Internationaler Datenschutz

Kategorie: Internationaler Datenschutz

Die chinesischen SCC – ein Überblick

20. März 2023

Im Jahr 2022 war China zum siebten Mal in Folge Deutschlands wichtigster Handelspartner. Im Zuge dessen gründen immer mehr europäische Unternehmen Konzerngesellschaften in China, um von den dortigen Marktchancen zu profitieren. Diese Expansion führt zwangsläufig zu Datentransfers von China an die europäische Hauptverwaltung.

Um den rechtlichen Anforderungen an den internationalen Datenverkehr gerecht zu werden, hat die chinesische Regierung im November 2021 ein neues Datenschutzgesetz verabschiedet. Dieses Gesetz legt ähnliche Vorgaben wie die DSGVO fest und enthält in Artikel 38 Regelungen zur Rechtmäßigkeit von Datenübermittlungen ins Ausland. Eine Möglichkeit, diese Vorgaben zu erfüllen, ist der Abschluss von Standardvertragsklauseln mit dem Datenempfänger.

Die Cyberspace Administration of China (CAC) hat im Februar 2023 die endgültige Fassung der Maßnahmen für die Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten (SCC-Maßnahmen) veröffentlicht. Die chinesischen Standardvertragsklauseln sind in diesen Maßnahmen enthalten. Diese neuen Vorgaben treten am 1. Juni 2023 in Kraft. Unternehmen haben bis zum 30. November 2023 Zeit, um Maßnahmen zur Einhaltung der SCC-Maßnahmen zu ergreifen.

Um die Vorgaben einzuhalten, müssen Unternehmen unter anderem sicherstellen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten eingehalten werden. Unternehmen sollten auch die nationalen Gesetze und Vorschriften beider Länder sorgfältig prüfen, um zu vermeiden, dass sie gegen Datenschutzgesetze verstoßen.

Datenübermittlung aufgrund SCC außerhalb Chinas

Die Übermittlung von Daten aus China ins Ausland kann nicht immer aufgrund der SCC (Standard Contractual Clauses) erfolgen. Laut Art. 4 der SCC-Maßnahmen können die SCC nur verwendet werden, wenn alle vier Bedingungen erfüllt sind, darunter die Verarbeitung von persönlichen Informationen von weniger als einer Million Menschen, die Durchführung von grenzüberschreitenden Übertragungen von weniger als 100.000 allgemeinen persönlichen Informationen und weniger als 10.000 sensiblen persönlichen Informationen seit dem 1. Januar des vorangegangenen Jahres sowie die Nicht-Zugehörigkeit zum Betreiber kritischer Informationsinfrastrukturen. Diese Schwellenwerte entsprechen den Schwellenwerten für grenzüberschreitende Datenübertragungen, die einer von der CAC durchgeführten Sicherheitsbewertung bedürfen. Unternehmen dürfen die Datenübertragungen nicht aufteilen, um den Sicherheitsbewertungsmechanismus der CAC zu umgehen, und müssen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.

Model der chinesischen SCC

Die chinesischen SCC bestehen im Gegensatz zu den EU-Standardvertragsklauseln aus einem universellen Modul, welches für alle Datenexporteure (Verarbeiter) Chinas und Datenimporteure im Ausland gilt, unabhängig von ihrer Rolle und Funktion. Es ist zu beachten, dass es auch für solche Datenexporteure gilt, die zwar nicht in China ansässig sind, jedoch nach Art. 3 Abs. 2 PIPL für die betreffende Verarbeitung der PIPL unterliegen. Nach Art. 3 Abs. 2 PIPL findet das Gesetz Anwendung auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China, wenn bestimmte Umstände vorliegen, wie zum Beispiel die Verarbeitung zum Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten oder das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder zu bewerten.

