24. Oktober 2019
In einer breit angelegten Studie des britischen Unternehmens Comparitech wurden datenschutzrechtliche Standards in 47 Ländern verglichen. Anhand von festgelegten Kriterien wurde bewertet, inwiefern die jeweilige Regierung die Privatsphäre der Bürger schützt.
In dem Länderranking wurden Noten zwischen 1 (endemic surveillence) und 5 (upholding privacy standards on a consistent basis) vergeben. Die Autoren berechneten die Gesamtnote aus dem Mittelwert der Kategorienoten. Am besten schnitt Irland mit einem Score von 3,2 (adequate safegeuards) ab, dicht gefolgt von Dänemark, Frankreich, Norwegen und Portugal (3,1 – adequate safegeuards). Das Schlusslicht bilden Indien, Russland (2,4 und 2,1 – systematic faillure to maintain safeguards) und China mit 1,8 (extensive surveillance).
Deutschland befindet sich im unteren Mittelfeld mit 2,8 Punkten (some safeguards/ weakened protection). Unter den EU-Mitgliedsstaaten landete Deutschland sogar auf dem viertletzten Platz. Als Gründe werden unter anderem die Verarbeitung von biometrischen Daten im Personalausweis und die Erlaubnis zur Videoüberwachung mit Gesichtserkennung genannt.
Comparitech versteht sich selbst als einen Dienstleister, der seit 2015 auf seiner Website Verbrauchern Informationen zu Technik und IT-Themen zur Verfügung stellt.
23. Oktober 2019
Im Sommer 2016 trat der EU-US-Privacy Shield in Kraft durch den Standards für den Umgang mit europäischen Daten und Informationen sowie die Weiterleitung von Daten aus den USA festgelegt wurde. Bis heute nutzen ca. 500 Unternehmen auf beiden Seiten diesen Rechtsrahmen für internationale Geschäfte.
Die Auswirkung des Abkommens wird von der EU-Kommission als positiv beschrieben, sodass man von großen Fortschritten in der Umsetzung des Abkommens spricht. Der jährliche Bericht der Brüssler Behörde kritisiert zwar, dass das Aufnahmeverfahren von Unternehmen in den “Privacy Shield” zu langwierig sei und in Bezug auf das Verfahren nachgebessert werden sollte, bestätigt jedoch außerdem, dass das Datenschutz-Niveau der USA weiterhin angemessen ist. Seit 2018 gibt es beispielsweise monatliche Stichproben bei Unternehmen der USA um die Einhaltung des Abkommens zu überprüfen außerdem seien alle Vakanzen der amerikanischen Behörde für Datenschutz und bürgerliche Freiheit besetzt worden.
Daten- und Verbraucherschützer bemängeln den Smart Speaker “Hallo Magenta” von der Telekom. Der Hamburger Datenschutzbeauftragte Johannes Caspar moniert im Einzelnen, dass sich die Telekom entgegen ihres Werbeversprechens, die Verarbeitung der Nutzerdaten erfolge ausschließlich innerhalb der Europäischen Union, in der Datenschutzerklärung das Recht einräumt, die Daten auch von Dienstleistern außerhalb der EU auswerten zu lassen.
Überdies sei entgegen der Auffassung der Telekom eine informierte Einwilligung nach dem Opt-In Prinzip erforderlich. “Mit der Erfüllung eines Vertrags zu argumentieren ist problematisch, da die Vertragserfüllung gegenüber dem Kunden eben nicht die manuelle Auswertung von dessen Sprachnachrichten erfordert”, so der Hamburger Datenschutzbeauftragte.
Seiner Ansicht nach müssen die Nutzer dieses Sprachassistenten transparent darüber informiert werden, dass die Sprachdaten gespeichert und ausgewertet würden und dass ein „nicht unerhebliches Risiko von Fehlaktivierungen in seinem Umfeld“ bestehe.
