Legal Watch Nr. 78 – Dezember 2024. 

Wie sehen die Aussichten für den Datenschutz im Jahr 2025 aus?

Das neue Jahr wird mit der schrittweisen Umsetzung des „Digitalpakets“ der Europäischen Union fortgesetzt.aber auch neue Gesetze, die darauf abzielen, den Schutz personenbezogener Daten angesichts der Herausforderungen durch Cyberbedrohungen zu stärken.

Da künstliche Intelligenz in Unternehmen immer häufiger eingesetzt wird, ist mit einer Verlagerung der Entscheidungsunterstützung hin zu autonomeren Systemen zu rechnen, die weniger Raum für menschliches Urteilsvermögen lassen, sowie mit den Risiken, die ein solcher Einsatz in Bezug auf Datenqualität und -schutz mit sich bringt.

Die KI-Verordnung regelt diese neuen Praktiken, allerdings wird es bis August 2026 dauern, bis alle ihre Bestimmungen anwendbar sind..

Wie wir in den folgenden Nachrichten sehen werden, ist die Umsetzung bereits Gegenstand von Richtlinien, wie die jüngste Stellungnahme des Europäischen Datenschutzausschusses (EDPB) belegt.

Die Verantwortlichen für die Datenverarbeitung müssen auch die Verordnung über digitale Dienste (DSA) berücksichtigen, die seit dem 17. Februar gilt.wodurch neue Verpflichtungen entstehen, insbesondere in Bezug auf Transparenz, Inhaltsmoderation und Nutzerschutz.

Laut dem französischen Verband der Datenschutzbeauftragten (AFCPD) führen diese Regelungen zu Überschneidungen und stellen Datenschutzbeauftragte vor die Herausforderung, mit erheblichem Aufwand den Überblick zu behalten, um eine durchgängige Einhaltung der Vorschriften zu gewährleisten. Der Verband nennt als Beispiel die Verarbeitung von Personaldaten, deren Einstufung je nach eingesetzten Technologien, wie beispielsweise KI, von einer nicht sensiblen zu einer sensiblen Kategorie wechseln kann.

„Diese Wechselwirkungen werfen grundlegende Fragen hinsichtlich der harmonischen Bewältigung rechtlicher Verpflichtungen auf.“

Im Bereich der Sicherheit trat die europäische Verordnung zur Cyberresilienz (Cyber Resilience Act, CRA) am 10. Dezember 2024 in Kraft, und die meisten ihrer Bestimmungen werden im Jahr 2027 anwendbar sein.

Ziel des Cybersicherheitsgesetzes (CRA) ist es, den Schutz von Verbraucher- und Unternehmensdaten vor Cyberbedrohungen zu stärken. Dieses Gesetz verpflichtet Hersteller, Entwickler und Händler vernetzter Produkte zu Cybersicherheitsbewertungen und -informationen.

Im gleichen Kontext wird die europäische Verordnung über digitale operative Resilienz (Digital Operational Resilience Act, DORA) ab dem 17. Januar gelten..

Es stellt strenge Anforderungen, um die digitale Widerstandsfähigkeit von Finanzinstituten zu gewährleisten und operationelle Risiken im Zusammenhang mit Informationstechnologien, insbesondere Risiken im Zusammenhang mit externen Lieferanten, zu managen.

Die europäische Richtlinie über die Sicherheit von Netz- und Informationssystemen (NIS2) ist grundsätzlich seit dem 17. Oktober anwendbar, dem Datum, an dem sie in französisches Recht hätte umgesetzt werden müssen.

Der Text erweitert seinen Anwendungsbereich im Vergleich zur NIS1-Richtlinie und zielt insbesondere auf Infrastrukturen und Einrichtungen ab, die für das ordnungsgemäße Funktionieren der wirtschaftlichen und gesellschaftlichen Aktivitäten im Binnenmarkt unerlässlich sind.

