Kategorie: Europäisches Recht
6. Dezember 2023
Über 80 spanische Medien, darunter die bekannten Zeitungen El País und La Vanguardia, haben gegen Meta eine Sammelklage eingereicht. Die Klage wurde unter dem Verbraucherverband Asociación de Medios de Información (AMI) in Höhe von 550 Millionen Euro gegen Meta, ehemals Facebook, erhoben, wie die Organisation am 04.12.2023 bekannt gab. Der Vorwurf richtet sich auf Verstöße gegen europäische Datenschutzbestimmungen. Ein Schritt, der nicht nur den Datenschutz, sondern auch die Beziehung zwischen Tech-Giganten und traditionellen Medien infrage stellt.
Systematische und massive Verstöße gegen Datenschutzregelungen
AMI erhebt schwere Vorwürfe gegen den US-Konzern und behauptet, dass das Unternehmen zwischen Mai 2018 und Juli 2023 “systematisch und massiv” „europäische Datenschutzbestimmungen“ missachtet habe soll. Konkret handle es sich bei diesem Vorgehen um „unlauteren Wettbewerb“. Im Fokus steht die Nutzung personenbezogener Daten für Werbezwecke ohne ausdrückliche Zustimmung der Nutzer, was laut EU-Recht zwingend erforderlich sei. AMI argumentiert, dass Meta, basierend auf der rechtswidrigen Verwendung von personenbezogenen Daten einen unrechtmäßigen Wettbewerbsvorteil erworbenen hat.
Missachtung von Datenschutz führte zur Marktdominanz
AMI wirft Meta vor, seine marktbeherrschende Stellung auf dem Werbemarkt auf Kosten des Datenschutzes aufgebaut zu haben. Die Missachtung der Privatsphäre gefährde nicht nur die spanische Medienlandschaft, sondern auch ihre Nachhaltigkeit, laut AMIs Präsident José Joly. Das Vorgehen von Meta verhindere eine „faire Monetarisierung“ der Medienbranche. Deswegen fordert der Verband Werbetreibende dazu auf „ihre Werbekampagnen sicheren, zuverlässigen und verantwortungsbewussten Medien anzuvertrauen, die die Rechte der Bürger respektieren und sich für die Förderung der demokratischen Qualität Spaniens einsetzen“.
Medienlandschaft unter Druck: Traditionelle Medien gegen Tech-Riesen
Die Klage der AMI reiht sich in die wachsende Auseinandersetzung zwischen traditionellen Medien und Tech-Giganten ein. Weltweit versuchen Medienunternehmen vor Gericht durchzusetzen, dass Technologieriesen faire Gebühren für die Nutzung ihrer Inhalte zahlen. Kanada hat im Juni den Online News Act verabschiedet, der Meta und Google zur Zahlung verpflichtet, wenn sie den Zugang zu Nachrichten vorantreiben. Im Gegenzug haben beide Unternehmen allerdings Links zu Nachrichten blockiert, wie heise online berichtet. Auch in Kalifornien gebe es einen vergleichbaren Gesetzentwurf.
Fazit
Mit der 550 Millionen Euro Klage gegen Meta geht der Verbraucherverband einen weiteren entscheidenden Schritt hin zu einer fairen Datenwirtschaft und ausgeglichenen Medienlandschaft. Er erhebt schwere Vorwürfe gegen Meta und das nicht ganz zu Unrecht. Schon in der Vergangenheit ist Meta regelmäßig wegen Datenschutzverstößen mit dem europäischen Recht in Konflikt geraten – wie zuletzt im Juli gerade auf Grund der zuvor erwähnten Einwilligungen. Datenschutzverstöße und die Ausnutzung marktbeherrschender Positionen stehen auch hier im Mittelpunkt der Auseinandersetzung. Der Ausgang der Klage könnte den Rahmen für einen fairen Wettbewerb und Datenschutz in der digitalen Ära neu definieren.
