DSK zu cloudbasierten digitalen Gesundheitsanwendungen

17. November 2023

Passend zum aktuellem Trendthema des digitalisierten Gesundheitswesens hat sich neben der kürzlichen Fachtagung im rheinland-pfälzischem Landtag auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) mit diesem Thema beschäftigt. In einem Positionspapier vom 06.11.2023 äußert sich die DSK zu cloudbasierten digitalen Gesundheitsanwendungen (DiGA). Dabei beleuchtet sie vor allem welche datenschutzrechtlichen Anforderungen hierbei erfüllt sein müssen.

Rechtlicher Hintergrund

Zunächst kann man DiGA in zwei Kategorien untergliedern. Einerseits gibt es die erstattungsfähige digitale Gesundheitsanwendungen und andererseits alle sonstigen.

§ 4 Abs. 1 der Digitale Gesundheitsanwendungen-Verordnung (DiGAV) bestimmt, dass erstattungsfähige DiGA die gesetzlichen Vorgaben des Datenschutzes und die Anforderungen an die Datensicherheit nach dem Stand der Technik unter Berücksichtigung der Art der verarbeiteten Daten und der damit verbundenen Schutzstufen sowie des Schutzbedarfs gewährleisten müssen. Was erstattungsfähige DiGA sind, regelt das Bundesinstitut für Arzneimittel und Medizinprodukte in einem Verzeichnis (§ 139e Abs. 1 SGB V). Bislang weisen die Hersteller solcher Produkte die Erfüllung der datenschutzrechtlichen Voraussetzungen im Rahmen einer Selbsterklärung nach. Da diese Methode allerdings nicht genügend Gewähr für eine tatsächliche Einhaltung bietet, gibt es zwei gesetzliche Änderungen.

  1. § 4 Abs. 7 DiGAV: Ab dem 01.01.2025 müssen die vom Bundesamt für Sicherheit in der Informationstechnik nach § 139e Abs. 10 SGB V festgelegten Anforderungen an die Datensicherheit erfüllt werden.
  2. §4 Abs. 8 DiGAV: Ab dem 01.08.2024 müssen die vom Bundesinstitut für Arzneimittel und Medizinprodukte nach § 139e Abs. 11 SGB V festgelegten Prüfkriterien für die von DiGA nachzuweisenden Anforderungen an den Datenschutz umgesetzt werden.

Zudem gibt es aber auch noch eine Vielzahl DiGA, die nicht erstattungsfähig sind. Welche Voraussetzungen man bei dieser Art der DiGA beachten muss, erklärt die DSK in ihrem Positionspapier.

Wer ist verantwortlich?

Bei der Bestimmung, wer als datenschutzrechtlicher Verantwortlicher gilt, handele es sich um eine komplexe Zuordnung. Es sei eine genaue Analyse der Tätigkeiten im konkreten Kontext ist notwendig. Art. 4 der Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche (Nr. 7) und Auftragsverarbeiter (Nr. 8). Potenzielle Verantwortliche seien zum Beispiel Ärzte, Hersteller oder Cloud-Betreiber. Ein Hersteller könne etwa ein Verantwortlicher sein, wenn er über die Mittel und Zwecke der Datenverarbeitung selbst bestimmt, wohingegen er Auftragsverarbeiter sei, wenn er für einen Verantwortlichen Daten verwerte. Hingegen trage er keine Verantwortlichkeit, wenn er lediglich mit der technischen Herstellung des Produkts betraut ist.

Grundsatz der datenschutzfreundlichen Gestaltung beachtet?

Die jeweilige Gesundheitsanwendung müsse entsprechend Art. 25 Abs. 1 DSGVO so gestaltet sein, dass man sie auch ohne Anlegen eines Benutzerkontos und ohne Cloudfunktion nutzen kann. Eine Ausnahme hiervon bestünde nur, wenn dies zur ordnungsgemäßen Verwendung zwingend erforderlich sei. Desweiterem müsse man den Nutzer auf die Vorteile und Gefahren der Cloudfunktion hinweisen.

Dürfen die Daten zu Forschungszwecken und zur Qualitätssicherung verwendet werden?

Die Nutzung personenbezogener Daten zu Forschungszwecken bedarf einer klaren Rechtsgrundlage, oft in Form einer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a i. V. m. Art. 6 Abs. 1 lit. a DSGVO. Eine Ausnahme gilt nur, wenn es sich um anonymisierte Daten handelt. Für diesen Fall ist eine Datenschutz-Folgenabschätzung erforderlich, die aufzeigt, dass tatsächlich kein Personenbezug mehr existiert.

Die Verwendung von Daten, um die Pflicht der Qualitätssicherung von Medizinprodukten zu erfüllen, könne durch Art. 6 Abs. 1 lit. c i. V. m. Art. 9 Abs. 2 lit. i DSGVO und § 22 Abs. 1 Nr. 1 lit. c BDSG gerechtfertigt werden. Dabei dürfe die Datenverwertung das hierfür erforderliche Maß nicht überschreiten.

