Kategorie: Allgemein
20. Oktober 2023
Was sind Telemetrie- und Diagnosedaten?
Telemetrie ist in der heutigen Welt allgegenwärtig. Unsere Apps und Betriebssysteme sammeln eine Fülle von Informationen über unsere Nutzungsgewohnheiten, oft ohne, dass wir es merken. Häufig haben diese Daten einen wirtschaftlichen Wert und dienen Unternehmen als zusätzliche Einnahmequelle. Als Telemetrie- und Diagnosedaten zählen zum Beispiel Angaben darüber, wie oft bestimmte App-Funktionen genutzt werden oder zu welchen Zeiten und an welchen Orten dies geschieht. Selbst Erkenntnisse über die Häufigkeit und Art von Systemabstürzen werden erhoben.
Datenschutzrechtlichen Relevanz
Bei all diesen Arten von Informationen kann es sich um personenbezogene Daten handeln. Das gilt unabhängig davon, ob der Zweck der Datenerhebung rein technischer Natur ist (z. B. Performanceverbesserung oder Troubleshooting) oder sich auf die Entwicklung neuer Anwendungen und Geräte bezieht. Selbst bei einer Pseudonymisierung ohne Absicht der Identifizierung, sind datenschutzrechtliche Grundsätze einzuhalten. Nur auf Informationen, die dem primären Zweck des Geräts dienen (z. B. bei einem Herzschrittmacher), bezieht sich das Arbeitspapier zu Telemetrie nicht.
Herausgearbeitete Risiken
Die IWGDPT hat verschiedene Risiken identifiziert, die eine Gefahr für die Datensicherheit bedeuten könnten. Zunächst seien viele Hersteller sich schon gar nicht bewusst, dass die erhobenen Daten überhaupt einen Personenbezug aufweisen. Laut der Berlin Group befolgen sie dementsprechend auch keinerlei datenschutzrechtlichen Regeln
Bei der Erhebung der Daten werden oft Informationspflichten über das Sammeln, die Art und die bezweckte Nutzung der Daten außer Acht gelassen. Auf der Gegenseite seien sich auch die Nutzer häufig weder über die Erhebung noch über deren Umfang bewusst. Das führe zu fehlender Transparenz, die es dem Nutzer ermöglichen könne, der Datensammlung zu widersprechen. Selbst wenn eine entsprechende Information stattfinde, gäbe es keine (ausreichenden) Möglichkeiten für die Nutzer die Datenerhebung zu limitieren oder zu verhindern. Auch wenn es technische Möglichkeiten gäbe, die Sammlung zu minimieren, komme es sehr selten vor, dass sie komplett verweigert werden könne.
Weiterhin würden oft Daten provisorisch und in großen Mengen erhoben. Das führe zu einer Verletzung des Grundsatzes der Datenminimierung und verstoße gegen die Zweckbindung. Parallel dazu gebe es auch keine zeitlichen Aufbewahrungsgrenzen.
Zuletzt würden die Maßnahmen zur Sicherung der Vertraulichkeit der Daten immer wieder nicht den gesetzlichen Anforderungen genügen.
Datenschutzfreundlichere Lösung
Die Berlin Group appelliert, dass man sich bewusst machen muss, dass auch in diesen Fällen die Grundsätze des Datenschutzes zu beachten sind. Dabei erkennt sie die Bedeutung dieser Datengruppe für die Qualitätssicherung an. Trotzdem müssten Gesetzgeber entsprechende gesetzliche Regeln sicherstellen und ggf. sogar geeignete Standards einführen. Auf der Seite der Hersteller müsse das Sammeln von personenbezogenen Daten anerkannt, dokumentiert und die Nutzer entsprechend informiert werden. Man müsse die Datenerhebung angepasst an die Zwecke in Art, Umfang und Zeit limitieren. Automatisch dürfe man nur Daten erheben, die per Gesetz einwilligungsfrei erhoben werden können. Weiterhin fordert sie flexible Einstellungsmöglichkeiten für die Nutzer hinsichtlich der Datenerhebung. Man müsse zudem Systeme einrichten, um die Daten zu pseudonymisieren und um die Sicherheit der Daten zu gewährleisten.
Fazit
Die Funktionen der Telemetrie sind entscheidend für eine verlässliche Qualitätssicherung. Nichtsdestotrotz werden auch hierbei persönliche Daten erhoben, denen ein entsprechender Schutz zu kommen muss. Die Realität zeigt, dass in vielen Anwendungen datenschutzrechtliche Vorkehrungen fehlen oder zumindest nicht hinreichend ausgestaltet sind. Das Arbeitspapier zu Telemetrie zeigt, dass es möglich ist, diese Analysesysteme datenschutzkonform zu gestalten, ohne dabei den Nutzen der Funktionen zu vernachlässigen. Herstellern solcher Anwendungen wird empfohlen auch hier datenschutzrechtliche Vorgaben zu befolgen, um das Risiko von Bußgeldern zu minimieren.
19. Oktober 2023
Die Planung von Regulierungen für künstliche Intelligenz (KI) müsse innovationsorientiert bleiben. Das verdeutlichte die Bundesregierung in einem heise online vorliegenden Positionspapier von Bundesministerien für Justiz und Wirtschaft im Rahmen der Debatte über die Entwürfe aus dem EU-Parlament und dem Ministerrat für eine Verordnung für Systeme mit KI. Während das EU-Parlament strengere Regeln für KI-Systeme wie ChatGPT vorschlägt, warnt die Bundesregierung davor hierdurch die KI-Entwicklung zu behindern.
