Am 02.02.2024 verkündete die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW), dass sie der EuroPriSe Cert GmbH als erste deutsche Zertifizierungsstelle die Erlaubnis erteilt hat, Datenverarbeitungsprozesse zu bewerten. (mehr …)
Die niederländische Datenschutzbehörde hat laut Mitteilung vom 31.01.2024 gegen Uber ein empfindliches Bußgeld in Höhe von 10 Millionen Euro verhängt. Das hat sie getan, nachdem über 170 französische Fahrer bei einer französischen Menschenrechtsorganisation Kritik geäußert haben. Der Vorwurf lautet: Uber habe die Auskunftsrechte der Fahrer gemäß der Datenschutzgrundverordnung (DSGVO) nicht ausreichend respektiert. (mehr …)
Der Europäische Datenschutzausschuss (EDSA) hat ein neues Werkzeug geschaffen, um die Einhaltung der Datenschutzbestimmungen im digitalen Raum zu fördern. Am 29.01.2024 präsentiert der EDSA in einer Pressemitteilung sein neues Website Auditing Tool. Das Programm soll eine umfassende Analyse der Rechtskonformität von Webseiten ermöglichen. Diese innovative Entwicklung ist Teil des EDSA „Support Pool of Experts“ (SPE). (mehr …)
Immer mehr Online-Plattformen führen kostenpflichtige Abo-Modelle für eine Nutzung ohne personalisierte Werbung ein. Deswegen zieht die Debatte auch europaweit immer mehr Aufmerksamkeit auf sich. Deshalb fordert der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) laut Pressemitteilung vom 29.01.2024 zusammen mit den Datenschutzbehörden Norwegens und der Niederlande den Europäischen Datenschutzausschuss (EDSA) auf, Klarheit zu Abo-Modellen zu schaffen. Die Anfrage erfolgt vor dem Hintergrund uneinheitlicher europäischer Positionen zu diesem Thema. (mehr …)
Italien erhebt wiederholt schwere Vorwürfe gegen OpenAI, weil ChatGPT sich nicht an Datenschutzrecht halte. Die Datenschutzvorwürfe gegen ChatGPT aus Italien könnte sich neben dem KI-Chatbot auch auf die Verabschiedung der KI-Verordnung auswirken. Diese soll noch diese Woche von allen EU-Mitgliedsstaaten unterzeichnet werden. (mehr …)
Datenschutzbeauftragte (DSB) spielen eine entscheidende Rolle im Schutz personenbezogener Daten. Ein am 17.01.2024 veröffentlichter Bericht des Europäischen Datenschutzausschusses (EDSA) hebt die Ergebnisse einer EU-weiten Untersuchung im Rahmen des koordinierten Durchsetzungsrahmens (CEF) über die Benennung und Rolle von Datenschutzbeauftragten hervor. Diese Analyse wirft ein Licht auf Herausforderungen, die DSB meistern müssen, und gibt Empfehlungen für eine stärkere Stellung. (mehr …)
Das Outlook-Update scheint nicht datenschutzkonform zu sein. Nun hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Rundschreiben vom 08.12.2023 zum neuen Outlook an alle Bundesministerien und obersten Bundesbehörden veröffentlicht. (mehr …)
Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.
Hintergrund der Debatte
Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.
Grindr leitet nun rechtliche Schritte ein
Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.
Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.
Datenschutzbehörde bleibt standhaft
Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.
Fazit
Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.
Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.
Datenschutzrechtliche Relevanz des Auskunftsersuchens
Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.
Weitere Prüfung notwendig
Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.
Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.
Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.
Zuständigkeit für rechtliche Bewertung
Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.
Fazit
Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.
Die jüngsten Entwicklungen in Irland werfen einen bedenklichen Schatten auf die Pressefreiheit. Das irische Parlament hat im Juni 2023 ein neues Gesetz verabschiedet, das erhebliche Auswirkungen auf die Berichterstattung über die irische Datenschutzbehörde haben könnte. Am 04.10.2023 hat sich nun auch der Europäischen Datenschutzausschusses (EDSA) hierzu geäußert.
Hintergrund der Debatte
Gemäß der One-Stop-Shop-Regelung nach Art. 56 der Datenschutz-Grundverordnung (DSGVO) ist die Data Protection Commission (DPC) (irische Datenschutzbehörde) die zuständige federführende Aufsichtsbehörde in Verfahren gegen Giganten wie Apple, Google und Meta. Diese Prozesse dauern häufig sehr lange und Bußgelder werden oft zu niedrig angesetzt bzw. erst nach Intervention des EDSA erhöht. Deswegen und wegen der Bedeutung dieser Internet-Riesen steht die DPC schon lange in der Kritik.
