16. April 2019
Bundesjustizministerin Katarina Barley misst automatisierten Entscheidungsfindungen ein hohes Potenzial bei. Algorithmen können objektiver sein als menschliche Verfahren, so die SPD-Spitzenkandidatin auf der Hub-Konferenz. Dies ließe sich beispielsweise bei der Bewerberauswahl feststellen. Dabei seien manche Arbeitgeber vorurteilsbehaftet, sodass sich bereits die Hautfarbe oder ein Name negativ auswirken könne.
“Automated Decision-Making” (ADM) könne in diesem Falle für ein faires Verfahren sorgen. Jedoch müsse dafür sichergestellt werden, dass die Programmierweise nicht selbst wieder Vorurteile in sich trüge.
Die Bundesjustizministerin plädiert daher für Prüfverfahren der Algorithmen und andere Spielarten der Künstlichen Intelligenz (KI), die zumindest teilweise durch eine öffentliche Einrichtung kontrolliert werden sollten. Dabei müsse gelten: Je größer der Grundrechtseingriff und die Auswirkungen seien, desto höher müssten auch die Standards für Fairness gesetzt werden.
Zudem müsse man wissen wann ein Algorithmus eine Entscheidung fälle. „Deshalb muss Transparenz hergestellt werden, zum Beispiel über ein Icon.“
15. April 2019
Mit dem Beschluss vom 11. April 2019 – I ZR 186/17 setzt der BGH das Verfahren zunächst aus und wartet auf eine Entscheidung des EuGH.
In dem Verfahren vor dem BGH klagt der Dachverband der Verbraucherzentralen der Bundesländer gegen Facebook. Der Verband ist der Ansicht, Facebook habe mit seinem “App-Zentrum” gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) alter Fassung verstoßen. In der Version aus dem Jahr 2012 stimmten Nutzer mit ihrem Klick auf “Sofort spielen” automatisch der Übermittlung ihrer Daten an den Spielebetreiber zu. Parallel berechtigten die Anwendungen dazu, im eigenen Namen Statusmeldungen und Fotos zu veröffentlichen. Weiterhin wirft der Verband Facebook vor, die Nutzer somit nicht ausreichend über die Erhebung und Verwendung der Daten aufgeklärt zu haben, sodass auch die notwendige Einwilligung nicht erfolgen könnte.
War der Verband in den ersten beiden Instanzen noch erfolgreich, soll nun vorab die Frage geklärt werden, ob die Verfolgung von Verstößen überhaupt durch Verbände oder ausschließlich durch die Datenschutzbehörden und die Betroffenen selbst erfolgen darf. Der Bundesgerichtshof (BGH) zieht die Möglichkeit in Betracht, dass dies den Datenschutzbeauftragten vorbehalten sein könnte.
Dazu will der BGH eine Entscheidung des EuGH abwarten. Auch in diesem Verfahren geht es um eine Klage der Verbraucherzentrale NRW gegen Facebook. Gestritten wird um die Einbindung des Like-Buttons in einem Online-Shop.
11. April 2019
Eines Medienberichtes zufolge hören sich Mitarbeiter in Boston, Costa Rica, Indien und Rumänien täglich Tausende aufgezeichnete Gespräche von Nutzern des Amazon Echos an. Zweck dieser Gesprächsaufzeichnung sei es, die virtuelle Assistentin Alexa zu verbessern. So sollten Ergebnisse exemplarisch durch eine passende Verschlagwortung für die weitere Verbesserung der Spracherkennung genutzt werden.
Besondere Relevanz erhält diese Aufzeichnung dadurch, dass das Unternehmen die betroffenen Nutzer scheinbar nicht dahingehend informiere. Dies könnte prinzipiell gegen datenschutzrechtliche Vorgaben – insbesondere solche der Datenschutzgrundverordnung – verstoßen.
Ob dies tatsächlich der Fall ist, lässt sich mithin pauschal nicht beurteilen. So ist ohne Kenntnis von der konkreten vertraglichen Ausgestaltung des Dienstes beispielsweise nicht erkennbar, ob tatsächlich eine datenschutzrechtliche Grundlage für die Verarbeitung fehlt oder eine Pflicht zur Information der betroffenen Personen verletzt wurde.