Bußgelder

Die Provinz-Aufsichtsbehörde kann Korrekturen bei grenzüberschreitendem Datentransfer verlangen und hat einen Meldemechanismus für Verstöße eingerichtet. Verstöße gegen das chinesische Gesetz zum Datenschutz können zu administrativen, zivil- und strafrechtlichen Konsequenzen führen. Die Höchststrafen betragen 50 Millionen RMB oder 5 % des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Das PIPL sieht auch persönliche Haftung vor und es können Geldstrafen von bis zu einer Million Yuan sowie Verbote für bestimmte Positionen verhängt werden.

Kernklauseln der chinesischen SCC

Deutsche Unternehmen sollten insbesondere folgende Pflichten beachten: Der Datenimporteur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang I aufgeführt sind, und darf die Daten nicht über den vereinbarten Umfang hinaus verarbeiten. Der Importeur muss die Rechte und Interessen der betroffenen Person minimal beeinflussen und die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten. Im Falle von Datenschutzverletzungen muss der Importeur Maßnahmen zur Abhilfe ergreifen, den Verarbeiter benachrichtigen und die Aufsichtsbehörden informieren. Eine weitere Übermittlung von personenbezogenen Daten durch den ausländischen Empfänger ist nur unter bestimmten Bedingungen gestattet.

Fazit

Die chinesischen SCC ähneln im Allgemeinen den EU-Standardvertragsklauseln. Im Gegensatz zu den EU-SCC gibt es jedoch keine Unterscheidung zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller in den chinesischen SCC. Stattdessen gibt es ein einziges Modul mit vielen Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln

Kategorien: Internationaler Datenschutz
Schlagwörter: China, Datenübermittlung ins Ausland, SCC

Immer Ärger mit TikTok

15. März 2023

TikTok: eine harmlose Plattform für Jugendliche zum Teilen unterhaltsamer Videos mit dem Wunsch viral zu gehen oder eher eine Gefährdung für Regierungen und Gesellschaften? Zwei Standpunkte, die nicht weiter entfernt voneinander sein könnten. Eine Plattform mit mehr als einer Milliarden Nutzer*innen weltweit sorgt bei mehreren Anlaufstellen für Bauchschmerzen. Darunter ist die EU-Kommission sowie das Federal Bureau of Investigation (FBI). Selbst der ehemalige Präsident der Vereinigten Staaten, Donald Trump, wollte den Dienst vollends verbieten.

Über TikTok

Mit mehr als einer Milliarde Nutzer*innen ist die Plattform im Weltweiten Ranking lediglich auf Platz vier. Zur Veranschaulichung der Nutzerzahlen ist Meta (ehemalig Facebook) mit 2,9 Milliarden Nutzer*innen auf dem ersten Platz. Hinter dem Dienst steht das chinesische Unternehmen ByteDance. Zu den Problemfeldern zählt insbesondere der nach westlichen Standards mangelnde Daten- und Jugendschutz, eine umfangreiche politische Zensur, die Verbreitung von Fake News, Werbung für Fake-Markenartikel, betrügerische Inhalte bis hin zu möglicher Spionage des chinesischen Staates durch die Auswertung von Nutzerprofilen. Verantwortliche Sprecher*innen des Dienstes streiten nach autokratischem Muster alle Anschuldigungen immer wieder konstant ab.

Datenschutzrechtliche Bedenken

Mit einer Social-Media-App wie TikTok wird europaweit ein kaum vorstellbares Maß an personenbezogenen Daten generiert. Fraglich ist an dieser Stelle natürlich, wie mit diesen Daten verfahren wird und wer am Ende wirklich Zugriff auf diese haben könnte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert Bedenken gegenüber TikTok eher zurückhaltend. So erklärt das BSI, dass sich mit dem Aufstieg des Dienstes auch immer wieder warnende Stimmen zu Wort melden, die einen Abfluss der Benutzerdaten nach China befürchteten. China, ein Land ohne Angemessenheitsbeschluss.

Bringt der Digital Services Act die Lösung?

