Datenschutzregeln in New York geändert

6. November 2023

Am 1.11.2023 hat das US-amerikanische New York Department of Financial Services (NYDFS) die zweite Änderung seiner Part 500 Cybersicherheitsregeln finalisiert und damit auch die Datenschutzregeln geändert. Neben den ursprünglich vor einem Jahr vorgeschlagenen Vorschriften, gibt es auch einige Neuerungen.

Neue Unternehmensgruppe: „Class A Companies“

Die wohl wichtigste Änderung stellt die Einführung der sogenannten „Class A Companies“ dar. Bei dieser Gruppe handelt es sich um NYDFS-regulierte Konzerne, die entweder mehr als 2.000 Angestellte haben oder über 1 Milliarde Euro Bruttojahresumsatz generieren.

Diese Unternehmen treffen besonders hohe Anforderungen. Zum einen sind sie dazu verpflichtet jährlich eine externe oder interne unabhängige Prüfung ihrer Cybersicherheitsprogramme durchzuführen. Weiterhin sollen sie eine Privileged Access Management-Lösung einführen sowie Methoden zum automatischen Blockieren häufig verwendeter Passwörter implementieren. Zuletzt müssen Betriebe Prozesse zur Überwachung und Protokollierung potenziell nicht autorisierter Aktivitäten schaffen.

Neuer Begriff: „Cybersecurity Incident”

Die aktualisierte Vorschrift führt den neuen Begriff „Cybersecurity Incident” ein. Obwohl der breitere Begriff „Cybersecurity Event” weiterhin in verschiedenen Abschnitten Verwendung findet, gilt „Cybersecurity Incident” speziell für Benachrichtigungen an das NYDFS. Die beiden Begriffe werden wie folgt definiert:

  • Cybersecurity Event: Ein Cybersecurity Event ist jede Handlung oder Versuch, erfolgreich oder nicht, um unbefugten Zugang zu einem Informationssystem zu erlangen oder dieses zu stören oder die darauf gespeicherten Informationen zu missbrauchen.
  • Cybersecurity Incident: Ein Cybersecurity Incident ist ein Cybersecurity Event, das beim betroffenen Unternehmen, seinen Tochtergesellschaften oder seinen Drittdienstleistern aufgetreten ist und entweder:
    • das betroffene Unternehmen betrifft und dieses verpflichtet eine übergeordnete Aufsichtsorganisation zu benachrichtigen,
    • eine hinreichende Wahrscheinlichkeit hat, einen wesentlichen Teil des normalen Betriebs des betroffenen Unternehmens erheblich zu schädigen, oder
    • zum Einsatz von Ransomware innerhalb eines wesentlichen Teils der Informationssysteme des betroffenen Unternehmens führt.

72-Stunden-Meldepflicht nur für betroffenes Unternehmen

Das NYDFS reagierte zudem auf Kritik bezüglich der 72-Stunden-Benachrichtigungsanforderung gegenüber einer übergeordneten Aufsichtsorganisation. Das NYDFS änderte die Formulierung entsprechend und erklärte, dass es das betroffene Unternehmen und nicht etwa ein Dienstleister ist, der die Benachrichtigungspflicht trägt. Deshalb werde die 72-Stunden-Meldepflicht auch erst ausgelöst, wenn das betroffene Unternehmen von einem meldepflichtigen Vorfall Kenntnis erlangt hat.

Reduzierte Updatepflicht zu Datenschutzvorfällen

Das NYDFS präzisierte auch die Anforderung, Updates zu Datenschutzvorfällen bereitzustellen. Diese Anforderung bezieht sich nur auf materille Änderungen oder neue Informationen, die zuvor nicht verfügbar waren.

Umsetzungsfristen

Die meisten Änderungen sollen 180 Tagen nach Inkrafttreten der neuen Verordnung (1.11.2023), also am 29.04.2024, wirksam werden. Es gibt jedoch auch einige hiervon abweichende Übergangsfristen je nach dem, welche Bereiche betroffenen sind.

Fazit

Durch die beschriebenen Neuerungen werden auch Datenschutzregeln in New York geändert. Das NYDFS normiert hier insbesondere Schutzvorkehrungen und Meldepflichten, die Unternehmen beachten müssen. Auch für deutsche Firmen können diese von Bedeutung werden, wenn sie mit US-Unternehmen zusammenarbeiten oder dort Mutter- oder Tochtergesellschaften haben. Betroffene Unternehmen sollten bereits jetzt mit der Vorbereitung und finanziellen Planung der neuen Anforderungen starten. Konkret sollten Unternehmen vor allem prüfen, ob sie als „Class A Company“ klassifiziert werden. In einem nächsten Schritt müssen sie Dokumentationsprozesse aktualisieren, um den neuen Regeln Rechnung zu tragen.