Innovationsfreundliche und differenzierte Regulierung
Die Bundesregierung unterstreicht die Bedeutung einer KI-Regulierung, die Innovationen fördert, auf die Zukunft ausgerichtet und ausgeglichen ist. Sie fordert, die Definitionen in den Regeln präzisiert und differenziert auszugestalten. Insbesondere könne man nicht allgemeine KI-Anwendungen mit mehr Entwicklungsfreiraum mit Spezialanwendungen gleichsetzen. Letzteres erfordere speziell zugeschnittene und detailliertere Vorschriften.
Besonders wichtig ist es der Bundesregierung, die Ergebnisse sogenannter „General Purpose AIs“ – wie etwa ChatGPT – sicherzustellen. General Purpose AIs zeichnen sich dadurch aus, dass sie mittels Sprach- oder Bilderkennung ohne besonderes Fachwissen der Nutzer eine breite Palette von Aufgaben erfüllen können. Beim Training dieser KIs ist das zu erwartenden Aufgabenspektrum häufig weder bekannt noch vorhersehbar. Die Ausgestaltung der Regeln solcher KIs müsste weiterhin ihre Funktionsfähigkeit gewährleisten.
Regulierungsvorschläge im Bund
Die Bundesregierung fordert für KI-Anwendungen mit allgemeinen Zwecken eindeutige Regelungen. Zum einen sei an eine Risikobewertung hinsichtlich des Datenmanagements und der Transparenz zu denken. Auch eine Informationspflicht sei wünschenswert. Dabei müsse man Auskünfte über die Datengrundlage, den Trainingsprozess, den Schutz der Privatsphäre und das Urheberrecht geben. Nützlich könnten laut des Positionspapiers auch Erklärungen über die Funktionalität des KI-Systems und Auswirkungen auf die Umwelt sein. Zudem zöge man Kennzeichnungspflichten für Deepfakes in Betracht, wobei es Ausnahmetatbestände zum Beispiel für Sicherheitsbehörden geben solle. Warnhinweise sollten auch in besonders sensiblen Bereichen wie Medizin existieren. Weiterhin wurde ein Anspruch auf Berichtigung angedacht. Für kleine und mittlere Unternehmen, zivilgesellschaftliche und dem Gemeinwohl dienende Organisationen sowie akademische Verwender sollten Ausnahmen in Betracht gezogen werden.
Strengerer Ansatz der EU
Das EU-Parlament strebt einen anderen Ansatz an, der nicht zwangsläufig mit dem der Bundesregierung über innovationsfreundliche KI-Regeln übereinstimmt. So hatte es bereits im Juni seinen Standpunkt zum geplanten “AI Act” festgelegt und besonders strenge Regeln für KI-Systeme wie ChatGPT verlangt. Betreiber von KI-Anwendungen, die mit einer sehr großen Menge unsortierter Daten trainiert wurden, müssten sie auf besondere Risiken prüfen und bei Bedarf Abwendungsmaßnahmen treffen.
Fazit
Die Debatte über die Zukunft der KI-Regulierung in der EU bleibt komplex. Es treffen hier verschiedene berechtigte Interessen und Ansichten aufeinandertreffen, die sorgfältig abgewogen werden müssen. Die Bundesregierung warnt zurecht davor, die KI-Entwicklung durch übermäßige Regulierung nicht zu beeinträchtigen. Das Anfordern einer sehr detaillierten Auflistung der verwendeten Trainingsdaten könnte die Entwicklung von KI-Systemen im schlimmsten Fall totregulieren. Insbesondere könnte dies dazu führen, dass Deutschland oder Europa als Niederlassungsstandort nicht mehr attraktiv bleibt und KI-Unternehmen ins Ausland abwandern. Insofern ist der Ansatz der Bundesregierung, innovationsfreundliche KI-Regeln zu fordern, zu begrüßen.
18. Oktober 2023
Die Verfassungsmäßigkeit der Steuer-ID
Die Verfassungsmäßigkeit der Steueridentifikationsnummer (Steuer-ID) in Verbindung mit dem neuen Identifikationsnummerngesetz (IDNrG) war schon vor dessen Inkrafttreten fraglich. Zweifelhaft ist insbesondere, ob die aktuelle Verwendung der Steuer-ID mit den Grundsätzen des Datenschutzes und des Rechts auf informationelle Selbstbestimmung im Einklang steht. Nun haben sich am 10. Oktober 2023 Experten im Rahmen einer Online-Veranstaltung der Europäischen Datenschutz Akademie (EAID) intensiv mit diesem Thema beschäftigt.
Die allgemeine Personenkennziffer
Die Steuer-ID wurde 2007 als ein Instrument zur eindeutigen Identifikation von Steuerzahlern eingeführt. Damals versicherte der damalige Finanzminister Peer Steinbrück noch, dass sie niemals als allgemeine Personenkennziffer dienen sollte. Vor diesem Hintergrund überrascht das neue IDNrG, dass die neue Verwendungsform der Steuer-ID gerade als solches normiert. Hierdurch hat man die Verwendung der Steuer-ID erheblich erweitert.
