20. Dezember 2022
Als Reaktion auf Beschwerden von Verbraucherinnen und Verbrauchern hat die Bundesnetzagentur zahlreiche Mobilfunkrufnummern abgeschaltet. Kontaktierten Personen waren von diesen Nummern vermeintliche Steuerrückerstattungen in Aussicht gestellt worden.
Kurznachrichten mit Links zu gefälschten Websites
In Kurznachrichten gaben sich die Betrüger beispielsweise als Finanzämter, Steuerbehörden oder auch als Finanzministerium aus. Empfänger der Nachrichten sollten angeblich mehrere Hundert Euro an Steuern zurückerstattet bekommen. Dazu enthielten die Nachrichten Links zu nachgebauten Webseiten, die aufgrund der Verwendung bekannter Logos denen von Banken und Kreditinstituten zum Verwechseln ähnlich sahen. Hier sollten sich Betroffene dann mit ihren Bankzugangsdaten anmelden.
Phishing und andere Versuche, Daten abzugreifen
Die Verwendung von Mobilfunknummern ist beliebt, um auf betrügerische Weise Daten und Geld zu erhalten. Zuletzt gab es im Sommer eine Welle von betrügerischen Anrufen, bei denen sich die Anrufer als Vertreter von internationalen Polizeibehörden ausgaben.
Bei dem Vorgehen, Bankzugangsdaten über gefälschte Webseiten abzugreifen, handelt es sich um klassisches Phishing. Die abgegriffenen Daten können zu kriminellen Zwecken verwendet und auch weitergegeben werden. Zudem können sich auch Viren und andere Malware hinter solchen Links verbergen. Die Bundesnetzagentur rät daher allen, die ihre Daten bereits angegeben haben, sich mit ihrem kontoführenden Kreditinstitut in Verbindung zu setzen und bei der Polizei Anzeige zu erstatten.
19. Dezember 2022
Die elektronische Arbeitsunfähigkeitsbescheinigung (eAU) wird bald eingeführt, um Papier zu sparen sowie die Arbeit zu erleichtern. Dadurch müssen gesetzlich Versicherte ihrem Arbeitgeber grundsätzlich keine Bescheinigung mehr aushändigen, wenn sie arbeitsunfähig sind. Der Hinweis an den Arbeitgeber, dass er erkrankt ist, und die voraussichtliche Dauer genügt.
Wie funktioniert die elektronische Arbeitsunfähigkeitsbescheinigung?
Der Arzt erstellt die eAU in seinem Praxisverwaltungssystem (PVS), signiert sie mit einer Qualifizierten Elektronischen Signatur (QES) und verschickt sie Ende-zu-Ende-verschlüsselt mit dem KIM-Dienst (Kommunikation im Medizinwesen) an die Krankenkasse des erkrankten Arbeitnehmers. Ärtze sind bereits seit Oktober 2021 zum Versenden der eAU verpflichtet. Welche Systeme den eAU-Versand ermöglichen, lässt sich im TI-Score der für die Digitalisierung zuständigen Gematik GmbH sehen.
Sobald die eAU an die Krankenkasse verschickt wurde, gelangt sie zu einer zentralen Sammelstelle der gesetzlichen Krankenkassen. Somit sind jetzt die gesetzlichen Krankenkassen zum Nachweis verpflichtet. Der Arbeitgeber kann die Arbeitsunfähigkeitsbescheinigung über das Entgeltabrechnungsprogramm bei der Sammelstelle anfragen und sie abrufen, sobald sie dort bereitsteht: Eine Abfrage ist frühestens ab dem Folgetag der Arbeitsunfähigkeit sinnvoll. Bleibt der Arbeitgeber drei Tage lang ohne Krankschreibung von der Arbeit, empfiehlt die AOK eine Abfrage frühestens ab dem fünften Tag der Arbeitsunfähigkeit. Außerdem wird der Arbeitgeber informiert, sobald die AU bereitsteht.