Welche Rechte haben die Nutzer?

Hersteller und Betreiber müssten Verfahren einführen, um die Erfüllung von Betroffenenrechten sicherzustellen. Dazu gehört das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit.

Ist die Verarbeitung sicher?

Wie bei sonstiger Verarbeitung personenbezogener Daten müsse man technische und organisatorische Maßnahmen (TOM) zur Risikominimierung implementieren und hierüber auch den Nachweis erbringen. Die regelmäßige Überprüfung und Bewertung dieser Maßnahmen sei im Rahmen einer Datenschutz-Folgenabschätzung erforderlich. Im Übrigen solle man die vom Bundesamt für Sicherheit in der Informationstechnik entwickelte Technische Richtlinie „Sicherheitsanforderungen an digitale Gesundheitsanwendungen“ (BSI TR-03161) beachten.

Dürfen die Daten international übertragen werden?

Ist ein internationaler Datentransfer gewünscht, müsse man sich an die Vorgaben des Kapitels V der DSGVO halten.

Fazit

Die aktuellen Entwicklungen im Datenschutz für Gesundheitsanwendungen werfen essenzielle Fragen auf, die sorgfältiger Klärung bedürfen. Nun hat sich auch die DSK zu cloudbasierten digitalen Gesundheitsanwendungen positioniert. Die Verantwortlichkeiten müssen klar definiert werden, insbesondere bei nicht unter § 139e SGB V fallenden Anwendungen. Grundsätzlich gilt, dass auch hier die Anforderungen der DSGVO streng beachtet werden müssen. Deswegen sind Unternehmen und Entwickler in diesem Bereich aufgefordert, ihre Prozesse entsprechend anzupassen, um den stetig wachsenden Anforderungen gerecht zu werden.

Kategorien: Allgemein

Fachtagung zum Gesundheitsdatenschutz

16. November 2023

Rund um das Thema Gesundheitsversorgung und Datenschutz passiert aktuell sehr viel. Erst Ende Oktober hat der EuGH ein datenschutzrechtliches Auskunftsrecht in Form einer kostenlosen ersten Kopie der Patientenakte bestätigt. Nun hat der Landesbeauftragte für den Datenschutz und die Informationssicherheit Rheinland-Pfalz (LfDI RlP) bekanntgegeben, dass am 13.11.2023 eine Fachtagung unter anderem zum Thema des Gesundheitsdatenschutz geendet hat. Die Tagung fand unter dem Titel „Was passiert mit unseren Gesundheitsdaten? Möglichkeiten und Grenzen der digitalen Nutzung von Gesundheitsdaten“ statt. Schwerpunkt war es, einen ausgewogenen Austausch unter Bezugnahme ethischer und rechtlicher Aspekte zu haben.

Datenschutz und Ethik als Symbiose

Der LfDI RlP Dieter Kugelmann vertrat die Ansicht, dass in diesem Zusammenhang Datenschutz kein Hindernis, sondern Teil der Lösung ist. Er unterstrich die Bedeutung, Datenschutz von Anfang an in den Gestaltungsprozess einzubinden, um eine ausgewogene Digitalisierung des Gesundheitswesens zu ermöglichen, die sowohl Innovation fördert als auch weiterhin die Rechte des Einzelnen beachtet.

Mehr Versorgungsqualität durch Elektronische Patientenakte

Ein weiteres Thema war die Einführung der elektronischen Patientenakte. Diese soll laut Bundesgesundheitsminister Karl Lauterbach ab 2025 eingeführt werden. Peter Heinz, Vorstandsmitglied der Kassenärztlichen Vereinigung Rheinland-Pfalz, unterstrich diesbezüglich die Bedeutung solcher Instrumente für ein hohes Maß an Versorgungsqualität und Forschungsfortschritt. Aus datenschutzrechtlicher Sicht ist es hierbei von besonderer Relevanz die Patienten über die Nutzung ihrer Gesundheitsdaten aufzuklären. Für Vertreter der Ärzteschaft kann es allerdings eine kaum zu bewältigende logistische Aufgabe sein, diese beiden Komponenten in Ausgleich zu bringen. In diesem Bereich bestehen also noch verschiedene Ungewissheiten, die abschließend geklärt werden müssen.

Chancen und Herausforderungen der digitalen Gesundheitsforschung

Auch im Fachgespräch über neue Entwicklungen in der Diagnose und Therapieforschung existierte Redebedarf im Datenschutzbereich. Die Digitalisierung und künstliche Intelligenz (KI) bieten nicht zu unterschätzende Chancen. Die Verwendung sensibler Gesundheitsdaten hierfür birgt allerdings auch ein großes Gefahrenpotential. Sabine Maur, Präsidentin der Landespsychotherapeutenkammer Rheinland-Pfalz, verdeutlichte in diesem Zusammenhang das Datenschutz und die Nutzung der Vorteile der Digitalisierung einher gehen können.