Encrochat-Datenbezug durch deutsche Staatsanwaltschaft

3. November 2023

Encrochat-Datenbezug durch deutsche Staatsanwaltschaft

Nach Auffassung der Generalanwältin des Europäischen Gerichtshofs (EuGH) Tamara Ćapeta war der Encrochat-Datenbezug aus dem gehackten Kommunikationsdienst aus Frankreich durch die deutsche Staatsanwaltschaft zulässig. Hierzu hat sie am 26.10.2023 zur Rechtssache C-670/22 ihre Schlussanträge veröffentlicht.

Der zugrundeliegende Fall

Hintergrund war ein Fall, in dem die Berliner Staatsanwaltschaft Daten des geknackten französischen Kommunikationsdienst Encrochat über Wochen abgefragt hat. Zuvor hatten niederländische und französische Ermittler das gesicherte Chat-Netzwerk entschlüsselt. Die hierdurch erlangten Daten übergab man auch an deutsche Ermittlungsbehörden. So konnten sie umfangreich Chatverläufe über organisierte Kriminalität verfolgen. Hieraus folgte auch ein von der Berliner Staatsanwaltschaft eingeleitetes Strafverfahren gegen die Tatverdächtigen.

Antrag auf Vorabentscheidung vom Berliner Landgerichts

Im Rahmen der Hauptverhandlung stellte das Landgericht Berlin an den EuGH die Frage, ob die so durch die deutsche Staatsanwaltschaft erlangten Informationen im Strafverfahren verwertbar sind, ohne dass gegen EU-Vorschriften verstoßen wird. In dem Antrag auf Vorabentscheidung ging es um die Auslegung der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (EEA). Für die Richter war fraglich, ob für das Erheben von Beweismitteln eine gerichtliche Genehmigung eingeholt werden muss, wenn dies in einem nationalen Verfahren in einem Mitgliedsstaat erforderlich ist.

Schlussfolgerung der EuGH-Generalstaatsanwältin

Die EuGH-Generalstaatsanwältin hält das Vorgehen für zulässig. Die Encrochat-Daten seien im Rahmen internationaler Rechtshilfe an deutsche Ermittlungsbehörden rechtmäßig übertragen worden. Eine EEA könne nur erteilt werden, wenn die hierin enthaltenen Maßnahmen in einer ähnlichen innerstaatlichen Situation anzuordnen wären. Der vorliegende Fall sei so zu behandeln, wie ein vergleichbarer in Deutschland stattfindender Fall, in dem Ermittler Beweise innerstaatlich von einem Strafverfahren in ein anderes überreichen.

Die Generalanwältin hebt hervor, dass die EEA-Richtlinie es der Berliner Staatsanwaltschaft gestattet, eine Ermittlungsanordnung zu erlassen. Nach dem deutschen Recht sei die Erteilung einer gerichtliche Genehmigung für eine ähnliche nationale Übertragung nicht erforderlich. Da hier somit keine Richtergenehmigung nötig sei, war die Berliner Staatsanwaltschaft nach ihrer Ansicht befugt, die einschlägige EEA zu erlassen und Informationen aus dem Encrochat aus Frankreich abzurufen. Ćapeta unterstreicht, dass die Kontrolle des Chat-Netzwerks von französischen Gerichten gestattet war. In der Bewertung der Zulässigkeit müsse man diesem Schritt dieselbe Bedeutung geben, den er in einem vergleichbaren innerstaatlichen Fall hätte.

Zuletzt meint sie, dass die Zulässigkeit von gegebenenfalls unter Verletzung von EU-Recht erlangten Beweisgegenständen nach nationalem Recht zu entscheiden ist, sofern die EU-Grundrechtecharta eingehalten wird.