Die Änderungen durch die eAU für gesetzlich Versichertete
Ab Januar 2023 müssen gesetzlich Versicherte ihren Arbeitgeber nur noch über ihre Erkrankung informieren, vgl. § 5 Abs. 1 Satz 2 des Entgeltfortzahlungsgesetzes. Nur wenn die Arbeitsunfähigkeit länger als drei Kalendertage dauert und es im Arbeitsvertrag nicht anders geregelt ist, kann der Arbeitgeber eine Anfrage bei einer dafür eingerichteten Stelle bei den gesetzlichen Krankenkassen stellen. Grundsätzlich müssen Arbeitnehmer demnach keine Arbeitsunfähigkeitsbescheinigung mehr an die Krankenkasse oder den Arbeitgeber senden.
Die Änderungen für Arbeitgeber
Arbeitgeber dürfen ab Januar 2023 von ihren gesetzlich Versicherten in der Regel keine Arbeitsunfähigkeitsbescheinigung mehr verlangen. Dazu muss der Arbeitgeber verschiedene Angaben übermitteln, etwa den Namen, das Geburtsdatum, die Versichertennummer und die Betriebsnummer des Beschäftigungsbetriebs. Ist die Versichertennummer des Arbeitnehmers nicht bekannt, muss diese mit dem Abrechnungsprogramm bei der Datenstelle der Rentenversicherung abgefragt werden. Wenn das nicht möglich ist, müssen zusätzlich Geburtsname und Geburtsort des Arbeitnehmers zur eindeutigen Identifikation angegeben werden.
Praxistipp bei technischen Störungen
Es ist nicht unwahrscheinlich, dass der Übergang zur eAU nicht ohne Probleme funktionieren wird. Das bedeutet also, dass die behandelnden Ärzte den Versicherten eine Arbeitsunfähigkeitsbescheinigung, die dem Arbeitgeber vorgelegt werden kann, wohl weiter in Papierform aushändigen.
Gerade zu Beginn des elektronischen Meldeverfahrens ist es laut einer Sprecherin des Bundesministeriums für Arbeit und Soziales (BMAS)„wichtig, dass Arbeitnehmerinnen und Arbeitnehmer einen Nachweis für ihre Arbeitsunfähigkeit erhalten, den sie bei Bedarf gegebenenfalls selbst ihrem Arbeitgeber vorlegen können, wenn dieser beispielsweise irrtümlich von unberechtigten Fehlzeiten ausgeht und arbeitsrechtliche Konsequenzen (Lohnkürzung, Abmahnung, Kündigung) erwägt“. Daher sei es laut BMAS wichtig, dass Ärztinnen und Ärzte den Versicherten übergangsweise eine Arbeitsunfähigkeitsbescheinigung für Arbeitgeber in Papierform aushändigen. Gesetzlich Versicherte sollten demnach auch darauf „achten und gegebenenfalls ausdrücklich darauf bestehen, dass ihnen diese Bescheinigung weiterhin ausgestellt wird“.
In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.
Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.
Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.
Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.
Ist Tech-Solutionismus die Lösung?
Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.
Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.
Verschlüsselte Kommunikation aufbrechen
Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.
Das “Datenschutzgrundrecht”
Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.
16. Dezember 2022
Die Abgeordneten des Deutschen Bundestages haben am Freitag, 16. Dezember 2022, einen „besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen.
Warum ist der Schutz von Hinweisgebern wichtig?
Im beruflichen Kontext ist der Schutz von Hinweisgebern ein wichtiges, gleichzeitig aber auch sensibles Thema, da er für den Erhalt integrer Arbeitsplätze und die Einhaltung ethischer Grundsätze in Unternehmen unerlässlich ist. Hinweisgeber tragen dazu bei, Missstände aufzudecken und zu korrigieren, indem sie Informationen über illegale oder unethische Praktiken melden.