Auch Vebraucherschützer Romberg bemängelt an dem neuen Smart Speaker: „Nach den zahlreichen Skandalen und den mangelhaften Informationen anderer Anbieter von smarten Assistenten hätte die Telekom hier mit besserem Beispiel vorangehen können und ein Opt-in für die Analyse der Sprachbefehle einschalten können.“
Um Datenschutz als Wettbewerbvorteil nutzen zu können, muss die Telekom noch etwas nachbessern.
18. Oktober 2019
In den vergangenen Wochen haben wir Geldbußen sowohl durch deutsche Behörden als auch europaweit berichtet und diese gegenübergestellt. In dem Beitrag dieser Woche thematisieren wir die Höhe der jeweils ausgesprochenen Strafen.
Strafhöhe in Deutschland, Frankreich und dem Vereinigten Königreich
Wie in der vergangenen Woche bereits herausgearbeitet wurde, fällt die Strafhöhe in Deutschland, im Vergleich zu den drei wohl bekanntesten Sanktionen des CNIL gegen Google (€ 50 Millionen) und des ICO gegen Marriott International (€ 110 Millionen) bzw. British Airways (€ 204 Millionen), deutlich ab. Die höchste Strafe die in Deutschland verhangen wurde waren € 200.000. Daraus kann allerdings nicht der Schluss gezogen werden, dass deutsche Aufsichtsbehörden im Vergleich zu denen aus Frankreich und dem Vereinigten Königreich weniger streng wären. Bei der Verhängung von Strafen ist immer zu berücksichtigen, dass in Art. 83 DSGVO festgelegt wird, dass die Höhe der Geldbuße auf € 20 Millionen gedeckt ist oder im Fall eines Unternehmens auf bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Folglich muss die Strafhöhe bei Unternehmen immer ins Verhältnis zum gesamten weltweit erzielten Jahresumsatz gesetzt werden. Demensprechend ist es nur denklogisch, dass Strafen gegen weltweit agierende Konzerne erheblich höher sind. Dies resultiert bereits aus dem deutlich höheren Jahresumsatz im Vergleich zu Unternehmen kleinerer und mittlerer Größe.
Strafhöhe im Rest Europas
Dieser Schluss wird durch den Vergleich mit dem Rest Europas gestützt.
Auch die verhängten Strafen in den restlichen europäischen Ländern sind niedriger als in Frankreich und dem Vereinigten Königreich und eher auf dem Niveau der Strafen in Deutschland.
Abgesehen von den bereits angesprochenen Sanktionen liegt die höchste Sanktion für den Rest Europas bei € 2,6 Millionen. Diese wurde in Bulgarien gegen die nationale Finanzbehörde ausgesprochen, was insofern auffällig ist, dass bislang deutlich weniger Strafen gegen Behörden als gegen Unternehmen verhängt wurden. Die nächsthöchste Strafe (€ 644,780) wurde in Polen gegen ein Unternehmen verhängt. Abschließend wurden auch die der Höhe nach folgenden Geldbußen wurden gegen Unternehmen ausgesprochen.
Schlussfolgerung
Die Höhe der in Deutschland verhängten Strafen liegt europaweit im Mittelfeld. Die aufsehenerregenden Ausreißer nach oben sind dem hohen weltweiten Jahresumsatz des jeweiligen Unternehmens geschuldet und nicht der strikteren Anwendung der DSGVO in Frankreich und dem Vereinigten Königreich.
In der nächsten Woche endet die Themenreihe zu datenschutzrechtlichen Sanktionen mit einem Vergleich zwischen Sanktionen vor und nach der DSGVO.