Eine Nutzung dieser Nummer ist heute in 51 bundesweiten Registern zulässig. Sie wird vom Melderegister über das Fahrzeugregister bis hin zum Register für ergänzende Hilfe zum Lebensunterhalt herangezogen. Nach dem Plattformentransparenzgesetz müssen ab Januar 2024 auch Plattformen, die bestimmte Verkäufe und Vermietungen abwickeln, mittels der Steuer-ID relevante Transaktionen dem Bundeszentralamt für Steuern melden. Banken müssen sogar Verfahren implementieren, bei denen die IBAN bei Erhalt öffentlicher Gelder der Steuer-ID zugeordnet wird (§ 139b Abs. 10-13 AO).
Neue Verwendungsform verfassungsgemäß?
Das Ziel der neuen Regelung ist der (von vielen gewünschte) Bürokratieabbau und die Reduzierung des Verwaltungsaufwandes. So erfordern Verwaltungsprozesse häufig das Abgleichen von Kontaktdaten und sogar das Vorlegen der Geburtsurkunde. Die Steuer-ID soll hierbei als eindeutiges Identifikationsmerkmal dienen. Ein Zugriff auf Steuerdaten selbst soll es hierdurch hingegen nicht geben.
Bei der Diskussion über die Verfassungsmäßigkeit geht es darum, ob der Verwendungsumfang das Recht auf informationelle Selbstbestimmung unzulässig einschränkt. Die Mehrheit der Teilnehmer der EAID-Veranstaltung war skeptisch. Viele drückten sogar ihre Ansicht aus, dass der aktuelle Verwendungsumfang einen erheblichen Eingriff in das Recht auf informationelle Selbstbestimmung darstellt.
Gegen eine Verfassungskonformität sprechen auch die engen Schranken, die für Personenkennzeichen grundlegend im Volkszählungsurteil festgelegt wurden. Da die Legislative zudem keine ausreichenden Vorkehrungen geschaffen hat, um die Bildung von Bürgerprofilen zu verhindern, stuften etliche Veranstaltungsteilnehmer die Verwendung als verfassungswidrig ein.
Alternativmodell: besonderes Personenkennzeichen
Vor dem Hintergrund der Verfassungsmäßigkeit ist fraglich, ob es nicht ein milderes Mittel für die Zwecke des IDNrG gibt, dass die „Erforderlichkeit“ entfallen lässt. Ein alternatives Modell könnte, das bereits in Österreich verwendete, “besondere Personenkennzeichen” sein. Auch hier wird eine feste Identifikationsnummer jedem Bürger zugeordnet. Allerdings pseudonymisiert ein kryptografisches Einwegverfahren die Stammzahl zunächst für jeden einzelnen Verwendungszweck. Erst im Anschluss wird diese bereichsspezifische Kennziffer dem jeweiligen Empfänger zugänglich gemacht. Die Vorteile dieses Ansatzes sind aus datenschutzrechtlicher Sicht offensichtlich. Eine Profilbildung der Bürger wird verhindert, da Empfänger niemals die eigentliche Identifikationsnummer erhalten, sondern nur das für sie generierte Pseudonym, während andere Stellen eine andere Nummer erhalten.
Fazit
In Anbetracht der erheblichen Ausweitung des Anwendungsbereichs der Steuer-ID sieht es danach aus, als sei die ursprüngliche Zusicherung, dass sie niemals als allgemeine Personenkennziffer verwendet werden würde, nicht mehr gültig. Im Ergebnis fiel auch das Urteil der Veranstaltungsteilnehmer nicht gut aus. Die meisten werten die aktuelle Ausprägung der Steuer-ID mit hoher Wahrscheinlichkeit als nicht verfassungskonform.
Egal wie sehr ein Bürokratieabbau in Deutschland auch gewünscht ist, durch die Implementierung einer verwaltungsübergreifenden Identifizierungsnummer wächst das Risiko einer missbräuchlichen Verknüpfung personenbezogener Daten und der Erstellung von Bürgerprofilen. Die Gewährleistung des Rechts auf informationelle Selbstbestimmung sollte stets an erster Stelle stehen, während gleichzeitig die legitimen Bedürfnisse und Anforderungen der Gesellschaft berücksichtigt werden müssen.
Es bleibt spannend, wie die Debatte weitergehen wird. Ob die aktuellen Entwicklungen zu einer Neubewertung der Verfassungsmäßigkeit der Steuer-ID und damit zu einer Nachfolgeentscheidung des Volkszählungsurteil führen werden, wird die Zukunft zeigen.
17. Oktober 2023
Chatkontrolle sei anlasslose Massenüberwachung
Die Europäische Union plant die Einführung der sogenannten „Chatkontrolle“. Hierunter versteht man technische Maßnahmen zur Überwachung der elektronischen Kommunikation, um Kindesmissbrauch im Internet zu verfolgen oder vorzubeugen. Konkret stehen Beratungen im Rat der Europäischen Union bevor. Deswegen hat am 17. Oktober 2023 die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Entschluss zur geplanten Chatkontrolle verabschiedet. Darin fordert sie den EU-Gesetzgeber auf sich an die Grundsätze der Rechtsstaatlichkeit, Erforderlichkeit und Verhältnismäßigkeit zu halten.