5. Dezember 2023
Gegen das im Oktober eingeführte Bezahl-Abo für eine werbefreie Nutzung von Metas sozialen Netzwerken wurden in der vergangenen Woche verschiedene Beschwerden eingelegt. Zum einen gehen Datenschutzaktivist Max Schrems und seine Organisation Noyb gegen den Mutterkonzern von Facebook und Instagram vor. Die Bezahlungsoption steht im Zentrum einer am 28.11.2023 eingereichten Beschwerde bei der österreichischen Datenschutzbehörde. Europäische Nutzer müssen sich durch die neue Option zwischen personalisierte Werbung mittels Tracking oder einer “Datenschutzgebühr” von bis zu 251,88 Euro pro Jahr für beide Plattformen entscheiden. Parallel hierzu hatten auch der Europäische Verbraucherverband (BEUC) und 19 Mitglieder eine Beschwerde eingereicht.
Meta’s Strategiewandel: Vom Datamining zur “Datenschutzgebühr”
Meta, vormals Facebook, sieht sich mit einem Strategiewandel konfrontiert. Lange basierte das Geschäftsmodell des Konzerns auf der Schaltung personalisierter Werbung mittels Dataminings. Doch der Europäische Gerichtshof entschied im Juli, dass das Vorgehen von Meta rechtswidrig ist. Deswegen hat Meta mit dem Bezahl-Abo eine Alternative geschaffen, um weiterhin nach seiner Ansicht europarechtskonform tätig sein zu können.
Datenverarbeitung nur bei freiwilliger Einwilligung
Schon im letzten Monat hat es hierfür von verschiedenen Seiten kritische Stellungnahmen gegeben. Nun hat auch Noyb sich in einer Nachrichtenmitteilung positioniert. Der Vorwurf lautet: Meta versuche, EU-Recht zu umgehen und mache Datenschutz im Internet unbezahlbar. Die Datenschutzgrundverordnung (DSGVO) lege fest, dass die Einwilligung zur personalisierten Werbung nur rechtmäßig sei, wenn sie freiwillig erfolge. Die “saftigen Gebühren” für ein Abo ohne Tracking seien allerdings unverhältnismäßig, was die Freiwilligkeit in Frage stelle.
Datenschutz nur noch gegen Bezahlung?
Noyb argumentiert, dass die monatliche Abo-Gebühr von bis zu 12,99 Euro im Widerspruch zum durchschnittlichen Umsatz pro Nutzer in Europa stehe. Dieser liege laut Meta bei einem Jahresumsatz von nur 62,88 Euro pro Nutzer im Vergleich zu den 251,88 Euro, die eine werbefreie Nutzung von Instagram und Facebook einbringen könnte. Dass die Einwilligung kaum freiwillig sein könne, würden auch Branchenzahlen unterstreichen, nach denen zwar nur 3 % der Menschen getrackt werden wollen, sich aber 99 % gegen das Bezahl-Abo entscheiden. Max Schrems vergleicht Metas Vorgehen mit einer Zeit, in der Grundrechte den Reichen vorbehalten waren. Heutzutage sollten Grundrechte allerdings für alle gelten und nicht bloß bei Bezahlung einer Gebühr.
Konkrete Handlungsforderungen
Noyb verlangt von der österreichischen Datenschutzbehörde, die Einleitung eines Dringlichkeitsverfahren, um die rechtswidrige Datenverarbeitung zu verhindern. Im Übrigen sei es eine Option, Bußgelder zu verhängen. Zuletzt müsse die Behörde auch Schritte einleiten, um einen Dominoeffekt in anderen Unternehmen zu unterbinden.
Weitere Beschwerde von BEUC wegen Verstoß gegen Verbraucherrecht
Aus ähnlichen Gründen hat auch die BEUC am 30.11.2023 bekanntgegeben gegen das „Pay-or-consent Model“ Beschwerde bei dem Verbraucherschutz-Netzwerk CPC (Consumer Protection Cooperation Network) eingereicht zu haben. Die Organisation sieht hierin eine unfaire Wahlmöglichkeit für Verbraucher und damit einen Verstoß gegen Verbraucherrecht.
