16. Februar 2023
Mit seinem Urteil vom 09. Februar 2023 (Rs. C-453/21) entschied der Gerichtshof der Europäischen Union (EuGH), dass die deutsche Regelung zur Abberufung des Datenschutzbeauftragten europarechtskonform sei. Demnach sei eine Abberufung aus wichtigem Grund iSd § 626 BGB möglich.
Sachverhalt
Hintergrund der Entscheidung war die Klage eines Datenschutzbeauftragten. Er sei aufgrund der Gefahr eines Interessenkonfliktes abberufen worden. Der Datenschutzbeauftragte habe nämlich neben der datenschutzrechtlichen Funktion das Amt des Betriebsratsvorsitzenden bekleidet. Sein Arbeitgeber sei allerdings der Auffassung gewesen, dass nicht dieselbe Person die Ämter des Betriebsratsvorsitzenden und Datenschutzbeauftragten zeitgleich ausüben könne.
Das vorlegende Gericht stellte fest, dass die Abberufung eines Datenschutzbeauftragten nach § 6 Abs. 4 S. 1 BDSG das Vorliegen eines wichtigen Grundes voraussetze. Insoweit stelle sich die Frage, ob die Abberufung des Datenschutzbeauftragten nach nationalen Vorgaben strengeren Voraussetzungen unterstellt werden könne, als sie das Unionsrecht vorsehe.
Entscheidung
Nach Art. 38 Abs. 3 S. 2 DSGVO dürfe der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgabe abberufen oder benachteilig[en]“. Demnach habe, so der EuGH, der europäische Gesetzgeber eine Grenze zur Abberufung des Datenschutzbeauftragten festgelegt. Es bestehe ein Verbot, den Datenschutzbeauftragten aus Gründen abzuberufen, die sich aus seinen Aufgaben ergeben. Zu diesen Aufgaben zähle nach Art. 39 Abs. 1 lit. b DSGVO unter anderem, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Diese Regelung gelte für den externen Datenschutzbeauftragten, der auf Grundlage eines Dienstvertrages tätig werde. Daneben gelte die Regelung auch für einen beim Verantwortlichen oder Auftragsverarbeiter angestellten Datenschutzbeauftragten.
Laut EuGH sei das Ziel des Abberufungsverbotes, die Unabhängigkeit jedes Datenschutzbeauftragten zu wahren. Insoweit sei diese Unabhängigkeit notwendig, damit der Datenschutzbeauftragte seine „Aufgaben im Einklang mit dem Ziel der DSGVO“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) ausüben könne.
Demnach könne die nationale Norm grundsätzlich strengere Voraussetzungen an die Abberufung stellen. Allerdings dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen.“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) Insbesondere die Unabhängigkeit des Datenschutzbeauftragten dürfe die strengere Norm nicht tangieren.
Fazit
Im Ergebnis stellte der EuGH folglich fest, dass eine nationale Norm festlegen könne, dass der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden kann. Allerdings dürfe die nationale Regelung die Umsetzung der DSGVO nicht beeinträchtigen.
14. Februar 2023
Anfang Februar kam durch Recherchen der Reporter von Welt am Sonntag ein beachtliches Datenleck ans Licht. Es handle sich um Listen, welche ausführliche Informationen über Aktivistinnen und Aktivisten der Gruppierung „Letze Generation“ abbildeten.
Sachverhalt
Wer in einer deutschen Großstadt lebt und dennoch regelmäßig auf die Mobilität eines Autos angewiesen ist, könnte eventuell schon einmal auf die Aktivistinnen und Aktivisten gestoßen sein. Diese bekommen seit längerem eine hohe mediale Aufmerksamkeit für Protestaktionen, bei denen Beteiligte ihre Hände auf wichtigen Verkehrsknotenpunkten auf der Straße festkleben. Dies führt immer wieder zu sehr langen und ungemütlichen Staus für Autofahrerinnen und Autofahren. In Bezug auf die kürzliche Datenpanne, sind die Aktivistinnen und Aktivisten im Kontext der DSGVO in diesem Fall allerdings eher metaphorisch geleimt. Berichten nach sollen personenbezogene Daten von mehr als 2200 Beteiligten über Google Drive zugänglich gewesen sein.