Das Problem: Die Meldung solcher Vorgänge kann sehr riskant sein, da sie möglicherweise finanzielle Verluste oder negative Konsequenzen bei der Arbeit einbringen kann.
Aus diesem Grund müssen hinweisgebende Mitarbeiter vor Diskriminierung und Repressalien geschützt werden.
Eine weitere Herausforderung besteht darin, dass viele Mitarbeiter oft nicht wissen, wo sie solche Informationen melden können oder wie sie am besten vorgehen sollen. Daher ist es für Unternehmen wichtig, einen Mechanismus zur Meldung von Missständen zu schaffen und proaktiv über diese Mechanismen zu informieren.
Das neue Gesetz
In den letzten Jahren ist die Bedeutung des Schutzes von Hinweisgebern immer stärker in den Fokus der Öffentlichkeit gerückt. Dies ist vor allem auf die steigende Zahl von Whistleblowern zurückzuführen, die sich gegen Missstände in ihrem Unternehmen oder in ihrer Branche wenden.
Mit dem nun beschlossenen Gesetzesentwurf soll der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen ausgebaut werden. Nach eigenem Bekunden will die Bundesregierung mit dem Gesetz nun zum einen die Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU) 2019 / 1937, (EU) 2020 / 1503) und zum anderen die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) umsetzen. Deutschland – sowie einige weitere EU-Staaten – sind mit der Umsetzung allerdings sehr spät dran, denn die EU-Richtlinie hätte eigentlich bis zum 17. Dezember 2021 transferiert werden müssen. Gegen Deutschland läuft deswegen ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren.
Was ändert sich für Unternehmen und Beschäftigte?
Kernstück des Entwurfes ist ein neu zu schaffendes „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz, HinSchG). Dieses Gesetz soll dem Entwurf zufolge die wesentlichen Anforderungen und Verfahren an den Hinweisgeberschutz beinhalten. Danach müssen grundsätzliche alle Unternehmen, die mindestens 50 Mitarbeiterinnen und Mitarbeiter beschäftigen, eine interne Meldestelle einrichten; Unternehmen mit bis zu 249 Mitarbeitenden haben die Möglichkeit, Meldestellen gemeinsam aufbauen.
Neue Meldestellen
Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Bereiche sind darüber hinaus spezielle Meldestellen vorgesehen. Wie die Bundesregierung ausführt, ist der Anwendungsbereich entsprechend der Vorgaben der EU-Richtlinie weit gefasst und umfasst neben Arbeiternehmerinnen und Arbeitnehmer auch Beamtinnen und Beamte, Anteilseignerinnen und Anteilseigner, Mitarbeiterinnen und Mitarbeiter von Lieferanten und Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben.
Die hinweisgebende Person soll laut des Gesetzesentwurfs wählen können, ob sie sich an eine interne oder externe Meldestelle wende. Entscheidend ist, dass die Identität der hinweisgebenden Person in beiden Fällen grundsätzlich vertraulich zu behandeln ist. Meldungen sollen daher laut Entwurf auch anonym möglich sein. Laut Entwurfstext soll für interne Meldestellen allerdings keine Verpflichtung bestehen, „die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen“. Gleiches soll vorbehaltlich spezialgesetzlicher Regelungen auch für die externen Meldestellen gelten. In beiden Fällen sollte zudem gelten, dass die jeweilige Meldestelle „anonym eingehende Meldungen allerdings bearbeiten [sollte], soweit dadurch die vorrangige Bearbeitung nicht anonymer Meldungen nicht gefährdet wird“.
Schutz vor Repressalien
Für hinweisgebende Personen und bestimmte andere Personen gilt ein Schutz vor Repressalien beziehungsweise vor einer Drohungen damit.
Erfolgt nach einer Meldung durch einen Arbeitnehmer eine „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“, soll laut Entwurfstext vermutet werden, dass es sich um eine Repressalie handelt. Daher hat „In diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte“.