Fazit

Das Vorgehen der Strafverfolgungsbehörden ist teilweise starker Kritik ausgesetzt. Es wird beanstandet, dass die vielen Verhaftungen auf Grundlage unzureichender Beweise und Ermittlungsvorgehensweisen erfolgt seien. Gerade vor dem Hintergrund des Schutzes personenbezogener Daten und des Rechts auf informationelle Selbstbestimmung ist der Umgang mit den Rechten der Beschuldigten fraglich. Deswegen ist die Frage der Zulässigkeit der Beweisverwertung von entscheidender Bedeutung und wird weiterhin Gegenstand intensiver Diskussionen sein. Zumindest hat das Bundesverfassungsgericht bereits kürzlich eine Verfassungsbeschwerde in dieser Angelegenheit nicht zur Entscheidung angenommen. Zuletzt ist noch festzustellen, dass die Schlussanträge der Generalanwältin für den EuGH keine Bindungswirkung haben. Allerdings werden sie häufig als erste Richtungsweiser betrachtet. Wie die konkrete Entscheidung am Ende ausfallen wird, bleibt abzuwarten.

Meta führt Bezahl-Abo für werbefreie Nutzung ein

2. November 2023

Meta führt Bezahl-Abo für werbefreie Nutzung ein

Ab November führt der Internet-Konzern Meta in Europa ein Bezahl-Abo für die werbefreie Nutzung von Social-Media-Diensten wie Instagram und Facebook ein. Das verkündete Meta am 30.10.2023 in einem Blogbeitrag. Damit reagiert der vormals als „Facebook“ bezeichnete Konzern auf veränderte und immer strenger werdende Datenschutzanforderungen.

Inhalt der Änderung

Zukünftig sollen sich Nutzer in der EU sowie der Schweiz, Island, Liechtenstein und Norwegen von Werbeanzeigen befreien können, indem sie monatlich 10 Euro bezahlen. Für User, die mehrere verknüpfte Accounts nutzen, wird nach einer Übergangsphase ab dem 01.03.2024 eine Zusatzgebühr von 6 Euro erhoben. Abonnements, die Nutzer auf dem Smartphone buchen, sind teurer. In diesem Fall beträgt die monatliche Gebühr 13 Euro und ab dem 01.03.2024 für jedes zusätzliche Konto 8 Euro. Der Grund der Preisgestaltung liegt darin, dass Anbieter von App-Stores wie Apple und Google für jede Zahlung eine Provisionsgebühr erheben. Durch die Preiserhöhung wälzt Meta diese Zahlung auf den Endkunden ab.

Reaktion auf veränderte Datenschutzanforderungen

Meta antwortet mit dem Abo-Modell auf die immer strenger werdende Datenschutzlage in Europa. Insbesondere zielt der Konzern auf das Problem der Zustimmung der Nutzer zur Verwendung ihrer Daten für personalisierte Werbung ab. Zudem bedarf es auch einer ausdrücklichen Zustimmung zum dienstübergreifenden Sammeln der Daten innerhalb eines Konzerns.

Nach Angaben von Meta genügen die Änderungen den Anforderungen der europäischen Regulierungsbehörden. Am Ende bliebe den Nutzern eine freie Wahl dahingehend, ob sie die werbefreie Nutzung bevorzugen oder weiterhin die kostenlosen Dienste im Austausch gegen ihre Daten nutzen möchten. Dies ermögliche es dem Social-Media-Unternehmen, weiterhin sämtlichen Nutzern in der Europa einen rechtskonformen Zugang zu den Netzwerken zu gewährleisten.

Die Reaktion folgt wahrscheinlich auch auf die zu Jahresbeginn von der irischen Datenschutzbehörde verhängte Strafe von 390 Millionen Euro aufgrund von Verstößen gegen Datenschutzbestimmungen. Sie verbot es hierdurch dem Unternehmen, die Vertrags-Rechtsgrundlage zur Ausrichtung personalisierter Werbung anhand der verfolgten Nutzeraktivitäten zu verwenden.

Fazit

Der Schritt von Meta kommt nicht überraschend. Bislang beruhte das Geschäftsmodell des Großkonzerns darauf, seinen Nutzern die Social-Media-Dienste kostenfrei zur Verfügung zu stellen. Anhand des individuellen Nutzerverhaltens wurden dann Userprofile erstellt. Hierdurch war es dem Unternehmen möglich im Anschluss Werbung passgenau an die entsprechende Zielgruppe auszuspielen und so Einnahmen zu generieren. Da dieses Vorgehen durch die neuen EU-Regeln, -Rechtsprechungen und -Behördenanordnungen immer weiter beschränkt wird, muss sich das Unternehmen neue Möglichkeiten einfallen lassen, um Umsätze zu erzielen. Nichtsdestotrotz gibt Meta weiterhin an, an ein freies für jedermann unabhängig vom Einkommen zugängiges “werbeunterstützes Internet“ zu glauben und sich hierfür weiterhin einsetzen zu wollen.