Spannungsfeld
Grundsätzlich ist jede Datenpanne von Verantwortlichen durch präventive technisch- organisatorische Maßnahmen zu verhindern. Das Reporter sich Zugriff zu solchen Listen verschaffen können, stellt ein Negativbeispiel für die von Verantwortlichen zu treffenden Maßnahmen dar.
Besondere Kategorien personenbezogener Daten
Die Google Drive Listen enthielten neben Namen, Telefonnummern sowie der bloßen Bereitschaft für Protestaktionen ins Gefängnis zu gehen, vereinzelt wohl auch Gesundheitsdaten zu geistigen Gemütszuständen. Jedoch sind die Gesundheitsdaten nicht die einzigen personenbezogenen Daten einer besonderen Kategorie i. S. d. Art. 9 Abs. 1 DSGVO. Die gesamte Liste stellt bereits ein sensitives Datum dar. Einzig die Namensnennung klärt schließlich schon über die politische Meinung auf. Es bleibt abzuwarten, wie die zuständige Datenschutzaufsichtsbehörde diesen Fall behandeln wird.
9. Februar 2023
Anlässlich des Safer Internet Day 2023 veröffentlichte der Landesbeauftragte für Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) eine Mitteilung, der zufolge das Thema künstliche Intelligenz in den Mittelpunkt der Diskussion gerückt werden solle. Dabei beleuchtete er wichtige Fragen, die den Umgang mit künstlicher Intelligenz betreffen.
ChatGPT an Schulen
Laut dem LfDI RLP, Prof. Dr. Dieter Kugelmann biete vor allem der Sprach-Roboter ChatGPT einen Anlass zur Diskussion. Insbesondere Schüler nutzten das Online-Programm. Mit Hilfe von ChatGPT können die Schüler ihre Hausaufgaben schnell und einfach von der künstlichen Intelligenz schreiben lassen. Für sie sei es nicht mehr notwendig, selbst Quellen herauszusuchen und diese in einem eigenhändig geschriebenen Text zusammenzufassen. Alle diese Aufgaben übernehme ChatGPT innerhalb weniger Minuten. (Über weitere Funktionen von ChatGPT berichteten wir hier.)
Der LfDI RLP betonte, dass eine Sensibilisierung von Schülern hinsichtlich eines sorgfältigen Umgangs mit künstlicher Intelligenz erforderlich sei. Hierfür bedürfe es einer konstruktiven und kritischen Auseinandersetzung mit den Schülern. Zur Förderung dieser Auseinandersetzung erklärte der LfDI RLP, dass er künftig weiter Informationen zur Nutzung in Schulen bereitstellen werde.
Datenschutz und Algorithmen
Im Hinblick auf den Datenschutz begegneten der Anwendung allerdings einige Bedenken. Diese habe die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zum Teil bereits 2019 in der Hambacher Erklärung zur Künstlichen Intelligenz behandelt. Die DSK habe in der Erklärung sieben datenschutzrechtliche Anforderungen an künstliche Intelligenz formuliert.
Außerdem solle man laut dem LfDI RLP bei künstlicher Intelligenz ein besonderes Augenmerk auf ihren Algorithmus legen. Dieser sei für die Ergebnisse, die die künstliche Intelligenz generiere, verantwortlich. Der Algorithmus richte sich dabei maßgeblich nach seinen Entwicklern. Wenn bereits im Rahmen der Entwicklung eines Algorithmus falsche oder gar rassistische Tendenzen erkennbar seien, können dies später ein Problem darstellen. Auch das Ergebnis, dass die künstliche Intelligenz präsentiere, sei möglicherweise falsch oder diskriminierend.
Darüber hinaus sei zu bedenken, wie die künstliche Intelligenz, bzw. ihr Algorithmus lerne. Die bereits frei verfügbare Anwendung ChatGPT benötige eine große Anzahl menschlicher Daten, um ihre Ergebnisse verbessern zu können. Diese Daten von menschlichen Nutzern müsse die Betreiberfirma OpenAI allerdings nicht für eine große Summe Geld einkaufen. Indem das Unternehmen die Anwendung kostenlos zur Verfügung stelle, würden ihre Nutzer die erforderliche Datenmenge bereitstellen. Somit seien die Nutzer einerseits Testgruppe und trügen andrerseits zum Erfolg der Anwendung durch die einhergehenden Verbesserungen bei.
