Kategorie: DSGVO
21. November 2023
Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.
Geplante KI-Verordnung
Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.
Zukünftige Zusammenarbeit auf internationaler Ebene
Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.
5 Jahre DSGVO
In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.
Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.
Deutsche Vertreter vor Ort
Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.
Fazit
Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.
Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.
8. November 2023
Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.
Hintergrund der Debatte
Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.
Grindr leitet nun rechtliche Schritte ein
Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.
Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.
Datenschutzbehörde bleibt standhaft
Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.
Fazit
Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.
1. November 2023
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.
Der zugrundeliegende Fall
Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.
Bisherige Rechtslage
Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.
Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.
Das EuGH-Urteil
Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.
Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.
Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.
Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.
Fazit
Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.
30. Oktober 2023
Die Debatte um Datenschutz und Künstliche Intelligenz (KI) geht weiter. Diesmal wurden Fragen von Landesdatenschutzbeauftragten an das KI-Sprachmodell ChatGPT gesendet. Sowohl Prof. Dr. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz als auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Alexander Roßnagel sendeten Fragebögen zur Datenverarbeitung an OpenAI, den Betreiber des Chatsystems. Der Fragenkatalog enthält 79 Fragen und wurde innerhalb der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) abgestimmt. Er baut auf einem ersten Auskunftsersuchen auf, das die DSK bereits im April 2023 erarbeitet hatte.
Datenschutzrechtliche Relevanz des Auskunftsersuchens
Kugelmann betont am 26.10.2023, dass die Prüfung des KI-Systems von Bedeutung ist, um sicherzustellen, dass die Datenschutz-Grundverordnung (DSGVO) und das informationelle Selbstbestimmungsrecht bei der Datenverarbeitung durch ChatGPT eingehalten werden. Roßnagel gab am 24.10.2023 an, dass OpenAI auf den ersten Fragebogen bereits im Juni ausführlich und kooperativ eingegangen ist. Dennoch sind sich beide einig, dass die Auswertung der Antworten verdeutlicht, dass es weiteren Klärungsbedarf gibt.
Weitere Prüfung notwendig
Trotz der umfangreichen Beantwortung der ursprünglichen Fragen bestehen für Roßnagel weiterhin Zweifel an der Rechtmäßigkeit der Datenerhebung aus dem Internet für das KI-Training. Deswegen will er weitere Erkenntnisse über das KI-System sammeln, um die Gewährleistung des Datenschutzes sicherzustellen. Auch laut Kugelmann ist es erforderlich die Hintergrundprozesse des Programms transparent begreifen zu können. Der neue Fragebogen solle nun zu mehr Nachvollziehbarkeit dessen führen, was hinter der Oberfläche passiere.
Beide wollen dabei den besonders sensiblen Datenkategorien gemäß Art. 9 DSGVO besondere Aufmerksamkeit widmen, die unter anderem Informationen zur Religion, politischen Meinung oder sexuellen Orientierung betreffen. Ebenso kontrolliere man die Umsetzung der Rechte der Betroffenen, wie das Auskunfts- oder Löschungsrecht. Die Landesdatenschutzbeauftragten wollen auch erfahren, inwieweit persönliche Daten während des Trainings und bei der Chatverwendung als solche identifiziert und entsprechende Schutzvorkehrungen getroffen werden.
Laut Roßnagel sollen durch die Fragen Datenschutzmissachtungen identifiziert und im Anschluss durch entsprechende Maßnahmen verhindert und gegebenenfalls bestraft werden. Er verlangt von amerikanischen KI-Betreibern die gleiche datenschutzrechtliche Sorgfalt wie von europäischen Unternehmen.
Zuständigkeit für rechtliche Bewertung
Solange OpenAI keine Niederlassung in der EU hat, bleiben sämtliche europäischen Datenschutzaufsichtsbehörden in ihrem jeweiligen örtlichen Zuständigkeitsbereich verantwortlich. Auch wenn der Betrieb in Zukunft eine Niederlassung in der EU eröffnen sollte, würde die datenschutzrechtliche Prüfung nicht enden, da die Kontrolle die aktuellen und vergangenen Verhältnisse betrifft. Selbst für zukünftige Situationen würden deutsche Datenschutzbehörden zuständig bleiben, solange ChatGPT weiterhin in Deutschland angeboten wird. Allerdings würde die Kontrolle dann in Zusammenarbeit mit der Behörde am Ort der Hauptniederlassung in der EU erfolgen. Aktuell ist es denkbar, dass dies die in letzter Zeit stark kritisierte irische Data Protection Commission werden könnte.
