Kategorie: Europäisches Recht
1. Dezember 2023
Nachdem es sich in den letzten Wochen immer wieder um Gesundheitsdatenschutz gedreht hat, äußert sich auch das Europäische Parlament (EU-Parlament). Der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE) und der Ausschuss für Umweltfragen, öffentliche Gesundheit und Lebensmittelsicherheit (ENVI) des EU-Parlaments drücken in einer Pressemitteilung vom 28.11.2023 seinen Wunsch nach einem europäischen Gesundheitsdatenraum (European Health Data Space (EHDS)) aus. Das geschieht parallel zu den deutschen Bestrebungen nach der E-Patientenakte und den Forderungen der Datenschutzkonferenz (DSK) für einheitliche medizinische Register und mehr Datennutzung zu Forschungszwecken.
Primärnutzung: Steigerung des individuellen Gesundheitsschutzes
Mitglieder des Parlaments haben mit überragender Mehrheit einen Entwurf angenommen, der es den Bürgern ermöglichen soll, ihre persönlichen Gesundheitsdaten sicher und grenzüberschreitend nutzen zu können. Zu den betroffenen Daten sollen Rezepte, die Krankheitsgeschichte, Bildmaterial oder Laborergebnisse gehören. Für die Datennutzung soll über die MyHealth@EU-Plattform ein Zugang eingerichtet werden. Im Gegenzug sollen effektive Sicherheitsmechanismen zum Schutz sensibler personenbezogener Daten geschaffen werden.
Sekundärnutzung: Datenweitergabe für das Gemeinwohl
Diese momentane Entwicklung verspräche auch eine verbesserte Portabilität von Gesundheitsdaten und ein sicheres Teilen für „öffentliche Interessen im Gesundheitsbereich“. Das neue Gesundheitssystem soll es nämlich ermöglichen, bereits gesammelte Daten weiterzugeben. Hiervon umfasste Daten könnten Informationen zu Krankheitserregern, Erstattungsansprüche oder genetische Daten sein. Zum „öffentlichen Interesse im Gesundheitsbereich“ sollen etwa Forschungsförderung, Innovation, Politikgestaltung, Bildung, Patientensicherheit und regulatorische Zwecke gehören.
Andererseits sollen strenge Datenschutzbestimmungen festgelegt werden, um sicherzustellen, dass sensible Daten nur unter klaren Bedingungen und für definierte Zwecke geteilt werden dürfen. Deswegen soll die Verwendung für Werbung oder den Ausschluss von Versicherungsleistungen verboten sein. Für die Weitergabe und Anonymisierung oder Pseudonymisierung von Daten wäre eine staatliche Stelle zuständig. Für besonders sensible Daten soll es für die Sekundärnutzung zudem ein Einwilligungserfordernis geben und einen Widerspruchsmechanismus für sonstige Daten. Außerdem sollen Bürger das Recht erhalten, Entscheidungen von Stellen zur Gesundheitsdatenzugriff anzufechten.
Fazit
Der Wunsch nach einem europäischen Gesundheitsdatenraum ist bis zu einem gewissen Punkt nachvollziehbar. Zweifellos verspricht das neue System einen grenzüberschreitenden Fortschritt in der Patientenversorgung und in der medizinischen Forschung.
Dennoch sind einige kritische Gedanken zu berücksichtigen, insbesondere im Hinblick auf die Privatsphäre der Patienten. Zum einen stellt sich die Frage, ob die Primärnutzung tatsächlich einen signifikanten Vorteil für die Patienten darstellt. Auch jetzt schon ist es dem Individuum möglich seine Gesundheitsdaten mit Ärzten zu teilen, wenn auch vielleicht nicht ganz so komfortabel. Zudem kommt die Vielfalt der in der Pressemitteilung erwähnten Daten und potenziellen Nutzungszwecke. Dies birgt Missbrauchspotential in sich. Auch die erwähnte Widerspruchslösung bedeutet im Umkehrschluss eine pauschale Weitergabe von Daten. Im Übrigen könnte hiermit – genau wie mit dem neuen Data Act – eine weitere kritische Schwelle im Umgang mit personenbezogenen Daten überschritten werden. Ein zu leichtfertiger Umgang mit diesen sensiblen Informationen könnte langfristig das Vertrauen der Öffentlichkeit in solche Systeme untergraben.
Insgesamt müssen die Einführung des EHDS mit einem kritischen Auge betrachten und sichergestellt werden, dass Datenschutz und individuelle Rechte weiterhin im Mittelpunkt stehen. Die Potenziale dieser Initiative sind enorm, aber es muss ein Ausgleich mit der Privatsphäre der Patienten gewährleistet sein. Nun bleibt zunächst abzuwarten, wie die Vollversammlung des Europäischen Parlaments im Dezember über den Entwurf abstimmen wird.