Fazit

Die Fachtagung zum Gesundheitsdatenschutz zeigt, dass die Digitalisierung im Gesundheitswesen sowohl Herausforderungen als auch Chancen birgt. Die intensive Diskussion macht klar, dass ein interdisziplinäres Vorgehen entscheidend für den Wechsel zu einem digitalen und fortschrittlicheren Gesundheitswesen ist. Insgesamt kann festgehalten werden, dass die Digitalisierung im Gesundheitswesen bedeutende Fortschritte ermöglichen könnte. Wichtig ist nun, dass entsprechende Vorkehrungen getroffen werden, um diese Innovation auch sicher voranzubringen.

BfDI besorgt über Vorgehen von Microsoft

15. November 2023

Die Verwendung von Microsoft ist immer wieder Datenschutzbedenken ausgesetzt. Erst kürzlich wurde von deutschen Datenschutzbehörden eine Handreichung zur datenschutzkonformen Nutzung von Microsoft Office 365 für private und öffentliche Organisationen veröffentlicht. Nun preist Microsoft sein neues Outlook an und ermutigt Nutzer zum Wechsel. Doch Vorsicht ist geboten: Das Upgrade könnte mit einer besorgniserregenden Datenübermittlung einhergehen. Wer das neue Outlook ausprobiert, könnte die Übertragung sensibler Zugangsdaten an Microsoft-Server riskieren und dem Unternehmen Einblicke in private E-Mails gewähren. Nun hat sich auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) besorgt über das Vorgehen von Microsoft geäußert.

Verlockendes Upgrade mit versteckten Risiken

Das neue Outlook wird mittlerweile im Startmenü von Windows-11-Geräten mit dem 2023-Update beworben. Das kostenlose Outlook soll das ursprüngliche Mail-Programm in Windows ablösen und in Zukunft auch das alte Outlook. Auch der Outlook-Client stellt eine Testversion zur Verfügung, die 2024 das bestehende Mail-Programm und den integrierten Kalender in Windows ersetzen soll.

Doch hinter der verlockenden Fassade könnte sich eine fragwürdige Datensammelpraxis verbergen. Bei der Einrichtung von E-Mail-Konten, die nicht zu Microsoft gehören, warnt das Programm vor Datenübertragungen. In einem Fenster weist der Betreiber bei Einrichtung darauf hin, dass Nicht-Microsoft-Konten mit der Microsoft-Cloud synchronisiert werden. Das bedeutet ein Risiko der Übertragung von IMAP- und SMTP-Zugangsdaten und E-Mails, wie Heise online berichtet. Dies betreffe bisher Gmail-, Yahoo-, iCloud- und IMAP-Konten. Laut Microsoft diene die Praxis dazu, Funktionen anzubieten, die Gmail und IMAP nicht bereitstellen.

Erste Stellungnahme des BfDI

Der BfDI hat hierzu bereits eine erste kurze Stellungnahme abgegeben und äußert sich besorgt über Vorgehen von Microsoft. Auf Mastodon schrieb er, dass er die Meldungen über ein vermutetes Datensammeln von Microsoft als alarmierend einstuft. Er kündigt an, heute am Dienstag, den 14.11.2023, beim Treffen der europäischen Datenschutzaufsichtsbehörden die federführenden irischen Datenschutzbeauftragten um einen Bericht bitten zu wollen.

Fazit

Bezüglich des verlockende Angebots, auf das neue Outlook umzusteigen, ist Vorsicht geboten. Microsofts undurchsichtige Datensammelpraxis, die bereits in der Vergangenheit für Kontroversen sorgte, setzt sich fort. Die unangekündigte Übertragung sensibler Zugangsdaten an Microsofts Server ist ein Risiko für die Privatsphäre der Nutzer und könnte eine Datenschutzgefahr für Ihr Unternehmen darstellen. Angesichts dieser Entwicklungen ist es unerlässlich, dass Nutzer vor einem Upgrade ihre persönlichen Risiken abwägen und die möglichen Konsequenzen für ihre Datenschutzrechte berücksichtigen.

Chatkontrolle: EU-Parlament gegen Massenüberwachung

14. November 2023

Die Europäische Union plant die Einführung der sogenannten „Chatkontrolle“. Durch technische Überwachungsmaßnahmen will man hierbei Kindesmissbrauch im Internet verfolgen und vorbeugen. Kürzlich hat die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Entschluss veröffentlicht, in der sie die Chatkontrolle als anlasslose Massenüberwachung betitelte. Zu einem ähnlichen Ergebnis ist jetzt auch der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäische Parlaments gekommen. Das EU-Parlament hat nämlich in einer Pressemitteilung vom 14.11.2023 bekanntgegeben, sich mit großer Mehrheit gegen eine anlasslose Chatkontrolle im Sinne einer Massenüberwachung positioniert zu haben.