Bei einem Verstoß gegen das Verbot von Repressalien soll dem Hinweisgeber ein Schadensersatzanspruch gegen den Verursacher zustehen.
In der Praxis bleibt abzuwarten, in wie weit die gesetzlichen Regelungen tatsächlich zu einem reibungslosen Aufdecken von Missständen führen.
Fazit
Der Schutz von Hinweisgebern ist von entscheidender Bedeutung für die Einhaltung ethischer Grundsätze im beruflichen Umfeld sowie für den Erhalt integrer Arbeitsplätze und fair gehandhabte Geschäftsfelder. Daher ist es Aufgabe aller Beteiligten – insbesondere der Unternehmen – sicherzustellen, dass effektive Maßnahmen zum Schutz von Hinweisgebern getroffen werden.
15. Dezember 2022
Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.
Aller guten Dinge sind drei?
Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.
US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.
Was ist ein Angemessenheitsbeschluss?
Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.
Zentrale Inhalte des Entscheidungsentwurfs
Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.
Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.
Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.
Wie geht es nun weiter?
Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.
Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.
EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.
14. Dezember 2022
Der aktuelle 11. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) befasst sich mit diesem interessanten Thema aus dem Beschäftigtenkontext:
Bei der Einstellung eines neuen Mitarbeiters gehört es zum Standard, dass dieser eine entsprechende Erklärung zum vertraulichen Umgang mit personenbezogenen Daten bzw. der Einhaltung der datenschutzrechtlichen Anforderungen unterzeichnet.
Einen Mustertext findet man im Kurzpapier Nr. 19 der Datenschutzkonferenz (DSK), das auch im oben genannten Tätigkeitsbericht beiliegt (S. 51).
Das BayLDA erörtert in seinem Tätigkeitsbericht, welche Folgen es hat, wenn ein Beschäftigter sich weigert, die Verpflichtung auf das Datengeheimnis zu unterzeichnen.
Dürfen Beschäftigte ihre Unterschrift verweigern?
Nach Ansicht des BayLDA sei eine Unterschriftsverweigerung irrelevant.
Weigert sich der Arbeitnehmer, die Erklärung zu unterzeichnen, dann reiche es aus, dass der Arbeitgeber den bestehenden Prozess nachweist, den Beschäftigten auf die Einhaltung der datenschutzrechtlichen Pflichten hinweist und auch die Weigerung einschließlich des Umstandes der Weigerung dokumentiert. Zwar sieht das Gesetz dabei kein Formerfordernis für die Verpflichtung vor, dennoch empfiehlt es sich wegen der nachzukommenden Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO eine unterzeichnete Erklärung des Beschäftigten (in schriftlicher oder elektronischer Form) bereitzuhalten.
Schließlich kann sich durch die Weigerung des Beschäftigten die Einhaltung der datenschutzrechtlichen Pflichten, die sich insbesondere aus der DSGVO ergeben, nicht einfach ausgehebelt werden. Die Stellungnahme des BayLDA dazu ist für Arbeitgeber sehr praxistauglich.
13. Dezember 2022
Der Europäische Gerichtshof (EuGH) entschied am 8 Dezember 2022, dass Suchmaschinenbetreiber nachweislich unrichtige Informationen auslisten müssen.
Der Sachverhalt
Hintergrund der Entscheidung war die Vorlage des Bundesgerichtshofs (BGH) im Rahmen des Vorabentscheidungsverfahrens.
Der Geschäftsführer mehrerer Finanzdienstleistungsunternehmen und die Prokuristin eines dieser Unternehmen hatten gegen Google geklagt. Der Suchmaschinenbetreiber hatte sich geweigert, kritische Artikel auf der Seite eines New Yorker Unternehmens aus seinen Suchergebnissen und Vorschaubildern auszulisten. Dieses Unternehmen stand laut verschiedener Veröffentlichungen unter dem Verdacht, Unternehmen mit negativen Berichten zu erpressen, die es nur gegen Geldzahlung löschte.
