatz des Unternehmens und nicht auf den Umsatz des Datenverantwortlichen stützen.

Der Generalanwalt des Gerichtshofs der EU teilte am 6. Februar seine Schlussfolgerungen in der Rechtssache EDPS/SRB (C-413/23 P) mit.

In dem Fall geht es um die Frage, ob pseudonymisierte Daten, die von einer EU-Agentur, dem Einheitlichen Abwicklungsausschuss, an ihr Beratungsunternehmen Deloitte übermittelt wurden, aus Sicht von Deloitte personenbezogene Daten darstellen.

Die Generalversammlung konzentriert sich auf die dem Empfänger zur Verfügung stehenden angemessenen Mittel zur Identifizierung der betroffenen Personen und legt den Begriff der personenbezogenen Daten deutlich enger aus als der EDPS und der EDPB. Die endgültige Entscheidung wird vor dem Sommer erwartet.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Ein Urteil des Bundesgerichtshofs Dresden (Az.: 4 U 940/24) bestätigt, dass Datenverantwortliche nicht nur für ihr eigenes Handeln, sondern auch für das Handeln ihrer Unterauftragnehmer verantwortlich sind.

Das Gericht betonte, dass es nicht ausreiche, dem Subunternehmer zu vertrauen, ohne wie in diesem Fall zu überprüfen, ob er die untervergebenen Daten am Ende des Vertrags tatsächlich gelöscht hat.

Die Folgen unzureichender Überprüfung können noch lange nach dem ursprünglichen Vorfall bestehen bleiben, wie es hier nach einem Hackerangriff der Fall war, der zu einem Datenleck, einem Gerichtsverfahren und einer Schädigung des Rufs des Datenverantwortlichen führte.

In Spanien verhängte die APD eine Geldstrafe von 1,2 Millionen Euro gegen den Mobilfunkanbieter Orange, weil dieser die Ausgabe einer Duplikat-SIM-Karte an einen Dritten nicht verhindert hatte, der diese nutzte, um auf das Bankkonto der betroffenen Person zuzugreifen.

Die APD war der Ansicht, dass der Betreiber keine angemessenen Schutzmaßnahmen ergriffen hatte.

Auch in Spanien verhängte die APD mehrere Geldstrafen gegen die Genossenschaftsbankengruppe Caja Rural wegen Verstoßes gegen die DSGVO infolge einer Datenschutzverletzung aufgrund unzureichender Sicherheitsmaßnahmen und einer Schwachstelle im IT-System.

In diesem Fall betrachtete die APD jedes einzelne Bankmitglied der Genossenschaftsgruppe als individuell verantwortlich, obwohl alle denselben IT-Dienstleister nutzten, und verhängte Sanktionen in Höhe von 6.200 Euro bis 400.000 Euro, abhängig von der Anzahl der Kunden und der Reaktionsgeschwindigkeit der Banken.

Die griechische Datenschutzbehörde (APD) hat eine Entscheidung getroffen, die darauf abzielt, die Ausübung individueller Rechte gegenüber Google zu erleichtern.

Sie ordnete an, dass das Unternehmen die in den Suchergebnissen für den Namen der Person angezeigten Links entfernen solle, und wies Google an, sein Verfahren für Löschungsanfragen zu ändern, indem es Anhänge zulasse, direkte Kontaktinformationen bereitstelle und automatisierte Antworten einstelle.

In den Niederlanden zeigte ein Screenshot, der von einem Cybersicherheitsexperten (und ehemaligen Leiter des zivilen Nachrichtendienstes) auf der Bluesky-Plattform geteilt wurde, dass Google Analytics Daten über Bewerber innerhalb der zivilen und militärischen Nachrichtendienste des Landes sammelt.

Diese Information veranlasste ein Parlamentsmitglied, den Innenminister um Aufklärung zu bitten.

Die polnische Datenschutzbehörde (APD) hat den Betreiber einer Website mit einer Geldstrafe von 350.000 Euro (1.527.855 PLN) und seinen Subunternehmer mit einer Geldstrafe von 4.590 Euro (20.037 PLN) belegt, weil sie gegen die Datensicherheit verstoßen hatten, nachdem eine Fehlkonfiguration der Website zu einem Datenleck geführt hatte, von dem 21.453 Personen betroffen waren.

In Rumänien wurde das Unternehmen Unicredit wegen zweier Datenschutzverletzungen infolge interner Anwendungen mit einer Geldstrafe von 15.000 Euro (74.652 Lei) belegt.

Diese Systeme waren vor ihrer Einführung nicht getestet worden, und die APD ahndet Verstöße gegen Artikel 25(1) der DSGVO, der Datenschutz durch Technikgestaltung („Privacy by Design“) vorschreibt.

Nach einer Anordnung der britischen Regierung zur Aufhebung der iCloud-Verschlüsselung hat Apple seine gesamte erweiterte Sicherheitsfunktion in Großbritannien zurückgezogen.