Zu Beginn der Woche teilte die EU-Datenschutzbehörde EDPS mit, dass nunmehr die Verträge der EU-Dienststellen mit Microsoft dahingehend untersucht werden, ob diese mit der DSGVO in Einklang zu bringen sind.
Auch die verschiedenen Institutionen der EU nutzen Microsofts Produkte und Dienstleistungen. Infolgedessen werden große Mengen an persönlichen Daten verarbeitet. Die EU-Datenschutzbehörde möchte deshalb in einem ersten Schritt alle eingesetzten Produkte und Dienstleistungen von Microsoft erfassen, um dann in einem nächsten Schritt die einzelnen vertraglichen Regelungen an den Maßstäben der DSGVO zu messen.
Nach der DSGVO sind Dienstleister selbst für den Datenschutz verantwortlich. “Allerdings bleiben die EU-Institutionen für Datenverarbeitungen in ihrem Namen verantwortlich, wenn sie auf Dienstleister zurückgreifen”, erklärte der stellvertretende EU-Datenschutzbeauftragte Wojciech Wiewiórowski. “Sie sind darüber hinaus verpflichtet sicherzustellen, dass die vertraglichen Abmachungen den Regeln entsprechen.”
Die EU-Datenschutzbehörde nimmt Bezug auf die Untersuchung des niederländischen Justizministeriums im November 2018. Dabei sind beim Einsatz der Enterprise-Version von Microsoft Office in Behörden zahlreiche Verstöße gegen die DSGVO festgestellt worden. (wir berichteten)
10. April 2019
Der Europäische Datenschutzausschuss (EDSA) hat am 09. April „Leitlinien zur Verarbeitung personenbezogener Daten auf Grundlage des Artikels 6 Abs. 1 b DSGVO im Kontext von Online-Dienstleistungen“ beschlossen.
Bei dieser Rechtsgrundlage stellt sich das Problem, dass insbesondere im Internet viele Dienstleister dazu übergegangen sind, umfangreich Datenverarbeitungen in Verträge mit Nutzern aufzunehmen. Diese Datenverarbeitungen (z.B. zum Zwecke der personenbezogenen Onlinewerbung) stehen zwar nicht in Verbindung mit der Hauptleistung, sind aber von Art. 6 Abs. 1 lit. b DSGVO gedeckt, weil sie objektiv zur Erfüllung des Vertrages erforderlich sind. In dem Informationspapier begrenzt die europäische Behörde die Möglichkeit, solche Verarbeitungen auf diese Rechtsgrundlage zu stützen. Zur Beurteilung der Erforderlichkeit solle nicht mehr nur auf den Vertragstext abgestellt werden. Vielmehr müssten auch die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO berücksichtigt werden.
Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Ulrich Kleber zeigte sich zufrieden: „Die DSGVO stellt zu Recht strenge Voraussetzungen an die Zulässigkeit einer Einwilligung auf. Es kann nicht sein, dass Unternehmen, wie beispielsweise die Anbieter sozialer Netzwerke, dazu übergehen, dies zu umgehen, indem sie Datenverarbeitungen, die eigentlich nichts mit der Erbringung eines Online-Dienstes zu tun haben, in den Vertragstext mit aufnehmen. Die jetzt beschlossenen Leitlinien erschweren ein solches Vorgehen deutlich und stärken somit die datenschutzrechtliche Selbstbestimmung der Bürgerinnen und Bürger.“
Kürzlich hat Facebook angekündigt, die Nutzungsbedingungen für das soziale Netzwerk nunmehr ändern zu wollen. Dies stehe nach intensiven Gesprächen mit der EU-Kommission und europäischen Verbraucherschutzbehörden fest. Dadurch soll es für den Nutzer nachvollziehbarer werden, wie das US-Unternehmen die Nutzerdaten einsetzt, um Profile über die Mitglieder zu erstellen und anschließend gezielte Werbeanzeigen zu schalten. Außerdem will Facebook darlegen, welche Dienste zusammen mit personenbezogenen Daten an Dritte verkauft werden, wie Verbraucher ihre Konten schließen können und aus welchen Gründen Nutzer ausgeschlossen werden können.