Fazit
Die Beschwerden gegen Metas Bezahl-Abos werfen essenzielle Fragen zum Datenschutz im Internet auf. Die Freiwilligkeit der Einwilligung und die Verhältnismäßigkeit von Gebühren stehen im Mittelpunkt. Wird das Vorgehen von Meta als rechtmäßig eingestuft, liegt ein nachziehen anderer sozialer Netzwerde nahe, was Datenschutz schlussendlich unbezahlbar machen könnte. Datenschutzaktivisten stehen vor der Herausforderung sicherzustellen, dass Datenschutz nicht zu einem Privileg für zahlungsbereite Nutzer wird, sondern ein Grundrecht für alle bleibt. Ob das Modell vor dem Hintergrund der verschiedenen Bedenken und Beschwerden aufrechterhalten bleiben darf, bleibt abzuwarten.
4. Dezember 2023
Die Dynamik der Künstlichen Intelligenz (KI) fordert einen klaren rechtlichen Rahmen, besonders im Hinblick auf den Datenschutz. In diesem Kontext stellt die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Forderung nach einer umfassenden und klaren Verantwortlichkeitsregelung für Hersteller und Betreiber von KI-Systemen auf. Hierbei geht es Insbesondere über das geplante europäische Gesetz über Künstliche Intelligenz (KI-Verordnung). In einer Pressemitteilung vom 29.11.2023 betont die DSK, dass eine Selbstregulierung für KI nicht reicht.
Hintergrund
Die Verhandlungen über die europäische KI-Verordnung befinden sich in einer entscheidenden Phase. Das Europäische Parlament forderte zuletzt, Basismodelle in den regulatorischen Rahmen einzubeziehen. Diese Modelle sind KI-Systeme, die mit einer großen Datenmenge trainiert wurden und für verschiedene Aufgaben angepasst werden können. Hierunter fallen zum Beispiel KI-Systeme wie GPT, LaMDA oder LLaMA. Das Parlament fordert, dass Anbieter dieser Systeme wenigstens Mindestanforderungen erfüllen. Doch Deutschland, Frankreich und Italien haben sich in einem im Oktober bekanntgewordenen Positionspapier für einen innovationsfreundlicheren Ansatz ausgesprochen. Unbeachtet diverser Kritik plädieren sie für eine sanktionslose Selbstregulierung solcher Modelle.
Die Position der DSK: Verantwortlichkeiten klar definieren
Nun äußert sich auch die DSK und stellt klar, dass eine Selbstregulierung für KI nicht reicht. Sie sieht bei der Schaffung der KI-Verordnung die Notwendigkeit, klar definierte Verantwortlichkeiten für Hersteller genauso wie für Betreiber festzulegen. Das begründe sich durch die vielfältige KI-Landschaft, die keine verantwortungsfreien Räume zu lässt. „Nur so können die Grundrechte der Betroffenen geschützt werden, deren Daten durch KI verarbeitet werden“. Anderenfalls bestünde die Gefahr von Rechtsunsicherheiten für die Bürger und kleine und mittlere Unternehmen. Insofern stellt sie sich gegen eine bloße Selbstregulierung von Basismodellen. Ihr Standpunkt ist geprägt von der Überzeugung, dass Datenschutz und Wirtschaftlichkeit Hand in Hand gehen müssen. Die Forderung nach einer sachgerechten Verteilung von Verantwortlichkeiten auf sämtliche Stufen, regle die rechtlichen Pflichten am fairsten. Dies führe im Umkehrschluss auch zu einer Akzeptanz und einem hohen Vertrauensniveau in die neue Technologie.
Positionierung von Landesbeauftragen für den Datenschutz
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Prof. Dr. Dieter Kugelmann, spricht sich für den aktuellen Entwurf des europäischen Parlaments aus und schließet sich somit der DSK an. Um effektiv Datenschutz zu betreiben brauche man einen klaren Rahmen, der eine Verantwortlichkeit nicht nur auf die Anwender abwälzt, sondern auch schon bei den Entwicklern und Herstellern anknüpft.
Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg, Prof. Dr. Tobias Keber, schließt sich dem an. Zudem würden „ohne durchgängig fair austarierte Regelungen zur Verantwortlichkeit aller KI-Akteure […] die Rechte der Bürgerinnen und Bürger geschwächt“. Anderenfalls könnten kleine und mittlere Unternehmen nur schwer die Risiken, die durch KI-Anwendung entstehen, beherrschen.