7. Februar 2023
Nachdem die italienische Cyber-Sicherheitsbehörde ACN am Wochenende vor einer weltweisen Ransomware-Attacke gewarnt hatte, bestätigte das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun, dass auch in Deutschland zahlreiche Systeme betroffen sind.
Bei dem Angriff, der insbesondere Frankreich, die USA, Deutschland und Kanada betraf, wurden tausende sogenannte ESXi-Server verschlüsselt. Allein in Deutschland soll die Zahl der Betroffenen in einem mittleren dreistelligen Bereich liegen.
Ransomware-Angriffe zur Lösegelderpressung
Bei einem Ransomware-Angriff wird nach der Verschlüsselung der Daten eine Entschlüsselung erst gegen Zahlung eines Lösegelds (engl. „Ransom“) in Aussicht gestellt. Laut BSI zeichnen sich solche Angriffe dadurch aus, dass „die Auswirkungen auf einen Betroffenen mit dem Einsatz der Ransomware unmittelbar eintreten“.
Veraltete Software als Einfallstor
Der Hersteller VMware gab selbst an, dass nichts darauf hinweise, dass eine unbekannte Schwachstelle zur Verbreitung der Ransomware genutzt worden sei. Stattdessen würden Produkte angegriffen, die nicht mehr vom Support erfasst sind, sowie deutlich veraltete Produkte mit bekannten Schwachstellen. Der Sicherheitspatch für die bekannte Lücke habe der Hersteller bereits im Februar 2021 veröffentlicht.
Handlungsempfehlung des BSI und des Herstellers
Das BSI hat einen Fragenkatalog veröffentlicht, mithilfe dessen IT-Verantwortliche überprüfen können, wie gefährdet ihre Systeme sind. Zudem stellt es zahlreiche Informationen sowohl zur Prävention als auch zum Umgang mit konkreten Bedrohungen bereit. VMware selbst rät dazu, die aktuellsten unterstützten Versionen der vSphere-Komponenten zu nutzen und den OpenSLP-Dienst in ESXi zu deaktivieren. Zudem stellt der Hersteller allgemeine Ransomware-Ressourcen zur Verfügung.
Der Vorfall hat gezeigt, dass regelmäßige Sicherheitsupdates unerlässlich sind, um die IT-Umgebung vor Angriffen zu schützen.
2. Februar 2023
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichte einen kurzen Videoclip, in dem es die Sicherheit von Kindern und Jugendlichen im Netz thematisierte. Konkret beantworteten Michaela Hansert (BSI-Expertin) und Martin Bregenzer (EU-Initatiove klicksafe) Fragen zum Umgang mit Apps und zur Prävention von Cybermobbing.
Hilfreiche Tipps
In dem Kurzclip betonten die Experten, dass Kinder mittlerweile schon früh Kontakt zu Online-Anwendungen und Apps haben. Häufig verfügten Kindern schon von einem jungen Alter an über ein Handy oder anderes mobiles Gerät. Daher sollten Erziehungsberechtigte Sorge dafür tragen, die Geräte der Kinder und vor allem Apps sicher einzurichten.
Beispielsweise ließen sich In-App-Käufe durch die Einrichtung eines Passworts verhindern. Soweit der Pin dem Kind unbekannt bliebe, könne es für die Freischaltung einer Funktion in der App kein Geld ausgeben. Zusätzlich sei daran zu denken, dass für Streaming-Dienste und andere Anwendungen die Möglichkeit bestehe, Kinderprofile anzulegen. Über diese ließe sich beispielsweise die Bildschirmzeit kontrollieren und beschränken. Weitere Hinweise zu technischen Voreinstellungen und Beschränkungen von Geräten können Interessierte über Medien Kindersicher erfahren.