Das neue EU-Gesetz ermöglicht ggf. ein Verbot. EU-Kommissar Thierry Breton äußerte sich folgendermaßen dazu: „Wir werden nicht zögern, alle möglichen Sanktionen zu beschließen, wenn Prüfungen nicht die volle Einhaltung erkennen lassen“. Der Digital Services Act (DSA) wird ab dem 1. September dieses Jahres für große Plattformen anwendbar sein. Es bleibt abzuwarten, wie scharf das Schwert des DSA sein wird. Eine drastische Anpassung der internationalen Tech-Giganten an europäische Standards würde wohl von mehreren Stellen begrüßt werden.

Kategorien: DSGVO · Internationaler Datenschutz · Online-Datenschutz · Social Media · Spionage
Schlagwörter: Digital Services Act, DSA, Gesetz über digitale Dienste, TikTok

Stellungnahme des Europäischen Datenschutzausschuss zum EU-U.S. Data Privacy Framework

8. März 2023

Seitdem im Jahr 2020, mit dem Urteil Schrems II, der bis dahin geltende Angemessenheitsbeschluss (Privacy Shield) für ungültig erklärt worden ist, gilt die USA als ein unsicheres Drittland für Datenübermittlungen. Ein großes Problem in diesem Kontext war unter anderem die nachrichtendienstliche Datenerhebung in den USA. Diese war gewissermaßen anforderungslos für Geheimdienste möglich. Nachdem die US-Regierung gezwungen war, im Oktober 2022 Maßnahmen zu ergreifen, folgte ein Beschlussentwurf der Europäischen Kommission. Die genannten Maßnahmen sollten die zwei Hauptprobleme der fehlenden Verhältnismäßigkeit und dem Fehlen wirksamer Rechtsbehelfe im Bezug auf Überwachungsmaßnahmen lösen. So soll insbesondere die Exekutivverordnung über die Verbesserung der Garantien für US-Signalspionagetätigkeiten nun in die Richtung eines neuen Angemessenheitsbeschlusses führen.

Meinung des Europäischen Datenschutzausschuss

Der Europäische Datenschutzausschuss heißt die Einführung von Anforderungen an Notwendigkeit und Verhältnismäßigkeit für die nachrichtendienstliche Datenerhebung in den USA für gut. Außerdem begrüßt er den neuen Rechtsbehelfsmechanismus für betroffene Personen aus der EU. Dennoch liegt nicht nur ein reiner Zustimmungsgedanke vor. Zu bestimmten Rechten betroffener Personen, der Weiterübermittlung personenbezogener Daten, dem Umfang der Ausnahmen sowie der vorübergehenden Massenerfassung von Daten und der praktischen Funktionsweise des Rechtsbehelfsmechanismus bleiben Fragen offen. Auch die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unterstützt die Position des Europäischen Datenschutzausschusses ausdrücklich.

Es bleibt nun lediglich abzuwarten, wie sich ein neuer Angemessenheitsbeschluss für die Übermittlung von Daten in die USA entwickeln wird.

Kategorien: EU-Datenschutzgrundverordnung · Internationaler Datenschutz · Privacy Shield
Schlagwörter: EDSA, EU-U.S. Data Privacy Framework, Europäischer Datenschutzausschuss

EU-Ausschuss lehnt Angemessenheit des EU-US-Datenschutzrahmens in Entwurf einer Stellungnahme ab

17. Februar 2023

Die Europäische Kommission hatte im Dezember 2022 den Entwurf eines Angemessenheitsbeschlusses für die Übermittlung personenbezogener Daten in die USA auf Grundlage des neuen „EU-US Datenschutzrahmens“ veröffentlicht. Am 14. Februar 2023 forderte nun der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments die Europäische Kommission in einer Stellungnahme dazu auf, den möglichen Angemessenheitsbeschluss auf der Grundlage des vorgeschlagenen EU-US-Datenschutzrahmens nicht anzunehmen. Der Ausschuss argumentierte, dass der Rahmen keine tatsächliche Gleichwertigkeit mit der Europäischen Union (EU) in Bezug auf das Datenschutzniveau herstelle.