Schutzmechanismen statt anlassloser Kontrolle

Zunächst soll es verschiedene Vorkehrungen geben, die nicht zwangsläufig an personenbezogene Daten anknüpfen, sondern die Funktion der Websites allgemein betreffen. So sollen Internetanbieter etwa dazu verpflichtet werden, das Risiko einer missbräuchlichen Nutzung zu bewerten. Die Anbieter müssen in eigener Verantwortung gezielte, angemessene und wirksame Maßnahmen ergreifen, um diese Risiken zu mindern. Zudem sollen pornografische Websites effektive Altersüberprüfungssysteme, Erkennungsmechanismen für kinderpornografisches Inhalte und menschliche Moderatoren zur Bearbeitung dieser Berichte implementieren. Dienste, die auf die Nutzung durch Minderjährige abzielen, sollen zusätzlich standardmäßig Zustimmungsverpflichtungen zum empfangen unaufgeforderter Nachrichten, Blockierungsfunktionen und mehr elterliche Kontrolle enthalten.

Massenüberwachung nur als “Ultima Ratio”

Um Massenüberwachung oder eine anlasslose Kontrolle im Internet zu vermeiden, dürfen nur als letzte Möglichkeit, wenn alle sonstige Maßnahmen gescheitert sind, und auch nur durch zeitlich begrenzte gerichtliche Anordnung, Methoden herangezogen werden, die es erlauben jegliches kinderpornografisches Material aufzuspüren und zu entfernen. Gleiches gilt für die besonders umstrittene Aufdeckungsanordnung, die mit einer umfassenden Chatkontrolle verbunden ist. Auch diese darf nur als letzter Ausweg für Einzelpersonen oder bestimmte Gruppen (einschließlich Abonnenten eines Kanals) erteilt werden, wenn ein “begründeter Verdacht” im Zusammenhang mit sexuellem Kindesmissbrauch besteht. Die Kontrolle verschlüsselter Kommunikation, wie etwa WhatsApp, wurde vom Anwendungsbereich der Erkennungsanordnungen ausgeschlossen, um sicherzustellen, dass die Unterhaltungen geschützt bleiben.

EU-Zentrum für den Kinderschutz

Im Rahmen des Gesetzes soll ein neues EU-Zentrum für den Kinderschutz eingerichtet werden. Dieses soll die Dienstleister bei der Implementierung der neuen Regeln unterstützen und bei der Erkennung von rechtswidrigem Material helfen. Parallel dazu würde die neue Stelle auch nationale Behörden bei der Umsetzung des neuen Gesetzes beistehen und Untersuchungen durchführen. Es bestünde sogar die Befugnis Geldbußen von bis zu 6 % des weltweiten Umsatzes zu verhängen.

Fazit

Dass das EU-Parlament die Befugnisse im Rahmen der Chatkontrolle begrenzt hat und sich gegen eine anlasslose Massenüberwachung ausgesprochen hat, ist zu begrüßen. Die erzielte rechtliche Kompromisslösung schafft praxistaugliche Regeln zur Bekämpfung des sexuellen Missbrauchs von Kindern im Netz. Hierdurch wird ein ausgewogener Ansatz zwischen dem Schutz von Kindern und der Wahrung der Privatsphäre bewirkt.

Nun muss nur noch das Plenum des Parlaments den Gesetzentwurf formell billigen. Sobald das passiert ist, können die Verhandlungen über den finalen Gesetzestext beginnen.

EU-Parlament stimmt für Data Act

13. November 2023

Das EU-Parlament hat am 09.11.2023 bekannt gegeben, dass es mit großer Mehrheit für den Data Act gestimmt hat. Das neue Gesetz soll Hindernisse beim Zugang zu Daten beseitigen. Die Regelung legt fest, wer unter welchen Bedingungen einen Zugang zu Daten hat. Im Übrigen werden private und öffentliche Einrichtungen befugt gewisse Daten zu teilen.

Innovation durch Erleichterung des Datenzugangs

Sinn der neuen Regelung ist es, Innovation zu Fördern mittels eines erleichterten Zugangs zu Daten. Das Ausmaß an Daten, die täglich generiert wird, wächst exponentiell und nur ein geringer Anteil hiervon wird tatsächlich genutzt. Die neue Gesetzgebung ermöglicht es, auf die bereits existierenden Daten zuzugreifen und so das unerschlossene Potenzial vollständig zu nutzen.

Der Data Act ist vor allem darauf ausgelegt, Datenzugangsregeln für vernetzte Dienste festzulegen. Für solche Unternehmen sollen zukünftig transparente Regeln für das Teilen von Daten existieren. Dieser Schritt ist besonders entscheidend für die Fortentwicklung künstlicher Intelligenz, bei der umfangreiche Daten für ein effektives Training erforderlich sind.

Datenzugang für Nutzer

Die Nutzer sollen zunächst einen uneingeschränkten Zugang zu den von ihnen generierten Daten erhalten. Durch das Gesetz werden Anbieter vernetzter Produkte und Dienste verpflichtet, die hierdurch erstellten Daten dem Nutzer in leicht zugänglicher Form in Echtzeit und kostenlos bereitzustellen. Die Regelung richtet sich zum Beispiel an virtuelle Sprachassistenten wie Alexa oder Siri aber auch an Anbieter von Fitness-Uhren oder vernetzten Autos.