Aus den geänderten Allgemeinen Geschäftsbedingungen soll zudem hervorgehen, dass das Geschäftsmodell darauf beruht, unter Nutzung der Daten aus den Profilen der Nutzer, gezielte Werbeleistungen an Händler zu verkaufen. Falls die persönlichen Informationen missbräuchlich verwendet werden sollten, wolle der Betreiber seine Verantwortung dafür anerkennen.
Facebook soll die Nutzungsbedingungen nur noch in Ausnahmefällen einseitig abändern können und wahre dabei die Verhältnismäßigkeit sowie die Verbraucherinteressen. Die von Nutzern gelöschten Inhaltsdaten sollen nur noch gezielt etwa auf Anordnung einer Strafverfolgungsbehörde für maximal 90 Tage aufbewahrt werden. Daneben sollen die Widerrufsrechte der Nutzer konkreter gefasst werden.
EU-Justizkommissarin Vera Jourová bemerkte, dass der Betreiber “endlich ein Bekenntnis zu mehr Transparenz und klarer Sprache in den Nutzungsbedingungen” zeige. Eine Firma, die das Vertrauen der Verbraucher nach dem Skandal mit Cambridge Analytica wiederherstellen wolle, “sollte sich nicht hinter komplizierten, juristischen Fachausdrücken darüber verstecken”, wie sie “Milliarden mit den Daten von Menschen verdient”.
Die Implementierung der Neuerungen soll bis Ende Juni 2019 erfolgen.
9. April 2019
Der Bundestag hat am Donnerstag, 21. März 2019, den von der Bundesregierung eingebrachten Entwurf eines Geschäftsgeheimnisgesetzes angenommen. Mit dem Gesetz wird die EU Richtlinie (EU) 2016/943 in nationales Recht umgesetzt. Das Ziel des Gesetzes ist der Schutz geheimer Unternehmensinformationen vor rechtswidriger Veröffentlichung, Nutzung oder Erwerb.
Der Deutsche Juristen Verband (DJV) hatte zu Beginn des Gesetzgebungsverfahrens kritisiert, dass der Quellenschutz durch den beabsichtigten Schutz der Geschäftsgeheimnisse gefährdet werde, was die journalistische Arbeit “unmöglich” gemacht hätte.
Der Gesetzentwurf wurde schließlich wegen möglicher Verfolgung von Hinweisgebern, sogenannten Whistleblowern, zu deren Schutz im parlamentarischen Verfahren überarbeitet. Der DJV-Bundesvorsitzende Frank Überall zeigte sich nun mit dem neuen Gesetz zufrieden: „Ich freue mich, dass der Rechtsausschuss die vom DJV vorgebrachten Bedenken berücksichtigt hat“.
Am 21.03.2019 hat der Europäische Gerichtshof die Schlussanträge des Generalanwalts in dem Verfahren des VZBV (Verbraucherzentrale Bundesverbandes) gegen den Werbedienstleister Planet49 veröffentlicht.
Unter anderem liegt dem Verfahren die Frage zugrunde, wie eine Einwilligungserklärung in das Setzen von Online-Cookies durch Webseiten gestaltet sein muss, um datenschutzrechtlich zulässig zu sein.
Der EuGH-Generalanwalt ist der Ansicht, die Praxis einer voreingestellten Einwilligung für das Setzen von Cookies verstoße gegen die bisherige ePrivacy-Richtlinie und die Datenschutzgrundverordnung. Zudem haben die jeweiligen Dienstanbieter den Nutzer klar und umfassend darüber zu informieren, wie lange die Funktionsdauer der Cookies ist und ob Dritte Zugriff auf die Cookies haben.