Zudem hatte Google Fotos als Vorschaubilder (sogenannte Thumbnails) in der Suchergebnisliste angezeigt, ohne den ursprünglichen Kontext der Veröffentlichung zu benennen. Diese Fotos zeigten die Kläger mit Luxusfahrzeugen, im Innenraum eines Hubschraubers und vor einem Flugzeug.
Datenschutz vs. Informationsrecht
Der EuGH betonte, dass das Recht auf Schutz personenbezogener Daten stets unter Wahrung des Verhältnismäßigkeitsprinzips mit anderen Grundrechten abgewogen werden müsse. So stünde es insbesondere im Spannungsverhältnis mit dem berechtigten Interesse der Internetnutzer am Zugang zu Informationen. Ausdruck finde dieses Spannungsverhältnis auch in Art. 17 Abs. 3 DSGVO, der das Recht auf Löschung ausschließe, wenn die Verarbeitung erforderlich zur Ausübung des Rechts auf freie Information sei. Privatsphäre und Datenschutz seien besonders schützenswert und könnten durch Suchmaschinen erheblich beeinträchtigt werden. Daher überwögen diese Rechte im Allgemeinen gegenüber Informations- und Meinungsäußerungsrechten. Doch gerade eine Person des öffentlichen Lebens müsse „ein höheres Maß an Toleranz aufbringen, da sie zwangsläufig und bewusst im Blick der Öffentlichkeit steht“.
Allerdings zog der EuGH eine klare Grenze bei unwahren Tatsachenbehauptungen. Diese seien keineswegs geschützt und in diesem Falle trete das Recht auf freie Information hinter dem Datenschutzrecht zurück. Voraussetzung sei, dass „zumindest ein für den gesamten Inhalt nicht unbedeutender Teil der Information, um die es in dem Auslistungsantrag geht, unrichtig“ sei.
Beweislast liegt bei betroffener Person – Keine Nachforschungspflicht der Suchmaschinenbetreiber
Um eine Auslistung zu erreichen, sei es laut EuGH erforderlich, dass die betroffene Person die Unrichtigkeit eines aufgelisteten Inhalts beweise. Sie dürfe jedoch nicht übermäßig belastet werden. Darum habe sie „lediglich die Nachweise beizubringen, die unter Berücksichtigung der Umstände des Einzelfalls von ihr vernünftigerweise verlangt werden können, um diese offensichtliche Unrichtigkeit festzustellen.“ Insbesondere könne der Suchmaschinenbetreiber nicht von ihr erwarten, eine gerichtliche Entscheidung als Beweis vorzulegen. Sollte sie jedoch eine solche vorlegen können, genüge dies den Nachweispflichten. Im Gegenzug müsse sich bei Nichtvorliegen einer gerichtlichen Entscheidung die Unrichtigkeit aus den gewählten Nachweisen offensichtlich ergeben. Sofern dem Suchmaschinenbetreiber ein Verfahren bekannt ist, das die Richtigkeit der Information anzweifelt, müsse dieser Internetnutzer in den Suchergebnissen darüber informieren.