Rechtsverletzungen und zu große Unsicherheit

In der Stellungnahme wird zunächst auf die Charta der Grundrechte der Europäischen Union und ihre Artikel über den Schutz der Privatsphäre und den Datenschutz verwiesen. Sie zitiert auch die Schrems I und II Rechtsprechung des Europäischen Gerichtshofes (EuGH), in denen die Abkommen Safe Harbour und Privacy Shield für ungültig erklärt wurden. In der Stellungnahme wird betont, dass der wahllose Zugriff von Nachrichtendiensten auf die elektronische Kommunikation das Grundrecht auf Vertraulichkeit der Kommunikation und das Wesen des Rechts auf einen Rechtsbehelf verletzte.

Darüber hinaus werden auch die jüngsten Entwicklungen in den USA erwähnt, darunter Präsident Bidens Executive Order 14086 (EO) über die Verbesserung der Sicherheitsvorkehrungen für die Aktivitäten der US-Signalaufklärung und die vom US-Justizminister erlassene Verordnung über das Datenschutzprüfungsgericht. Man erkenne an, dass die USA Schritte unternommen hätten, um Bedenken im Zusammenhang mit Überwachung und Datenschutz auszuräumen, betone jedoch, dass ein angemessenes Schutzniveau für personenbezogene Daten unerlässlich sei.

Die inhaltlichen Definitionen der Begriffe “Verhältnismäßigkeit” und “Notwendigkeit” in der Executive Order, die den Rahmen bildet, stimmten nicht mit ihrer Bedeutung und Auslegung in der EU überein. Darüber hinaus könne der US-Präsident diese ändern, wodurch sie unklar, ungenau und in ihrer Anwendung unvorhersehbar seien. Das Gericht für die Überprüfung des Datenschutzes sei nicht transparent, unabhängig oder unparteiisch und Entscheidungen würden nicht veröffentlicht oder den Beschwerdeführern zugänglich gemacht. Schließlich verfügten die Vereinigten Staaten auch nicht über ein Bundesdatenschutzgesetz. Dabei wurden bestehende datenschutzrechtliche Gesetze der Bundesstaaten sowie branchenspezifische Bundesgesetze allerdings außer Acht gelassen.

Fazit und Ausblick

Der Ausschuss kommt zu dem Schluss, dass der Datenschutzrahmen zwischen der EU und den USA keine tatsächliche Gleichwertigkeit des Schutzniveaus herstellt und fordert die Kommission auf, die Verhandlungen mit ihren US-amerikanischen Partnern fortzusetzen, um so einen Mechanismus zu schaffen, der eine solche Gleichwertigkeit gewährleistet und das angemessene Schutzniveau bietet, das nach dem Datenschutzrecht der Union und der Charta in der Auslegung durch den EuGH erforderlich ist. Er fordert die Kommission nachdrücklich auf, die Angemessenheitsentscheidung nicht anzunehmen. Es ist wahrscheinlich, dass sich das EU-Parlament dieser Haltung anschließen wird.

Die Aufforderung des Ausschusses an die Kommission, unter diesen Voraussetzungen keine neue Angemessenheitsentscheidung in Bezug auf die USA zu erlassen, ist nicht bindend. Die Einwände des Ausschusses und seine Forderung nach sinnvollen Reformen sind angesichts der Bedeutung des Schutzes personenbezogener Daten allerdings nachvollziehbar. Die vom Ausschuss hervorgehobenen Probleme müssen angegangen werden, um sicherzustellen, dass personenbezogene Daten in einem Abkommen zwischen der EU und den USA angemessen geschützt werden. Andernfalls gilt es als wahrscheinlich, dass auch dieses Abkommen der Rechtsprechung und Auslegung des EuGH nicht standhalten würde.