Kategorien: Allgemein

EuGH: Kostenlose Kopie der Patientenakte

1. November 2023

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.

Der zugrundeliegende Fall

Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.

Bisherige Rechtslage

Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.

Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.

Das EuGH-Urteil

Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.

Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.

Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.

Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.

Fazit

Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.

G7-Länder setzen Leitlinien für KI

31. Oktober 2023

Die Gruppe der sieben größten demokratischen Volkswirtschaften (G7) hat am 30.10.2023 einen wegweisenden Schritt unternommen, um die Verwendung von Künstlicher Intelligenz (KI) sicherer zu gestalten. Die Staats- und Regierungschefs der G7-Länder setzen neue Leitlinien für KI, die die Notwendigkeit betonen, Risiken im Zusammenhang mit dieser aufstrebenden Technologie zu reduzieren und die Menschen vor missbräuchlicher Nutzung zu bewahren.

Inhalt der Leitlinie

In der gemeinsamen Erklärung wurden elf Leitprinzipien erarbeitet. Diese sollen unteranderem einen freiwilligen Verhaltenskodex für KI-Anbieter wie OpenAI, Microsoft und Google darstellen. Ziel ist es die Sicherheit und Vertrauenswürdigkeit dieser neuen Technologien voranzubringen. KI-Betreiber werden aufgefordert, potenzielle Gefahren und Schwachstellen von KI-Anwendungen herauszuarbeiten und regelmäßig hierüber zu berichten. Darüber hinaus sollen effektive Maßnahmen ergriffen werden, um KI-Inhalte beispielsweise durch spezielle Kennzeichen zu markieren.

Aktuelle rechtliche Entwicklungen

Die Europäische Kommission äußerte sich positiv gegenüber der Erklärung der G7-Länder. Die Leitlinien würden zu international geltenden Regeln beitragen, die gerade im KI-Bereich im Vergleich von regionalen Gesetzen zu bevorzugen seien. Diese Aussage überrascht nicht vor dem Hintergrund, dass die EU zurzeit selbst an einer KI-Verordnung arbeitet, die noch bis Ende des Jahres fertiggestellt werden soll. Der schwierige Gesetzgebungsprozess verdeutlicht, welche Hürden die Legislative bei der Regelung dieser neuen Technologie zu meistern hat. Dabei ist vor allem von entscheidender Bedeutung, einen ausgewogenen Ansatz zu finden, der die Entwicklung von KI nicht erstickt, sondern sicherstellt, dass sie zum Wohl der Gesellschaft eingesetzt werden kann.

Zudem gibt es auch in den USA entsprechende Bestrebungen. So hat US-Präsident Joe Biden ein Dekret erlassen, dass KI-Betreiber zu Tests verpflichtet, wenn Gefahren für die nationale Sicherheit und die öffentliche Gesundheit und Sicherheit bestehen. Zudem sind hierin auch Standards für den Datenschutz vorgesehen.

Fazit

KI bietet das Potenzial, in verschiedenen Bereichen einen wichtigen Beitrag zu leisten, einschließlich Klimaschutz, Energieeffizienz, Gesundheitsvorsorge und selbst Datenschutz. Gleichzeitig ist es jedoch erforderlich, die Verwendung von KI zu regulieren, um Missbrauch und Risiken zu verhindern. Das bezieht sich nicht zuletzt auf die Gefahren, die KI-Systeme wie ChatGPT auf den Schutz personenbezogener Daten haben kann.

Die G7-Länder setzen nun neue Leitlinien für KI. Die gemeinsame Erklärung ist ein bedeutender Schritt in Richtung sicherer KI-Anwendungen auf internationaler Ebene. Sie zeigt die Notwendigkeit des verantwortungsvollen Umgangs mit dieser zukunftsweisenden Technologie, ohne zu hohe Hürden für die KI-Entwicklung zu stellen.

Fragen an ChatGPT von Landesdatenschutzbeauftragten

30. Oktober 2023

Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.

Datenschutzrechtliche Relevanz des Auskunftsersuchens

Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.

Weitere Prüfung notwendig

Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.

Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.

Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.

Zuständigkeit für rechtliche Bewertung

Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.

Fazit

Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.