Kindesmissbrauchsbekämpfung als Ziel
Die EU-Kommission legte den Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern wurde im Mai 2022 vor. Anbieter von Online-Kommunikationsdiensten (z.B. E-Mail- oder Chat-Dienste wie WhatsApp) würden hierdurch verpflichtet, die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs oder den Kontakt zu Minderjährigen mittels gewisser Kriterien zu identifizieren.
Unverhältnismäßige Massenüberwachung
Die von der EU-Kommission vorgeschlagene Maßnahme sieht vor, sämtliche Kommunikation, einschließlich E-Mails und Chatnachrichten, auf Darstellungen sexuellen Kindesmissbrauchs zu überwachen. Diese Kontrolle würde unterschiedslos und verdachtsunabhängig stattfinden und auch die sensibelsten Lebensbereiche der Nutzer betreffen. Weiterhin wäre auch Ende-zu-Ende verschlüsselte Kommunikation umfasst. Dies würde, die Verschlüsselung, die in den letzten Jahren als ein Eckpfeiler der Privatsphäre etabliert wurde, aufbrechen. Durch einen solchen Abbau von Sicherheitsmechanismen erhöhe sich das ohnehin bestehende Risiko für missbräuchliche Einsichtnahme in private Kommunikation erheblich. Dies gefährde den elementaren Grundsatz der Vertraulichkeit der elektronischen Kommunikation.
Die DSK beschreibt die gewählten Mittel als „äußert zweifelhaft“. Insofern meint sie, dass es sich um eine „anlasslose Massenüberwachung“ handelt, die nicht in Einklang mit den Grundrechten der Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommunikation und des Schutzes personenbezogener Daten zu bringen ist. Durch die Chatkontrolle sammle man eine enorme Menge an persönlichen Informationen von Nutzern, ohne dass auch nur der Verdacht einer Straftat vorliege. Deswegen warnt die DSK ausdrücklich davor, den Wesensgehalt der Grundrechte zu berühren.
Fazit
Unstreitig ist die Bedeutung der Bewahrung von Kindern vor sexuellem Missbrauch. Allerdings ist es ist Aufgabe des Gesetzgebers eine Lösung zu finden, die dieses Ziel erreicht, ohne die Privatsphäre der Nutzer unverhältnismäßig einzuschränken. Wie von der DSK richtig erkannt, sind hierbei die Prinzipien der Rechtsstaatlichkeit zu wahren. Maßnahmen zur Bekämpfung schwerster Kriminalität müssen in einem angemessenen und verhältnismäßigen Rahmen stattfinden. In welcher konkreten Ausprägung die Verordnung schlussendlich in Kraft treten wird, bleibt abzuwarten.
13. Oktober 2023
Niedersachsens Datenschutzbeauftragter, Denis Lehmkemper, der erst am 15.09.2023 ernannt wurde, betritt das Parkett mit klaren Ansichten zur Rolle von Künstlicher Intelligenz (KI) in der modernen Gesellschaft. Bereits nach seiner Ernennung betonte er, dass er einen Schwerpunkt darin sehe „die rasante Entwicklung der Digitalisierung von Wirtschaft, Gesellschaft und Verwaltung – getrieben von Zukunftsthemen wie Künstliche Intelligenz – im Interesse der Bürgerinnen und Bürgern in Niedersachen zu begleiten. In einem Interview mit der Deutschen Presse-Agentur äußerte er nun seine Bedenken hinsichtlich des Einsatzes von KI und betonte die Notwendigkeit einer öffentlichen Diskussion über klare Regeln und Leitlinien.
Die Herausforderungen des KI-Einsatzes
Lehmkemper erkennt die vielfältigen Fragen und Unsicherheiten, die mit dem wachsenden Einsatz von KI verbunden sind. Klar ist für ihn, dass dies in Zukunft ein relevantes Thema in seiner Behörde sein wird. Ein Szenario, das er aufwarf, war die Möglichkeit, dass KI-Systeme über die berufliche Zukunft von Bewerbern oder Arbeitnehmern entscheiden könnten. In solchen Fällen scheinen die datenschutzrechtlichen Hindernisse zu hoch, weshalb viele Unternehmen auf den Einsatz von KI gänzlich verzichten. Laut Lehmkemper, verdeutlicht gerade das Beispiel aus dem Arbeitsleben den Bedarf an klaren und robusten Regeln.
Eine breite Debatte
Auch wenn die Auseinandersetzung mit dem Thema KI zunächst beunruhigend sein kann, warnte der Behördenchef davor, sich bei der Beantwortung der Frage nach Leitlinien von Ängsten leiten zu lassen. Man müsse die Problematik und die konkrete Ausarbeitung der Vorgaben in der gesamten Gesellschaft diskutieren. Dabei will er das Parlament, die Wirtschaft, die Gewerkschaften und sogar die Kirchen einbinden.
Lösungsansatz
Lehmkemper fordert „Regeln“ und „Leitplanken” und ggf. sogar ein spezielles “Gesetz”. Er betonte zum einen, die Wichtigkeit eines hohen Schutzstandards, andererseits dürfe man nicht technischen Fortschritt behindern.