Klaus Müller, Vorstandsmitglied des Verbraucherzentrale Bundesverbands äußerte sich zu den Schlussanträgen wie folgt: „Cookie-Banner auf Webseiten geben Verbrauchern oft keine aussagekräftigen Informationen und keine rechtskonformen Wahlmöglichkeiten. Verbraucher werden somit online verfolgt, ohne die Hintergründe verstehen zu können und ohne eine gültige Einwilligung erteilt zu haben. Die heutige Stellungnahme des Generalanwalts bestätigt, dass dies inakzeptabel ist. Damit unterstützt der Generalanwalt auch die jahrelange Auffassung des vzbv, dass die deutsche Bundesregierung die bisherige ePrivacy-Richtlinie nicht konform in deutsches Recht umgesetzt hat. Umso drängender ist nun eine strenge Durchsetzung der Datenschutzgrundverordnung sowie die zügige Annahme einer strikten ePrivacy-Verordnung, die derzeit in Brüssel verhandelt wird. Es darf keine Verfolgung der Interessen von Verbrauchern ohne deren vorherige Einwilligung geben und diese Einwilligung muss freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich erteilt werden. Praktiken wie vorgeklickte Kästchen, Tracking Walls und die Vermutung, dass ein Benutzer eine Einwilligung durch einfaches Surfen auf einer Website erteilt, müssen beendet werden.“
Die niedersächsische Landesregierung hat am 03.04.2019 den Entwurf eines Entschließungsantrages in den Bundesrat eingebracht (BR Drs 144/19). Hintergrund des Antrages ist, dass das Ziel der DSGVO, den Schutz personenbezogener Daten sicherzustellen, nicht erreicht werden kann, wenn Unternehmen, Behörden und weitere Einrichtungen, die personenbezogene Daten verarbeiten, die neuen Regelungen nicht anwenden (können). Niedersachsen gibt in seinem Antrag an, dass laut einer Studie des Verbands Bitkom nur etwa ein Viertel der deutschen Unternehmen angeben, die DSGVO vollständig umgesetzt zu haben. Eine der größten Hürden sei die hohe Rechtsunsicherheit, welche sich durch die Flut von Anfragen bei den Datenschutzbehörden abzeichne.
Insbesondere kleine und mittlere Unternehmen sowie ehrenamtliche Einrichtungen seien in ihrem Arbeitsalltag stärker durch die Anforderungen der DSGVO eingeschränkt und müssen entlastet werden. Das Land Niedersachsen schlägt deshalb vor, § 38 BDSG, also die Anforderungsschwelle zur Benennung eines Datenschutzbeauftragten, anzupassen. Der Bundesrat soll die Bundesregierung auffordern, „hier nachzubessern und die in § 38 Abs. 1 S. 1 BDSG genannte Mindestanzahl von zehn Personen deutlich anzuheben“. Ein Vorschlag für eine neue Schwelle wird nicht gemacht. Diese Forderung könnte jedoch dem Missverständnis zu Grunde liegen, dass viele kleinere Unternehmen oder Verbände denken, dass eine Pflicht zur Benennung gleichbedeutend mit der Pflicht zur Einhaltung des Datenschutzrechts an sich ist. Sollte die Schwelle angehoben werden, besteht eventuell die Gefahr, dass kleinere Einheiten davon ausgehen, dass, wenn sie keinen Datenschutzbeauftragten benennen müssen, auch die übrigen Anforderungen der DSGVO für sie nicht verpflichtend sind.
Zudem schlägt die Landesregierung vor, die Meldefrist für Datenpannen nach Art. 33 Abs. 1 DSGVO auf ihre Angemessenheit zu prüfen. „Der Bundesrat bittet die Bundesregierung daher, zu evaluieren, ob diese Frist tatsächlich angemessen ist. Sofern die Frist sich in der Praxis als unangemessen kurz erweisen sollte, bittet der Bundesrat die Bundesregierung auf eine Verlängerung der Frist hinzuwirken“.
Außerdem verlangt die niedersächsische Landesregierung, insbesondere für KMUs gesetzlich auszuschließen, dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden können. Die Geltendmachung von Datenschutzverstößen durch zugelassene Verbraucherschutzvereinigungen nach dem Unterlassungsklagegesetz soll laut des Antrags jedoch davon unberührt bleiben.