29. November 2023
Vor zwei Wochen haben wir davon berichtet, dass das Europäische Parlament für das neue Gesetz zur Datenzugang gestimmt hat. Nun hat auch der Europäische Rat (EU-Rat) am 27.11.2023 verkündet, dass er den geplanten Data Act angenommen hat. Die Neuerungen sollen harmonisierte Regeln für den fairen Zugang zu und die Nutzung von Daten festlegen.
Fairness, Wettbewerb und Innovation
Diese bahnbrechende Verordnung wird nicht nur die Spielregeln für Hersteller und Dienstleister verändern, sondern auch das Kräfteverhältnis in der digitalen Landschaft neu ausrichten.
Laut José Luis Escrivá, dem spanischen Minister für digitale Veränderung, passe man so den europäischen Markt an das neue digitale Zeitalter an. Das neue Gesetz erschließe bereits vorhandenes Marktpotential und würde den wirtschaftlichen Datenhandel befeuern. Daraus folge ein Vorteil für die europäischen Bürger und Unternehmen.
Nach der Pressemitteilung liegt es dann in der Hand desjenigen, den die Daten betreffen, zu entscheiden, wer sie wie nutzen darf. Der Data Act verfolge ehrgeizige Ziele, darunter die Gewährleistung der Fairness bei der Verteilung des Wertes von Daten, die Stimulierung eines wettbewerbsfähigen Datenmarktes, die Förderung von Innovationen und die verbesserte Zugänglichkeit von Daten für alle. Eine Schlüsselrolle spielt dabei die Erleichterung des Wechsels zwischen Anbietern von Datenverarbeitungsdiensten.
Governance-Modell
Neben inhaltlichen Punkten, über die wir bereits berichtet haben, soll die neue Regelung auch weiterhin die Autonomie der Mitgliedstaaten wahren. Deswegen soll die Umsetzung und Durchsetzung auf nationaler Ebene organisiert werden. Die konkrete Stelle in den Mitgliedstaaten soll eine Alleinzuständigkeit innehaben und als „data coordinator“ bezeichnet werden.
Wie geht es jetzt weiter?
Nachdem der EU-Rat den Data Act formell angenommen hat, ist er im Amtsblatt der europäischen Union in den nächsten Wochen zu veröffentlichen. Zwanzig Tage nach dieser Bekanntgabe tritt er in Kraft. Das Gesetz wird – mit wenigen Ausnahmen – 20 Monate nach Inkrafttreten anwendbar.
Fazit
Der Data Act markiert einen Meilenstein auf dem Weg zu einer gerechten und innovativen Datenwirtschaft in der EU. Die Verordnung schafft klare Regeln für den fairen Zugang zu und die Nutzung von Daten, wodurch die digitale Transformation der EU entscheidend vorangetrieben wird. Mit diesem rechtlichen Rahmen werden neue, innovative Dienstleistungen und wettbewerbsfähige Preise für After-Sales-Services und Reparaturen vernetzter Objekte entstehen. Der Data Act ist nicht nur ein Gesetz, sondern ein Impuls für ein datenorientiertes Europa.
22. November 2023
Am 20. und 21. November 2023 fand erneut der Digital-Gipfel (früher IT-Gipfel) der Bundesregierung statt – unteranderem zum Thema Künstliche Intelligenz (KI). Dazu luden Bundesminister für Wirtschaft und Klimaschutz, Robert Habeck, und Bundesminister für Digitales und Verkehr, Volker Wissing, rund 1.000 Teilnehmer nach Jena ein. Dieses Jahr trägt die Veranstaltung den Titel “Digitale Transformation in der Zeitenwende“. Auf dem Digital-Gipfel 2023 wurde auch über die Zukunft einer KI-Regulierung diskutiert. In einem weiteren Beitrag berichten wir auch über die Besprechungen zur geplanten e-Patientenakte.
Bundesregierung über Notwendigkeit einer KI-Regulierung für Europa
Bundeswirtschaftsminister Robert Habeck betonte die Notwendigkeit einer ausgewogenen KI-Verordnung auf europäischer Ebene. Ähnlich wie die Bundesregierung in einem im Oktober bekanntgewordenem Positionspapier ausdrückt, sollen die neuen Regelungen laut Habeck innovationsfreundlich sein. In einem Podcast des Digitalverbandes Bitkoms zum Auftakt des Gipfels betont er die Bedeutung einer vernünftigen und ausgewogenen KI-Verordnung auf europäischer Ebene. Hingegen könne eine übermäßige Regulierung den Fortschritt behindern. Anderenfalls sei es so, als ob man die “besten Verkehrsvorschriften, aber keinen Verkehr auf der Straße” hätte. Zudem will er Investitionen der Privatwirtschaft in die neue Technologie fördern. Deswegen dürfe ein Gesetz lediglich die Anwendung nicht jedoch die Technologie selbst betreffen, um dem Bedürfnis an Innovation und Sicherheit nachzukommen. Weiterhin sprach sich Habeck für eine erhöhte Datenverfügbarkeit aus. Zu dem enormen Bedarf an Datenmengen für neue Technologien passe der Ansatz der Datensparsamkeit nicht mehr. Diese Daten müsse man selbstverständlich anonymisieren.