Des Weiteren wird es im Rahmen unserer Veranstaltung datenschutzticker.live am 30.10.2019 eine Podiumsdiskussion geben und wir möchten Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
15. Oktober 2019
Twitter hat in einem Hinweis an seine Nutzer am 8.10.2019 erklärt, dass das Unternehmen Telefonnummern und E-Mail-Adressen nutzte, um personalisierte Werbung zu schalten. Die betroffenen Daten wurden von Usern hinterlegt, um die sicherere Zwei-Faktor-Anmeldung zu nutzen und sollten dementsprechend lediglich für Sicherheitszwecke genutzt werden. Es handelte sich um einen internen Fehler, der ab Mitte September behoben worden sei, erklärte der Dienst.
Twitter bestätigte, dass
Marketinglisten der Werbekunden mit Kontaktdaten von Twitter-Nutzern
abgeglichen wurden. Die Marketinglisten basieren auf Daten, die Werbetreibende
schon aus anderen Quellen zusammengestellt haben. Das Unternehmen bestätigt,
dass das Problem seit dem 17. September behoben ist und keine Telefonnummern
oder E-Mail-Adressen mehr für Werbezwecke verwendet werden. Außerdem teilt Twitter
seinen Nutzern mit, dass keine personenbezogenen Daten an Partner oder Dritte
weitergegeben wurden.
Twitter schreibt zusätzlich: “Wir können nicht mit Sicherheit sagen, wie
viele Menschen betroffen waren, aber im Sinne der Transparenz wollten wir alle
aufklären.“ In seinem Hinweis bittet das Unternehmen abschließend um
Entschuldigung und erklärte, dass die Werbekunden keinen Zugriff auf diese Daten
gehabt hätten.
11. Oktober 2019
Strafhöhe in Deutschland vergleichsweise gering
In den vergangenen beiden Wochen haben wir die bereits ausgesprochenen Sanktionen konturiert. Hierbei lag der Fokus auf Deutschland einerseits sowie auf Europa andererseits. Der heutige Beitrag soll die aktuelle Praxis der nationalen wie internationalen Aufsichtsbehörden gegenüberstellen.
Zu Beginn des Vergleichs fällt die divergierende Höhe der in den einzelnen Ländern verhängten Strafen auf. So intendieren insbesondere hohe Strafen wie etwa die 50 Millionen Euro, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder aber auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (110 Millionen Euro) und British Airways (204 Millionen Euro) eine rigorose Anwendung der durch die DSGVO statuierten aufsichtsbehördlichen Befugnisse.
Im Gegensatz dazu scheinen die deutschen Aufsichtsbehörden mit einer Strafhöhe von maximal ca. 200.000 Euro (gegen die Delivery Hero Germany GmbH) eher zurückhaltend zu sein. Selbiges gilt für Aufsichtsbehörden anderer Länder. Allerdings hat die Behörde in Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues, die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Es stellt sich mithin die Frage: Sind Frankreich und England im Vergleich besonders streng?
Die Antwort wird im Ergebnis wohl nein lauten. Wie bereits im vorherigen Beitrag erwähnt handelte es sich bei den Adressaten der hohen Strafen um solche Unternehmen, die sehr umsatzstark sind. Hieraus resultiert zwangsweise eine größere, eindrucksvollere Summe. Der Eindruck, dass deutsche Behörden zurückhaltender sind, wird sich demnach in der Retrospektive wahrscheinlich als falsch herausstellen. Möglicherweise schafft ein etwaiger „Bußgeldrechner“ der Behörden in naher Zukunft Klarheit.
Grund für etwaige Strafen
Der Strafgrund divergiert im internationalen Vergleich erwartungsgemäß nicht. Geldbußen werden primär aufgrund von Verstößen gegen Art. 13, 14 und 32 DSGVO verhängt. Auch scheinen die Unternehmen trotz der doch teils erheblichen Schwierigkeiten bei der Umsetzung der DSGVO insgesamt einen positiven Eindruck bei den Aufsichtsbehörden zu hinterlassen. So ist, mit Ausnahme von einzelnen Härtefällen, öffentliche Kritik an der Umsetzung einzelner Unternehmen vergleichsweise selten. Auch werden Strafen grundsätzlich gleichermaßen gegen Unternehmen in jeder Branche und gegen öffentliche Stellen verhängt. Auch Privatpersonen wurden bereits mit Strafen belegt.