Zuletzt äußert sich auch der Bayrische Landesbeauftragte für den Datenschutz, Thomas Petri, befürwortend. Man erlebe zurzeit einen bahnbrechenden Prozess des Einzugs von KI in unsere Gesellschaft. Diesen Prozess müsse man Menschenverträglich gestalten, um individuelle Freiheiten zu schützen.
Fazit
Die DSK setzt sich entschieden für eine umfassende und klare Verantwortlichkeitsregelung in der KI-Regulierung ein. Die Debatte um die KI-Verordnung verdeutlicht, dass unterschiedliche Interessen aufeinandertreffen. Datenschutz, Wirtschaftlichkeit und Innovation sind aufeinander abzustimmen. Nur so kann man die KI-Entwicklung vertrauenswürdig gestalten. Die kommenden Entscheidungen im Europäischen Parlament werden zeigen, inwiefern klare Verantwortlichkeiten in der KI-Regulierung verankert werden und welchen Weg Europa in der Balance zwischen Innovation und Datenschutz einschlägt. Der Trilog zur KI-Verordnung soll am 06.12.2023 enden. Ob man bis dahin einen Kompromiss findet, bleibt abzuwarten.
1. Dezember 2023
Nachdem es sich in den letzten Wochen immer wieder um Gesundheitsdatenschutz gedreht hat, äußert sich auch das Europäische Parlament (EU-Parlament). Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und der Ausschuss für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit (ENVI) des EU-Parlaments drücken in einer Pressemitteilung vom 28.11.2023 seinen Wunsch nach einem europäischen Gesundheitsdatenraum (European Health Data Space (EHDS)) aus. Das geschieht parallel zu den deutschen Bestrebungen nach der E-Patientenakte und den Forderungen der Datenschutzkonferenz (DSK) für einheitliche medizinische Register und mehr Datennutzung zu Forschungszwecken.
Primärnutzung: Steigerung des individuellen Gesundheitsschutzes
Mitglieder des Parlaments haben mit überragender Mehrheit einen Entwurf angenommen, der es den Bürgern ermöglichen soll, ihre persönlichen Gesundheitsdaten sicher und grenzüberschreitend nutzen zu können. Zu den betroffenen Daten sollen Rezepte, die Krankheitsgeschichte, Bildmaterial oder Laborergebnisse gehören. Für die Datennutzung soll über die MyHealth@EU-Plattform ein Zugang eingerichtet werden. Im Gegenzug sollen effektive Sicherheitsmechanismen zum Schutz sensibler personenbezogener Daten geschaffen werden.
Sekundärnutzung: Datenweitergabe für das Gemeinwohl
Diese momentane Entwicklung verspräche auch eine verbesserte Portabilität von Gesundheitsdaten und ein sicheres Teilen für „öffentliche Interessen im Gesundheitsbereich“. Das neue Gesundheitssystem soll es nämlich ermöglichen, bereits gesammelte Daten weiterzugeben. Hiervon umfasste Daten könnten Informationen zu Krankheitserregern, Erstattungsansprüche oder genetische Daten sein. Zum „öffentlichen Interesse im Gesundheitsbereich“ sollen etwa Forschungsförderung, Innovation, Politikgestaltung, Bildung, Patientensicherheit und regulatorische Zwecke gehören.
Andererseits sollen strenge Datenschutzbestimmungen festgelegt werden, um sicherzustellen, dass sensible Daten nur unter klaren Bedingungen und für definierte Zwecke geteilt werden dürfen. Deswegen soll die Verwendung für Werbung oder den Ausschluss von Versicherungsleistungen verboten sein. Für die Weitergabe und Anonymisierung oder Pseudonymisierung von Daten wäre eine staatliche Stelle zuständig. Für besonders sensible Daten soll es für die Sekundärnutzung zudem ein Einwilligungserfordernis geben und einen Widerspruchsmechanismus für sonstige Daten. Außerdem sollen Bürger das Recht erhalten, Entscheidungen von Stellen zur Gesundheitsdatenzugriff anzufechten.
Fazit
Der Wunsch nach einem europäischen Gesundheitsdatenraum ist bis zu einem gewissen Punkt nachvollziehbar. Zweifellos verspricht das neue System einen grenzüberschreitenden Fortschritt in der Patientenversorgung und in der medizinischen Forschung.