Kanzleimonitor 2023-2024: KINAST auf Platz 6 im Datenschutzrecht

26. Oktober 2023

Wir freuen uns über die erneute Top-Platzierung im aktuellen Ranking der Kanzleimonitor*-Studie 2023-24 und bedanken uns bei allen Mandanten, die uns empfohlen haben!

Im Datenschutzrecht (Themenfelder: Erfassung & Verwertung von Informationen, Telekommunikation, Datenverarbeitung, Cloud-Computing, Social Media) haben wir es abermals deutschlandweit in die Top 10 geschafft. Mit zahlreichen Empfehlungen belegen wir den 6. Platz und können uns damit neben diversen Großkanzleien (u.a. Taylor Wessing) weiterhin in der Spitzengruppe der führenden Kanzleien im Datenschutz behaupten.

Es freut uns zudem, dass mit Dr. Karsten Kinast und Benjamin Schuh zwei unserer Rechtsanwälte als „Führende Anwälte Datenschutz“ gelistet werden.

Das positive Ergebnis in dieser Studie ist für unsere Kanzlei besonders wichtig, weil es sich hier um eine Bewertung aus dem Mandantenkreis handelt und zudem eine Einstufung durch die eigene Berufsgruppe der Juristen erfolgt.

Vielen Dank an alle Mandanten, die uns (wieder) empfohlen haben!

 

*Der Kanzleimonitor (kanzleimonitor.de – Empfehlung ist die beste Referenz) stellt jährlich ein umfassendes Ranking der 100 am häufigsten empfohlenen Anwälte und Kanzleien in jedem Rechtsgebiet zur Verfügung. Diese Übersicht soll Unternehmensjuristen aller Branchen als Auswahlkriterium für die Mandatierung von Wirtschaftskanzleien dienen.

Kategorien: Allgemein · Kanzleimonitor

Weitergabe von sensiblen Patientendaten

25. Oktober 2023

Auch im Gesundheitswesen sind Datenschutz und die Weitergabe von sensiblen Patientendaten an Dritte von großer Bedeutung. Dabei müssen bestimmte datenschutzrechtliche Voraussetzungen beachtet werden, um den Schutz der Patientendaten zu gewährleisten.

Datenweitergabe im medizinischen Bereich

Datenschutz im medizinischen Bereich ist grundsätzlich ein anspruchsvolles Thema. Wenn es darum geht, Patientendaten an Dritte weiterzugeben, wird die Situation komplexer. Deshalb stellt sich die Frage, inwieweit Berufsgeheimnisträger wie Ärzte dies dürfen. Dies betrifft nicht nur die Übermittlung von Patientenakten an andere Kliniken oder Praxen, sondern auch die Versendung von Blutproben an ein Labor oder die Weitergabe von Informationen zu Abrechnungszwecken.

Bedeutung von Patientendaten im Datenschutz

Patientendaten umfassen eine Vielzahl sensibler Informationen, wie etwa die Krankengeschichte, Blutwerte und die Art konkreter Beschwerden. Diese Daten gelten als Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO und genießen deshalb einen besonderen Schutz. Zusätzlich unterliegen sie der ärztlichen Schweigepflicht. Selbst pseudonymisierten Daten sind weiterhin personenbezogene Daten.

Erfordernis einer Rechtsgrundlage für die Datenweitergabe

Aufgrund der Datenschutzbestimmungen und der ärztlichen Verschwiegenheitspflicht, darf man Patientendaten nur in Ausnahmefällen an Dritte übermitteln. Eine Datenübermittlung ist ohne die ausdrückliche Einwilligung des Patienten oder eine andere gesetzliche Erlaubnis nicht gestattet.

Gesetzliche Rechtsgrundlagen

Wenn eine gesetzliche Rechtsgrundlage vorliegt, bedarf es keiner zusätzlichen Einwilligung der Patienten. Dies gilt in begrenztem Umfang in den folgenden Fällen:

  • Abrechnung bei Krankenkassen für Versicherte
  • Prüfung der Arbeitsfähigkeit durch den Medizinischen Dienst der Krankenversicherung (MDK)
  • Sozialleistungsträger
  • Berufsgenossenschaften bei Berufskrankheiten
  • Gesundheitsämter
  • Datenschutzbehörden
  • Polizei oder Staatsanwaltschaft zur Verhinderung von Straftaten.