Fazit
Im Mittelpunkt der Untersuchungen steht der Schutz der Privatsphäre und die Einhaltung der DSGVO. Mit dem Senden der Fragen an ChatGPT durch die Landesdatenschutzbeauftragten ist man erneut bestrebt, sicherzustellen, dass solche KI-Systeme transparent und nachvollziehbar sind. Die Prüfung und der Dialog mit KI-Unternehmen sind wichtig, um Datenschutz im Zeitalter von KI zu gewährleisten und gleichzeitig technischen Fortschritt nicht zu behindern. Interessant bleibt hierbei insbesondere die Frage, wie sich der Umfang der Behördenprüfung verändern wird, falls sich OpenAI in Irland niederlässt.
12. Oktober 2023
Die jüngsten Entwicklungen in Irland werfen einen bedenklichen Schatten auf die Pressefreiheit. Das irische Parlament hat im Juni 2023 ein neues Gesetz verabschiedet, das erhebliche Auswirkungen auf die Berichterstattung über die irische Datenschutzbehörde haben könnte. Am 04.10.2023 hat sich nun auch der Europäischen Datenschutzausschusses (EDSA) hierzu geäußert.
Hintergrund der Debatte
Gemäß der One-Stop-Shop-Regelung nach Art. 56 der Datenschutz-Grundverordnung (DSGVO) ist die Data Protection Commission (DPC) (irische Datenschutzbehörde) die zuständige federführende Aufsichtsbehörde in Verfahren gegen Giganten wie Apple, Google und Meta. Diese Prozesse dauern häufig sehr lange und Bußgelder werden oft zu niedrig angesetzt bzw. erst nach Intervention des EDSA erhöht. Deswegen und wegen der Bedeutung dieser Internet-Riesen steht die DPC schon lange in der Kritik.
Neues irisches Gesetz als Reaktion?
Man könnte fast meinen, dass der irische Gesetzgeber genug von der ständigen Nörgelei hat. Die neue Courts and Civil Law (Miscellaneous Provisions) Bill 2022 gestattet es nun der DCP, eine Vielzahl an Verfahren als „vertraulich“ zu klassifizieren und sogar Strafe zu verhängen.
Die Neuregelung bestimmt in Art. 26A des irischen Data Protection Act (DPA), dass die DPC Informationen als vertraulich einstufen kann und Anweisungen erteilen darf, den Inhalt nicht offenzulegen. Nach Abs. 5 gelten Informationen als vertraulich, wenn ihre Offenbarung zu einem finanziellen Schaden führen würde oder ihre Veröffentlichung Verhandlungen beeinträchtigen könnte. Zudem sind Informationen umfasst, die im Vertrauen mitgeteilt wurden und deren Offenlegung weiteren relevanten Informationsfluss beeinträchtigen könnte. Zuletzt fallen hierunter auch Informationen, deren Offenlegung eine effektive Aufgabenwahrnehmung der DPC gefährden könnte. Diese drei Varianten ermöglichen das Subsumieren eines breiten Spektrums an Fällen, auch wenn sie nicht wirtschaftlich sensibel sind. Gekrönt wird das Ganze mit einer möglichen Geldstrafe von bis zu 5.000 € bei einer Missachtung der Anordnung.
Heftige Kritik an der Regelung
Jedenfalls hat das Gesetz nicht unmittelbar zu einer Kritikreduzierung gegenüber Irland geführt. Hauptsächlich wird es als Beschneidung der Pressefreiheit angesehen. Noch im Juni 2023 hatte sich der Irish Council for Civil Liberties (ICCL) gegen das Gesetz ausgesprochen. Amnesty International meint das Gesetz diene nur dem Schutz großer Technologieunternehmen.
Aussage des Europäischen Datenschutzausschusses
Als Antwort auf die Anfrage der Abgeordneten des europäischen Parlaments, Sophie in ´t Veld, reagierte nun auch der EDSA. Dieser erkennt die Bedeutung der Vertraulichkeit an, stellt jedoch klar, dass dies normalerweise nur auf Dritte und nicht auf den Informationsaustausch zwischen Aufsichtsbehörden zutrifft. Er weist auch darauf hin, dass die geplante Aktualisierung der DSGVO auch das Verfahren mit vertraulichen Informationen behandeln wird. Die geänderte Verordnung würde dann harmonisierend regeln, welche Informationen abgesehen von Geschäftsgeheimnissen sensibel sind. Es scheint vor allem fraglich, ob die so in der neuen Verordnung nicht vorgesehenen Bußgeldbefugnisse des DPA weiterbestehen könnten.