Die Anordnung betraf insbesondere die im Jahr 2023 eingeführte Funktion, die es iCloud-Nutzern ermöglicht, die Ende-zu-Ende-Verschlüsselung aller in der Cloud des Unternehmens gespeicherten Daten zu aktivieren und sicherstellt, dass kein Dritter, einschließlich Apple, auf die Daten zugreifen kann.

Das Unternehmen hatte die Wahl, entweder die Verschlüsselungsfunktion zu entfernen oder eine Hintertür einzubauen, die die Verschlüsselung für alle Benutzer weltweit gefährdet hätte. Die zweite Option kam für Apple nicht in Frage.

Gleichzeitig verlangt Schweden aber auch Hintertüren, was Signal zu der Warnung veranlasste, dass es das Land verlassen würde, sollte eine solche Gesetzgebung verabschiedet werden.

Ergänzend sei erwähnt, dass die Vereinigten Staaten laut einem Forbes-Artikel vom 24. Februar dasselbe Ziel verfolgen, nämlich Zugang zu verschlüsselten Daten zu erhalten.

 

Südkorea hat soeben ein KI-Gesetz verabschiedet, das im Januar 2026 in Kraft treten wird.

Das Gesetz orientiert sich an der europäischen Verordnung über KI: Es führt Verpflichtungen für KI-Unternehmen ein, insbesondere für solche, die auf hochwirksame KI und generative KI spezialisiert sind, wobei der Schwerpunkt auf Risikomanagement, Benutzerschutz und Transparenz liegt.

Die IAPP berichtet, dass eine Gruppe von US-Senatoren, die dem „Senatsausschuss für Geheimdienste“ angehören, am 5. Februar einen Brief an das Weiße Haus geschickt hat, um „ihre Besorgnis über die Risiken für die Privatsphäre und die nationale Sicherheit zum Ausdruck zu bringen, die vom kürzlich geschaffenen Ministerium für Regierungseffizienz (DOGE) ausgehen“.

In dem Schreiben wird argumentiert, dass die Maßnahmen des DOGE die Gefahr bergen, geheime und andere sensible Informationen preiszugeben, die nationale Sicherheit zu gefährden und die Privatsphäre der Amerikaner zu verletzen.

Derzeit laufen mehrere Gerichtsverfahren wegen illegalen Zugriffs auf Daten, die von diesen Behörden verarbeitet werden.

Die Anfragen von Geheimdiensten nach Daten, die von GAFAM gespeichert werden, haben in den letzten Jahren explosionsartig zugenommen.

Dies ist das Ergebnis einer Studie, die von der Firma Proton veröffentlicht wurde und auf den Transparenzberichten von Apple, Meta und Google aus dem Zeitraum 2014 bis 2024 basiert.

Wie 01net hervorhebt, sind diese Unternehmen nach US-amerikanischem Recht (FISA, Cloud Act) verpflichtet, auf Anfragen von Behörden zu reagieren, die Zugang zu Telefonaufzeichnungen, Textnachrichten, E-Mails oder Cloud-Backups wünschen.

„Anfragen auf Zugang zu Nutzerdaten (aller Nationalitäten), wie z. B. E-Mails oder Nachrichten, die Google, Apple und Meta in den letzten zehn Jahren an die US-Behörden gerichtet haben, haben sich bei diesen drei Unternehmen im Durchschnitt um … 600 % erhöht.“

Das malaysische Gesetz zum Schutz personenbezogener Daten wurde verschärft, um die Befugnisse der Aufsichtsbehörde deutlich zu erweitern und die Rechte des Einzelnen zu stärken.

Die Umsetzung erfolgt in drei Phasen in der ersten Hälfte des Jahres 2025, nämlich am 1. Januar, dann am 1. April und am 1. Juni.

Die von mehreren internationalen Medien, darunter Le Monde, France Info und der französischen Nachrichtensendung „8 PM“, durchgeführte Untersuchung der sogenannten „Tracking-Dateien“ enthüllt das Ausmaß der Überwachung und die Details der von Datenhändlern verarbeiteten personenbezogenen Daten.

Die geolokalisierten personenbezogenen Daten von Millionen von Nutzern werden unter Bedingungen aggregiert, die oft nicht sehr transparent sind: zum Beispiel kann das Online-Spielen auf dem Smartphone mithilfe einer Anwendung die Übertragung von Daten wie Verbindungszeiten, Smartphone-Modell oder geografischem Standort auslösen, Elemente, die in gigantischen Dateien gesammelt und von Brokern wie der amerikanischen Datastream Group verkauft werden.

In dieser neuesten Datei sind mehr als 47 Millionen Menschen enthalten.

Es können die Daten aller Menschen betroffen sein, aber auch die von Diplomaten, Militärangehörigen oder Journalisten.