Ausdrückliche Patienteneinwilligung

In Fällen ohne gesetzliche Erlaubnis, ist die Einwilligung der Patienten erforderlich (Art. 6 Abs. 1 lit. a i. V. m. Art. 7 DSGVO). Dann müssen die Patienten transparente und umfassende Informationen über den Zweck der Datenübertragung und die jeweiligen Empfänger erhalten. Die Einwilligung sollte klar, eindeutig und idealerweise schriftlich erfolgen.

Die Privatärztlichen Verrechnungsstellen (PVS)

PVS sind Dienstleister, die Laboren, Arztpraxen und Krankenhausverwaltungen bei der Abrechnung medizinischer Leistungen helfen. In einigen Fällen wird angenommen, dass der Behandlungsvertrag als ausreichende Rechtsgrundlage dient (Art. 9 Abs. 2 lit. h, Abs. 3 DSGVO i. V. m. § 22 Abs. 1 Nr. 1 lit. b BDSG). Dies ist allerdings umstritten und aktuell noch nicht abschließend geklärt. Aus diesem Grund raten wir, sich auch in solchen Fällen um eine Einwilligung der Patienten zu bemühen.

Konsequenzen einer rechtswidrigen Datenweitergabe

Wenn keine Rechtsgrundlage für die Datenweitergabe besteht und trotzdem Daten übertragen werden, handelt es sich um einen Datenschutzverstoß. Dies kann schnell zu Bußgeldern auf Grund von Datenschutzrecht oder zur Geltendmachung von Schadensersatzansprüchen durch die Patienten führen. Darüber hinaus kann es sich auch um einen Verstoß gegen das Berufsgeheimnis handeln, woraus gemäß § 203 StGB eine Geld- oder Freiheitsstrafe folgen kann.

Fazit

Die Weitergabe von sensiblen Patientendaten ist und bleibt ein anspruchsvolles Thema. Es ist von großer Bedeutung, die datenschutzrechtlichen Prozesse in Arztpraxen und Krankenhäusern entsprechend anzupassen. In den meisten Fällen empfiehlt es sich, Einwilligungen für die erforderliche Datenweitergabe einzuholen, um Bußgelder oder sogar strafrechtliche Konsequenzen zu vermeiden. Wir als Externer Datenschutzbeauftragter helfen Ihnen gerne beim Implementieren entsprechender Prozesse weiter.

Der BfDI kritisiert das geplante FKBG

23. Oktober 2023

Die Bekämpfung von Finanzkriminalität und Geldwäsche ist von großer Bedeutung, doch wie weit dürfen wir dabei in die Privatsphäre der Bürger eindringen? Im Zentrum dieser Diskussion steht der Gesetzentwurf zur Verbesserung der Bekämpfung von Finanzkriminalität (Finanzkriminalitätsbekämpfungsgesetzes). Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, kritisiert das geplante Finanzkriminalitätsbekämpfungsgesetzes (FKBG). In einer Pressemitteilung vom 18. Oktober 2023 äußert er datenschutz- und verfassungsrechtliche Bedenken.

Das geplante Bundesamt zur Bekämpfung von Finanzkriminalität (BBF)

Der FKBG-Gesetzentwurf präsentiert ein umfassendes Maßnahmenpaket zur Bekämpfung von Geldwäsche. Das Herzstück des FKBG ist die Schaffung eines eigenständigen Bundesamts zur Bekämpfung von Finanzkriminalität (BBF). Dieses soll bereits am 1. Januar 2024 dem Bundesfinanzministerium unterliegend eingerichtet werden. Das neue Amt soll Datenanalyse, straf- und verwaltungsrechtliche Ermittlungen sowie geldwäscherechtliche Aufsicht miteinander verknüpfen, um die Finanzkriminalität nachhaltig zu bekämpfen. Besonderes Augenmerk liegt auf dem neu geschaffenen Ermittlungszentrum Geldwäsche innerhalb des BBF. Dieses Zentrum erhält weitreichende polizeiliche Befugnisse und umfassende Datenverarbeitungsberechtigungen, die tief in die Privatsphäre der Bürger eingreifen könnten. Man wolle die Kompetenzen des Bundeskriminalamtes hierdurch nicht beschränken.

Neue Ermittlungsberechtigungen und niedrigerer Verdachtsgrad

Das neue Gesetz soll zusätzliche Ermittlungsbefugnisse einführen und den bisher zur Aufnahme von Ermittlungen erforderlichen Verdachtsgrad reduzieren.