Auch Volker Wissing erkennt die Bedeutung der Zukunftstechnologie. In einer Pressemitteilung betont er die Relevanz von KI für anhaltende Wettbewerbsfähigkeit und Wohlstand. Man solle chancenorientiert Handeln und lokale Unternehmen in der Entwicklung stärken.
Parallel hierzu wurde laut LTO am Montag ein Positionspapier bekannt, in dem sich Deutschland, Italien und Frankreich gegenüber der spanischen Ratspräsidentschaft für eine risikobasierte Herangehensweise einsetzen. Heise online berichtet, dass die Bundesregierung auf eine unmittelbare “Regulierung von Foundation Models verzichten” wolle.
Kritik an der Richtung der Bundesregierung
Die Positionierung der Bundesregierung führte zu viel Kritik, wie heise online berichtet. Matthias Spielkamp von Algorithm Watch unterstelle der Bundesregierung gar keine echte Regulierung, sondern nur Selbstregulierung zu wollen. Dies sei allerdings nicht gerechtfertigt, da es sich nicht um bloße Grundlagenforschung handle. Habeck habe dem entgegnet, dass auch Atomforschung erlaubt sei. Heise online weist in diesem Zusammenhang allerdings darauf hin, dass Atomforschung “fast auf der ganzen Welt strenger Regulierung” unterliegt.
Kritik sei auch von EU-Abgeordneten Axel Voss (CDU) gekommen. Selbst wenn man eine Selbstregulierung ausreichen lasse, müssten jedenfalls minimale Transparenz- und Cybersicherheitsstandards gegeben sein. So stünde dies aktuell schon im Entwurf zum AI Act.
DGB fordert Mitbestimmung beim KI-Einsatz
Andererseits betone der Deutsche Gewerkschaftsbund (DGB) in Bezug auf den Digital-Gipfel die Bedeutung der Mitbestimmung der Sozialpartner bei der KI-Anwendung. Das rechtfertige sich dadurch, dass der Einsatz von KI am Arbeitsplatz „hochsensibel“ sei. Die DGB-Vorsitzende Yasmin Fahimi kritisierte gegenüber der dpa die geplante KI-Verordnung der EU. Der Entwurf bestimme keine Mitspracherechte der Sozialpartner, was sogar zu einer Reduzierung der bereits bestehenden Gestaltungsrechte führen könne. Deswegen fordere Fahimi – vergleichbar zur Datenschutzgrundverordnung (DSGVO) – die Schaffung einer Öffnungsklausel, um Beschäftigte zu schützen.
Fazit
Der Digital-Gipfel 2023 bietet ein facettenreiches Bild der aktuellen Herausforderungen und Chancen im digitalen Zeitalter insbesondere mit Blick auf die noch ausstehende KI-Regulierung. Die Diskussionen von verschiedenen Seiten zeigt, wie komplex und vielschichtig das Thema ist.
Während zu begrüßen ist, dass die Bundesregierung das große Potential dieser Zukunftstechnologie erkannt zu haben scheint, darf die Schaffung von Schutzmechanismen hierbei nicht außer Acht gelassen werden. Neben des von der DGB zu Recht erkannten Schutz der Arbeiterschaft, müssen auch ganz allgemein Datenschutzaspekte eingehalten werden. Dabei steht bei der Zuführung von Trainingsdaten vor allem die sorgfältige Anonymisierung personenbezogener Informationen im Vordergrund. Auch ganz generell birgt unregulierte KI politisch, gesellschaftlich, sozial und wirtschaftlich genauso große Gefahren wie Potentiale.
Die auseinandergehenden hier dargestellten Meinungen sowie die aktuellen Probleme, die sich bei der Schaffung der KI-Verordnung zeigen, verdeutlichen, dass hier noch einiges an Konfliktpotential besteht. Es bleibt zu hoffen, dass man einen Ansatz finden wird, der sowohl Fortschritt gewährleistet, als auch ausreichenden Schutz bietet. Wie eine konkrete Regulierung am Ende aussehen wird, bleibt spannend.
21. November 2023
Am 15.11.2023 hat die größte europäische Zusammenkunft von Privatsphäre- und Datenschützern stattgefunden. Die International Association of Privacy Professionals (IAPP) berichtet, dass der IAPP Europe Date Protection Congress (DPC) mit fast 3.000 Teilnehmern in Brüssel zum 12. Mal abgehalten wurde. Im Programm des DPC 2023 ging es unteranderem um die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahren DSGVO. Zudem wurden Themen wie die Vereinbarkeit von personalisierter digitaler Werbung und Datenschutz und die geplante Chatkontrolle behandelt.