Kostensenkung bei After-Sales-Dienstleistungen

Ein weiterer mit dem Data Act verbundener Vorteil besteht in der potenziellen Kostenreduktion für After-Sales-Dienstleistungen und Reparaturen von vernetzten Geräten. Durch die Optimierung des Datenzugangs zielt die Gesetzgebung darauf ab, diese Dienste erschwinglicher zu machen und eine Umgebung zu schaffen, in der Verbraucher ihre vernetzten Geräte problemlos reparieren können.

Zugang des öffentlichen Sektors

Zudem soll es besondere Befugnisse für öffentliche Stellen in Notfallsituationen geben. So sollen etwa Behörden bei Überschwemmungen oder Waldbränden befähigt sein, auf erforderliche Daten von privaten Unternehmen zuzugreifen und diese zu nutzen. Allerdings können Behörden nur unter Beachtung der DSGVO in besonderen Konstellationen oder zur Erfüllung eines gesetzlichen Auftrages die gewünschten Daten fordern.

Schutz von Geschäftsgeheimnissen und Verhinderung rechtswidriger Übertragungen

In Anerkennung der Sensibilität von Geschäftsgeheimnissen hat das Parlament Maßnahmen integriert, um solche Daten zu schützen. Dies verhindert nicht nur rechtswidrige Datenübertragungen in Drittländer mit schwächeren Datenschutzvorkehrungen, sondern schützt auch davor, dass Wettbewerber die Daten nutzen, um Dienstleistungen oder Geräte ihrer Konkurrenten nachzuahmen. Dementsprechend können Unternehmen in Ausnahmefällen der Übermittlung bestimmter Daten widersprechen, wenn sie den hinreichend begründeten und objektiv nachvollziehbaren Nachweis erbringen, dass dies zu erheblichem wirtschaftlichem Schaden führen würde.

Erleichterung des Wechsels zwischen Cloud Service Providern

Zuletzt führt der Data Act Bestimmungen ein, um den Wechsel zwischen Cloud Service Providern zu vereinfachen und den Nutzern mehr Flexibilität zu geben. Durch die Neuerungen werden Betreiber verpflichtet mit anderen Diensten kompatible Standards zu verwenden. Dadurch wird auch kleineren Unternehmen gegenüber Marktbeherrschenden Konzernen eine Chance im Wettbewerb gegeben. Zudem sind die Nutzer dann nicht mehr an einen bestimmten Anbieter gebunden. Eine Neuerung im Vergleich zu der bereits in der DSGVO existierenden Regelung über Datenportabilität besteht darin, dass der Data Act auch nicht persönliche Datensätze erfasst.

Fazit

Nun, da das EU-Parlament für den Data Act gestimmt hat, fehlt nur noch eine förmliche Absegnung des EU-Rats. Bei Reibungslosem weiterem Ablauf, wird das Gesetz voraussichtlich Mitte 2025 in Kraft treten. Trotzdem gibt es weiterhin einige Zweifel. Die erzwungene Weitergabe von Daten könnte einen möglichen Schaden für europäische Unternehmen im internationalen Wettbewerb darstellen. Zudem bleibt die genaue Umsetzung und die Schaffung von Standards noch offen. Jedenfalls trägt die neue Regelung aber auch das Potential in sich, ein wegweisender Schritt für neue Prozesse und Geschäftsmodelle zu sein und so zu Innovation beizutragen. Der Weg zu einer effektiven und ausgewogenen Nutzung von Daten in Deutschland und Europa ist damit zumindest geebnet.

HmbBfDI über Meta Bezahl-Abo

9. November 2023

Der Europäische Datenschutzausschuss (EDSA) hat am 27.10.2023 in einem beispiellosen Schritt Maßnahmen verabschiedet, die auch den Social-Media-Konzern Meta betreffen. Um diesen Maßnahmen Rechnung zu tragen hat Meta, der Betreiber von Facebook und Instagram, bereits angekündigt ein Bezahl-Abo einzuführen. Aufgrund dieser Neuerung erhalten Nutzer die Möglichkeit eines werbefreien Zugang gegen Bezahlung einer Gebühr. Anschließend hat sich am 02.11.2023 der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über das Meta Bezahl-Abo geäußert (HmbBfDI).

Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites

Im Rahmen seiner Mitteilung über das Meta Bezahl-Abo verweist der HmbBfDI auf den Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites. Auf diesen Beschluss nahm Meta auch in seiner Ankündigung zum Abo-Modell Bezug. Der Beschluss verlangt unter anderem eine präzise Zustimmung, Transparenz und die Vermeidung irreführender Gestaltungsmittel. Nach Wertung des HmbBfDI sind diese Vorgaben auch bei dem kostenpflichtigen Abonnement von Meta umzusetzen.