Neues irisches Gesetz als Reaktion?
Man könnte fast meinen, dass der irische Gesetzgeber genug von der ständigen Nörgelei hat. Die neue Courts and Civil Law (Miscellaneous Provisions) Bill 2022 gestattet es nun der DCP, eine Vielzahl an Verfahren als „vertraulich“ zu klassifizieren und sogar Strafe zu verhängen.
Die Neuregelung bestimmt in Art. 26A des irischen Data Protection Act (DPA), dass die DPC Informationen als vertraulich einstufen kann und Anweisungen erteilen darf, den Inhalt nicht offenzulegen. Nach Abs. 5 gelten Informationen als vertraulich, wenn ihre Offenbarung zu einem finanziellen Schaden führen würde oder ihre Veröffentlichung Verhandlungen beeinträchtigen könnte. Zudem sind Informationen umfasst, die im Vertrauen mitgeteilt wurden und deren Offenlegung weiteren relevanten Informationsfluss beeinträchtigen könnte. Zuletzt fallen hierunter auch Informationen, deren Offenlegung eine effektive Aufgabenwahrnehmung der DPC gefährden könnte. Diese drei Varianten ermöglichen das Subsumieren eines breiten Spektrums an Fällen, auch wenn sie nicht wirtschaftlich sensibel sind. Gekrönt wird das Ganze mit einer möglichen Geldstrafe von bis zu 5.000 € bei einer Missachtung der Anordnung.
Heftige Kritik an der Regelung
Jedenfalls hat das Gesetz nicht unmittelbar zu einer Kritikreduzierung gegenüber Irland geführt. Hauptsächlich wird es als Beschneidung der Pressefreiheit angesehen. Noch im Juni 2023 hatte sich der Irish Council for Civil Liberties (ICCL) gegen das Gesetz ausgesprochen. Amnesty International meint das Gesetz diene nur dem Schutz großer Technologieunternehmen.
Aussage des Europäischen Datenschutzausschusses
Als Antwort auf die Anfrage der Abgeordneten des europäischen Parlaments, Sophie in ´t Veld, reagierte nun auch der EDSA. Dieser erkennt die Bedeutung der Vertraulichkeit an, stellt jedoch klar, dass dies normalerweise nur auf Dritte und nicht auf den Informationsaustausch zwischen Aufsichtsbehörden zutrifft. Er weist auch darauf hin, dass die geplante Aktualisierung der DSGVO auch das Verfahren mit vertraulichen Informationen behandeln wird. Die geänderte Verordnung würde dann harmonisierend regeln, welche Informationen abgesehen von Geschäftsgeheimnissen sensibel sind. Es scheint vor allem fraglich, ob die so in der neuen Verordnung nicht vorgesehenen Bußgeldbefugnisse des DPA weiterbestehen könnten.
Fazit
Die irische Regelung kann durchaus als Einschnitt in die Pressefreiheit gewertet werden. Zwar ist die Notwendigkeit des Schutzes vertraulicher Informationen verständlich, allerdings bietet die offene Definition von „vertrauliche Informationen“ einen unkontrollierbar weiten Subsumtionsrahmen. Gerade da es die in der Kritik stehende DPC selbst ist, die über die Vertraulichkeit der Informationen entscheiden darf und keine unabhängige Instanz, birgt diese Konstellation erhebliches Gefahrenpotential. Die Zukunft wird zeigen, wie sich diese Regelung auf die Pressefreiheit und den Datenschutz in Irland auswirkt. Jedenfalls lässt die Antwort des EDSA und der Vorschlag für die neue DSGVO erahnen, dass die aktualisierte DSGVO nicht mit diesem Teil des DPA übereinstimmen wird. Zumindest ist zu erwarten, dass der EDSA sich die Regelungen genauer anschauen wird. Ob daraus ein Vertragsverletzungsverfahren folgen wird, bleibt mangels eindeutiger Antwort des EDSA abzuwarten.
datenschutzticker.de -
Blog zu Datenschutz und Datensicherheit der KINAST Rechtsanwälte.
Weitere Informationen über unsere Kanzlei finden Sie unter www.kinast.eu.