Dennoch sind einige kritische Gedanken zu berücksichtigen, insbesondere im Hinblick auf die Privatsphäre der Patienten. Zum einen stellt sich die Frage, ob die Primärnutzung tatsächlich einen signifikanten Vorteil für die Patienten darstellt. Auch jetzt schon ist es dem Individuum möglich seine Gesundheitsdaten mit Ärzten zu teilen, wenn auch vielleicht nicht ganz so komfortabel. Zudem kommt die Vielfalt der in der Pressemitteilung erwähnten Daten und potenziellen Nutzungszwecke. Dies birgt Missbrauchspotential in sich. Auch die erwähnte Widerspruchslösung bedeutet im Umkehrschluss eine pauschale Weitergabe von Daten. Im Übrigen könnte hiermit – genau wie mit dem neuen Data Act – eine weitere kritische Schwelle im Umgang mit personenbezogenen Daten überschritten werden. Ein zu leichtfertiger Umgang mit diesen sensiblen Informationen könnte langfristig das Vertrauen der Öffentlichkeit in solche Systeme untergraben.
Insgesamt müssen die Einführung des EHDS mit einem kritischen Auge betrachten und sichergestellt werden, dass Datenschutz und individuelle Rechte weiterhin im Mittelpunkt stehen. Die Potenziale dieser Initiative sind enorm, aber es muss ein Ausgleich mit der Privatsphäre der Patienten gewährleistet sein. Nun bleibt zunächst abzuwarten, wie die Vollversammlung des Europäischen Parlaments im Dezember über den Entwurf abstimmen wird.
29. November 2023
Vor zwei Wochen haben wir davon berichtet, dass das Europäische Parlament für das neue Gesetz zur Datenzugang gestimmt hat. Nun hat auch der Europäische Rat (EU-Rat) am 27.11.2023 verkündet, dass er den geplanten Data Act angenommen hat. Die Neuerungen sollen harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten festlegen.
Fairness, Wettbewerb und Innovation
Diese bahnbrechende Verordnung wird nicht nur die Spielregeln für Hersteller und Dienstleister verändern, sondern auch das Kräfteverhältnis in der digitalen Landschaft neu ausrichten.
Laut José Luis Escrivá, dem spanischen Minister für digitale Veränderung, passe man so den europäischen Markt an das neue digitale Zeitalter an. Das neue Gesetz erschließe bereits vorhandenes Marktpotential und würde den wirtschaftlichen Datenhandel befeuern. Daraus folge ein Vorteil für die europäischen Bürger und Unternehmen.
Nach der Pressemitteilung liegt es dann in der Hand desjenigen, den die Daten betreffen, zu entscheiden, wer sie wie nutzen darf. Der Data Act verfolge ehrgeizige Ziele, darunter die Gewährleistung der Fairness bei der Verteilung des Wertes von Daten, die Stimulierung eines wettbewerbsfähigen Datenmarktes, die Förderung von Innovationen und die verbesserte Zugänglichkeit von Daten für alle. Eine Schlüsselrolle spielt dabei die Erleichterung des Wechsels zwischen Anbietern von Datenverarbeitungsdiensten.
Governance-Modell
Neben inhaltlichen Punkten, über die wir bereits berichtet haben, soll die neue Regelung auch weiterhin die Autonomie der Mitgliedstaaten wahren. Deswegen soll die Umsetzung und Durchsetzung auf nationaler Ebene organisiert werden. Die konkrete Stelle in den Mitgliedstaaten soll eine Alleinzuständigkeit innehaben und als „data coordinator“ bezeichnet werden.
Wie geht es jetzt weiter?
Nachdem der EU-Rat den Data Act formell angenommen hat, ist er im Amtsblatt der europäischen Union in den nächsten Wochen zu veröffentlichen. Zwanzig Tage nach dieser Bekanntgabe tritt er in Kraft. Das Gesetz wird – mit wenigen Ausnahmen – 20 Monate nach Inkrafttreten anwendbar.
