Kategorie: Europäisches Recht

Update: Grindr geht gegen Millionenstrafe vor

8. November 2023

Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.

Hintergrund der Debatte

Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.

Grindr leitet nun rechtliche Schritte ein

Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.

Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.

Datenschutzbehörde bleibt standhaft

Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.

Fazit

Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.

Encrochat-Datenbezug durch deutsche Staatsanwaltschaft

3. November 2023

Encrochat-Datenbezug durch deutsche Staatsanwaltschaft

Nach Auffassung der Generalanwältin des Europäischen Gerichtshofs (EuGH) Tamara Ćapeta war der Encrochat-Datenbezug aus dem gehackten Kommunikationsdienst aus Frankreich durch die deutsche Staatsanwaltschaft zulässig. Hierzu hat sie am 26.10.2023 zur Rechtssache C-670/22 ihre Schlussanträge veröffentlicht.

Der zugrundeliegende Fall

Hintergrund war ein Fall, in dem die Berliner Staatsanwaltschaft Daten des geknackten französischen Kommunikationsdienst Encrochat über Wochen abgefragt hat. Zuvor hatten niederländische und französische Ermittler das gesicherte Chat-Netzwerk entschlüsselt. Die hierdurch erlangten Daten übergab man auch an deutsche Ermittlungsbehörden. So konnten sie umfangreich Chatverläufe über organisierte Kriminalität verfolgen. Hieraus folgte auch ein von der Berliner Staatsanwaltschaft eingeleitetes Strafverfahren gegen die Tatverdächtigen.

Antrag auf Vorabentscheidung vom Berliner Landgerichts

Im Rahmen der Hauptverhandlung stellte das Landgericht Berlin an den EuGH die Frage, ob die so durch die deutsche Staatsanwaltschaft erlangten Informationen im Strafverfahren verwertbar sind, ohne dass gegen EU-Vorschriften verstoßen wird. In dem Antrag auf Vorabentscheidung ging es um die Auslegung der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (EEA). Für die Richter war fraglich, ob für das Erheben von Beweismitteln eine gerichtliche Genehmigung eingeholt werden muss, wenn dies in einem nationalen Verfahren in einem Mitgliedsstaat erforderlich ist.

Schlussfolgerung der EuGH-Generalstaatsanwältin

Die EuGH-Generalstaatsanwältin hält das Vorgehen für zulässig. Die Encrochat-Daten seien im Rahmen internationaler Rechtshilfe an deutsche Ermittlungsbehörden rechtmäßig übertragen worden. Eine EEA könne nur erteilt werden, wenn die hierin enthaltenen Maßnahmen in einer ähnlichen innerstaatlichen Situation anzuordnen wären. Der vorliegende Fall sei so zu behandeln, wie ein vergleichbarer in Deutschland stattfindender Fall, in dem Ermittler Beweise innerstaatlich von einem Strafverfahren in ein anderes überreichen.

Die Generalanwältin hebt hervor, dass die EEA-Richtlinie es der Berliner Staatsanwaltschaft gestattet, eine Ermittlungsanordnung zu erlassen. Nach dem deutschen Recht sei die Erteilung einer gerichtliche Genehmigung für eine ähnliche nationale Übertragung nicht erforderlich. Da hier somit keine Richtergenehmigung nötig sei, war die Berliner Staatsanwaltschaft nach ihrer Ansicht befugt, die einschlägige EEA zu erlassen und Informationen aus dem Encrochat aus Frankreich abzurufen. Ćapeta unterstreicht, dass die Kontrolle des Chat-Netzwerks von französischen Gerichten gestattet war. In der Bewertung der Zulässigkeit müsse man diesem Schritt dieselbe Bedeutung geben, den er in einem vergleichbaren innerstaatlichen Fall hätte.

Zuletzt meint sie, dass die Zulässigkeit von gegebenenfalls unter Verletzung von EU-Recht erlangten Beweisgegenständen nach nationalem Recht zu entscheiden ist, sofern die EU-Grundrechtecharta eingehalten wird.