Aktuell sind in diesem Bereich strafrechtliche Untersuchungen nur zulässig, wenn ein Anfangsverdacht vorliegt. Das ist der Fall, wenn hinreichende tatsächliche Anhaltspunkte für eine verfolgbare Straftat vorliegen. Nach der neuen Regelung sollen Ermittlungsbefugnisse schon dann entstehen, wenn Unklarheit über den wirtschaftlich Befugten oder die Herkunft eines relevanten Vermögensgegenstandes existiert. Das erhöht die Ermittlungsbefugnisse signifikant, da Verdachtsmomente für eine rechtswidrige Herkunft von Vermögen im Vergleich zu Anhaltspunkten für eine konkrete Straftat sehr oft vorkommen.

Im Übrigen ist eine Erweiterung der prozessrechtlichen Befugnisse vorgesehen. So sollen Telekommunikationsüberwachung und Online-Durchsuchungen in Zukunft unabhängig davon erlaubt sein, aus welcher konkreten Vortat das rechtswidrig erlangte Vermögen herrührt. Momentan existieren diese Befugnisse nur bei besonders schweren Vortaten. So reicht aktuell einfacher Betrug nicht aus, während man bei Straftaten im Bereich des Drogen- und Menschenhandels diese strafprozessrechtlichen Instrumente heranziehen darf.

Bedrohte Privatsphäre und Doppelzuständigkeiten laut BfDI

Die Ressortabstimmung hat einige der Kritikpunkte des BfDI berücksichtigt, was er positiv anerkennt. Andererseits weist er darauf hin, dass der aktuelle Gesetztesentwurf massive neue Eingriffsbefugnisse etabliert. Das geschehe ohne, dass die im Koalitionsvertrag bis Ende 2023 vorgesehene Kontrolle der Sicherheitsgesetze im Rahmen einer Überwachungsgesamtrechnung stattgefunden hat. Ohne eine vollständige Bewertung bestehender Sicherheitsmaßnahmen riskiere man massive neue Eingriffe, deren Konsequenzen man nur schwer rückgängig machen könne.

Besonders besorgniserregend sei zudem die mangelnde Abgrenzung zur Zuständigkeit des Bundeskriminalamtes im Bereich der Geldwäschebekämpfung. Der BfDI betont, dass durch solche Doppelzuständigkeiten das Risiko übermäßiger und doppelter Datensammlung gesteigert wird. Insgesamt läge hierin eine wachsende Gefahr für die Rechte und Freiheiten der Bürger.

Fazit

Es steht außer Frage, dass die Bekämpfung von Finanzkriminalität von größter Bedeutung ist. Zu begrüßen ist auch, dass die Koalition mit dem Gesetzesentwurf einen weiteren Punkt des Koalitionsvertrages in Angriff nimmt. Allerdings darf dies nicht auf Kosten des Datenschutzes und der Privatsphäre gehen. Hingegen sollten Datenschutz und Finanzkriminalitätsbekämpfung Hand in Hand gehen, um eine gerechte und sichere Gesellschaft zu schaffen. Der BfDI kritisiert insofern zu Recht das geplante FKBG. Die von ihm geforderte gründliche Prüfung des geplanten Gesetzes, ist nötig, um sicherzustellen, dass die vorgeschlagenen Maßnahmen den verfassungsrechtlichen Anforderungen und dem Datenschutz der Bürger gerecht werden. Dabei sollten die entsprechenden Vorgaben bereits im Rahmen des Gesetzgebungsverfahrens beachtet werden, anstatt wie so oft voreilig ein ungenügendes Gesetz zu erlassen, dass im Anschluss korrigiert werden muss. Welche konkreten Regelungen das finale Gesetz enthalten wird, bleibt abzuwarten.

Kategorien: Allgemein

Arbeitspapier zu Telemetrie

20. Oktober 2023

Was sind Telemetrie- und Diagnosedaten?

Telemetrie ist in der heutigen Welt allgegenwärtig. Unsere Apps und Betriebssysteme sammeln eine Fülle von Informationen über unsere Nutzungsgewohnheiten, oft ohne, dass wir es merken. Häufig haben diese Daten einen wirtschaftlichen Wert und dienen Unternehmen als zusätzliche Einnahmequelle. Als Telemetrie- und Diagnosedaten zählen zum Beispiel Angaben darüber, wie oft bestimmte App-Funktionen genutzt werden oder zu welchen Zeiten und an welchen Orten dies geschieht. Selbst Erkenntnisse über die Häufigkeit und Art von Systemabstürzen werden erhoben.