Anschließend sprachen die Experten über die Probleme und Fragestellungen, die mit dem Thema Cybermobbing einhergehen. Dazu bekräftigten sie die Bedeutung von präventiven Maßnahmen. Die Accounts der Kinder in sozialen Medien sollten so eingestellt sein, dass Mobbing erschwert werde. Insbesondere der Zugriff auf Bilder der Kinder und Jugendlichen solle eingeschränkt werden. Andernfalls sei es möglich, dass Dritte die Bilder zweckentfremden und unberechtigterweise verwenden. Außerdem sollten Erziehungsberechtigte sicherstellen, dass ihre Kinder sichere Passwörter gebrauchen. Ansonsten sei es möglich, dass für Dritte das Passwort zu leicht zu erraten sei. In der Folge könnten sich beispielsweise Klassenkameraden leicht in Accounts einhacken.
Darüber hinaus sei eine gute Kommunikation zwischen Kindern und den Erziehungsberechtigten für einen sicheren Umgang mit mobilen Geräten förderlich. Konkret warnten die Experten davor, mobile Geräte dem Kind zu Strafzwecken zu entziehen. Im Falle vom Cybermobbing sei es insoweit möglich, dass sich Kinder ihren Eltern nicht mehr anvertrauten. Grund sei die Befürchtung, das Handy nicht mehr nutzen zu dürfen. Andererseits sollten Erziehungsberechtigte ihre Kinder auch über die Rechte anderer Personen im Internet aufklären. Insbesondere darüber, dass keine Bilder fremder Personen im Internet veröffentlicht werden dürfen.
31. Januar 2023
Kaum jemand bleibt derzeit vom Hype um ChatGPT verschont. Das Textverarbeitungstool ist ein auf künstliche Intelligenz (KI) gestütztes System, das nicht nur Texte zusammenfassen oder übersetzen, sondern auch Fragen beantworten und sogar eigene Artikel schreiben kann. Allerdings wird ChatGPT auch kritisch gesehen. KI-Experten und Wissenschaftler warnen vor den Gefahren eines sorglosen Umgangs.
Was ist ChatGPT?
ChatGPT wurde von OpenAI entwickelt, einer KI-Firma, die maßgeblich von Microsoft finanziert wird. Das Programm sieht zunächst aus wie ein Chatfeld. In dieses können Nutzer ihre Fragen oder auch Arbeitsanweisungen stellen. ChatGPT antwortet dann auf Basis seines Trainings in einem Dialogformat. So stellt das Programm auch Rückfragen, wenn man noch etwas klarstellen oder konkretisieren soll. Die Antworten klingen zumeist auf den ersten Blick plausibel. In den USA konnte die KI sogar eine Jura-Prüfung der Universität von Minnesota bestehen.
Veraltete Daten, manipulationsanfälliges System
Die Problematik erschließt sich nicht auf den ersten Blick. Für Nutzer ist ChatGPT ein harmloses Tool, für die meisten eine Spielerei. Allerdings stammen die Trainingsdaten aus dem Jahr 2021. Sie sind damit keineswegs aktuell. Zudem hat die TU Darmstadt zusammen mit dem Forschungslabor „Leap in Time“ herausgefunden, dass man dieses System manipulieren kann. Schwachstellen zeigten sich demnach insbesondere in antisemitischen und rassistischen Äußerungen sowie falschen und ins Leere laufenden Quellenangaben. So habe eine Frage nach dem Klimawandel zu einem Link auf eine Internetseite zu Diabeteserkrankungen geführt. Es kann zudem nicht nachvollzogen werden, welche Quellen ChatGPT wie in seine Aussagen einbezogen hat.
Zwar gebe es Sicherheitsmechanismen, die beispielsweise kriminelle Inhalte verhindern sollen. Diese ließen sich allerdings leicht umgehen. Ändere man das Vorgehen, zeige „die Software einem, wie man eine betrügerische Mail generiert oder wirft auch gleich drei Varianten aus, wie Trickbetrüger beim Enkeltrick vorgehen können. Auch eine Anleitung für einen Wohnungseinbruch liefert GPT. Falls man auf Bewohner treffe, könne man auch Waffen oder physische Gewalt einsetzen.“
Datenschutzbedenken
Auch Datenschutzbedenken mehren sich im Zusammenhang mit ChatGPT. Ein Problem ergibt sich bereits daraus, dass sich alle Server in den USA befinden. Angesichts der allgemeinen rechtlichen Problematik bei Datentransfers in die USA ist daher auch die Nutzung von ChatGPT datenschutzrechtlich bedenklich. Die KI verarbeitet zahlreiche Daten der Nutzer in einer Art und Weise, die für diese nicht nachvollziehbar ist.