Fazit
Die irische Regelung kann durchaus als Einschnitt in die Pressefreiheit gewertet werden. Zwar ist die Notwendigkeit des Schutzes vertraulicher Informationen verständlich, allerdings bietet die offene Definition von „vertrauliche Informationen“ einen unkontrollierbar weiten Subsumtionsrahmen. Gerade da es die in der Kritik stehende DPC selbst ist, die über die Vertraulichkeit der Informationen entscheiden darf und keine unabhängige Instanz, birgt diese Konstellation erhebliches Gefahrenpotential. Die Zukunft wird zeigen, wie sich diese Regelung auf die Pressefreiheit und den Datenschutz in Irland auswirkt. Jedenfalls lässt die Antwort des EDSA und der Vorschlag für die neue DSGVO erahnen, dass die aktualisierte DSGVO nicht mit diesem Teil des DPA übereinstimmen wird. Zumindest ist zu erwarten, dass der EDSA sich die Regelungen genauer anschauen wird. Ob daraus ein Vertragsverletzungsverfahren folgen wird, bleibt mangels eindeutiger Antwort des EDSA abzuwarten.
11. Oktober 2023
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft trat, verlangt der Unternehmenswelt nun schon seit 5 Jahren einiges ab. Unternehmen ziehen eine durchwachsene Bilanz und vergeben im Rahmen einer repräsentativen Umfrage im Auftrag des Digitalverbunds Bitkom nur die Note „ausreichend“ (3,9). Bitkom befragte zwischen Juni und August 2023 503 Unternehmen ab 20 Beschäftigten in Deutschland.
Die Hauptaussagen sind wenig schmeichelhaft. Zwar haben mittlerweile zwei Drittel (65 %) wenigstens größtenteils die Vorschriften in ihre Geschäftsprozesse implementiert, jedoch beklagen sie, dass diese nicht praxisorientiert und zu kompliziert sind. Erschreckend ist, dass in fast jedem Unternehmen Innovationsprojekte in Folge zu hoher Datenschutzanforderungen gescheitert seien.
Die guten Nachrichten zuerst
Trotz dieser Herausforderungen erkennen die Unternehmen auch einige positive Aspekte an. Immerhin bestätigt die Mehrheit, dass die DSGVO zu einer Verbesserung der Datensicherheit im Unternehmen (61 %) und mehr Vertrauen in digitale Prozesse (51 %) geführt hat. Im Übrigen setze die DSGVO einheitliche Wettbewerbsbedingungen in der EU (45 %) und sogar weltweit Standards (61 %).
Komplexität und Praxisferne
Die Befragten beschweren sich jedoch, dass die DSGVO Unternehmensprozesse komplizierter macht (78 %) und praxisfern sind (77 %). Die meisten Unternehmen (86 %) haben Schwierigkeiten, die Entwicklungen im Datenschutz in der Rechtsprechung zu verfolgen. Das führe unteranderem zu einer Rechtsunsicherheit (82 %). Datenschutzverantwortliche in Unternehmen fänden es schwierig, Mitarbeiter über Datenschutz zu informieren (74 %). Diese Hürden führen dazu, dass sich 69 % der Unternehmen im internationalen Wettbewerb gegenüber Nicht-DSGVO-gebundenen Unternehmen benachteiligt sehen.
DSGVO als Innovationshemmnis
Fast alle Unternehmen (100 %) gaben an, dass in den letzten zwölf Monaten innovative Projekte entweder scheiterten oder erst gar nicht gestartet sind. Die meisten dieser Projekte betrafen den Aufbau von Datenpools (59 %) und die Prozessoptimierung in der Kundenbetreuung (47 %). Grund hierfür seien Unklarheiten in der Anwendung der Vorschriften (92 %) und konkrete DSGVO-Vorgaben (86 %). Allein die Umsetzung der DSGVO habe in viele Fällen zu Verzögerungen bei der Entwicklung neuer Produkte und Dienstleistungen geführt (56 %). Man hätte Innovationen aus Drittländern aufgrund der Regelungen in der EU nicht nutzen können (48 %).