Ein aktuelles vom Bundesministerium für Bildung und Forschung gefördertes Whitepaper der Plattform Lernende Systeme zeigt technische Instrumente, die Privatsphäre und Datenschutz bei der Anwendung von KI-Systemen gewährleisten könnten. Statt Verbote aufzustellen solle man vielmehr Handlungsräume mit gewissen Begrenzungen für die Unternehmen schaffen, die ihnen Rechtssicherheit bieten. Die Autoren fordern, dass diese Verfahren als Ausnahme in die Datenschutzgrundverordnung (DSGVO) einbezogen werden. Für die verschiedenen Methoden sollten zudem Standards und Zertifizierungsmöglichkeiten implementiert werden
Beispielhaft wird etwa das Privacy-Preserving Machine Learning (PPML) empfohlen. Hierbei wird schon bei der Entwicklung des KI-Systems der Datenschutz sichergestellt z. B. durch Anonymisierung oder Verschlüsselung personenbezogener Daten. Eine Alternative sei die Verwendung von Personal Information Management Systemen (PIMS), bei denen der Einzelne die Verfügungsbefugnis über seine Daten behält und sogar von deren wirtschaftlichem Nutzen profitieren könnte.
Fazit
Denis Lehmkemper fordert zu Recht klare Regeln und Leitlinien für den Umgang mit KI. Er hat erkannt, dass KI eine entscheidende Rolle in unserer Zukunft spielen wird, auf die man nicht verzichten sollte. Zum Schutz der Bürger bedarf es allerdings gleichzeitig entsprechender Regeln. Die Entwicklung von KI schreitet schnell voran und ist so komplex, dass es schon jetzt kaum möglich ist, ebenso schnell gesetzliche Regulierungen zu schaffen. Bislang gibt es kaum konkrete begrenzende Gesetze. Die Ansätze des Whitepapers der Plattform Lernende Systeme könnten hierfür gute Impulse geben. Ob und welche Regelungen diesbezüglich tatsächlich kommen werden, bleibt abzuwarten.
12. Oktober 2023
Die jüngsten Entwicklungen in Irland werfen einen bedenklichen Schatten auf die Pressefreiheit. Das irische Parlament hat im Juni 2023 ein neues Gesetz verabschiedet, das erhebliche Auswirkungen auf die Berichterstattung über die irische Datenschutzbehörde haben könnte. Am 04.10.2023 hat sich nun auch der Europäischen Datenschutzausschusses (EDSA) hierzu geäußert.
Hintergrund der Debatte
Gemäß der One-Stop-Shop-Regelung nach Art. 56 der Datenschutz-Grundverordnung (DSGVO) ist die Data Protection Commission (DPC) (irische Datenschutzbehörde) die zuständige federführende Aufsichtsbehörde in Verfahren gegen Giganten wie Apple, Google und Meta. Diese Prozesse dauern häufig sehr lange und Bußgelder werden oft zu niedrig angesetzt bzw. erst nach Intervention des EDSA erhöht. Deswegen und wegen der Bedeutung dieser Internet-Riesen steht die DPC schon lange in der Kritik.
Neues irisches Gesetz als Reaktion?
Man könnte fast meinen, dass der irische Gesetzgeber genug von der ständigen Nörgelei hat. Die neue Courts and Civil Law (Miscellaneous Provisions) Bill 2022 gestattet es nun der DCP, eine Vielzahl an Verfahren als „vertraulich“ zu klassifizieren und sogar Strafe zu verhängen.
Die Neuregelung bestimmt in Art. 26A des irischen Data Protection Act (DPA), dass die DPC Informationen als vertraulich einstufen kann und Anweisungen erteilen darf, den Inhalt nicht offenzulegen. Nach Abs. 5 gelten Informationen als vertraulich, wenn ihre Offenbarung zu einem finanziellen Schaden führen würde oder ihre Veröffentlichung Verhandlungen beeinträchtigen könnte. Zudem sind Informationen umfasst, die im Vertrauen mitgeteilt wurden und deren Offenlegung weiteren relevanten Informationsfluss beeinträchtigen könnte. Zuletzt fallen hierunter auch Informationen, deren Offenlegung eine effektive Aufgabenwahrnehmung der DPC gefährden könnte. Diese drei Varianten ermöglichen das Subsumieren eines breiten Spektrums an Fällen, auch wenn sie nicht wirtschaftlich sensibel sind. Gekrönt wird das Ganze mit einer möglichen Geldstrafe von bis zu 5.000 € bei einer Missachtung der Anordnung.
Heftige Kritik an der Regelung
Jedenfalls hat das Gesetz nicht unmittelbar zu einer Kritikreduzierung gegenüber Irland geführt. Hauptsächlich wird es als Beschneidung der Pressefreiheit angesehen. Noch im Juni 2023 hatte sich der Irish Council for Civil Liberties (ICCL) gegen das Gesetz ausgesprochen. Amnesty International meint das Gesetz diene nur dem Schutz großer Technologieunternehmen.
Aussage des Europäischen Datenschutzausschusses
Als Antwort auf die Anfrage der Abgeordneten des europäischen Parlaments, Sophie in ´t Veld, reagierte nun auch der EDSA. Dieser erkennt die Bedeutung der Vertraulichkeit an, stellt jedoch klar, dass dies normalerweise nur auf Dritte und nicht auf den Informationsaustausch zwischen Aufsichtsbehörden zutrifft. Er weist auch darauf hin, dass die geplante Aktualisierung der DSGVO auch das Verfahren mit vertraulichen Informationen behandeln wird. Die geänderte Verordnung würde dann harmonisierend regeln, welche Informationen abgesehen von Geschäftsgeheimnissen sensibel sind. Es scheint vor allem fraglich, ob die so in der neuen Verordnung nicht vorgesehenen Bußgeldbefugnisse des DPA weiterbestehen könnten.