Entgegen der Ansicht des Generalanwalts lehnte der EuGH eine aktive Nachforschungspflicht des Suchmaschinenbetreibers ab. Eine solche Verpflichtung bringe die Gefahr mit sich, „dass Inhalte, die einem schutzwürdigen und überwiegenden Informationsbedürfnis der Öffentlichkeit dienen, ausgelistet würden und es somit schwierig würde, sie im Internet zu finden. Insoweit bestünde die reale Gefahr einer abschreckenden Wirkung für die Ausübung der Freiheit der Meinungsäußerung und der Informationsfreiheit, wenn der Betreiber der Suchmaschine eine solche Auslistung nahezu systematisch vornähme, um zu vermeiden, dass er die Last der Ermittlung der Tatsachen zu tragen hat, die für die Feststellung der Richtigkeit oder Unrichtigkeit des aufgelisteten Inhalts relevant sind.“
Fotos auf Thumbnails als besonders starker Eingriff in die Rechte der betroffenen Person
Zudem wies der EuGH darauf hin, dass die Thumbnails der Bildersuche einen schwerer wiegenden Grundrechtseingriff darstellen können als die Veröffentlichung durch den Herausgeber der Internetseite selbst. Dies gelte insbesondere bei der Anzeige von Fotos bei der namensbezogenen Suche. Das Bild einer Person sei „nämlich eines der Hauptmerkmale seiner Persönlichkeit, da es seine Einmaligkeit zum Ausdruck bringt und es erlaubt, ihn von anderen Personen zu unterscheiden.“ Daher müssten Personen Kontrolle über Bilder von sich haben. Dazu gehöre die Möglichkeit, die Verbreitung zu untersagen. Im Falle eines Auslistungsantrags müsse der Suchmaschinenbetreiber beachten, ob der Kontext, in dem die Suchmaschine das Bild anzeige, mit dem Kontext der ursprünglichen Veröffentlichung übereinstimme. Auch hier sei eine Abwägung der widerstreitenden Interessen erforderlich. Man müsse unabhängig vom Text prüfen, „ob die Anzeige der fraglichen Fotos erforderlich ist, um das Recht auf freie Information auszuüben“.
Auswirkungen auf die Praxis
Die Entscheidung des EuGH bekräftigt erneut das Recht auf Vergessenwerden. Er präzisiert sein Urteil von 2014, in dem er dieses Recht ausformuliert hatte, und konkretisiert die Pflichten sowohl des Suchmaschinenbetreibers als auch der betroffenen Person. In der Praxis wird sich zeigen, inwieweit Suchmaschinenbetreiber wie Google die Nachweispflicht der betroffenen Person auslegen werden, wenn diese keine gerichtliche Entscheidung vorlegen kann.
9. Dezember 2022
Apple stellte am 07.12.2022 drei neue Sicherheitsfunktionen vor, die sich auf den Schutz von Daten in der Cloud beziehen und damit den nächsten Schritt in den laufenden unternehmensinternen Bemühungen darstellen, Nutzerinnen und Nutzern bessere Möglichkeiten zum Schutz ihrer Daten zu bieten.
„Wir bei Apple setzen uns unermüdlich dafür ein, unseren Nutzern die beste Datensicherheit der Welt zu bieten. Wir identifizieren und entschärfen ständig neue Bedrohungen für ihre personenbezogenen Daten auf dem Gerät und in der Cloud”, erklärte Craig Federighi, Senior Vice President of Software Engineering von Apple. „Unsere Sicherheitsteams arbeiten unermüdlich daran, die Daten der Nutzer zu schützen, und mit iMessage Contact Key Verification, Security Keys und Advanced Data Protection for iCloud stehen den Nutzern drei leistungsstarke neue Tools zur Verfügung, mit denen sie ihre sensibelsten Daten und Kommunikationen weiter schützen können.”
iMessage Contact Key Verification
Mit der iMessage Contact Key Verification könnten nach den Angaben von Apple Nutzer:innen sicherstellen, dass sie nur mit den beabsichtigten Personen kommunizieren. Gespräche zwischen Personen, die die iMessage Contact Key Verification aktiviert haben, würden automatisch gewarnt, falls es beispielsweise einem staatlich unterstützten Angreifer gelingen sollte, in den Cloud-Server einzudringen und ein fremdes System einzuschleusen, um diese verschlüsselte Kommunikation zu überwachen. Für noch mehr Sicherheit könnten iMessage-Benutzer einen Kontaktverifizierungscode persönlich über FaceTime oder einen anderen sicheren Anruf austauschen.