Die Meinungen über den Einfluss der DSGVO auf die Entwicklung von künstlicher Intelligenz (KI) gehen auseinander. Während 44 % meinen, dass Datenschutz die Rechtssicherheit für die Entwicklung von KI-Tools schafft, sehen 56 % die DSGVO als Hindernis, dass Unternehmen der KI-Branche, aus der EU vertreiben könnte.
Verbesserungswünsche
Die deutliche Unzufriedenheit der Unternehmer legt es nahe, dass viele eine Verbesserung fordern. Immerhin 12 % der Unternehmen fordern eine Verschärfung der DSGVO, um die Bürgerinnen und Bürger besser zu schützen. Die Umfrageergebnisse zeigen allerdings, dass eine Mehrheit der Unternehmen sich eine Vereinfachung der Regelungen wünscht. Die vielen speziellen Datenschutzvorschriften sollen zusammengeführt (95 %) und die DSGVO angepasst werden (87 %). Außerdem sollen die Datenschutzvorgaben innerhalb der EU vereinheitlicht werden (79 %). Auch auf föderaler Ebene sollen die Gesetze angepasst werden (67 %).
Fazit
Die DSGVO hat in den letzten fünf Jahren sowohl Lob als auch Kritik von deutschen Unternehmen erhalten. Die Stimmung in der Unternehmenswelt tendiert allerdings in eine Richtung. Viele empfinden die Vorschriften als Hindernis, dass Nachteile in innovativer und finanzieller Hinsicht mit sich bringt. Aufgabe des Gesetzgebers ist es, die Forderungen der Unternehmen zu hören und Änderungen zu schaffen, die sowohl die Privatsphäre des Bürgers schützen als auch wirtschaftlich gesehen praxistauglich, verständlich und effizient sind. Bis dahin bleibt Datenschutz ein Thema, das die Geschäftswelt weiterhin herausfordert. Bei der Umsetzung der diversen Regeln helfen wir Ihnen als Externer-Datenschutzbeauftragter gerne weiter.
9. Oktober 2023
Die Europäische Union ist ein politischer Zwerg, aber wirtschaftlich ein Riese. Dennoch hinkt die EU im Bereich der Digitalisierung hinter den USA her. Um diese Lücke zu schließen und die Digitalisierung voranzutreiben, hat die EU im Jahr 2020 die Europäische Datenstrategie ins Leben gerufen. Ein zentraler Aspekt dieser Strategie ist der Data Governance Act (DGA), der am 23. Juni 2022 in Kraft getreten ist und seit dem 24. September 2022 in der EU gilt. In diesem Artikel werden wir uns näher mit dem DGA befassen und sein Ziel sowie seine Auswirkungen auf den Datenschutz in der EU erläutern.
Das Ziel des DGA
Der DGA hat das Ziel, den Austausch von digitalen Daten in der EU zu fördern, unabhängig davon, ob es sich um personenbezogene oder nicht personenbezogene Daten handelt, vorausgesetzt, sie liegen in digitaler Form vor. Durch die Stärkung des Vertrauens zwischen Einzelpersonen und Unternehmen bezüglich des Zugangs zu Daten, ihrer Kontrolle, gemeinsamen Nutzung, Verwendung und Weiterverwendung soll der Datenaustausch erleichtert werden.
Der DGA legt besonderen Wert auf die Rolle von Datenvermittlungsdiensten, die freiwillige Verfahren zur gemeinsamen Datennutzung zwischen Unternehmen unterstützen und fördern sollen. Diese Dienste sollen insbesondere kleinen und mittelständischen Unternehmen sowie Start-ups den Zugang zur Datenwirtschaft erleichtern. Dabei steht der altruistische Zweck im Vordergrund, d.h., die Bereitschaft von Einzelpersonen oder Dateninhabern, ihre Daten für das Gemeinwohl zur Verfügung zu stellen.
Verhältnis zur Datenschutz-Grundverordnung
Die DSGVO hat Vorrang vor dem DGA und schafft die Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Der DGA kann keine Rechtsgrundlage für die Verarbeitung solcher Daten bieten. Dies kann zu einer gewissen Spannung führen, da die DSGVO die Transparenz der Datenverarbeitung und die Einwilligung der betroffenen Personen betont, während der DGA den Datenaustausch fördern möchte.