Geplante KI-Verordnung
Vertreter des Europäischen Parlaments hätten sich vor allem mit Künstlicher Intelligenz (KI) vor dem Hintergrund der geplanten KI-Verordnung beschäftigt. Kürzlich hatte Euractiv berichtet, dass das KI-Gesetz zur Zeit auf der Kippe stünde nach anonymen Aussagen von EU-Parlamentariern. IAPP berichtet, dass Kai Zenner, Berater des deutschen Europaabgeordneten Axel Voss, gesagt habe, dass er noch letzten Freitag davon ausgegangen sei, dass maximal eine 10 % Chance für die Verabschiedung der Verordnung besteht. Laut IAPP bestünden insbesondere Bedenken von Frankreich und Deutschland hinsichtlich Nachteilen für Betreiber generativer KI. Mittlerweile habe Spanien deswegen Vermittlungen eingeleitet. Der EU-Abgeordnete Dragoș Tudorache betone, dass am 06.12.2023 die letzte Möglichkeit sei sich noch in 2023 über den Gesetzesentwurf zu einigen.
Zukünftige Zusammenarbeit auf internationaler Ebene
Reynders betonte laut Berichterstattung von IAPP, dass man nun mit Inkrafttreten des neuen Datenschutzrahmen EU-USA den Datenfluss in diesem Bereich erweitern will. Der EU-Justizkommissar habe zudem eine globale Konferenz der Europäische Kommission im nächsten Jahr angekündigt. Zu dieser sollten Vertreter aus der ganzen Welt eingeladen werden, um internationale Zusammenarbeit in Datenschutzbereich voranzubringen. So könne man mit geeigneten Staaten Vereinbarungen über einen hinreichend geschützten Datentransfer ermöglichen. Dies sei zu begrüßen, da eine wachsende Gruppe an Partnern mit meinem Angemessenheitsbeschluss einen Netzwerkeffekt habe. So könne man noch mehr potenzielle Kooperationen vorantreiben. Ein gutes Beispiel hierfür sei laut Bruno Gencarelli, Leiter des Referats der Europäischen Kommission für Datenströme und internationale Aspekte der digitalen Wirtschaft, der Angemessenheitsbeschluss für Süd Korea, der die Zusammenarbeit mit 20 weiteren Staaten ermöglicht hat. Im Übrigen äußerte Reynders Zweifel hinsichtlich des zukünftigen Fortbestehens des EU-U.K.-Anegmessenheitsbeschlusses in Anbetracht geplanter Datenschutzänderungen im Vereinigten Königreich.
5 Jahre DSGVO
In seiner abschließenden Schlusssitzung habe EU-Justizkommissar Didier Reynders laut IAPP betont, dass trotz der zahlreichen neuen digitalen EU-Regeln die Datenschutz-Grundverordnung (DSGVO) nach wie vor der der wichtigste Grundbaustein für die Verarbeitung personenbezogener Daten im europäischen Raum sei. Es handle sich sogar um ein weltweites Musterbeispiel.
Wie wir im Oktober berichteten vergaben Unternehmer hingegen nur die Note „ausreichend“ und zogen somit eher eine durchwachsende Bilanz. Ähnlich sehe dies Axel Voss, der auf eine Reihe von Problemen hingewiesen habe. Es bestünde vor allem eine mangelnde Harmonisierung zwischen den einzelnen Mitgliedstaaten. Oliver Micol, Leiter des Referats der Europäischen Kommission für Datenschutz in den Bereichen der Polizei, Strafjustiz und Grenzen, halte zurzeit eine Reform noch nicht für notwendig. Zunächst wolle man nächstes Jahr einen Bericht veröffentlichen, der die DSGVO und ihre Einführung vollumfänglich analysiert.
Deutsche Vertreter vor Ort
Von deutscher Seite hatte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, angegeben an der Diskussionsrunde zum Thema „Wie können digitale Sicherheit, fairer Wettbewerb, das Wohl des Kindes, Cyber-Sicherheit und Transparenz in Einklang gebracht werden?” teilzunehmen. Weiterhin diskutierte laut einem Mastadon-Beitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Meike Kamp, über personalisierte Werbung und die Folgen des Digital Markets Acts (DMA) und des Digital Services Acts (DSA) auf den Datenschutz.
Fazit
Insgesamt ermöglichte der Kongress einen intensiven Blick auf die aktuellen Entwicklungen im Datenschutzbereich. Schwerpunkt des DPC 2023 war besonders die Zukunft der KI-Verordnung und eine Bilanz nach 5 Jahre DSGVO. Die Veranstaltung zeigte, dass Datenschutzherausforderungen weiterhin komplex sind, besonders die Uneinheitlichkeit in der EU-Regelumsetzung. Die geplante KI-Verordnung ist unsicher, was die Schwierigkeiten bei einem gemeinsamen Ansatz für komplexe Technologien verdeutlicht. Auch die Diskussion um den EU-U.K.-Angemessenheitsbeschluss und Bedenken von Didier Reynders zu Datenschutzänderungen im Vereinigten Königreich könnten in Zukunft zu Problemen führen.