Security Keys für Apple ID
Mit Security Keys für Apple ID hätten Nutzer:innen die Möglichkeit, einen Sicherheitsschlüssel zu verwenden, um sich bei ihrem Apple ID Account anzumelden.
Advanced Data Protection für iCloud
Mit der Advanced Data Protection für iCloud, die eine Ende-zu-Ende-Verschlüsselung verwendet, könnten wichtige iCloud-Daten wie beispielsweise iCloud Backups, Fotos und Notizen geschützt werden. Diese Funktion ist somit die wichtigste Neuerung. Die Funktion verhindere somit auch, dass Apple den Inhalt einiger der sensibelsten Daten, die auf seinen Servern gespeichert sind, einsehen könne.
Auch sorge die Funktion dafür, dass die meisten iCloud Daten auch im Falle einer Datenpanne in der Cloud geschützt wären. iCloud schütze aktuell standardmäßig 14 sensible Datenkategorien mit Ende-zu-Ende-Verschlüsselung, darunter Passwörter in iCloud Keychain und Gesundheitsdaten. Für Benutzer:innen, die den erweiterten Datenschutz aktivieren würden, stiege die Gesamtzahl der Datenkategorien, die mit Ende-zu-Ende-Verschlüsselung geschützt würden auf 23. Lediglich iCloud Mail, Kontakte und Kalender seien die einzigen wichtigen iCloud-Datenkategorien, die nicht abgedeckt wären, da sie mit den globalen E-Mail-, Kontakt- und Kalendersystemen interagieren müssten. Verschlüsselte Backups würden laut Apple auf freiwilliger Basis erfolgen und noch vor Ende des Jahres verfügbar sein.
Fazit
Dieser Schritt wird Sicherheitsbefürworter erfreuen, von denen viele zuvor die unverschlüsselten iCloud-Backups als Schwachstelle in Apples Datenschutzpolitik bezeichnet hatten. Es bedeutet auch, dass der Inhalt der Daten im Falle eines Angriffs auf Apples Server nicht zugänglich wäre. Wie Staaten wie die Volksrepublik China und die Russische Föderation darauf reagieren werden, ist bisher noch nicht ersichtlich. Strafverfolgungsbehörden könnte dieser Schritt vor Probleme stellen, da es für Apple unmöglich sein wird, den Behörden den Inhalt eines verschlüsselten Backups zu übermitteln. Das FBI kritisierte die neue Funktion von Apple in einer Stellungnahme am Mittwoch und sagte, dass sie die Fähigkeit der Behörde, das amerikanische Volk vor kriminellen Handlungen zu schützen beeinträchtigen würde, wie das Wall Street Journal berichtet.
8. Dezember 2022
Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.
Unangemessene Inhalte träfen auf Spionage
Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.
Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.
Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.
Erste Klage dieser Art – aber kein neuer Vorwurf
Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.
Seit der Übernahme von Twitter durch Elon Musk ist in der Firmenzentrale wohl Chaos ausgebrochen. Nicht nur die User des sozialen Netzwerkes sind seitdem besorgt: Auch die europäischen Datenschutzbehörden sind von den neuesten Vorgängen alarmiert. Insbesondere geraten die unternehmensinternen Sicherheitsmechanismen mehr und mehr in den Vordergrund.
Hat Twitter seinen Hauptsitz in Dublin?
Twitter entließ rund die Hälfte seiner Mitarbeitenden, unter anderem auch seine Datenschutz- und Sicherheitsbeauftragten. Darüber sorgt sich die irische Datenschutzbehörde (DPC): Sie prüft, ob es Twitter weiterhin erlaubt ist, ihr allein anstatt allen 27 EU-Staaten gegenüber verantwortlich zu sein. Dieses One-Stop-Shop-Prinzip (OSS) nach Art. 56 Datenschutz-Grundverordnung (DSGVO) ermöglicht es Twitter, den Austausch mit allen EU-Staaten zu umgehen. Dafür muss das Unternehmern jedoch einen Hauptsitz innerhalb der EU angeben, um sich so nur noch gegenüber der Datenschutzbehörde des entsprechenden Mitgliedstaats zu verantworten.