Für die vollständige Einhaltung der Vorschriften ist ein Zeitraum von drei Jahren vorgesehen, jedoch sollten zunächst Mindestmaßnahmen schnellstmöglich umgesetzt werden, nämlich die Registrierung des regulierten Unternehmens bei der ANSSI, die Meldung von Vorfällen und der Nachweis von Investitionen in Sicherheitslösungen.

Da das Umsetzungsgesetz noch nicht verabschiedet wurde, bestehen heute noch Unsicherheiten hinsichtlich der Identifizierung der regulierten Unternehmen und der konkret zu ergreifenden Maßnahmen.

Auch hinsichtlich des Zeitplans einiger europäischer Projekte herrscht Unsicherheit: Was ist zum Beispiel mit dem langjährigen ePrivacy-Projekt?

Obwohl die Kommission ihren ersten Verordnungsentwurf im Januar 2017 veröffentlichte, wartet der Prozess noch auf die Stellungnahme des Europäischen Parlaments in erster Lesung.

Dieser Text löst lebhafte Diskussionen über die Anwendung des Einwilligungsprinzips bei Cookies und die Vertraulichkeit der Kommunikation aus.

Erwähnen sollten wir auch die potenziellen Auswirkungen der Präsidentschaft von Trump auf den „Datenschutzrahmen“ und, allgemeiner gefasst, auf den Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten.

Schließlich könnte die DSGVO einige Aktualisierungen erfahren, insbesondere im Hinblick auf Datentransfers, koordinierte Untersuchungen durch Datenschutzbehörden und ihre Angleichung an die (zukünftige) ePrivacy-Verordnung.

Nicht zuletzt erleben wir die Entwicklung kollektiven Handelns in der EU: Wie wir letzten Monat berichteten, kann die NGO noyb nun in jedem Mitgliedstaat kollektive Aktionen durchführen.

Derzeit gibt es 43 weitere qualifizierte Einrichtungen in der EU, darunter den Irish Civil Liberties Council und den finnischen Datenschutzbeauftragten, der derzeit den Vorsitz des Europäischen Datenschutzausschusses innehat.

Noyb gab an, die ersten rechtlichen Schritte im Jahr 2025 einleiten zu wollen.

Ein Prozessrisiko, das von Unternehmen ernst genommen werden sollte.

 

      

In einer am 1. Januar im Amtsblatt veröffentlichten Entscheidung Die CNIL ist besorgt über die geplanten Aktualisierungen der Informationssysteme von France Travail.

Das Gesetz zur Vollbeschäftigung vom Dezember 2023 sieht einen erneuerten Unterstützungsweg für Arbeitssuchende vor, der insbesondere auf der Analyse von Daten und deren Weitergabe an zahlreiche regionale und lokale Organisationen basiert.

Die CNIL empfiehlt den Risiken angepasste Sicherheitsmaßnahmen.

Die CNIL bereitet eine DSGVO-Zertifizierung für Subunternehmer vor. Um einen geeigneten Rahmen zu schaffen, wird bis zum 28. Februar eine öffentliche Konsultation durchgeführt.

Die Zertifizierung soll Datenverantwortlichen als Orientierungshilfe bei der Auswahl ihrer Unterauftragnehmer dienen, „indem sichergestellt wird, dass die vom Unterauftragnehmer durchgeführte Verarbeitung als mit den Kriterien eines von der CNIL anerkannten Standards übereinstimmend bewertet wurde“.

In einer Pressemitteilung vom 12. Dezember 2024 Die CNIL kündigte an, formelle Aufforderungen an Website-Betreiber zu versenden, ihre als irreführend eingestuften Cookie-Banner zu ändern.

Die Behörde weist die Nutzer darauf hin, dass Cookies nur nach deren Zustimmung gesetzt werden dürfen.

Darüber hinaus sollte das Ablehnen von Cookies genauso einfach sein wie deren Annahme.

Es sei daran erinnert, dass mehrere Datenschutzbehörden, darunter die belgische Behörde, bereits eine strenge Position eingenommen haben, indem sie forderten, dass die beiden Vorschläge für Annahme und Ablehnung auf dem gleichen Niveau und mit dem gleichen Grad an Sichtbarkeit sein müssen.