Offene Fragen und laufender Dialog

Laut dem HmbBfDI bleibt die Frage, ob das zukünftige Modell diesen Anforderungen entspricht und eine datenschutzkonforme Lösung darstellt, vorerst unbeantwortet. Die deutschen Aufsichtsbehörden hätten bereits verschiedene Bedenken geäußert und würden nun eine nachvollziehbare rechtliche Prüfung durch die federführende Behörde in Irland erwarten. Derzeit befinde man sich im Dialog mit irischen Kollegen und anderen betroffenen nationalen Behörden, um diese wichtigen Fragen zu klären.

Fazit

Die jüngsten Entwicklungen zeigen, dass EU-Datenschutzbehörden die Rechte der Bürger schützen wollen. Weiterhin möchten sie sicherstellen, dass Digitalisierung im Einklang mit den Grundprinzipien der Privatsphäre erfolgt. Unternehmen, die in diesem Raum tätig sind, sollten sich auf strengere Datenschutzanforderungen einstellen und proaktiv Maßnahmen ergreifen, um den regulatorischen Anforderungen gerecht zu werden. Dies könnte auch eine Gelegenheit sein, den Schutz der Privatsphäre der Nutzer zu stärken und das Vertrauen in datenbasierte Dienste wiederherzustellen. Ob das Meta-Abo-Modell tatsächlich diesen Anforderungen genügt, bleibt abzuwarten. Schlussendlich wird die Umsetzung durch Meta eine genaue Prüfung durch die zuständigen Aufsichtsbehörden erfordern.

Kategorien: Allgemein · Social Media

Neue Whatsapp-Funktion: Scheinprofil

Whatsapp arbeitet aktuell an einer neuen Funktion für mehr Privatsphäre – das sogenannte Scheinprofil. Zuletzt führte der Messenger-Dienst neue Features wie die Anmeldung mit Passkeys und die Möglichkeit IP-Adressen während Anrufen zu verschleiern ein. Nun soll es zukünftig nach Angaben von WhatsappBetaInfo auch eine Neuerung zum Schutz des Profilbilds und des gewählten Namens geben.

Was ist neu?

Bis jetzt kann bei Whatsapp lediglich eingestellt werden, wer in der Lage sein soll das verwendete Profilbild zusehen. In diesem Zusammenhang kann man einstellen, dass nur eingespeicherte Kontakte das private Bild sehen und andere nur das grau-weiße Avatar-Bild.

Aktuellen testet der Messenger-Dienst eine Option, die es den Nutzern ermöglichen soll, ein alternatives Profilbild und einen anderen Namen anzulegen. Diese Informationen werden dann an alle Personen weitergegeben, die nicht in den Kontakten eingespeichert wurden. Das ermöglicht es den Auftritt gegenüber fremden Kontakten selbst zu bestimmen, während man gleichzeitig das persönliche Profilbild nicht mit Unbekannten teilen muss. Die gleiche Option soll es auch für den angezeigten Accountnamen geben. Zudem sollen zukünftig auch bestimmte Personen von Einsichtnahme des privaten Profils ausgeschlossen werden können, sodass sie nur das Alternativprofil erhalten.

Fazit

Wann diese neue Datenschutzfunktion für alle Nutzer verfügbar sein wird, ist noch unklar. Bis diese Einstellungsmöglichkeit final in der App existiert dürfte es noch einige Wochen oder Monate dauern. Jedenfalls trägt das Scheinprofil als neue Funktion bei Whatsapp dazu bei, die Nutzerprivatsphäre zu schützen und gleichzeitig flexible Gestaltungsmöglichkeiten zu ermöglichen.

Zwar bewahrt auch die aktuelle Option mit dem grau-weißem Avatar-Bild die Privatsphäre, sie stellt aber keine individuelle Lösung dar. Gerade in Zeiten, in denen Whatsapp immer häufiger im Business-Bereich verwendet wird, könnte dies eine gute Lösung sein, für Personen, die den Account gleichzeitig zu privaten Zwecken nutzen. In solchen Fällen sollte man allerdings dringend prüfen, ob man trotz der Verwendung von Whatsapp im Geschäftsbereich weiterhin alle Datenschutzvorschriften einhält.

Kategorien: Allgemein · WhatsApp

Datenschutz und AdBlocker-Erkennung bei YouTube

8. November 2023

Die Nutzung von AdBlockern, insbesondere auf Plattformen wie YouTube, hat in den letzten Jahren erheblich zugenommen. Nutzer schätzen die Möglichkeit, lästige Werbung zu blockieren und sich auf den eigentlichen Content zu konzentrieren. Das kürzlich verstärkte Gegenvorgehen von YouTube mittels AdBlocker-Erkennung führt dazu, dass verschiedene Personen Datenschutz-Bedenken äußern. Datenschützer kritisieren das Verfahren und fordern eine Überprüfung und Stellungnahme durch die EU.