Während die Nutzung im privaten Rahmen wohl tatsächlich eine eher unbedenkliche Spielerei ist, müssen sich Unternehmen gut überlegen, ob und wie sie ChatGPT einsetzen wollen. Insbesondere, da Microsoft angekündigt hat, das Tool im Rahmen seines Cloud-Services Azure und in den Office-Paketen verfügbar zu machen, ist die Versuchung groß, es auch im Unternehmen zu verwenden. Hier sollte darauf geachtet werden, möglichst keine personenbezogenen Daten mit ChatGPT zu verarbeiten.
30. Januar 2023
Ein Arbeitskomitee des Europäischen Datenschutzausschusses (EDSA) hat einen Bericht über Cookie-Banner vorgelegt. Wenn die Datenschutzbehörden diesen Bericht umsetzen, könnten irreführende Cookie-Banner bald Geschichte sein.
Der Bericht regelt auch die Anwendung der ePrivacy Richtlinie und dessen nationalen Umsetzungen, wie dem TTDSG in Deutschland, da es im Anwendungsbereich der Richtlinie keinen einheitlichen Mechanismus gibt. Das bedeutet, dass die Aufsichtsbehörden nicht verpflichtet sind, bei grenzüberschreitenden oder EU-weiten Verarbeitungen eine europaweite Absprache vorzunehmen. Der Bericht bietet jedoch eine abgestimmte Positionierung zu einigen Aspekten, was aus Sicht der Praxis von Vorteil ist.
Abgrenzung ePrivacy Richtlinie und DSGVO
Die Aufsichtsbehörden klären im Bericht das Verhältnis zwischen der ePrivacy Richtlinie und der DSGVO. Sie stellen fest, dass für die Verarbeitungen, die nach der Speicherung von oder dem Zugang zu Informationen auf dem Gerät eines Nutzers stattfinden, wie das Setzen oder Lesen von Cookies, die DSGVO als relevante Rahmengestaltung gilt.
Ablehnung von Cookies auf erster Ebene
Der Berichtsentwurf ist das Ergebnis einer Zusammenarbeit der Datenschutzbehörden im Rahmen des EDSA-Ausschusses für Cookie-Banner. Dieser Entwurf bestätigt bestehende Gesetze und legt eine Mindeststandards für die Bewertung von Cookie-Bannern fest. Viele nationale Richtlinien gehen jedoch weiter.
Laut dem Bericht des EDSA sollen folgenden Praktiken als rechtswidrig angesehen werden:
- Fehlende Ablehn-Option auf derselben Ebene wie die Zustimmung
- Bereits angekreuzte Kästchen anstelle einer aktiven Zustimmung
- Eingebettete Textlinks zur Ablehnung
- Links außerhalb des Cookie-Banner zur Verweigerung der Zustimmung
- der Vorwand des berechtigten Interesses an der Installation nicht notwendiger Cookies
- Keine permanente Möglichkeit, die Zustimmung zu widerrufen
Der EDSA verlangt – präzise formuliert – eine Möglichkeit, die Einwilligung bereits “auf der ersten Ebene” nicht zu erteilen. Dabei müssen Schaltflächen nicht eins zu eins gleich gestaltet sein. Die Ablehnungsmöglichkeit ist, wenn sie in einem Fließtext eingebettet besonders hervorgehoben und sich vom restlichen Text abhebt, wohl zulässig. Dafür genügt etwa Fettdruck, Unterstreichung oder eine andere Farbe.
Dagegen werden einige Fragen im Berichtsentwurf des EDSA nicht vollständig beantwortet. So hat die Taskforce beispielsweise keine Entscheidungen über irreführende Farben und Kontraste von Schaltflächen getroffen und auch nicht geklärt, wo ein gut sichtbarer und standardisierter Ort für die Widerrufserklärung liegen sollte. Die endgültige Version des EDSA-Berichts ist noch nicht veröffentlicht worden.