Fazit
Die irische Regelung kann durchaus als Einschnitt in die Pressefreiheit gewertet werden. Zwar ist die Notwendigkeit des Schutzes vertraulicher Informationen verständlich, allerdings bietet die offene Definition von „vertrauliche Informationen“ einen unkontrollierbar weiten Subsumtionsrahmen. Gerade da es die in der Kritik stehende DPC selbst ist, die über die Vertraulichkeit der Informationen entscheiden darf und keine unabhängige Instanz, birgt diese Konstellation erhebliches Gefahrenpotential. Die Zukunft wird zeigen, wie sich diese Regelung auf die Pressefreiheit und den Datenschutz in Irland auswirkt. Jedenfalls lässt die Antwort des EDSA und der Vorschlag für die neue DSGVO erahnen, dass die aktualisierte DSGVO nicht mit diesem Teil des DPA übereinstimmen wird. Zumindest ist zu erwarten, dass der EDSA sich die Regelungen genauer anschauen wird. Ob daraus ein Vertragsverletzungsverfahren folgen wird, bleibt mangels eindeutiger Antwort des EDSA abzuwarten.
11. Oktober 2023
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft trat, verlangt der Unternehmenswelt nun schon seit 5 Jahren einiges ab. Unternehmen ziehen eine durchwachsene Bilanz und vergeben im Rahmen einer repräsentativen Umfrage im Auftrag des Digitalverbunds Bitkom nur die Note „ausreichend“ (3,9). Bitkom befragte zwischen Juni und August 2023 503 Unternehmen ab 20 Beschäftigten in Deutschland.
Die Hauptaussagen sind wenig schmeichelhaft. Zwar haben mittlerweile zwei Drittel (65 %) wenigstens größtenteils die Vorschriften in ihre Geschäftsprozesse implementiert, jedoch beklagen sie, dass diese nicht praxisorientiert und zu kompliziert sind. Erschreckend ist, dass in fast jedem Unternehmen Innovationsprojekte in Folge zu hoher Datenschutzanforderungen gescheitert seien.
Die guten Nachrichten zuerst
Trotz dieser Herausforderungen erkennen die Unternehmen auch einige positive Aspekte an. Immerhin bestätigt die Mehrheit, dass die DSGVO zu einer Verbesserung der Datensicherheit im Unternehmen (61 %) und mehr Vertrauen in digitale Prozesse (51 %) geführt hat. Im Übrigen setze die DSGVO einheitliche Wettbewerbsbedingungen in der EU (45 %) und sogar weltweit Standards (61 %).
Komplexität und Praxisferne
Die Befragten beschweren sich jedoch, dass die DSGVO Unternehmensprozesse komplizierter macht (78 %) und praxisfern sind (77 %). Die meisten Unternehmen (86 %) haben Schwierigkeiten, die Entwicklungen im Datenschutz in der Rechtsprechung zu verfolgen. Das führe unteranderem zu einer Rechtsunsicherheit (82 %). Datenschutzverantwortliche in Unternehmen fänden es schwierig, Mitarbeiter über Datenschutz zu informieren (74 %). Diese Hürden führen dazu, dass sich 69 % der Unternehmen im internationalen Wettbewerb gegenüber Nicht-DSGVO-gebundenen Unternehmen benachteiligt sehen.
DSGVO als Innovationshemmnis
Fast alle Unternehmen (100 %) gaben an, dass in den letzten zwölf Monaten innovative Projekte entweder scheiterten oder erst gar nicht gestartet sind. Die meisten dieser Projekte betrafen den Aufbau von Datenpools (59 %) und die Prozessoptimierung in der Kundenbetreuung (47 %). Grund hierfür seien Unklarheiten in der Anwendung der Vorschriften (92 %) und konkrete DSGVO-Vorgaben (86 %). Allein die Umsetzung der DSGVO habe in viele Fällen zu Verzögerungen bei der Entwicklung neuer Produkte und Dienstleistungen geführt (56 %). Man hätte Innovationen aus Drittländern aufgrund der Regelungen in der EU nicht nutzen können (48 %).
Die Meinungen über den Einfluss der DSGVO auf die Entwicklung von künstlicher Intelligenz (KI) gehen auseinander. Während 44 % meinen, dass Datenschutz die Rechtssicherheit für die Entwicklung von KI-Tools schafft, sehen 56 % die DSGVO als Hindernis, dass Unternehmen der KI-Branche, aus der EU vertreiben könnte.
Verbesserungswünsche
Die deutliche Unzufriedenheit der Unternehmer legt es nahe, dass viele eine Verbesserung fordern. Immerhin 12 % der Unternehmen fordern eine Verschärfung der DSGVO, um die Bürgerinnen und Bürger besser zu schützen. Die Umfrageergebnisse zeigen allerdings, dass eine Mehrheit der Unternehmen sich eine Vereinfachung der Regelungen wünscht. Die vielen speziellen Datenschutzvorschriften sollen zusammengeführt (95 %) und die DSGVO angepasst werden (87 %). Außerdem sollen die Datenschutzvorgaben innerhalb der EU vereinheitlicht werden (79 %). Auch auf föderaler Ebene sollen die Gesetze angepasst werden (67 %).