Der DGA sieht vor, dass betroffene Personen oder Dateninhaber ihre Einwilligung zur altruistischen Verwendung ihrer Daten erteilen können. Hierfür wurde ein Europäisches Einwilligungsformular geschaffen, das modular aufgebaut ist und anpassbar sein soll. Die Einwilligung und der Widerruf unterliegen den Regelungen der DSGVO, insbesondere Artikel 7, wenn es um personenbezogene Daten geht.
DSGVO und DGA – eine Herausforderung für die europäische Wirtschaft
Die effektive Umsetzung des DGA hängt maßgeblich von Datenvermittlungsdiensten ab. Diese Dienste müssen sicherstellen, dass sie bei der Datenverarbeitung nicht gegen die DSGVO verstoßen. Da der DGA keine eigenständige Rechtsgrundlage für die Datenverarbeitung bietet, werden Einwilligungen der betroffenen Personen in der Praxis wahrscheinlich das Mittel der Wahl sein. Die Koexistenz von DSGVO und DGA kann zu komplexen rechtlichen Herausforderungen führen, insbesondere für Datenvermittlungsdienste. Es bleibt abzuwarten, wie sich diese Dienste in der Praxis etablieren und ob sie das Risiko von Verstößen gegen die DSGVO eingehen werden, um den Datenaustausch zu fördern. Der DGA spielt auch eine wichtige Rolle bei der Ausbildung von KI-Systemen und steht im Zusammenhang mit der Verordnung zur Künstlichen Intelligenz (AI-Act) der EU. Die Zukunft wird zeigen, wie diese Entwicklungen die Digitalisierung und den Datenschutz in der EU beeinflussen werden.
13. September 2023
Die Mozilla Foundation hat im Rahmen ihres Programms “Privacy not included” die Datenschutzbestimmungen von 25 Automobilherstellern in den USA unter die Lupe genommen. Das Ergebnis ist schockierend: Keine der untersuchten Automarken erfüllte die Standards des Datenschutzes. Die Datenschutzregelungen erlauben eine umfangreiche Datensammlung, die sogar über das hinausgeht, was bei Mobil-Apps, Smart-Home-Assistenzsystemen oder Smartphones erlaubt ist. Die Untersuchung deckte auch unklare Datenschutzbestimmungen auf und zeigte, dass den Verbrauchern kaum Möglichkeiten zum Widerspruch geboten werden.
Autos als Datenschleudern
Die Vorstellung vom Auto als einem privaten Raum, in dem die persönliche Privatsphäre geschützt ist, entspricht nicht mehr der Realität. Die heutigen Fahrzeuge sind regelrechte Datensammelmaschinen, die enorme Mengen an persönlichen Informationen sammeln, ohne ausreichende Schutzmaßnahmen zu bieten. Dies ist das Ergebnis der Untersuchung der Mozilla Foundation im Rahmen ihres “Privacy not included”-Programms.
Weitergabe persönlicher Daten an Dritte
Die Erkenntnis der Untersuchung ist, dass 84 Prozent der Autohersteller angeben, dass sie persönliche Daten sammeln dürfen, und mehr als drei Viertel von ihnen erlauben sich auch den Verkauf dieser Daten. Über die Hälfte der Datenschutzbestimmungen erlaubt die Weitergabe persönlicher Daten auf Anfrage von Ermittlungsbehörden. Bei einigen Unternehmen sind die Formulierungen so vage, dass jede Behördenanfrage beantwortet werden kann, unabhängig davon, ob sie legal oder illegal ist.
Umfang der gesammelten Daten
Die gesammelten Daten umfassen Informationen über die Fahrzeugnutzung, wie etwa Geschwindigkeit, Fahrtrouten und Fahrverhalten. Einige Autos zeichnen sogar die Umgebung mit Kameras auf. Doch die Datenschutzbestimmungen gehen noch weiter und erlauben die Erfassung sensibler Informationen wie “sexuelle Aktivität”, “religiöser Anschauungen” und sogar “genetischer Informationen”.
Verlust der Kontrolle über die eigenen Daten
Die Mehrheit der Autohersteller ermöglicht es den Verbrauchern nicht, ihre eigenen Daten zu löschen oder die Verwendung zu beschränken. Lediglich bei zwei der untersuchten Marken können die Kunden ihre Daten selbst verwalten. Die deutschen Datenschutzbestimmungen der Autohersteller wurden in der Studie nicht berücksichtigt, aber es ist anzunehmen, dass auch hier erhebliche Mengen an Daten in modernen Fahrzeugen gesammelt werden.