26. Januar 2023
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) leitete ein Bußgeldverfahren gegen das Unternehmen “PimEyes” ein. Grund hierfür sei, so der LfDI BaWü die datenschutzwidrige Speicherung biometrischer Daten durch das Unternehmen.
Verarbeitung durch PimEyes
PimEyes ist eine sog. Reverse Suchmaschine. Die Nutzer können alle möglichen Webseiten nach vorhandenen Bildern der eigenen Person durchsuchen lassen. Der LfDI BaWü betonte, dass es sich bei den verarbeiteten Bildern um personenbezogene Daten handele. Diese seien überdies personenbezogene Daten besonderer Kategorie gem. Art. 9 DSGVO. Konkret verarbeite PimEyes biometrische Daten, d.h. persönliche Erkennungsmerkmale, wie etwa die Gesichtsform oder Augenfarbe.
Zur Datenschutzkonformität seiner Dienstleistung, konnte sich PimEyes zunächst ausführlich äußern. Der LfDI BaWü gab bekannt, dass er im Rahmen der Untersuchung unteranderem Fragen zu den implementierten technischen und organisatorischen Maßnahmen gestellt habe.
Das Unternehmen habe vorgebracht, dass es nur Bilder verwende, die im Internet öffentlich zugänglich seien. Mit Hilfe der Bilder seien keine Personen identifizierbar, sodass es an einem Personenbezug fehle. Darüber hinaus sei es möglich betroffene Personen, sofern sie dies wollen, aus der Fotodatenbank auszuschließen. Um diese sog. „Opt-Out“ Möglichkeit wahrzunehmen, müssen die betroffenen Person einen Identitätsnachweis und ein Bild vorlegen. Der Missbrauch von Bildern durch Dritte, verbiete das Unternehmen in seinen Allgemeinen Geschäftsbedingungen.
Biometrische Daten
In seiner Pressemitteilung betonte der LfDI BaWü, dass die Verarbeitung personenbezogener Daten besonderer Kategorie verboten sei. Ausschließlich in den nach Art. 9 Abs. 2 DSGVO normierten Fällen sei die Verarbeitung ausnahmsweise erlaubt.
Demnach habe sich die Frage gestellt, auf welcher Rechtsgrundlage PimEyes die Bilder verarbeite. Für eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO fehle es schon an der Einwilligung der betroffenen Personen. Soweit PimEyes freizugängliche Bilder von Internetseiten verarbeite, stelle sich insoweit die Frage, wann und wie es eine Einwilligung der betroffenen Person einhole. Sofern die betroffenen Person ihre Bilder selbst öffentlich gemacht habe, könne die Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO in Betracht kommen. Allerdings sei es wahrscheinlicher, dass Dritte die Bilder betroffenen Personen veröffentlicht haben. Für eine Verarbeitung im öffentlichen Interesse nach Art. 9 Abs. 2 lit. g DSGVO fehle die erforderliche Beauftragung durch eine öffentliche Stelle.
Fazit
Aus Sicht der Landesbehörde seien viele Fragen im Rahmen der Untersuchung offen geblieben, sodass sie im Ergebnis ein Bußgeldverfahren gegen PimEyes eröffnet habe.
25. Januar 2023
Bereits 2021 hatte die Europäische Kommission eine Zielvorstellung für digitale Veränderungen in Europa präsentiert, die bis 2030 umgesetzt werden soll. Kurz gefasst sollen dadurch Kompetenzen, digitale Infrastruktur, Digitalisierung in Unternehmen und öffentlichen Diensten gestärkt werden.
Warum ist uns das besonders wichtig? Digitale Veränderungen beinhalten Chancen und Risiken – auch für den Datenschutz.
Die Ziele
Die Europäische Kommission hat ihre Ziele und Strategien im digitalen Kompass zusammengefasst. Ein zentrales Ziel sei unter anderem die digitale Souveränität Europas, die anhand folgender Kernpunkte erreicht werden sollen.
Eine digital befähigte Bevölkerung und hoch qualifizierte digitale Fachkräfte
Bis 2030 sollen etwa 20 Millionen Informations- und Kommunikationstechnologische Fachkräfte weitergebildet werden.