Kategorien: Datenschutz in den USA · DSGVO · EU-Datenschutzgrundverordnung · Internationaler Datenschutz · Privacy Shield · Safe Harbor
Schlagwörter: Angemessenheitsbeschluss, EU Kommission, Europäische Grundrechtecharta, Exekutiverlass, USA Datenschutz

Virginia Consumer Data Protection Act in Kraft getreten

13. Januar 2023

Jenseits des Atlantiks ist das Thema Datenschutz in Bewegung geraten. Da es nach wie vor kein umfassendes Bundesgesetz gibt, haben die Staaten weiterhin die Führung übernommen – in diesem Jahr mehr denn je. Nach Kalifornien beginnen vier weitere Bundesstaaten – Colorado, Connecticut, Utah und Virginia – im Jahr 2023 mit der Durchsetzung neuer, von der DSGVO inspirierter Gesetze. Weitere Staaten werden sicherlich folgen.

Der Virginia Consumer Data Protection Act (VCDPA) ist ein neues Gesetz des Staates Virginia, das am 1. Januar 2023 in Kraft getreten ist und das Recht der Verbraucher auf Datenschutz und Datensicherheit in Virginia stärkt. Viele der VCDPA-Rechte, die Virginia-Verbrauchern gewährt werden, ähneln den Rechten, die die DSGVO bietet, einschließlich der Verbraucherrechte wie die Rechte auf Zugriff, Löschung und Portabilität personenbezogener Daten.

Welche Auswirkungen hat das VCDPA auf die Verantwortlichen?

Das Gesetz fordert von Unternehmen, die personenbezogene Daten von Bürgern von Virginia verarbeiten, dass sie bestimmte Maßnahmen zum Schutz dieser Daten ergreifen. Dazu gehört unter anderem die Einhaltung von Datensicherheitsstandards, die Durchführung von Datenschutz-Audits, sowie die Benachrichtigung von Verbrauchern im Falle eines Datenverlusts oder eines Datenschutzverstoßes.

Ein wichtiger Bestandteil des VCDPA ist die Möglichkeit für Verbraucher, ihre personenbezogenen Daten einzusehen, zu ändern oder zu löschen. Unternehmen müssen diese Anfragen innerhalb von 45 Tagen bearbeiten und dürfen hierfür keine Gebühren erheben.

Des Weiteren müssen Unternehmen, die dem Gesetz unterliegen, vor der Erhebung und Verarbeitung bestimmter Kategorien sensibler personenbezogener Daten eine Einwilligung einholen. Wie der kalifornische CCPA (California Consumer Privacy Act) schreibt auch der VCDPA vor, dass ein Unternehmen, das Dienstleister mit der Verarbeitung von Daten im Namen des Unternehmens beauftragt, mit diesen Dienstleistern einen speziellen Vertrag abschließen muss, der die Anforderungen des Gesetzes umsetzt.

Weitere Vorgaben umfassen (nicht abschließend):

Zweckbindung
Datenschutz-Risikobewertungen
Schaffung technischer und organisatorischer Sicherheitsmaßnahmen
Dokumentationspflichten
Widerspruchsverfahren für Verbraucheranträge
Schutz vor Diskriminierung
Datenschutzerklärungen

Das VCDPA gilt für Unternehmen, die:

Geschäfte in Virginia tätigen oder ihre Waren und Dienstleistungen an Einwohner von Virginia vermarkten; und
Entweder: die personenbezogenen Daten von mindestens 100.000 Einwohnern Virginias kontrollieren oder verarbeiten; oder die personenbezogenen Daten von mindestens 25.000 Einwohnern Virginias kontrollieren oder verarbeiten und mehr als 50 % ihrer Bruttoeinnahmen aus dem Verkauf von personenbezogenen Daten erzielen.