Jedoch darf der Mechanismus nur eingesetzt werden, wenn von dem Unternehmen bei der Festlegung der Hauptniederlassung weitere Auflagen erfüllt werden. So muss Twitter zum Beispiel dafür sorgen, dass „die effektive und tatsächliche Ausübung von Managementtätigkeiten durch eine feste Einrichtung“, die die Verarbeitung personenbezogener Daten betreffen, im Land der Hauptniederlassung nachgewiesen wird. Daneben ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten für die entsprechende nationale Aufsichtsbehörde zu benennen.
Mit einem Fragenkatalog untersucht die DPC, ob Twitter weiterhin seine Hauptniederlassung in Irland haben darf. Aufgrund des Chaos in der amerikanischen Firmenzentrale kommen jedoch Zweifel auf – die Niederlassung in Irland muss nachweislich Einfluss auf das Unternehmen ausüben können. Falls nicht, droht Twitter die Regulierung durch jeden einzelnen der 27 EU-Staaten. Aus diesem Grund hat auch das Bundesamt für Datenschutz und Informationssicherheit (BfDI) Untersuchungen eingeleitet.
Marit Hansen, Landesdatenschutzbeauftragte Schleswig-Holsteins, bezweifelt gegenüber Netzpolitik.org, „dass die Niederlassung in Dublin, die bisher ‚main establishment‘ war, wenig Einfluss auf Änderungen nehmen konnte, die auch Auswirkungen auf personenbezogene Daten (z.B. ‚Twitter Blue‘) hatten.“ Daneben sieht eine anonyme Quelle die Kriterien für eine Hauptniederlassung in Irland nicht länger erfüllt. Twitter habe seit der Übernahme durch Musk keine Informationen über Produktveränderungen an die irische Niederlassung weitergegeben.
Sorge bei den Datenschutzbehörden
Twitter bestätigte gegenüber der DPC, dass es weiterhin seinen Hauptsitz in Irland beansprucht und damit von der DPC reguliert werden möchte. Das Unternehmen benannte dafür Renato Monteira als amtierenden Datenschutzverantwortlichen.
Twitters jüngste Produktänderungen haben jedoch nicht den Eindruck erweckt, dass „von Europa aus weiterhin die ‚Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten‘ bei Twitter getroffen werden“, sagt Hansen. Sie sieht allerdings ein „positives Zeichen […] darin, dass man anscheinend bei Twitter auf die irische Datenschutzbeauftragte reagiert und sich auch getroffen hat.“
Folgen für Twitter
Falls Twitter seinen Anspruch auf Hauptniederlassung in Irland verliert, könnten alle 27 Datenschutzbehörden der EU aufsichtsbehördlich tätig werden. Dies geht mit einem enormen bürokratischen Mehraufwand und empfindlichen Sanktionen einher, die pro EU-Staat bis zu vier Prozent des jährlichen Umsatzes ausmachen können. Derartige Folgen blieben bislang nicht zuletzt wegen des unternehmensfreundlichen Charakters der irischen Behörde aus. Seitens der französischen und belgischen Behörden ist, angesichts ihrer Sanktionsentscheidungen in der Vergangenheit, ein deutlich aggressiveres Verhalten zu erwarten.
Daneben könnten unter anderem die deutschen Datenschutzbehörden gegen Twitter ein sogenanntes Dringlichkeitsverfahren nach Art. 66 DSGVO einleiten. Dies ist aber erst möglich, sobald der „Schutz betroffener Personen“ auf dem Spiel stände.
Pages: 1 2 ... 23 24 25 26 27 ... 275 276 