Fazit
Der Data Act markiert einen Meilenstein auf dem Weg zu einer gerechten und innovativen Datenwirtschaft in der EU. Die Verordnung schafft klare Regeln für den fairen Zugang zu und die Nutzung von Daten, wodurch die digitale Transformation der EU entscheidend vorangetrieben wird. Mit diesem rechtlichen Rahmen werden neue, innovative Dienstleistungen und wettbewerbsfähige Preise für After-Sales-Services und Reparaturen vernetzter Objekte entstehen. Der Data Act ist nicht nur ein Gesetz, sondern ein Impuls für ein datenorientiertes Europa.
22. November 2023
Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.
Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa
Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.
Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.
Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.
Kritik an der Richtung der Bundesregierung
Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.
Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.
DGB fordert Mitbestimmung beim KI-Einsatz
Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.
Fazit
Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.
Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.
Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.
21. November 2023
Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.
Geplante KI-Verordnung
Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.
Zukünftige Zusammenarbeit auf internationaler Ebene
Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.
5 Jahre DSGVO
In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.
Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.
Deutsche Vertreter vor Ort
Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.
Fazit
Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.
Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.
8. November 2023
Die Nutzung von AdBlockern, insbesondere auf Plattformen wie YouTube, hat in den letzten Jahren erheblich zugenommen. Nutzer schätzen die Möglichkeit, lästige Werbung zu blockieren und sich auf den eigentlichen Content zu konzentrieren. Das kürzlich verstärkte Gegenvorgehen von YouTube mittels AdBlocker-Erkennung führt dazu, dass verschiedene Personen Datenschutz-Bedenken äußern. Datenschützer kritisieren das Verfahren und fordern eine Überprüfung und Stellungnahme durch die EU.
Die Herausforderung für YouTube
YouTube ist eine der weltweit größten Video-Plattformen, die ihre Einnahmen hauptsächlich durch Werbung generiert. Um Werbung zu umgehen, nutzen einige User sogenannte AdBlocker. Hierdurch wird Werbung unterdrückt. Die zunehmende Verwendung dieser Tools hat YouTube erhebliche Einnahmeverluste beschert. Deswegen hat die Plattform Maßnahmen ergriffen, um dieser Entwicklung entgegenzuwirken und ihr Geschäftsmodell zu sichern.
Im Rahmen von Tests wurden zunächst Nutzern von Werbeblockern mittels eines Warnhinweises erläutert, dass die Verwendung dieses Tools nicht rechtmäßig ist. Allerdings konnte dieser Hinweis ohne Konsequenzen einfach weggeklickt werden. Mittlerweile sperrt YouTube teilweise die entsprechenden User nach drei Hinweisen von der Benutzung der Website.
Datenschutzrechtliche Bedenken gegen YouTubes Vorgehen
Die von YouTube ergriffenen Maßnahmen zur AdBlocker-Erkennung werfen jedoch Bedenken im Hinblick auf den Datenschutz auf. Um die Gegenmaßen ergreifen zu können muss YouTube nämlich gewisse Informationen der AdBlocker-User speichern. Hieran ist problematisch, dass der Online-Dienst dazu auf auf dem Endgerät des Nutzers gespeicherte Daten zugreifen muss. Das könnte ein unberechtigtes Ausspähen von Nutzerdaten darstellen, was einem Verstoß gegen Datenschutzvorschriften gleichsteht. Die ePrivacy-Richtlinie der EU (2002/58/EG Art. 5 Abs. 3) verpflichtet nämlich die Websitebetreiber dazu, in einem solchen Fall vorher eine Einwilligung der Nutzer einzuholen. Dieses Erfordernis entfällt nur, wenn der Dienst sonst nicht genutzt werden könnte.
Beschwerde bei der irischen Aufsichtsbehörde
Deswegen meint Datenschützer Alexander Hanff, dass das von YouTube verwendete Javascript-Erkennungsverfahren einer Zustimmung bedarf. Dies hat ihn dazu veranlasst Beschwerde gegen YouTube bei der irischen Datenschutz-Kommission (DPC) einzulegen, wie das Magazin Wired berichtet. Er argumentiert, dass hierin eine unbefugte Einsichtnahme in personenbezogene Daten und damit in die Privatsphäre stattfindet. Selbst wenn in den Allgemeinen Geschäftsbedingungen von YouTube (AGB) ein AdBlocker-Verbot existieren würde, berechtige dies das Unternehmen nicht dazu, dieses Verbot mittels Datenschutzverletzungen durchzusetzen. Das sei auch der Grund, weshalb Cookie-Zustimmungsbanner separat hervorgehoben werden müssen. Gleiches müsse für die Zustimmung zur AdBlocker-Erkennung gelten, wenn YouTube den Datenschutz beachten wolle.