Forderungen nach mehr Datenschutz
In Deutschland gewinnt das Thema Datenschutz im Zusammenhang mit vernetztem Fahren an Bedeutung. Eine Umfrage des Verbraucherzentrale Bundesverbands (vzbv) ergab, dass fast drei Viertel der Befragten das Recht haben möchten, selbst zu entscheiden, welche Daten von Fahrzeugherstellern und anderen Unternehmen verarbeitet werden dürfen. Die Mehrheit der Befragten möchte zudem, dass eine unabhängige Stelle die Datenweitergabe überwacht.
8. September 2023
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 4. September 2023 Anwendungshinweise zum Angemessenheitsbeschluss des EU-US Data Privacy Frameworks herausgegeben. Diese Hinweise sind von Bedeutung für Organisationen und Unternehmen, die personenbezogene Daten in Drittländer, insbesondere in die USA, übermitteln.
Allgemeines zu Drittstaatenübermittlungen
Die Anwendungshinweise geben zunächst einen allgemeinen Überblick über die Angemessenheitsentscheidung.
Unter Drittstaatenübermittlungen versteht man die Übertragung von personenbezogenen Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder, in denen die Datenschutz-Grundverordnung (DSGVO) nicht unmittelbar gilt. Dies betrifft beispielsweise die USA. Die DSGVO regelt solche Übermittlungen, um ein gleichwertiges Datenschutzniveau sicherzustellen.
Zweistufige Prüfung der Rechtmäßigkeit der Übermittlung an Drittländer
Die Übermittlung personenbezogener Daten an Drittländer ist gemäß Art. 44 Abs. 1 DSGVO nur unter bestimmten Bedingungen zulässig. Zunächst muss geprüft werden, ob eine Rechtsgrundlage für die Datenverarbeitung besteht. Darüber hinaus müssen die Grundsätze aus Art. 5 DSGVO eingehalten werden (1. Stufe). Erst danach kann die Übermittlung nach einem der Mechanismen des Kapitels V DSGVO legitimiert werden (2. Stufe).
Kapitel V – Übersicht zu den Übermittlungsinstrumenten
Ein Angemessenheitsbeschluss gemäß Art. 45 DSGVO ermöglicht eine Datenübermittlung an ein Drittland, wenn die Europäische Kommission feststellt, dass ein gleichwertiges Datenschutzniveau wie in der EU gegeben ist. Hierbei muss auch die Existenz von Rechtsbehelfen für betroffene Personen geprüft werden. Das EU-US Data Privacy Framework ist ein solcher Angemessenheitsbeschluss, der auf zertifizierte Stellen beschränkt ist.
Geeignete Garantien gemäß Art. 46 DSGVO sind weitere Mechanismen zur Legitimierung von Drittstaatenübermittlungen. Hierzu gehören beispielsweise Standardvertragsklauseln (Standard Contractual Clauses) und Verhaltensregeln. Diese sollen ein gleichwertiges Datenschutzniveau sicherstellen. Dabei sollte stets beachtet werden, dass zusätzliche Maßnahmen erforderlich sein können, um das geforderte Schutzniveau zu erreichen.
Informationen für Daten übermittelnde Stellen (Datenexporteure)
US-Organisationen, die der Aufsicht der FTC oder des DOT unterliegen, können sich selbst im Rahmen des DPFs zertifizieren. Die Zertifizierung erfordert die Übermittlung von Informationen an das US-Handelsministerium, und zertifizierte Organisationen verpflichten sich zur Einhaltung der EU-US DPF-Vorgaben. Das US-Handelsministerium führt eine Liste zertifizierter Organisationen, auf die EU-Datenexporte gestützt werden können. Jährliche Überprüfungen sind erforderlich. Dabei sollte beachtet werden, dass die Zuständigkeiten der FTC und des DOT begrenzt sind, und nicht alle Branchen abdecken.
Umfassende Erläuterungen
Auch wenn die Erläuterungen auf der Webseite des DPFs recht umfangreich sind, so sind sie nicht sehr übersichtlich gestaltet. Die Anwendungshinweise der DSK sind deutlich übersichtlicher und verschaffen somit einen guten Überblick über dieser Thematik. Neben den allgemeinen Informationen und den Informationen für Daten übermittelnde Stellen werden auch Informationen für betroffene Personen zu Rechtsschutzmöglichkeiten zur Verfügung gestellt.