Schließlich möchte Niedersachsen eine Ausnahmeregelung bzw. Erleichterung für die vorübergehende Datennutzung zu Erprobungs- und Testzwecken erwirken. „Der Bundesrat bittet die Bundesregierung vor diesem Hintergrund zu prüfen, ob und wie Ausnahmen bzw. Erleichterungen für die Verarbeitung personenbezogener Daten für Erprobungs- und Testzwecke in die datenschutzrechtlichen Bestimmungen implementiert werden können und dies entsprechend umzusetzen.“
8. April 2019
Bei Blockchain liegen Daten nicht auf einem zentralen Server, sondern sind dezentral auf Rechnern gespeichert, die sich zu diesem Zweck zu einem Netzwerk zusammengeschlossen haben. Veränderungen an den Daten bzw. Transaktionen müssen von den Rechnern bestätigt werden. Dieses Verfahren sichert die abgelegten Daten besonders gut gegen Manipulationen ab. Damit hat die Blockchain vielfältige Anwendungsmöglichkeiten.
Die Transparenz ist das Kernelement der Blockchain-Technologie. Daraus ergibt sich, dass „sicher“ in Bezug auf den Manipulationsschutz nicht gleichzeitig „sicher“ hinsichtlich des Datenschutzes bedeutet. Denn alle Teilnehmer innerhalb eines Netzwerks haben die Möglichkeit, die in der Blockchain gespeicherten Daten abzurufen. Allerdings ist diese absolute Transparenz nicht immer gewünscht. Kein Unternehmen will Zugang zu sensiblen Daten gewähren.
Mit Blick auf die DSGVO hat Art. 6 DSGVO eine besondere Blockchain-Relevanz, da bei öffentlichen Chains die gesamten Daten öffentlich zugänglich sind. Folglich bedarf der Schutz einer besonderen Beachtung. Das Recht auf Datenaktualisierung in Art. 16 DSGVO beschreibt die Möglichkeit, Daten zu aktualisieren. Es muss möglich sein, einen alten Datensatz durch einen neuen zu ersetzen. Dies könnte auch die Löschung der alten Daten bedeuten. Das wirft Schwierigkeiten innerhalb der Blockchain auf, was besonders im Hinblick auf Art. 17 DSGVO deutlich wird. Art. 17 DSGVO beschreibt das Recht auf Vergessenwerden. Es wird gerne herangezogen, um die Unmöglichkeit einer DSGVO-konformen Blockchain-Anwendung zu belegen; schließlich ist die Manipulationssicherheit der Daten eines der Hauptargumente für Blockchain-Techniken. Jedoch gibt es einige Lösungsmöglichkeiten dieser Problematik wie zum Beispiel die Hash-Funktion, wonach keine personenbezogenen Daten direkt auf der Blockchain gespeichert werden. Durch diese Konstruktion lässt sich die Korrektheit der Daten beweisen, ohne dass Dritte ungewünscht Zugang erhalten.
In heutigen Zeiten, in denen Daten immer stärker zum zentralen Bestandteil von Innovationen werden, stellt die DSGVO einen fundamental wichtigen Rahmen dar, wodurch verdeutlicht wird, dass nicht jede Art von Innovation auch wünschenswert ist. Innovation darf somit nicht ausschließlich dem Wunsch nach Wirtschaftswachstum unterliegen, sondern muss gleichzeitig auch nachhaltig sein und die Grundsätze unserer Demokratie respektieren. Somit bildet die DSGVO ein wichtiges Gegengewicht zur Datenökonomie. Datenwirtschaft und Datenschutz schließen sich nicht aus, sondern sind viel eher komplementär zueinander. Daher ist anzuraten die Technologien so zu gestalten, dass sie nicht nur wirtschaftlich, sondern auch gesellschaftlich sinnvoll sind.
Pages: 1 2 ... 88 89 90 91 92 ... 275 276 