Ausblick auf weitere Themen
In der nächsten Woche werden wir für Sie die bisher insgesamt verhängten Strafen in Bezug auf Ihre Höhe analysieren.
Im Rahmen unserer Veranstaltung datenschutzticker.live am 30.10.2019 wird es eine Podiumsdiskussion geben und wir möchten Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
9. Oktober 2019
Ende Juni 2019 hat der Bundestag zahlreiche Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verabschiedet. Der Bundesrat hat diesen Anpassungen am 20.09.2019 nun zugestimmt.
Das aus 150 Artikel bestehende “Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU” wird nun zur Unterzeichnung dem Bundespräsidenten weitergeleitet. Insgesamt greift es in 154 Fachgesetze ein und regelt den sogenannten bereichsspezifischen Datenschutz. Es liegen viele Anpassungen zu Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechte vor.
Vor allem werden kleine Betriebe und ehrenamtliche Vereine insofern entlastet, dass die Pflicht einen betrieblichen Datenschutzbeauftragten zu bennenen künftig ab einer Personenzahl von 20 greift. Bislang musste nach § 38 BDSG ein Datenschutzbeauftragter eingesetzt werden, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist jedoch darauf hin, dass es kleinen Unternehmen schwerfallen wird, den datenschutzrechtlichen Anforderungen ohne einen juristisch und technisch versierten Datenschutzbeauftragten gerecht zu werden.
Die Bundesregierung will Bürgern in einem Online-Portal einen
Überblick über sie betreffende verarbeitete personenbezogene Daten geben und so
mehr Transparenz bei Datenverarbeitungen durch öffentliche Stellen schaffen.
Das Bundeskabinett soll Zeitungsberichten zufolge am Mittwoch über Projektempfehlungen des Kabinettausschuss-Digitalisierung (kurz: Digitalkabinett) abgestimmt haben. Unter anderem geht es um das Online-Portal „Datenschutz-Cockpit“, wo Bürger einsehen können, welche personenbezogenen Daten zu welchem Zweck von Behörden verarbeitet werden. Das Datenschutz-Cockpit soll ähnlich zum Online-Banking aufgebaut sein und Bürgern die Möglichkeit geben, ihre Daten zu verwalten und Behördengänge online zu erledigen. Darüber hinaus soll der Austausch der Daten zwischen den Behörden erleichtert werden, indem über die Plattform eine Einwilligung der Betroffenen eingeholt werden kann.
Das Digitalkabinett ist das zentrale Steuerungsgremium für digitalpolitische Fragen auf Ebene der Bunderegierung. Das Bundeskabinett muss am Ende über die Empfehlungen des Digitalkabinetts abstimmen. Das Projekt ist Teil des Handlungsfelds „Moderner Staat“ der Digitalstrategie der großen Koalition. Die Bundesregierung hat sich hierbei zum Ziel gesetzt bis 2022 alle Verwaltungsleistungen digital anzubieten.
4. Oktober 2019
In den vergangenen beiden Wochen wurde bereits über die gesetzlichen Grundlagen für Sanktionen und die in Deutschland bislang verhängten Strafen berichtet. In dieser Woche soll es um Strafen gehen, die in den weiteren europäischen Ländern von den jeweils zuständigen Aufsichtsbehörden verhängt wurden.
Mediale Aufmerksamkeit in Fällen hoher Bußgelder
Über einige Sanktionen wurde weltweit berichtet. Das betrifft zum Beispiel die € 50 Millionen Strafe, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (€ 110 Millionen) und British Airways (€ 204 Millionen). Auf den ersten Blick erscheinen derartige Bußgelder exorbitant hoch. Hierbei darf allerdings nicht außer Acht gelassen werden, dass große, umsatzstarke Unternehmen zwangsläufig höhere Strafen zahlen. So entsprach die gegen British Airways ausgesprochene Strafe lediglich 1% des weltweiten Jahresumsatzes. Überdies ist zu beachten, dass die Strafen zum Zeitpunkt der Veröffentlichung dieses Beitrags noch nicht final sind. Im Zeitpunkt der Veröffentlichung dieses Beitrages ist noch keine abschließende Stellungnahme (insbesondere des ICO) bekannt.