Aufforderung zur Stellungnahme durch die Europäische Kommission
Auch der EU-Abgeordnete Patrick Breyer von der Piratenpartei fordert am 06.11.2023, dass die Europäische Kommission sich das Verhalten genauer anschaut und eine schriftliche Stellungnahme abgibt. Neben den von Hanff angebrachten Argumenten fügt er hinzu, dass sich die Nutzer durch die Verwendung von AdBlockern auch gegen illegale Einsichtnahme in ihr Suchverhalten schützen würden. Von der Kommission verlangt er insbesondere die Klärung von zwei Punkten. Zum einen will er wissen, ob der Schutz der im Endgerät gespeicherten Daten auch die Information darüber erfasst, ob ein AdBlocker installiert ist. Andererseits möchte er wissen, ob das AdBlocker-Erkennungssystem zwangsläufig erforderlich ist für den Video-Dienst oder ob das Vorgehen mangels Zustimmung rechtswidrig ist.
Stellungnahme von YouTube
Auf Anfrage von Wired hat ein Vertreter von YouTube darauf hingewiesen, dass es sich bei der Verwendung von AdBlockern um eine Verletzung der AGB handelt. Selbstverständlich werde das Unternehmen vollständig und kooperativ alle Fragen der DPC beantworten. Allerdings weist der Sprecher auch darauf hin, dass das verwendete Verfahren nicht auf den Endgeräten der User durchgeführt wird. Vielmehr finde der Erkennungsprozess direkt innerhalb YouTubes statt.
Laut Wired ist nach aktuellem Stand der Technik allerdings ein solches Verfahren mit Server-seitiger AdBlocker-Erkennung bislang nicht bekannt. Im Übrigen erwähnen die AGB auch nicht explizit „AdBlocker“. Es existiert lediglich eine Regelung, die es verbietet „den Dienst […] zu deaktivieren, betrügerisch zu verwenden oder anderweitig zu beeinträchtigen“. Hieraus könnte ein AdBlocker-Verbot interpretiert werden. Ob das allerdings automatisch das Erkennungsverfahren rechtfertigt, ist wie oben von Hanff bereits erwähnt, jedenfalls fraglich.
Fazit
Die Frage nach der Rechtmäßigkeit dieser Maßnahmen ist von zentraler Bedeutung. Einerseits ist verständlich, dass YouTube ein Interesse daran hat, die Integrität seiner Plattform zu schützen und den Zugriff auf Inhalte einzuschränken, wenn keine Werbeeinnahmen generiert werden können. Andererseits ist sicherzustellen, dass ein solches Vorgehen im Einklang mit Datenschutzgesetzen und den Rechten der Nutzer steht. Jedenfalls ist davon auszugehen, dass YouTube transparent über seine Maßnahmen informieren muss. Es ist nun Aufgabe der Europäischen Kommission und der zuständigen Datenschutzbehörde den Fall zu prüfen und eine Stellungnahme abzugeben.
Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.
Hintergrund der Debatte
Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.
Grindr leitet nun rechtliche Schritte ein
Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.
Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.
Datenschutzbehörde bleibt standhaft
Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.
Fazit
Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.
3. November 2023
Encrochat-Datenbezug durch deutsche Staatsanwaltschaft
Nach Auffassung der Generalanwältin des Europäischen Gerichtshofs (EuGH) Tamara Ćapeta war der Encrochat-Datenbezug aus dem gehackten Kommunikationsdienst aus Frankreich durch die deutsche Staatsanwaltschaft zulässig. Hierzu hat sie am 26.10.2023 zur Rechtssache C-670/22 ihre Schlussanträge veröffentlicht.