Die Herausforderung für YouTube

YouTube ist eine der weltweit größten Video-Plattformen, die ihre Einnahmen hauptsächlich durch Werbung generiert. Um Werbung zu umgehen, nutzen einige User sogenannte AdBlocker. Hierdurch wird Werbung unterdrückt. Die zunehmende Verwendung dieser Tools hat YouTube erhebliche Einnahmeverluste beschert. Deswegen hat die Plattform Maßnahmen ergriffen, um dieser Entwicklung entgegenzuwirken und ihr Geschäftsmodell zu sichern.

Im Rahmen von Tests wurden zunächst Nutzern von Werbeblockern mittels eines Warnhinweises erläutert, dass die Verwendung dieses Tools nicht rechtmäßig ist. Allerdings konnte dieser Hinweis ohne Konsequenzen einfach weggeklickt werden. Mittlerweile sperrt YouTube teilweise die entsprechenden User nach drei Hinweisen von der Benutzung der Website.

Datenschutzrechtliche Bedenken gegen YouTubes Vorgehen

Die von YouTube ergriffenen Maßnahmen zur AdBlocker-Erkennung werfen jedoch Bedenken im Hinblick auf den Datenschutz auf. Um die Gegenmaßen ergreifen zu können muss YouTube nämlich gewisse Informationen der AdBlocker-User speichern. Hieran ist problematisch, dass der Online-Dienst dazu auf auf dem Endgerät des Nutzers gespeicherte Daten zugreifen muss. Das könnte ein unberechtigtes Ausspähen von Nutzerdaten darstellen, was einem Verstoß gegen Datenschutzvorschriften gleichsteht. Die ePrivacy-Richtlinie der EU (2002/58/EG Art. 5 Abs. 3) verpflichtet nämlich die Websitebetreiber dazu, in einem solchen Fall vorher eine Einwilligung der Nutzer einzuholen. Dieses Erfordernis entfällt nur, wenn der Dienst sonst nicht genutzt werden könnte.

Beschwerde bei der irischen Aufsichtsbehörde

Deswegen meint Datenschützer Alexander Hanff, dass das von YouTube verwendete Javascript-Erkennungsverfahren einer Zustimmung bedarf. Dies hat ihn dazu veranlasst Beschwerde gegen YouTube bei der irischen Datenschutz-Kommission (DPC) einzulegen, wie das Magazin Wired berichtet. Er argumentiert, dass hierin eine unbefugte Einsichtnahme in personenbezogene Daten und damit in die Privatsphäre stattfindet. Selbst wenn in den Allgemeinen Geschäftsbedingungen von YouTube (AGB) ein AdBlocker-Verbot existieren würde, berechtige dies das Unternehmen nicht dazu, dieses Verbot mittels Datenschutzverletzungen durchzusetzen. Das sei auch der Grund, weshalb Cookie-Zustimmungsbanner separat hervorgehoben werden müssen. Gleiches müsse für die Zustimmung zur AdBlocker-Erkennung gelten, wenn YouTube den Datenschutz beachten wolle.

Aufforderung zur Stellungnahme durch die Europäische Kommission

Auch der EU-Abgeordnete Patrick Breyer von der Piratenpartei fordert am 06.11.2023, dass die Europäische Kommission sich das Verhalten genauer anschaut und eine schriftliche Stellungnahme abgibt. Neben den von Hanff angebrachten Argumenten fügt er hinzu, dass sich die Nutzer durch die Verwendung von AdBlockern auch gegen illegale Einsichtnahme in ihr Suchverhalten schützen würden. Von der Kommission verlangt er insbesondere die Klärung von zwei Punkten. Zum einen will er wissen, ob der Schutz der im Endgerät gespeicherten Daten auch die Information darüber erfasst, ob ein AdBlocker installiert ist. Andererseits möchte er wissen, ob das AdBlocker-Erkennungssystem zwangsläufig erforderlich ist für den Video-Dienst oder ob das Vorgehen mangels Zustimmung rechtswidrig ist.

Stellungnahme von YouTube

Auf Anfrage von Wired hat ein Vertreter von YouTube darauf hingewiesen, dass es sich bei der Verwendung von AdBlockern um eine Verletzung der AGB handelt. Selbstverständlich werde das Unternehmen vollständig und kooperativ alle Fragen der DPC beantworten. Allerdings weist der Sprecher auch darauf hin, dass das verwendete Verfahren nicht auf den Endgeräten der User durchgeführt wird. Vielmehr finde der Erkennungsprozess direkt innerhalb YouTubes statt.

Laut Wired ist nach aktuellem Stand der Technik allerdings ein solches Verfahren mit Server-seitiger AdBlocker-Erkennung bislang nicht bekannt. Im Übrigen erwähnen die AGB auch nicht explizit „AdBlocker“. Es existiert lediglich eine Regelung, die es verbietet „den Dienst […] zu deaktivieren, betrügerisch zu verwenden oder anderweitig zu beeinträchtigen“. Hieraus könnte ein AdBlocker-Verbot interpretiert werden. Ob das allerdings automatisch das Erkennungsverfahren rechtfertigt, ist wie oben von Hanff bereits erwähnt, jedenfalls fraglich.