Fazit
Die DSGVO hat in den letzten fünf Jahren sowohl Lob als auch Kritik von deutschen Unternehmen erhalten. Die Stimmung in der Unternehmenswelt tendiert allerdings in eine Richtung. Viele empfinden die Vorschriften als Hindernis, dass Nachteile in innovativer und finanzieller Hinsicht mit sich bringt. Aufgabe des Gesetzgebers ist es, die Forderungen der Unternehmen zu hören und Änderungen zu schaffen, die sowohl die Privatsphäre des Bürgers schützen als auch wirtschaftlich gesehen praxistauglich, verständlich und effizient sind. Bis dahin bleibt Datenschutz ein Thema, das die Geschäftswelt weiterhin herausfordert. Bei der Umsetzung der diversen Regeln helfen wir Ihnen als Externer-Datenschutzbeauftragter gerne weiter.
10. Oktober 2023
In Europa gewinnt die Diskussion über die Zukunft der Online-Anonymität an Bedeutung. Mit der zunehmenden Bedeutung von Virtual Private Networks (VPNs) rücken auch sie immer mehr in den Fokus. Sie sorgen für Anonymität im Internet. Wo staatlicher Datenschutz nicht effektiv funktioniert, können sie hilfreich sein. Ganz nach dem Grundsatz „offline Verbotenes soll auch online verboten sein“ wird aber immer häufiger ihre Legitimität in Frage gestellt. Konkret geht es aktuell in der französischen Nationalversammlung um einen Gesetzesentwurf zur Sicherung und Regulierung des digitalen Raums.
Einschränkungen für VPNs gefordert
Abgeordnete des liberalen und des Mitte-Rechts-Lagers stellten Anträge, nach denen der Einsatz von VPNs zur Verschleierung von Online-Spuren eingeschränkt oder ihr Download aus App Stores verboten werden sollte. Es wurde angebracht, dass VPNs die Verfolgung von Straftaten in den sozialen Medien erschweren. Eine Variante, in der der Nutzer online (nur) Pseudonymität innehat, würde eher den Umständen außerhalb des Internets entsprechen. Kritische Stimmen warnten hingegen vor einem solchen Vorgehen und verwiesen insbesondere auf hohe technische Hürden bei der Umsetzung und einen Verstoß gegen die EU-Grundrechtecharta.
VPN-Einschränkungen weltweit
In Russland sind VPN-Dienste, die nicht mit den russischen Behörden kooperieren, seit 2017 illegal. Das russische Regime ging laut Angaben des britischen Geheimdienstes zuletzt verstärkt gegen ihre Nutzung vor. Hierdurch will der Staat inländische Informationen vollständig kontrollieren. Ebenso brauchen VPN-Dienstleiter in China eine staatliche Genehmigung. In Nordkorea und Turkmenistan ist z. B. die Verwendung von VPNs sogar gänzlich untersagt.
Eine Betrachtung der Länder mit VPN-Verboten oder -Einschränkungen zeigt, welche einschneidenden Folgen die Einschränkung von VPNs mit sich bringen kann.
Fazit
Die Debatte über das Ende der Online-Anonymität nimmt auch in Europa an Fahrt auf. Die Frage nach dem richtigen Maß an Anonymität im Internet bleibt ein umstrittenes Thema, bei dem unterschiedliche Interessen aufeinanderprallen. Von einem VPN-Verbot sind wir zumindest noch weit entfernt. Trotzdem sollten insbesondere die weiteren Entwicklungen in Frankreich aufmerksam verfolgt werden. Klar ist, dass die Verwendung von VPNs nicht zwangsläufig mit dem Begehen von Straftaten verbunden ist, sondern auch lediglich dem allgemeinen Schutz der Privatsphäre dienen kann. Ein Verbot oder selbst eine Einschränkung ist deswegen höchst bedenklich.
9. Oktober 2023
Aufgrund eines vom Bundeskartellamt eingeleiteten Missbrauchsverfahren hat der Mutterkonzern von Google, Alphabet, im Rahmen einer Einigung zugesagt, den Nutzern mehr Wahlmöglichkeiten über die Sammlung ihrer Daten zu geben oder die Verarbeitungskonditionen zu präzisieren. Nutzer sollen laut der Verpflichtungszusage mehr Entscheidungsoptionen darüber haben, welche personenbezogenen Daten dienstübergreifend im Google-Konzern gesammelt, analysiert und möglicherweise zu Profilen verknüpft werden.
Die Änderungen: Mehr Auswahlmöglichkeiten und keine Manipulation
Google soll im Rahmen der Änderungen den Nutzern mehr Möglichkeiten bieten, um festzulegen, wie ihre Daten verwendet werden. Zuvor bestanden keine ausreichenden Entscheidungsmöglichkeiten hinsichtlich des Umstands, des Zwecks und der Art und Weise der dienstübergreifenden Datenverarbeitungen. Die Neuerungen betreffen insbesondere Vorgänge innerhalb der verschiedenen Dienste des Konzerns, wenn persönliche Informationen hieraus zusammengefasst oder verwendet werden sollen. Betroffen könnten mehr als 25 Funktionen sein, wie z. B. Google News oder Gmail. Dabei dürfen die Selektionsoptionen die Nutzer nicht durch einflussnehmende Designmechanismen (z. B. “Dark Patterns”) dazu verleiten, der Datenverarbeitung über verschiedene Dienste hinweg zuzustimmen.