Am 5. Dezember 2024 verhängte die CNIL (französische Datenschutzbehörde) eine Geldbuße in Höhe von 240.000 € gegen das Unternehmen Kaspr. insbesondere dafür, dass auf LinkedIn die Kontaktdaten von Nutzern gesammelt wurden, die sich dennoch entschieden hatten, ihre Sichtbarkeit einzuschränken.

Die Kommission ordnet an, dass das Unternehmen diese Daten löscht oder, falls dies nicht möglich ist und es nicht möglich ist, diese Daten, deren Sichtbarkeit eingeschränkt wurde, von anderen Daten zu unterscheiden, die Nutzer „innerhalb von 3 Monaten über die Verarbeitung ihrer Daten und die Möglichkeit, dieser zu widersprechen“, zu informieren.

Neben der illegalen Erfassung von Kontaktdaten und der mangelnden Transparenz bei der Verarbeitung kritisiert die CNIL Kaspr auch dafür, dass die Daten fünf Jahre lang aufbewahrt werden – ein Zeitraum, der für Berufstätige, die häufig den Arbeitsplatz wechseln, als übertrieben angesehen wird.

Am 14. November verhängte die CNIL eine Geldstrafe von 50.000.000 € gegen das Telekommunikationsunternehmen Orange wegen des Einschleusens von Werbung in E-Mail-Postfächer. und installierten Cookies auf den Geräten der Nutzer ohne deren Zustimmung.

Das Unternehmen wurde angewiesen, seine Geschäftspraktiken den Vorschriften anzupassen, andernfalls drohen ihm zusätzliche Geldstrafen.

Am 10. und 11. Februar findet in Frankreich der Gipfel für Maßnahmen zur künstlichen Intelligenz (KI) statt.

In diesem Zusammenhang bringen die CNIL, die Universität Paris-Saclay und die Universität Caen-Normandie am 23. Januar Experten und Forscher zusammen, um über Möglichkeiten zur Verhinderung von Desinformation, Betrug und Datenschutzverletzungen zu diskutieren und dabei die Vorteile von KI zu nutzen.

Am 11. Dezember organisierte das französische KI-Observatorium in Vorbereitung auf den KI-Gipfel ein Seminar über die Auswirkungen der KI-Entwicklung auf Arbeit und Beschäftigung.

Die Diskussionen konzentrierten sich insbesondere auf die Herausforderungen im Zusammenhang mit der Erklärbarkeit von Entscheidungen, die von KI getroffen werden.

Am 3. Januar veröffentlichte der Rechnungshof einen Bericht über die IT-Sicherheit von Gesundheitseinrichtungen.

Sie merkt an, dass „im Jahr 2023 10 % der Opfer von Cyberangriffen in Frankreich Gesundheitseinrichtungen waren. Ihre Verwundbarkeit hängt insbesondere mit der zunehmenden Vernetzung ihrer Informationssysteme mit der Außenwelt und mit chronischen Unterinvestitionen in digitale Technologien zusammen.“

Diese Angriffe können schwerwiegende Auswirkungen auf die Funktionsfähigkeit von Institutionen und auf die Patientenversorgung haben.

Die Behörden reagierten verspätet mit der Finanzierung eines fünfjährigen Präventions- und Schutzprogramms. Diese Dynamik muss beibehalten werden.

Das Gesundheitsministerium hat Bedenken hinsichtlich der Entwicklung des „Gesundheits“-Dienstes, einer neuen Funktion der Doctolib-Anwendung, geäußert. die vorsieht, die medizinischen Daten der Versicherten zu zentralisieren.

Diese Funktion scheint „My Health Space“ zu kopieren, die digitale Gesundheitsakte, die der Staat mit dem Gesetz vom 24. Juli 2019 zur Organisation und Transformation des Gesundheitssystems eingerichtet hat.

Am 12. Dezember reichte die NGO noyb eine Beschwerde gegen die französische Social-Media-Plattform BeReal ein. aufgrund der vom Unternehmen verwendeten „Dark Patterns“, um die Zustimmung der Nutzer zu erhalten.