Fazit

Das Vorgehen der Strafverfolgungsbehörden ist teilweise starker Kritik ausgesetzt. Es wird beanstandet, dass die vielen Verhaftungen auf Grundlage unzureichender Beweise und Ermittlungsvorgehensweisen erfolgt seien. Gerade vor dem Hintergrund des Schutzes personenbezogener Daten und des Rechts auf informationelle Selbstbestimmung ist der Umgang mit den Rechten der Beschuldigten fraglich. Deswegen ist die Frage der Zulässigkeit der Beweisverwertung von entscheidender Bedeutung und wird weiterhin Gegenstand intensiver Diskussionen sein. Zumindest hat das Bundesverfassungsgericht bereits kürzlich eine Verfassungsbeschwerde in dieser Angelegenheit nicht zur Entscheidung angenommen. Zuletzt ist noch festzustellen, dass die Schlussanträge der Generalanwältin für den EuGH keine Bindungswirkung haben. Allerdings werden sie häufig als erste Richtungsweiser betrachtet. Wie die konkrete Entscheidung am Ende ausfallen wird, bleibt abzuwarten.

EuGH: Kostenlose Kopie der Patientenakte

1. November 2023

Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.

Der zugrundeliegende Fall

Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.

Bisherige Rechtslage

Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.

Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.

Das EuGH-Urteil

Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.

Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.

Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.

Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.

Fazit

Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.

G7-Länder setzen Leitlinien für KI

31. Oktober 2023

Die Gruppe der sieben größten demokratischen Volkswirtschaften (G7) hat am 30.10.2023 einen wegweisenden Schritt unternommen, um die Verwendung von Künstlicher Intelligenz (KI) sicherer zu gestalten. Die Staats- und Regierungschefs der G7-Länder setzen neue Leitlinien für KI, die die Notwendigkeit betonen, Risiken im Zusammenhang mit dieser aufstrebenden Technologie zu reduzieren und die Menschen vor missbräuchlicher Nutzung zu bewahren.

Inhalt der Leitlinie

In der gemeinsamen Erklärung wurden elf Leitprinzipien erarbeitet. Diese sollen unteranderem einen freiwilligen Verhaltenskodex für KI-Anbieter wie OpenAI, Microsoft und Google darstellen. Ziel ist es die Sicherheit und Vertrauenswürdigkeit dieser neuen Technologien voranzubringen. KI-Betreiber werden aufgefordert, potenzielle Gefahren und Schwachstellen von KI-Anwendungen herauszuarbeiten und regelmäßig hierüber zu berichten. Darüber hinaus sollen effektive Maßnahmen ergriffen werden, um KI-Inhalte beispielsweise durch spezielle Kennzeichen zu markieren.

Aktuelle rechtliche Entwicklungen

Die Europäische Kommission äußerte sich positiv gegenüber der Erklärung der G7-Länder. Die Leitlinien würden zu international geltenden Regeln beitragen, die gerade im KI-Bereich im Vergleich von regionalen Gesetzen zu bevorzugen seien. Diese Aussage überrascht nicht vor dem Hintergrund, dass die EU zurzeit selbst an einer KI-Verordnung arbeitet, die noch bis Ende des Jahres fertiggestellt werden soll. Der schwierige Gesetzgebungsprozess verdeutlicht, welche Hürden die Legislative bei der Regelung dieser neuen Technologie zu meistern hat. Dabei ist vor allem von entscheidender Bedeutung, einen ausgewogenen Ansatz zu finden, der die Entwicklung von KI nicht erstickt, sondern sicherstellt, dass sie zum Wohl der Gesellschaft eingesetzt werden kann.

Zudem gibt es auch in den USA entsprechende Bestrebungen. So hat US-Präsident Joe Biden ein Dekret erlassen, dass KI-Betreiber zu Tests verpflichtet, wenn Gefahren für die nationale Sicherheit und die öffentliche Gesundheit und Sicherheit bestehen. Zudem sind hierin auch Standards für den Datenschutz vorgesehen.