Insgesamt zeigt der Kongress, dass die Datenschutzlandschaft in Europa in Bewegung bleibt. Die Herausforderung besteht darin, einen ausgewogenen Ansatz zu finden, der Innovation fördert und gleichzeitig Privatsphäre gewährleistet. Es bleibt abzuwarten, wie die Diskussionen den Datenschutz in den kommenden Jahren beeinflussen.
8. November 2023
Die Nutzung von AdBlockern, insbesondere auf Plattformen wie YouTube, hat in den letzten Jahren erheblich zugenommen. Nutzer schätzen die Möglichkeit, lästige Werbung zu blockieren und sich auf den eigentlichen Content zu konzentrieren. Das kürzlich verstärkte Gegenvorgehen von YouTube mittels AdBlocker-Erkennung führt dazu, dass verschiedene Personen Datenschutz-Bedenken äußern. Datenschützer kritisieren das Verfahren und fordern eine Überprüfung und Stellungnahme durch die EU.
Die Herausforderung für YouTube
YouTube ist eine der weltweit größten Video-Plattformen, die ihre Einnahmen hauptsächlich durch Werbung generiert. Um Werbung zu umgehen, nutzen einige User sogenannte AdBlocker. Hierdurch wird Werbung unterdrückt. Die zunehmende Verwendung dieser Tools hat YouTube erhebliche Einnahmeverluste beschert. Deswegen hat die Plattform Maßnahmen ergriffen, um dieser Entwicklung entgegenzuwirken und ihr Geschäftsmodell zu sichern.
Im Rahmen von Tests wurden zunächst Nutzern von Werbeblockern mittels eines Warnhinweises erläutert, dass die Verwendung dieses Tools nicht rechtmäßig ist. Allerdings konnte dieser Hinweis ohne Konsequenzen einfach weggeklickt werden. Mittlerweile sperrt YouTube teilweise die entsprechenden User nach drei Hinweisen von der Benutzung der Website.
Datenschutzrechtliche Bedenken gegen YouTubes Vorgehen
Die von YouTube ergriffenen Maßnahmen zur AdBlocker-Erkennung werfen jedoch Bedenken im Hinblick auf den Datenschutz auf. Um die Gegenmaßen ergreifen zu können muss YouTube nämlich gewisse Informationen der AdBlocker-User speichern. Hieran ist problematisch, dass der Online-Dienst dazu auf auf dem Endgerät des Nutzers gespeicherte Daten zugreifen muss. Das könnte ein unberechtigtes Ausspähen von Nutzerdaten darstellen, was einem Verstoß gegen Datenschutzvorschriften gleichsteht. Die ePrivacy-Richtlinie der EU (2002/58/EG Art. 5 Abs. 3) verpflichtet nämlich die Websitebetreiber dazu, in einem solchen Fall vorher eine Einwilligung der Nutzer einzuholen. Dieses Erfordernis entfällt nur, wenn der Dienst sonst nicht genutzt werden könnte.
Beschwerde bei der irischen Aufsichtsbehörde
Deswegen meint Datenschützer Alexander Hanff, dass das von YouTube verwendete Javascript-Erkennungsverfahren einer Zustimmung bedarf. Dies hat ihn dazu veranlasst Beschwerde gegen YouTube bei der irischen Datenschutz-Kommission (DPC) einzulegen, wie das Magazin Wired berichtet. Er argumentiert, dass hierin eine unbefugte Einsichtnahme in personenbezogene Daten und damit in die Privatsphäre stattfindet. Selbst wenn in den Allgemeinen Geschäftsbedingungen von YouTube (AGB) ein AdBlocker-Verbot existieren würde, berechtige dies das Unternehmen nicht dazu, dieses Verbot mittels Datenschutzverletzungen durchzusetzen. Das sei auch der Grund, weshalb Cookie-Zustimmungsbanner separat hervorgehoben werden müssen. Gleiches müsse für die Zustimmung zur AdBlocker-Erkennung gelten, wenn YouTube den Datenschutz beachten wolle.
Aufforderung zur Stellungnahme durch die Europäische Kommission
Auch der EU-Abgeordnete Patrick Breyer von der Piratenpartei fordert am 06.11.2023, dass die Europäische Kommission sich das Verhalten genauer anschaut und eine schriftliche Stellungnahme abgibt. Neben den von Hanff angebrachten Argumenten fügt er hinzu, dass sich die Nutzer durch die Verwendung von AdBlockern auch gegen illegale Einsichtnahme in ihr Suchverhalten schützen würden. Von der Kommission verlangt er insbesondere die Klärung von zwei Punkten. Zum einen will er wissen, ob der Schutz der im Endgerät gespeicherten Daten auch die Information darüber erfasst, ob ein AdBlocker installiert ist. Andererseits möchte er wissen, ob das AdBlocker-Erkennungssystem zwangsläufig erforderlich ist für den Video-Dienst oder ob das Vorgehen mangels Zustimmung rechtswidrig ist.