Wenn Benutzer die Anwendung öffnen, erscheint ein Pop-up-Fenster, in dem sie aufgefordert werden, der Verwendung ihrer persönlichen Daten zu Werbezwecken mit „Ja“ oder „Nein“ zuzustimmen: Wenn Benutzer auf „Akzeptieren“ klicken, wird ihnen das Zustimmungsbanner nie wieder angezeigt.

Wenn sie die gezielte Ansprache jedoch ablehnen, wird das Banner jeden Tag angezeigt, bis sie zustimmen.

 

Europäische Institutionen und Gremien

Der Europäische Datenschutzausschuss (EDPB) hat am 18. Dezember eine Stellungnahme zu KI-Modellen verabschiedet. Diese Stellungnahme analysiert:

• Wie man beurteilt und nachweist, dass ein KI-Modell anonym ist;
• Kann ein berechtigtes Interesse eine Rechtsgrundlage für das Training oder die Verwendung von KI-Modellen darstellen?
• Die Folgen, wenn ein KI-Modell mit illegal verarbeiteten personenbezogenen Daten trainiert wird.

Nach Ansicht des Ausschusses muss die Frage, ob ein KI-Modell anonym ist, von Fall zu Fall beurteilt werden: Es muss praktisch unmöglich („sehr unwahrscheinlich“) sein, (1) die Personen, deren Daten zur Erstellung des Modells verwendet wurden, direkt oder indirekt zu identifizieren und (2) diese personenbezogenen Daten durch Abfragen aus dem Modell zu extrahieren.

Die Bekanntmachung enthält eine Liste von Methoden zum Nachweis der Anonymität.

Hinsichtlich des berechtigten Interesses bietet die Stellungnahme den Datenschutzbehörden Orientierungshilfe bei der Beurteilung, ob diese Rechtsgrundlage angemessen ist.

Schließlich könnte die Rechtmäßigkeit des Einsatzes eines KI-Modells beeinträchtigt werden, wenn dieses aus unrechtmäßig verarbeiteten personenbezogenen Daten entwickelt wurde, es sei denn, das Modell wurde ordnungsgemäß anonymisiert.

Der Europäische Datenschutzbeauftragte (EDPS) hat eine Entscheidung getroffen, in der er feststellt, dass die Europäische Kommission unrechtmäßig europäische Bürger ins Visier genommen hat, indem sie ihnen Werbung auf der Grundlage „sensibler“ personenbezogener Daten über ihre politischen Meinungen zeigte.

Die Nichtregierungsorganisation noyb, die die Beschwerde initiiert hat, weist darauf hin, dass die Europäische Kommission im Kontext der Debatten um den Verordnungsentwurf zur Kontrolle von Online-Diskussionen („Chat-Kontrolle“) die Niederlande als einen Mitgliedstaat identifiziert hat, den sie politisch beeinflussen möchte.

Zu diesem Zweck veröffentlichte sie auf Twitter/X Nachrichten, in denen sie diese Regelung indirekt liberalen oder linksgerichteten Nutzern nahelegte.

 

Neuigkeiten aus den Mitgliedstaaten der Europäischen Union.

Der deutsche Automobilhersteller Volkswagen geriet am Vorabend des neuen Jahres ins Visier der Ermittler, nachdem das Medienportal Spiegel aufgedeckt hatte, dass er die Geodaten von mehr als 800.000 Fahrzeugen in Europa öffentlich zugänglich gemacht habe.

Mithilfe dieser Informationen war es möglich, die Position von fast 500.000 Fahrzeugen mit einer Genauigkeit von 10 Zentimetern zu bestimmen.

In Frankreich sollen mehr als 50.000 Fahrzeuge der Marken Volkswagen, Audi, Skoda und Seat betroffen sein.

Auch in Deutschland wurde ein Hamburger Dienstleister von der örtlichen Datenschutzbehörde mit einer Geldstrafe von 900.000 Euro belegt, weil er personenbezogene Daten bis zu fünf Jahre nach Ablauf der Aufbewahrungsfrist aufbewahrt hatte.