Fazit

Die Frage nach der Rechtmäßigkeit dieser Maßnahmen ist von zentraler Bedeutung. Einerseits ist verständlich, dass YouTube ein Interesse daran hat, die Integrität seiner Plattform zu schützen und den Zugriff auf Inhalte einzuschränken, wenn keine Werbeeinnahmen generiert werden können. Andererseits ist sicherzustellen, dass ein solches Vorgehen im Einklang mit Datenschutzgesetzen und den Rechten der Nutzer steht. Jedenfalls ist davon auszugehen, dass YouTube transparent über seine Maßnahmen informieren muss. Es ist nun Aufgabe der Europäischen Kommission und der zuständigen Datenschutzbehörde den Fall zu prüfen und eine Stellungnahme abzugeben.

Update: Grindr geht gegen Millionenstrafe vor

Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.

Hintergrund der Debatte

Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.

Grindr leitet nun rechtliche Schritte ein

Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.

Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.

Datenschutzbehörde bleibt standhaft

Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.

Fazit

Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.

Datentransfer zwischen EU und Japan

7. November 2023

Sowohl die Datenwirtschaft der EU als auch von Japan wächst rasant. Deshalb haben laut Pressemitteilung der Europäischen Kommission vom 28.10.2023 die EU und Japan nun ein bahnbrechendes Abkommen unterzeichnet. Hierdurch soll der Datentransfer zwischen der EU und Japan einfacher, günstiger und effizienter gestaltet werden. Dieser Durchbruch wurde im Rahmen des EU-Japan High-Level Economic Dialogue (HLED) erzielt. Die Europäische Kommission bezeichnet den Vertrag als einen Meilenstein in den gemeinsamen Bemühungen, die Digitalisierung voranzutreiben.

Hintergrund des Abkommens

Bereits 2018 wollte die EU das japanische Datenschutzsystem anerkennen. Damit sollte Japan zu einem sogenannten „sicherem Drittland“ für den Datentransfer werden. Seit 2019 ist der Austausch personenbezogener Daten zwischen der EU und Japan nun uneingeschränkt erlaubt.

Im Oktober 2022 entschlossen sich die beiden Parteien dann dazu in Verhandlungen zur Aufnahme von Regeln für grenzüberschreitende Datenflüsse in das Wirtschaftspartnerschaftsabkommen (WPA) EU-Japan zu treten. Dadurch wolle die EU der modernen und digitalen Welt gerecht werdende Regeln zwischen den beiden Handelspartnern schaffen. Im Übrigen wies die Europäische Kommission darauf hin, dass vergleichbare Verhandlungen mit Korea und Singapur in Kürze folgen sollen.

Stärkung der Digitalwirtschaft in der EU und Japan

Die EU und Japan zählen beide zu den größten digitalen Volkswirtschaften der Welt. Deshalb ist internationaler Datenverkehr von entscheidender Bedeutung für ihre Entwicklung. Laut der Europäischen Kommission wende man sich mit dem Abkommen gegen digitalen Protektionismus und willkürliche Beschränkungen des Datenflusses.

Inhalt des Abkommens

Die Vereinbarung wird laut der Europäischen Kommission zu erheblichen Erleichterungen für Unternehmen in verschiedenen Branchen führen. Zum einen erleichtere man so Verwaltungs- und Speicheraufwand. Andererseits gebe man den Unternehmen ein vorhersehbares und sicheres Regelwerk als Orientierungshilfe. Die Vereinbarung beseitige teure Datenlokalisierungsanforderungen, die eine nicht erforderliche finanzielle Belastung für Unternehmen darstelle. Eine lokale Speicherung vor Ort bringe nicht nur erhöhte Kosten und komplexe Prozesse mit sich, sondern könne auch die Datensicherheit gefährden. Die Regeln seien im Einklang mit EU-Vorschriften zum Datenschutz.

Fazit

Die Vereinbarung zwischen der EU und Japan über grenzüberschreitende Datenströme markiert einen historischen Schritt in Richtung einer engeren digitalen Zusammenarbeit zwischen zwei der größten digitalen Wirtschaftsmächte der Welt. Sie vereinfacht den Datentransfer zwischen der EU und Japan und ebnet den Weg für eine effizientere und kostengünstigere Geschäftsabwicklung im Online-Bereich. Das Abkommen unterstreicht das Engagement beider Parteien für die Förderung der Digitalisierung und wendet sich gegen digitalen Protektionismus.

In einer Zeit, in der die Digitalisierung die Art und Weise, wie wir Geschäfte tätigen, revolutioniert, ist dies ein leuchtendes Beispiel für die Chancen und Möglichkeiten, die sich eröffnen, wenn Länder ihre Kräfte für eine gemeinsame digitale Zukunft bündeln. Es ist zu hoffen, dass dieses Abkommen auch für andere Länder und Regionen als Modell dient, um Wirtschaftswachstums zu Förderung. Wichtig ist, hierbei weiterhin grundlegende Datenschutzprinzipien und die digitale Freiheit der Bürger zu respektieren.

Kategorien: Allgemein
1 7 8 9 10 11 274