Stellungnahme von YouTube
Auf Anfrage von Wired hat ein Vertreter von YouTube darauf hingewiesen, dass es sich bei der Verwendung von AdBlockern um eine Verletzung der AGB handelt. Selbstverständlich werde das Unternehmen vollständig und kooperativ alle Fragen der DPC beantworten. Allerdings weist der Sprecher auch darauf hin, dass das verwendete Verfahren nicht auf den Endgeräten der User durchgeführt wird. Vielmehr finde der Erkennungsprozess direkt innerhalb YouTubes statt.
Laut Wired ist nach aktuellem Stand der Technik allerdings ein solches Verfahren mit Server-seitiger AdBlocker-Erkennung bislang nicht bekannt. Im Übrigen erwähnen die AGB auch nicht explizit „AdBlocker“. Es existiert lediglich eine Regelung, die es verbietet „den Dienst […] zu deaktivieren, betrügerisch zu verwenden oder anderweitig zu beeinträchtigen“. Hieraus könnte ein AdBlocker-Verbot interpretiert werden. Ob das allerdings automatisch das Erkennungsverfahren rechtfertigt, ist wie oben von Hanff bereits erwähnt, jedenfalls fraglich.
Fazit
Die Frage nach der Rechtmäßigkeit dieser Maßnahmen ist von zentraler Bedeutung. Einerseits ist verständlich, dass YouTube ein Interesse daran hat, die Integrität seiner Plattform zu schützen und den Zugriff auf Inhalte einzuschränken, wenn keine Werbeeinnahmen generiert werden können. Andererseits ist sicherzustellen, dass ein solches Vorgehen im Einklang mit Datenschutzgesetzen und den Rechten der Nutzer steht. Jedenfalls ist davon auszugehen, dass YouTube transparent über seine Maßnahmen informieren muss. Es ist nun Aufgabe der Europäischen Kommission und der zuständigen Datenschutzbehörde den Fall zu prüfen und eine Stellungnahme abzugeben.
Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.
Hintergrund der Debatte
Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.
Grindr leitet nun rechtliche Schritte ein
Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.
Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.
Datenschutzbehörde bleibt standhaft
Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.
Fazit
Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.
3. November 2023
Encrochat-Datenbezug durch deutsche Staatsanwaltschaft
Nach Auffassung der Generalanwältin des Europäischen Gerichtshofs (EuGH) Tamara Ćapeta war der Encrochat-Datenbezug aus dem gehackten Kommunikationsdienst aus Frankreich durch die deutsche Staatsanwaltschaft zulässig. Hierzu hat sie am 26.10.2023 zur Rechtssache C-670/22 ihre Schlussanträge veröffentlicht.
Der zugrundeliegende Fall
Hintergrund war ein Fall, in dem die Berliner Staatsanwaltschaft Daten des geknackten französischen Kommunikationsdienst Encrochat über Wochen abgefragt hat. Zuvor hatten niederländische und französische Ermittler das gesicherte Chat-Netzwerk entschlüsselt. Die hierdurch erlangten Daten übergab man auch an deutsche Ermittlungsbehörden. So konnten sie umfangreich Chatverläufe über organisierte Kriminalität verfolgen. Hieraus folgte auch ein von der Berliner Staatsanwaltschaft eingeleitetes Strafverfahren gegen die Tatverdächtigen.
Antrag auf Vorabentscheidung vom Berliner Landgerichts
Im Rahmen der Hauptverhandlung stellte das Landgericht Berlin an den EuGH die Frage, ob die so durch die deutsche Staatsanwaltschaft erlangten Informationen im Strafverfahren verwertbar sind, ohne dass gegen EU-Vorschriften verstoßen wird. In dem Antrag auf Vorabentscheidung ging es um die Auslegung der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (EEA). Für die Richter war fraglich, ob für das Erheben von Beweismitteln eine gerichtliche Genehmigung eingeholt werden muss, wenn dies in einem nationalen Verfahren in einem Mitgliedsstaat erforderlich ist.
Schlussfolgerung der EuGH-Generalstaatsanwältin
Die EuGH-Generalstaatsanwältin hält das Vorgehen für zulässig. Die Encrochat-Daten seien im Rahmen internationaler Rechtshilfe an deutsche Ermittlungsbehörden rechtmäßig übertragen worden. Eine EEA könne nur erteilt werden, wenn die hierin enthaltenen Maßnahmen in einer ähnlichen innerstaatlichen Situation anzuordnen wären. Der vorliegende Fall sei so zu behandeln, wie ein vergleichbarer in Deutschland stattfindender Fall, in dem Ermittler Beweise innerstaatlich von einem Strafverfahren in ein anderes überreichen.