Für die APD ist es „inakzeptabel, dass Akteure im digitalen Sektor kein kohärentes Löschverfahren entwickelt haben“ (über die AFCDP).

In Spanien hat die APD eine Autowerkstatt sanktioniert, die ihre Kundendatei in eine WhatsApp-Gruppe hochgeladen hatte, wodurch die Daten von 150 Kunden (Telefonnummern, Namen und Fotos) für alle Mitglieder der Gruppe sichtbar wurden.

Die APD stellte einen Verstoß gegen Artikel 6(1) der DSGVO fest, der eine gültige Rechtsgrundlage für jede Verarbeitung personenbezogener Daten vorschreibt, und verhängte gegen das Unternehmen eine Geldbuße in Höhe von 3.000 Euro.

Spanien hat beschlossen, die Nutzung von „Google Workspace for Education“ an Schulen zu verbieten.

Diese Entscheidung wurde auf Grundlage eines Berichts der spanischen Datenschutzbehörde (APD) getroffen, die von einer „invasiven Erhebung personenbezogener Daten“ ausgeht.

Dieser Bericht wurde auf Anfrage des Bildungsministeriums erstellt.

Die irische Datenschutzkommission (DPC) gab am 17. Dezember bekannt, dass sie Meta mit einer Geldstrafe von 251.000.000 € belegt hat, weil das Unternehmen es versäumt hatte, eine Datenschutzverletzung zu verhindern, die die Daten von Millionen von Facebook-Nutzern gefährdete, und weil es die Verletzung nicht ausreichend dokumentiert hatte.

Zwei Tage nachdem der Europäische Datenschutzausschuss seine Stellungnahme zu KI veröffentlicht hatte, verhängte die italienische Datenschutzbehörde am 20. Dezember eine Geldstrafe von 15.000.000 € gegen OpenAI.

Sie ist der Ansicht, dass das Unternehmen die persönlichen Daten von Internetnutzern zum Training von ChatGPT verwendet hat, „ohne über eine angemessene Rechtsgrundlage zu verfügen und gegen den Grundsatz der Transparenz sowie damit verbundene Informationspflichten gegenüber den Nutzern verstoßen hat“.

Die Ende 2023 von der APD eingeleitete Untersuchung ergab weiterhin, dass das Unternehmen kein angemessenes System zur Altersverifizierung bereitgestellt hatte, um zu verhindern, dass Nutzer unter 13 Jahren unangemessenen, KI-generierten Inhalten ausgesetzt werden.

Open AI wird außerdem eine Kommunikationskampagne im Land über verschiedene Medien starten müssen, um das öffentliche Bewusstsein dafür zu schärfen, wie ChatGPT funktioniert, und um die Menschen an ihre Rechte zu erinnern.

Können wir das OpenAI-Modell und die ChatGPT-API weiterhin nutzen, um unsere eigenen generativen KI-Dienste bereitzustellen?

Die italienische Entscheidung lässt die Frage offen, indem sie festlegt, dass sie von der irischen Behörde gemäß Artikel 56 der DSGVO entschieden werden muss.

Die italienische Datenschutzbehörde (APD) hat am 13. November ebenfalls Stellung zur Veröffentlichung von Fotos Minderjähriger auf Facebook bezogen und darauf hingewiesen, dass die Zustimmung beider Elternteile erforderlich sei.

In diesem speziellen Fall hatte der Vater eines Kindes unter 14 Jahren sein Foto auf Facebook geteilt, um seine Ähnlichkeit mit seinem Halbbruder, der ebenfalls auf dem Foto zu sehen war, zu zeigen.

Die Mutter des Kindes, die vom Vater geschieden ist, bat ihn vergeblich, das Foto von Facebook zu entfernen, und erstattete Anzeige bei der Polizei von Austin.

Die niederländischen Behörden warnten das Nationalarchiv am 6. Dezember ebenfalls davor, die niederländischen Kriegsarchive online zu veröffentlichen.