Für größere von der EU-Kommission als Gatekeeper-Angebote bezeichnete Google-Dienste wie etwa Shopping, Maps oder Search gelten ‚nur‘ die Anforderungen des Digital Markets Act (DMA). Verarbeitet Google hingegen keine Daten dienstübergreifend und legen die Verarbeitungsbedingungen dies eindeutig fest, müssen lediglich die Datenschutz-Grundverordnung (DSGVO) und ihre Opt-in-Vorgaben beachtet werden.
Ziel der Anpassungen
Das Hauptziel des Kartellamts ist hierbei sicherzustellen, dass die Nutzer ihre Zustimmung zur Verarbeitung ihrer Daten über mehrere Dienste hinweg gemäß der DSGVO freiwillig, informiert und eindeutig für alle Fälle erteilen können.
Laut Andreas Mundt, der Präsident des Bundeskartellamtes, stärke dieser bedeutende Schritt das Selbstbestimmungsrecht der Nutzer und reduziere gleichzeitig Googles Marktmacht, die insbesondere auf der überlegenen Masse an verfügbaren Daten beruhe. Die Datensammlung und -verarbeitung sei das „Fundament der Marktmacht“ solcher „Internet-Riesen“. Hierin liege ein entscheidender wettbewerblicher Vorteil im Vergleich zu kleineren Unternehmen.
Fazit
Google wird nun dem Bundeskartellamt innerhalb von drei Monaten einen Umsetzungsplan vorlegen. Der Fall ist aber vor allem interessant für die Frage, inwieweit das Kartellamt bei der Kontrolle von Datenverarbeitungsmethoden zuständig ist. Erkennbar ist hier ein Zusammenspiel von DMA und den nationalen erweiterten Aufsichtsbefugnissen. Dort, wo keine Regulierung durch den DMA mangels Gatekeeper-Status greift, wurden nationale kartellrechtliche Vorschriften herangezogen. Dass in diesem Fall die nationalen Vorschriften nicht für die Gatekeeper gelten sollen, wurde im Verfahren von Google selbst vorgetragen. Insofern stellt sich die Frage, ob für ‘kleinere’ Unternehmen auf Grund nationaler Vorschriften höhere Anforderungen gestellt werden. Trotzdem stellt die Verpflichtungszusage allgemein einen weiteren Schritt hinsichtlich einer flexiblen Selbstbestimmung für Nutzer von Google-Diensten dar.
Der Betreiber der Dating-App Grindr hatte mit seinem Einspruch gegen eine Strafe der norwegischen Datenschutzbehörde wegen illegalem Informationstransfer keinen Erfolg. Diese hat das Bußgeld in einer Rekordhöhe von 65 Millionen Norwegischen Kronen (rund 5,8 Millionen Euro) aufgrund von Datenschutzverletzungen aufrechterhalten. Im Fokus steht der Verstoß gegen die Anforderungen der Datenschutz-Grundverordnung (DSGVO) in Bezug auf eine klare und informierte Einwilligung der Nutzer.
Ohne ordnungsgemäße Einwilligung keine Datenweitergabe!
Die norwegische Datenschutzbehörde hatte Ende 2021 das Bußgeld gegen Grindr verhängt, nachdem eine Beschwerde des Norwegischen Verbraucherrats aus dem Jahr 2020 aufgedeckt hatte, dass Grindr persönliche Informationen, darunter Standortdaten, IP-Adressen, Werbe-IDs von Mobiltelefonen, Alter und Geschlecht der Nutzer, ohne ausreichende Einwilligung an Dritte weitergegeben hatte. Besonders besorgniserregend war die Übermittlung sensibler Informationen zur sexuellen Orientierung und anderen persönlichen Überzeugungen an Drittanbieter. Diese hatten wiederum das Recht, die Daten weiterzugeben, um gezielte Werbung zu schalten.
Bedeutung der Entscheidung für überwachungsbasierte Werbung:
Hierbei handelt es sich um ein klares Signal an Unternehmen, die auf überwachungsbasierte Werbung setzen. Die rechtswidrige Weitergabe von personenbezogenen Daten ohne ausreichende rechtliche Grundlage kann – wie man an diesem Fall sieht – ernsthafte Konsequenzen haben. Insbesondere Unternehmen in der digitalen Werbeindustrie und der mobilen App-Welt wird vor allem hinsichtlich Trackings und Profilings geraten, ihre Verhaltensweisen zu überprüfen. Erforderlich ist das Einholen einer Einwilligung, um den Nutzern die Kontrolle über ihre eigenen personenbezogenen Daten zu geben.
Fazit:
Die Entscheidung, Grindr mit einer Rekordstrafe zu belegen, sendet ein deutliches Signal an Unternehmen, die in ihrer Geschäftstätigkeit auf die unzulässige Verwendung von Nutzerdaten setzen. Diese Datenschutzentscheidung unterstreicht die Notwendigkeit einer transparenten Datenhandhabe und die Einholung entsprechender Einwilligung der Verbraucher.
Pages: 1 2 3 4 5 6 7 ... 203 204 