Sichere, leistungsfähige und tragfähige digitale Infrastrukturen
Alle europäischen Haushalte sollen Zugang zu einer Gigabit-Leitung und alle besiedelten Gebiete 5G erhalten. Der weltweit europäische Anteil am Halbleitermarkt soll verdoppelt und 10.000 klimaneutrale, hochsichere Randknoten in der EU errichtet werden.
Digitalisierung von Unternehmen
Die Digitaltechnik soll auf 75% der Unternehmen erhöht werden, indem sie Cloud-Computing, Big Data und künstliche Intelligenz in ihr Unternehmen integrieren
Digitalisierung öffentlicher Dienste
Ziel sei zum Beispiel, dass jeder europäischen Bürger Online-Zugang zu wesentlichen öffentlichen Diensten und ihren elektronischen Patientenakten bekommt
Folgen für den Datenschutz
Die Umsetzung der geplanten Ziele hat weitreichende Folge auf dem Gebiet des Datenschutzes. Es stellen sich diverse Herausforderungen für Verantwortliche.
Förderung von Datenschutzbeauftragten
Die Weiterentwicklung und Erhöhung digitaler Fachkräfte betrifft zum einen die Förderung von Datenschützern und deren Ausbildung. Zum anderen steigt der Bedarf an Sensibilisierung anderer Fachkräfte durch Datenschutzbeauftragte. Nimmt die Verbreitung digitaler Infrastruktur zu und erhöht sich der Stand der Digitaltechnik auf 75%, müssen sämtliche Bereiche ihre Kenntnisse im Datenschutz stärken, um der DSGVO gerecht werden zu können.
Der internationale Datentransfer
Digitale Infrastrukturen sind im Rahmen der digitalen Ziele und damit nicht zuletzt auch beim Datenschutz von Bedeutung. Insbesondere bei der Auftragsverarbeitung (Art. 28 DSGVO) wird auf Dienstleister zurückgegriffen, die Daten in der Cloud von Drittländern verarbeiten. Hier müssen die Bestimmungen des Art. 44 DSGVO beachtet werden, was häufig zu Herausforderungen in Verbindung mit Drittlandtransferprüfungen und Subdienstleistern führt. Im Zuge einer erweiterten digitalen Infrastruktur in der EU könnte eine Alternative zu Drittlandtransfers ausgebaut werden. Anfänge dafür sieht man z.B. an Projekten wie der EU Data Boundary von Microsoft.
Öffentliche und nicht-öffentliche Dienste
Die EU möchte auch die Digitalisierung der öffentlichen Dienste sowie den einfachen Zugang zu Patienten-/Bürgerakten, die sensible Daten nach Art. 9 Abs. 1 DSGVO enthalten können, vorantreiben. An den Schnittstellen dieser Dienste wird eine große Menge von Daten zwischen öffentlichen Stellen und Privatpersonen aber auch nicht öffentlichen Stellen ausgetauscht werden. Vor allem an diesen Stellen herrscht ein hohes Risiko, welches mehr Aufwand wie unter Umständen eine Datenschutz-Folgenabschätzungen und damit das Einführen zusätzlicher Schutzmaßnahmen zur Folge haben kann.
Fazit
Im Ergebnis müssen, trotz der positiven Auswirkungen der Digitalisierung, dennoch die vielseitigen Risiken für den Datenschutz beachtet werden, damit die Digitalisierung Europas ein tatsächlicher Erfolg wird. Leider besteht bislang auf europäischer Ebene Uneinigkeit darüber, wie mit der Lösung dieser Probleme umgegangen werden soll und welche Schwerpunkte gesetzt werden müssen. Es bleibt abzuwarten, welche Gesetzgebungsvorhaben in Zukunft durchgesetzt werden, um das komplexe Zusammenspiel von Datenschutz und Bereichsregulierung zu ordnen.
24. Januar 2023
Es gibt Neuigkeiten! Vierzehn Jahre nach der Einführung durch den kanadischen Datenschutzbeauftragten ist „Privacy by Design“ (PbD) im Begriff, ein internationaler Datenschutzstandard für den Schutz von Verbraucherprodukten und -dienstleistungen zu werden.