Die Generalanwältin hebt hervor, dass die EEA-Richtlinie es der Berliner Staatsanwaltschaft gestattet, eine Ermittlungsanordnung zu erlassen. Nach dem deutschen Recht sei die Erteilung einer gerichtliche Genehmigung für eine ähnliche nationale Übertragung nicht erforderlich. Da hier somit keine Richtergenehmigung nötig sei, war die Berliner Staatsanwaltschaft nach ihrer Ansicht befugt, die einschlägige EEA zu erlassen und Informationen aus dem Encrochat aus Frankreich abzurufen. Ćapeta unterstreicht, dass die Kontrolle des Chat-Netzwerks von französischen Gerichten gestattet war. In der Bewertung der Zulässigkeit müsse man diesem Schritt dieselbe Bedeutung geben, den er in einem vergleichbaren innerstaatlichen Fall hätte.
Zuletzt meint sie, dass die Zulässigkeit von gegebenenfalls unter Verletzung von EU-Recht erlangten Beweisgegenständen nach nationalem Recht zu entscheiden ist, sofern die EU-Grundrechtecharta eingehalten wird.
Fazit
Das Vorgehen der Strafverfolgungsbehörden ist teilweise starker Kritik ausgesetzt. Es wird beanstandet, dass die vielen Verhaftungen auf Grundlage unzureichender Beweise und Ermittlungsvorgehensweisen erfolgt seien. Gerade vor dem Hintergrund des Schutzes personenbezogener Daten und des Rechts auf informationelle Selbstbestimmung ist der Umgang mit den Rechten der Beschuldigten fraglich. Deswegen ist die Frage der Zulässigkeit der Beweisverwertung von entscheidender Bedeutung und wird weiterhin Gegenstand intensiver Diskussionen sein. Zumindest hat das Bundesverfassungsgericht bereits kürzlich eine Verfassungsbeschwerde in dieser Angelegenheit nicht zur Entscheidung angenommen. Zuletzt ist noch festzustellen, dass die Schlussanträge der Generalanwältin für den EuGH keine Bindungswirkung haben. Allerdings werden sie häufig als erste Richtungsweiser betrachtet. Wie die konkrete Entscheidung am Ende ausfallen wird, bleibt abzuwarten.
1. November 2023
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.
Der zugrundeliegende Fall
Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.
Bisherige Rechtslage
Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.
Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.
Das EuGH-Urteil
Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.
Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.
Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.
Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.
Fazit
Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.
31. Oktober 2023
Die Gruppe der sieben größten demokratischen Volkswirtschaften (G7) hat am 30.10.2023 einen wegweisenden Schritt unternommen, um die Verwendung von Künstlicher Intelligenz (KI) sicherer zu gestalten. Die Staats- und Regierungschefs der G7-Länder setzen neue Leitlinien für KI, die die Notwendigkeit betonen, Risiken im Zusammenhang mit dieser aufstrebenden Technologie zu reduzieren und die Menschen vor missbräuchlicher Nutzung zu bewahren.
Inhalt der Leitlinie
In der gemeinsamen Erklärung wurden elf Leitprinzipien erarbeitet. Diese sollen unteranderem einen freiwilligen Verhaltenskodex für KI-Anbieter wie OpenAI, Microsoft und Google darstellen. Ziel ist es die Sicherheit und Vertrauenswürdigkeit dieser neuen Technologien voranzubringen. KI-Betreiber werden aufgefordert, potenzielle Gefahren und Schwachstellen von KI-Anwendungen herauszuarbeiten und regelmäßig hierüber zu berichten. Darüber hinaus sollen effektive Maßnahmen ergriffen werden, um KI-Inhalte beispielsweise durch spezielle Kennzeichen zu markieren.
Aktuelle rechtliche Entwicklungen
Die Europäische Kommission äußerte sich positiv gegenüber der Erklärung der G7-Länder. Die Leitlinien würden zu international geltenden Regeln beitragen, die gerade im KI-Bereich im Vergleich von regionalen Gesetzen zu bevorzugen seien. Diese Aussage überrascht nicht vor dem Hintergrund, dass die EU zurzeit selbst an einer KI-Verordnung arbeitet, die noch bis Ende des Jahres fertiggestellt werden soll. Der schwierige Gesetzgebungsprozess verdeutlicht, welche Hürden die Legislative bei der Regelung dieser neuen Technologie zu meistern hat. Dabei ist vor allem von entscheidender Bedeutung, einen ausgewogenen Ansatz zu finden, der die Entwicklung von KI nicht erstickt, sondern sicherstellt, dass sie zum Wohl der Gesellschaft eingesetzt werden kann.