Datenschutzrechtlichen Relevanz

Bei all diesen Arten von Informationen kann es sich um personenbezogene Daten handeln. Das gilt unabhängig davon, ob der Zweck der Datenerhebung rein technischer Natur ist (z. B. Performanceverbesserung oder Troubleshooting) oder sich auf die Entwicklung neuer Anwendungen und Geräte bezieht. Selbst bei einer Pseudonymisierung ohne Absicht der Identifizierung, sind datenschutzrechtliche Grundsätze einzuhalten. Nur auf Informationen, die dem primären Zweck des Geräts dienen (z. B. bei einem Herzschrittmacher), bezieht sich das Arbeitspapier zu Telemetrie nicht.

Herausgearbeitete Risiken

Die IWGDPT hat verschiedene Risiken identifiziert, die eine Gefahr für die Datensicherheit bedeuten könnten. Zunächst seien viele Hersteller sich schon gar nicht bewusst, dass die erhobenen Daten überhaupt einen Personenbezug aufweisen. Laut der Berlin Group befolgen sie dementsprechend auch keinerlei datenschutzrechtlichen Regeln

Bei der Erhebung der Daten werden oft Informationspflichten über das Sammeln, die Art und die bezweckte Nutzung der Daten außer Acht gelassen. Auf der Gegenseite seien sich auch die Nutzer häufig weder über die Erhebung noch über deren Umfang bewusst. Das führe zu fehlender Transparenz, die es dem Nutzer ermöglichen könne, der Datensammlung zu widersprechen. Selbst wenn eine entsprechende Information stattfinde, gäbe es keine (ausreichenden) Möglichkeiten für die Nutzer die Datenerhebung zu limitieren oder zu verhindern. Auch wenn es technische Möglichkeiten gäbe, die Sammlung zu minimieren, komme es sehr selten vor, dass sie komplett verweigert werden könne.

Weiterhin würden oft Daten provisorisch und in großen Mengen erhoben. Das führe zu einer Verletzung des Grundsatzes der Datenminimierung und verstoße gegen die Zweckbindung. Parallel dazu gebe es auch keine zeitlichen Aufbewahrungsgrenzen.

Zuletzt würden die Maßnahmen zur Sicherung der Vertraulichkeit der Daten immer wieder nicht den gesetzlichen Anforderungen genügen.

Datenschutzfreundlichere Lösung

Die Berlin Group appelliert, dass man sich bewusst machen muss, dass auch in diesen Fällen die Grundsätze des Datenschutzes zu beachten sind. Dabei erkennt sie die Bedeutung dieser Datengruppe für die Qualitätssicherung an. Trotzdem müssten Gesetzgeber entsprechende gesetzliche Regeln sicherstellen und ggf. sogar geeignete Standards einführen. Auf der Seite der Hersteller müsse das Sammeln von personenbezogenen Daten anerkannt, dokumentiert und die Nutzer entsprechend informiert werden. Man müsse die Datenerhebung angepasst an die Zwecke in Art, Umfang und Zeit limitieren. Automatisch dürfe man nur Daten erheben, die per Gesetz einwilligungsfrei erhoben werden können. Weiterhin fordert sie flexible Einstellungsmöglichkeiten für die Nutzer hinsichtlich der Datenerhebung. Man müsse zudem Systeme einrichten, um die Daten zu pseudonymisieren und um die Sicherheit der Daten zu gewährleisten.

Fazit

Die Funktionen der Telemetrie sind entscheidend für eine verlässliche Qualitätssicherung. Nichtsdestotrotz werden auch hierbei persönliche Daten erhoben, denen ein entsprechender Schutz zu kommen muss. Die Realität zeigt, dass in vielen Anwendungen datenschutzrechtliche Vorkehrungen fehlen oder zumindest nicht hinreichend ausgestaltet sind. Das Arbeitspapier zu Telemetrie zeigt, dass es möglich ist, diese Analysesysteme datenschutzkonform zu gestalten, ohne dabei den Nutzen der Funktionen zu vernachlässigen. Herstellern solcher Anwendungen wird empfohlen auch hier datenschutzrechtliche Vorgaben zu befolgen, um das Risiko von Bußgeldern zu minimieren.

Kategorien: Allgemein · Telemetrie
1 8 9 10 11 12 274