Fazit
Die Anwendungshinweise bieten eine gute Orientierungshilfe für Organisationen, die mit Drittstaatenübermittlungen zu tun haben. Das Dokument bietet sowohl Datenexporteuren als auch betroffenen Personen Informationen zum Datenschutz bei der Übermittlung von Daten in die USA. Es verweist auf weitere Ressourcen und Materialien für zusätzliche Informationen, einschließlich solcher vom Europäischen Datenschutzausschuss.
In Bezug auf die Zukunft des Angemessenheitsbeschlusses EU-US Data Privacy Framework, der vor dem Hintergrund früherer Aufhebungen von Angemessenheitsbeschlüssen für die USA erlassen wurde, kann die Datenschutzkonferenz keine Vorhersagen treffen. Zum aktuellen Zeitpunkt ist dieser Beschluss jedoch geltendes EU-Recht. Die DSK weist darauf hin, dass regelmäßige Evaluierungen durch die EU-Kommission vorgesehen sind, die zu Anpassungen oder Aufhebungen führen könnten. Darüber hinaus bestehe auch die Möglichkeit einer gerichtlichen Überprüfung dieses neuen Angemessenheitsbeschlusses.
Weitere Informationen und detaillierte Empfehlungen sind in den Anwendungshinweisen der Datenschutzkonferenz verfügbar.
28. August 2023
Seit bereits fünf Jahren steht Meta wegen der praktizierten Datenverarbeitung auf dem Prüfstand. Nun kündigte das Unternehmen, dass mehrere Social-Media-Plattformen betreibt, an, dass es künftig personenbezogene Daten der Nutzer zu Werbezwecken auf der Grundlage einer Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO verarbeiten werde. Bisher erfolgte die Datenverarbeitung zu diesem Zweck auf der Grundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f) DSGVO.
Hintergründe
Laut Meta selbst sei Grund für die Änderung der Rechtsgrundlage, die zur Verarbeitung personenbezogener Daten herangezogen werde, dass die irische Aufsichtsbehörde die DSGVO verändert auslege. Diese ist im Gefüge der europäischen Aufsichtsbehörde zuständig für Meta. Aufgrund der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) habe, so Meta die irische Aufsichtsbehörde die Auslegung der DSGVO verändert. Außerdem wolle Meta damit auf die bevorstehenden Änderungen, die durch Digital Markets Act eintreten werden, begegnen.
Im Juli dieses Jahres hatte der EuGH zu der Frage entschieden, ob Meta eine alternative rechtliche Grundlage anwenden könne, wenn die Rechtsgrundlage, die zur Datenverarbeitung gedacht war, nicht wirksam sei (wir berichteten). Aus Sicht des Gerichtshofes war es demnach rechtmäßig, dass das Bundeskartellamt (BKA) Meta das Speichern personenbezogener Daten ohne Zustimmung der Nutzer untersagt habe. Dabei stellte der Gerichtshof auch klar, dass eine alternative Verwendung einer Rechtsgrundlage nur unter engen Voraussetzungen möglich sei. Meta müsse seine Nutzer jedenfalls vor der Datenverarbeitung über die einschlägige Rechtsgrundlage informieren.
Aufgrund der neuen Rechtspraxis des US-Konzern dürften diese Rechtsfragen vorerst geklärt sein. Dabei bestehen bereits seit Jahren Bedenken gegen den Umgang des Unternehmens mit den personenbezogenen Daten von Nutzer. Die österreichische NGO None of your business (noyb) betonte in einem Artikel, dass die Tragweite der Entscheidung von Meta hinsichtlich der veränderten Rechtsgrundlage noch abzuwarten sei. Aus Sicht der Organisation bereite insbesondere die von Meta gewählte Formulierung, nach der nur für „bestimmte Daten für verhaltensbezogene Werbung“ eine Einwilligung eingeholt werden, Grund zur Annahme, dass weiterhin Lücken bei der Datenverarbeitung bestehen werden.
Fazit
Wie sich die Datenschutzpraxis des omnipräsenten US-Konzern Meta künftig ändern wird, bleibt insgesamt abzuwarten. Besonderes Augenmerk ist dabei auf die Frage zu legen, ob und wie Meta künftig personenbezogene Daten der Nutzer sammelt und ggf. weiterverwendet.
Pages: 1 2 3 4 5 6 7 ... 35 36