Zudem gibt es auch in den USA entsprechende Bestrebungen. So hat US-Präsident Joe Biden ein Dekret erlassen, dass KI-Betreiber zu Tests verpflichtet, wenn Gefahren für die nationale Sicherheit und die öffentliche Gesundheit und Sicherheit bestehen. Zudem sind hierin auch Standards für den Datenschutz vorgesehen.
Fazit
KI bietet das Potenzial, in verschiedenen Bereichen einen wichtigen Beitrag zu leisten, einschließlich Klimaschutz, Energieeffizienz, Gesundheitsvorsorge und selbst Datenschutz. Gleichzeitig ist es jedoch erforderlich, die Verwendung von KI zu regulieren, um Missbrauch und Risiken zu verhindern. Das bezieht sich nicht zuletzt auf die Gefahren, die KI-Systeme wie ChatGPT auf den Schutz personenbezogener Daten haben kann.
Die G7-Länder setzen nun neue Leitlinien für KI. Die gemeinsame Erklärung ist ein bedeutender Schritt in Richtung sicherer KI-Anwendungen auf internationaler Ebene. Sie zeigt die Notwendigkeit des verantwortungsvollen Umgangs mit dieser zukunftsweisenden Technologie, ohne zu hohe Hürden für die KI-Entwicklung zu stellen.
17. Oktober 2023
Chatkontrolle sei anlasslose Massenüberwachung
Die Europäische Union plant die Einführung der sogenannten „Chatkontrolle“. Hierunter versteht man technische Maßnahmen zur Überwachung der elektronischen Kommunikation, um Kindesmissbrauch im Internet zu verfolgen oder vorzubeugen. Konkret stehen Beratungen im Rat der Europäischen Union bevor. Deswegen hat am 17. Oktober 2023 die Konferenz der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Entschluss zur geplanten Chatkontrolle verabschiedet. Darin fordert sie den EU-Gesetzgeber auf sich an die Grundsätze der Rechtsstaatlichkeit, Erforderlichkeit und Verhältnismäßigkeit zu halten.
Kindesmissbrauchsbekämpfung als Ziel
Die EU-Kommission legte den Vorschlag für eine Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern im Mai 2022 vor. Anbieter von Online-Kommunikationsdiensten (z.B. E-Mail- oder Chat-Dienste wie WhatsApp) würden hierdurch verpflichtet, die Verbreitung von Darstellungen sexuellen Kindesmissbrauchs oder den Kontakt zu Minderjährigen mittels gewisser Kriterien zu identifizieren.
Unverhältnismäßige Massenüberwachung
Die von der EU-Kommission vorgeschlagene Maßnahme sieht vor, sämtliche Kommunikation, einschließlich E-Mails und Chatnachrichten, auf Darstellungen sexuellen Kindesmissbrauchs zu überwachen. Diese Kontrolle würde unterschiedslos und verdachtsunabhängig stattfinden und auch die sensibelsten Lebensbereiche der Nutzer betreffen. Weiterhin wäre auch Ende-zu-Ende verschlüsselte Kommunikation umfasst. Dies würde, die Verschlüsselung, die in den letzten Jahren als ein Eckpfeiler der Privatsphäre etabliert wurde, aufbrechen. Durch einen solchen Abbau von Sicherheitsmechanismen erhöhe sich das ohnehin bestehende Risiko für missbräuchliche Einsichtnahme in private Kommunikation erheblich. Dies gefährde den elementaren Grundsatz der Vertraulichkeit der elektronischen Kommunikation.
Die DSK beschreibt die gewählten Mittel als „äußert zweifelhaft“. Insofern meint sie, dass es sich um eine „anlasslose Massenüberwachung“ handelt, die nicht in Einklang mit den Grundrechten der Achtung des Privat- und Familienlebens, der Vertraulichkeit der Kommunikation und des Schutzes personenbezogener Daten zu bringen ist. Durch die Chatkontrolle sammle man eine enorme Menge an persönlichen Informationen von Nutzern, ohne dass auch nur der Verdacht einer Straftat vorliege. Deswegen warnt die DSK ausdrücklich davor, den Wesensgehalt der Grundrechte zu berühren.
Fazit
Unstreitig ist die Bedeutung der Bewahrung von Kindern vor sexuellem Missbrauch. Allerdings ist es ist Aufgabe des Gesetzgebers eine Lösung zu finden, die dieses Ziel erreicht, ohne die Privatsphäre der Nutzer unverhältnismäßig einzuschränken. Wie von der DSK richtig erkannt, sind hierbei die Prinzipien der Rechtsstaatlichkeit zu wahren. Maßnahmen zur Bekämpfung schwerster Kriminalität müssen in einem angemessenen und verhältnismäßigen Rahmen stattfinden. In welcher konkreten Ausprägung die Verordnung schlussendlich in Kraft treten wird, bleibt abzuwarten.