Grund für etwaige Sanktionen
Sowohl Marriott International als auch British Airways wurden Verstöße gegen Art. 32 DSGVO, also gegen die Sicherheit der Verarbeitung, nachgewiesen. Demgegenüber beruht die vom CNIL gegen Google ausgesprochene Strafe auf einer Verletzung der Art. 13 und 14 DSGVO (Informationspflichten). Die Verletzung von Maßgaben der Art. 13, 14 und 32 DSGVO sind überdies – neben Verstößen gegen Art. 5 DSGVO (Grundsätze der Verarbeitung) – auch die häufigsten Gründe für die Verhängung von Strafen.
Beispiele
Des Weiteren sind bisher ca. 70 Geldbußen mit einer verhängten Strafe von € 118 bis € 2.600.000 bekannt. Insgesamt haben 21 verschiedene EU-Länder bereits Strafen gegen Unternehmen, öffentliche Stellen und teilweise auch gegen Privatpersonen ausgesprochen.
Betroffen waren Unternehmen aus unterschiedlichen Branchen, von der Gesundheitseinrichtung über Fußballigen, Banken, Online-Unternehmen bis hin zu öffentliche Stellen und Privatpersonen.
Folgend ein kurzer Auszug:
Ausblick auf weitere Themen
In der nächsten Woche werden wir für Sie die deutschen und europäischen Strafen gegenüberstellen und einem Vergleich zuführen.
Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
1. Oktober 2019
Am 24. September fand in Berlin ein Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum Thema „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ mit 150 Gästen statt.
Der BfDI Ulrich Kelber führte hierzu einleitend aus: „Nicht selten stehen wir hier vor einer Blackbox. Insofern ist die datenschutzrechtliche Bewertung von KI-Systemen zwar durchaus schwierig, die Ansicht, Datenschutz und KI schließen sich aus halte ich aber für grundlegend falsch. Das Ziel von KI muss es sein nicht nur innovativ, sondern auch transparent und fair zu sein. Hierzu leistet der Datenschutz einen wichtigen Beitrag.“
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte bei dieser Gelegenheit die „Hambacher Erklärung zur Künstlichen Intelligenz“ vor, datenschutzrechtliche Anforderungen an KI stellt. Außerdem wurden praktische Erfahrungen mit aktuellen KI-Anwendungen bei Google und der Techniker Krankenkasse ausgetauscht und die bedeutende Rolle von KI im Gesundheitsbereich betont. Das Beispiel der FSD Fahrzeugsystemdaten GmbH zeigte zudem, dass KI auch ohne die Verarbeitung von personenbezogenen Daten möglich sei. Mittels KI und Fahrzeugdaten von Herstellern sowie Anbietern von Kfz-Hauptuntersuchungen entwickelt das Unternehmen eine Software, die z.B. defekte Stoßdämpfer mit großer Genauigkeit erkennt. Problematisch sei, aber dass die Autohersteller dennoch Daten mit Personenbezug übermitteln, obwohl dies nicht notwendig ist.
Es gab aber auch kritische Stimmen, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt in der DSGVO im KI-Zeitalter überholt sei und kleine und mittelständische Unternehmen vom Einsatz von KI abhalte.
In einer abschließenden Diskussion zur Vereinbarkeit von
Künstlicher Intelligenz und Datenschutz wurde zudem betont, dass in Europa
dezentrale Modelle von KI entstehen
sollten.
Pages: 1 2 ... 75 76 77 78 79 ... 274 275 