Doch was versteht man unter PbD? Hinter dem Begriff „Privacy by design“ verbirgt sich nichts Anderes als „Datenschutz durch Technikgestaltung“. Dahinter steckt der Gedanke, dass der Datenschutz bei Datenverarbeitungsvorgängen am besten eingehalten wird, wenn er bei deren Erarbeitung bereits technisch integriert ist. Das Konzept wurde 2009 vorgestellt und besteht aus einer Reihe von Grundsätzen, die die Berücksichtigung des Datenschutzes im gesamten Datenmanagementprozess einer Organisation fordern. Seitdem wurden sie von der Internationalen Versammlung der Datenschutzbeauftragten und -behörden angenommen und in die europäische Datenschutzgrundverordnung (DSGVO) aufgenommen.
Wer ist die ISO?
Die ISO ist ein Netzwerk von 167 nationalen Normungsgremien. Sie legt über 24.000 Normen fest, darunter die ISO 27001 für Informationssicherheits-Managementsysteme, deren Einhaltung Organisationen nach einer Prüfung durch Wirtschaftsprüfungsunternehmen wie Deloitte, KPMG und PwC zertifiziert werden kann.
Die Verabschiedung durch die ISO gibt der Operationalisierung des Konzepts „Privacy by Design Leben“, so Ann Cavoukian, die PbD-Erfinderin, „und hilft Organisationen, herauszufinden, wie sie es umsetzen können. Der Standard ist so konzipiert, dass er von einer ganzen Reihe von Unternehmen genutzt werden kann – von Start-ups über multinationale Unternehmen bis hin zu Organisationen jeder Größe. Bei jedem Produkt kann dieser Standard eingesetzt werden, weil er einfach zu übernehmen ist. Wir hoffen, dass der Datenschutz proaktiv in die Gestaltung der Abläufe [einer Organisation] eingebettet wird und die Datenschutzgesetze ergänzt.“
Was kommt auf uns zu?
In seiner ursprünglichen Fassung umfasst PbD sieben Grundsätze, darunter die, dass der Datenschutz die Standardeinstellung einer Organisation sein sollte, dass er in die Gestaltung von IT-Systemen und Geschäftspraktiken eingebettet ist und dass er Teil des gesamten Datenlebenszyklus ist.
Die endgültige ISO-Norm 31700 ist detaillierter und enthält 30 Anforderungen verteilt auf 32 Seiten. Sie enthält allgemeine Anleitungen zur Entwicklung von Funktionen, die es den Verbrauchern ermöglichen, ihre Datenschutzrechte durchzusetzen, zur Zuweisung relevanter Rollen und Befugnisse, zur Bereitstellung von Datenschutzinformationen für Verbraucher, zur Durchführung von Datenschutzrisikobewertungen, zur Festlegung und Dokumentation von Anforderungen an Datenschutzkontrollen, zur Gestaltung von Datenschutzkontrollen, zum Datenmanagement über den gesamten Lebenszyklus und zur Vorbereitung auf und zum Umgang mit Datenschutzverletzungen.
In der vorgeschlagenen Einleitung wird darauf hingewiesen, dass sich PbD auf verschiedene Methoden für die Entwicklung von Produkten, Prozessen, Systemen, Software und Dienstleistungen bezieht. Die vorgeschlagene Bibliographie, die dem Dokument beiliegt, verweist auf andere Normen mit detaillierteren Anforderungen an die Identifizierung personenbezogener Daten, Zugangskontrollen, die Zustimmung der Verbraucher, Corporate Governance und andere Themen.
Zusammen mit der Norm wird ein separates Dokument mögliche Anwendungsfälle skizzieren.
Ausblick
Cavoukian wiederholte das Argument, das sie schon seit Jahren vorbringt: Datenschutz kann ein Wettbewerbsvorteil für Unternehmen sein, die ihn annehmen. „Wir müssen uns von dem veralteten Entweder-Oder-Modell von Datenschutz und Geschäft verabschieden“, so ihr Standpunkt. „Das kann eine Win-Win-Situation sein. Es geht um Datenschutz und Geschäftsinteressen. You can do both.“
ISO 31700 wird allerdings zunächst kein Konformitätsstandard sein.
Pages: 1 2 ... 20 21 22 23 24 ... 274 275 