Der zugrundeliegende Fall
Hintergrund war ein Fall, in dem die Berliner Staatsanwaltschaft Daten des geknackten französischen Kommunikationsdienst Encrochat über Wochen abgefragt hat. Zuvor hatten niederländische und französische Ermittler das gesicherte Chat-Netzwerk entschlüsselt. Die hierdurch erlangten Daten übergab man auch an deutsche Ermittlungsbehörden. So konnten sie umfangreich Chatverläufe über organisierte Kriminalität verfolgen. Hieraus folgte auch ein von der Berliner Staatsanwaltschaft eingeleitetes Strafverfahren gegen die Tatverdächtigen.
Antrag auf Vorabentscheidung vom Berliner Landgerichts
Im Rahmen der Hauptverhandlung stellte das Landgericht Berlin an den EuGH die Frage, ob die so durch die deutsche Staatsanwaltschaft erlangten Informationen im Strafverfahren verwertbar sind, ohne dass gegen EU-Vorschriften verstoßen wird. In dem Antrag auf Vorabentscheidung ging es um die Auslegung der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (EEA). Für die Richter war fraglich, ob für das Erheben von Beweismitteln eine gerichtliche Genehmigung eingeholt werden muss, wenn dies in einem nationalen Verfahren in einem Mitgliedsstaat erforderlich ist.
Schlussfolgerung der EuGH-Generalstaatsanwältin
Die EuGH-Generalstaatsanwältin hält das Vorgehen für zulässig. Die Encrochat-Daten seien im Rahmen internationaler Rechtshilfe an deutsche Ermittlungsbehörden rechtmäßig übertragen worden. Eine EEA könne nur erteilt werden, wenn die hierin enthaltenen Maßnahmen in einer ähnlichen innerstaatlichen Situation anzuordnen wären. Der vorliegende Fall sei so zu behandeln, wie ein vergleichbarer in Deutschland stattfindender Fall, in dem Ermittler Beweise innerstaatlich von einem Strafverfahren in ein anderes überreichen.
Die Generalanwältin hebt hervor, dass die EEA-Richtlinie es der Berliner Staatsanwaltschaft gestattet, eine Ermittlungsanordnung zu erlassen. Nach dem deutschen Recht sei die Erteilung einer gerichtliche Genehmigung für eine ähnliche nationale Übertragung nicht erforderlich. Da hier somit keine Richtergenehmigung nötig sei, war die Berliner Staatsanwaltschaft nach ihrer Ansicht befugt, die einschlägige EEA zu erlassen und Informationen aus dem Encrochat aus Frankreich abzurufen. Ćapeta unterstreicht, dass die Kontrolle des Chat-Netzwerks von französischen Gerichten gestattet war. In der Bewertung der Zulässigkeit müsse man diesem Schritt dieselbe Bedeutung geben, den er in einem vergleichbaren innerstaatlichen Fall hätte.
Zuletzt meint sie, dass die Zulässigkeit von gegebenenfalls unter Verletzung von EU-Recht erlangten Beweisgegenständen nach nationalem Recht zu entscheiden ist, sofern die EU-Grundrechtecharta eingehalten wird.
Fazit
Das Vorgehen der Strafverfolgungsbehörden ist teilweise starker Kritik ausgesetzt. Es wird beanstandet, dass die vielen Verhaftungen auf Grundlage unzureichender Beweise und Ermittlungsvorgehensweisen erfolgt seien. Gerade vor dem Hintergrund des Schutzes personenbezogener Daten und des Rechts auf informationelle Selbstbestimmung ist der Umgang mit den Rechten der Beschuldigten fraglich. Deswegen ist die Frage der Zulässigkeit der Beweisverwertung von entscheidender Bedeutung und wird weiterhin Gegenstand intensiver Diskussionen sein. Zumindest hat das Bundesverfassungsgericht bereits kürzlich eine Verfassungsbeschwerde in dieser Angelegenheit nicht zur Entscheidung angenommen. Zuletzt ist noch festzustellen, dass die Schlussanträge der Generalanwältin für den EuGH keine Bindungswirkung haben. Allerdings werden sie häufig als erste Richtungsweiser betrachtet. Wie die konkrete Entscheidung am Ende ausfallen wird, bleibt abzuwarten.