Diese Dokumente enthalten Akten über Personen, die im Verdacht stehen, während des Zweiten Weltkriegs mit den Besatzern kollaboriert zu haben, darunter sensible Daten wie Religion, politische Zugehörigkeit, Gesundheitszustand oder ethnische Zugehörigkeit von Personen, die teilweise noch am Leben sind.

Auch wenn sie einen unbestreitbaren Wert besitzen, verstößt die Art und Weise, wie die Nationalarchive die Daten online veröffentlichen wollen, laut APD gegen das Archivgesetz und die DSGVO.

Sie fordert daher eine bessere Kontrolle der Bedingungen für den Datenzugang.

Am 18. Dezember verhängte die APD eine Geldstrafe gegen Netflix, weil das Unternehmen seine Kunden zwischen 2018 und 2020 nicht ordnungsgemäß über die Verarbeitung ihrer Daten informiert hatte.

Darüber hinaus waren die von Netflix bereitgestellten Informationen in einigen Punkten unklar.

Aus diesem Grund verhängte die APD eine Geldstrafe von 4.750.000 € gegen den Streamingdienst.

Seitdem hat Netflix seine Datenschutzerklärung aktualisiert und seine Informationen verbessert.

In Schweden verhängte die APD eine Geldstrafe von 200.000 SEK (17.366 €) gegen einen Vermieter, weil dieser achtzehn Kameras in den Gemeinschaftsbereichen eines Wohngebäudes installiert und eine Auskunftsanfrage nicht beantwortet hatte.

 

Eine im November veröffentlichte Studie mit dem Titel „Tracking Indoor Location, Movement and Desk Occupancy in the Workplace“ analysiert Technologien zur Überwachung und Profilerstellung des Mitarbeiterverhaltens mithilfe von Bewegungssensoren und WLAN-Infrastruktur innerhalb von Firmengebäuden.

Diese Studie konzentriert sich auf die potenziellen Auswirkungen auf Arbeitnehmer in Europa und untersucht die am weitesten verbreiteten Lösungen von Cisco, Juniper, Spacewell, Locatee und anderen ähnlichen Technologieanbietern.

Cisco gibt an, bisher 17,2 Billionen „Standortdatenpunkte“ verarbeitet zu haben, die über mehr als drei Millionen WLAN-Zugangspunkte in 250.000 Gebäuden weltweit erfasst wurden.

Die Studie geht kurz darauf ein, wie sich die Arbeiter gegen die Installation von Bewegungsmeldern durch ihre Arbeitgeber (über das AFCDP) wehrten.

Nach einem von WhatsApp im Jahr 2019 eingeleiteten Gerichtsverfahren erklärte ein Richter in Kalifornien Ende Dezember das israelische Unternehmen NSO Group, den Entwickler der Pegasus-Spionagesoftware, des Hackings für schuldig.

Dieses Urteil wird von Gegnern dieser Branche als „historisch“ betrachtet.

Laut Will Cathcart, dem Direktor von WhatsApp, „behauptet die NSO Group, Regierungen verantwortungsvoll zu dienen, aber wir haben festgestellt, dass im vergangenen Mai über hundert Menschenrechtsverteidiger und Journalisten Ziel eines Angriffs waren; diese Übergriffe müssen aufhören.“

Die US-Regierung gab Anfang Dezember bekannt, dass China 8 amerikanische Mobilfunkanbieter (darunter AT&T, Verizon und Lumen Technologies) gehackt hatte.

Die Spionage betrifft das neue RCS-Format zum Versenden von SMS-Nachrichten zwischen einem iPhone und einem Android-Smartphone.

Das FBI und die Cybersecurity and Infrastructure Security Agency (CISA) haben erklärt, dass die von Microsoft als Salt Typhoon bezeichnete Hacker-Kampagne einer der größten Sicherheitsvorfälle der Geschichte ist.

Die Hacker erlangten Zugang zu Gesprächsaufzeichnungen, Live-Telefonaten bestimmter Personen und sogar zu geheimen Gerichtsbeschlüssen.

Die Behörden raten zur Verwendung sicherer und verschlüsselter Messaging-Anwendungen, um zu verhindern, dass private Kommunikationen offengelegt werden.