Fazit

KI bietet das Potenzial, in verschiedenen Bereichen einen wichtigen Beitrag zu leisten, einschließlich Klimaschutz, Energieeffizienz, Gesundheitsvorsorge und selbst Datenschutz. Gleichzeitig ist es jedoch erforderlich, die Verwendung von KI zu regulieren, um Missbrauch und Risiken zu verhindern. Das bezieht sich nicht zuletzt auf die Gefahren, die KI-Systeme wie ChatGPT auf den Schutz personenbezogener Daten haben kann.

Die G7-Länder setzen nun neue Leitlinien für KI. Die gemeinsame Erklärung ist ein bedeutender Schritt in Richtung sicherer KI-Anwendungen auf internationaler Ebene. Sie zeigt die Notwendigkeit des verantwortungsvollen Umgangs mit dieser zukunftsweisenden Technologie, ohne zu hohe Hürden für die KI-Entwicklung zu stellen.

Chatkontrolle sei Massenüberwachung

17. Oktober 2023

Chatkontrolle sei anlasslose Massenüberwachung

Die Europäische Union plant die Einführung der sogenannten „Chatkontrolle“. Hierunter versteht man technische Maßnahmen zur Überwachung der elektronischen Kommunikation, um Kindesmissbrauch im Internet zu verfolgen oder vorzubeugen. Konkret stehen Beratungen im Rat der Europäischen Union bevor. Deswegen hat am 17. Oktober 2023 die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Entschluss zur geplanten Chatkontrolle verabschiedet. Darin fordert sie den EU-Gesetzgeber auf sich an die Grundsätze der Rechtsstaatlichkeit, Erforderlichkeit und Verhältnismäßigkeit zu halten.

Kindesmissbrauchsbekämpfung als Ziel

Die EU-Kommission legte den Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Mai 2022 vor. Anbieter von Online-Kommunikationsdiensten (z.B. E-Mail- oder Chat-Dienste wie WhatsApp) würden hierdurch verpflichtet, die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs oder den Kontakt zu Minderjährigen mittels gewisser Kriterien zu identifizieren.

Unverhältnismäßige Massenüberwachung

Die von der EU-Kommission vorgeschlagene Maßnahme sieht vor, sämtliche Kommunikation, einschließlich E-Mails und Chatnachrichten, auf Darstellungen sexuellen Kindesmissbrauchs zu überwachen. Diese Kontrolle würde unterschiedslos und verdachtsunabhängig stattfinden und auch die sensibelsten Lebensbereiche der Nutzer betreffen. Weiterhin wäre auch Ende-zu-Ende verschlüsselte Kommunikation umfasst. Dies würde, die Verschlüsselung, die in den letzten Jahren als ein Eckpfeiler der Privatsphäre etabliert wurde, aufbrechen. Durch einen solchen Abbau von Sicherheitsmechanismen erhöhe sich das ohnehin bestehende Risiko für missbräuchliche Einsichtnahme in private Kommunikation erheblich. Dies gefährde den elementaren Grundsatz der Vertraulichkeit der elektronischen Kommunikation.

Die DSK beschreibt die gewählten Mittel als „äußert zweifelhaft“. Insofern meint sie, dass es sich um eine „anlasslose Massenüberwachung“ handelt, die nicht in Einklang mit den Grundrechten der Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommunikation und des Schutzes personenbezogener Daten zu bringen ist. Durch die Chatkontrolle sammle man eine enorme Menge an persönlichen Informationen von Nutzern, ohne dass auch nur der Verdacht einer Straftat vorliege. Deswegen warnt die DSK ausdrücklich davor, den Wesensgehalt der Grundrechte zu berühren.

Fazit

Unstreitig ist die Bedeutung der Bewahrung von Kindern vor sexuellem Missbrauch. Allerdings ist es ist Aufgabe des Gesetzgebers eine Lösung zu finden, die dieses Ziel erreicht, ohne die Privatsphäre der Nutzer unverhältnismäßig einzuschränken. Wie von der DSK richtig erkannt, sind hierbei die Prinzipien der Rechtsstaatlichkeit zu wahren. Maßnahmen zur Bekämpfung schwerster Kriminalität müssen in einem angemessenen und verhältnismäßigen Rahmen stattfinden. In welcher konkreten Ausprägung die Verordnung schlussendlich in Kraft treten wird, bleibt abzuwarten.

1 8 9 10