Bestimmte Organisationen sind vom VCDPA ausgenommen, einschließlich:

Behörden des Bundesstaats Virginia
Finanzinstitute, die dem Gramm-Leach-Bliley Act unterliegen
Erfasste Unternehmen oder Geschäftspartner, die den Datenschutz-, Sicherheits- und Verletzungsbenachrichtigungsregeln unterliegen, die gemäß dem Health Insurance Portability and Accountability Act festgelegt wurden
Gemeinnützige Organisationen; und Hochschuleinrichtungen

Was schützt das Gesetz?

Das Recht auf Kenntnis, Zugang und Bestätigung der personenbezogenen Daten
Das Recht auf Löschung personenbezogener Daten
Das Recht auf Berichtigung unrichtiger personenbezogener Daten
Das Recht auf Datenübertragbarkeit (d.h. einfacher, übertragbarer Zugang zu allen personenbezogenen Daten, die sich im Besitz eines Unternehmens befinden)
Das Recht, der Verarbeitung personenbezogener Daten für gezielte Werbezwecke zu widersprechen
Das Recht, dem Verkauf von personenbezogenen Daten zu widersprechen
Das Recht, der Erstellung von Profilen auf der Grundlage personenbezogener Daten zu widersprechen
Das Recht, wegen der Ausübung eines der vorgenannten Rechte nicht diskriminiert zu werden

Ein weiteres wichtiges Element des VCDPA ist die Schaffung einer Datenschutzbehörde, die für die Überwachung der Einhaltung des Gesetzes zuständig ist und Strafen für Verstöße verhängen kann.

Das VCDPA wird vom Generalstaatsanwalt von Virginia durchgesetzt und sieht eine 30-tägige Nachbesserungsfrist vor. Bei Nichteinhaltung kann jedoch eine zivilrechtliche Strafe von bis zu 7.500 US-Dollar pro Verstoß verhängt werden.

„Breaking The Mould“

Insgesamt ist der Virginia Consumer Data Protection Act ein wichtiger Schritt in Richtung stärkerer Datenschutzrechte für Verbraucher in Virginia. Unternehmen, die personenbezogene Daten von Bürgern aus Virginia sammeln, sollten sich mit dem Gesetz vertraut machen und sicherstellen, dass sie alle Anforderungen erfüllen, um Strafen zu vermeiden.

Der parteiübergreifende Vorschlag für ein amerikanisches Datenschutzgesetz (American Data Privacy Protection Act – ADPPA) wurde zwar vom Energie- und Handelsausschuss des Repräsentantenhauses angenommen, doch wurde seine Verabschiedung im Plenum des Repräsentantenhauses blockiert, da die Befürchtung bestand, dass das Gesetz bestehenden und neu erlassenen bundesstaatlichen Datenschutzgesetzen mit höherem Verbraucherschutzniveau zuvorkommen könnte. Einiges deutet darauf hin, dass die Kürze und Klarheit des VCDPA dazu führen könnte, dass das Gesetz ein Modell für künftige Datenschutzgesetze werden könnte, denn mit nur acht Seiten ist das VCDPA wesentlich knapper als der California Consumer Privacy Act. Die Auswirkungen dieses grundlegenden Wandels im Hinblick auf den Rahmen des Datenschutzes werden in den kommenden Jahren und Jahrzehnten tiefgreifend sein. Das Jahr 2023 könnte somit in den Vereinigten Staaten den Wechsel markieren.

Kategorien: Allgemein · Datenschutz in den USA · Internationaler Datenschutz
Schlagwörter: USA, VCDPA, Virginia, Virginia Consumer Data Protection Act

Chinas Deepfake-Richtlinie tritt in Kraft

10. Januar 2023

Am 10. Januar 2023 ist Chinas Richtlinie zur Regulierung von Deepfakes in Kraft getreten. Damit will die chinesische Regierung unter anderem Deepfakes ohne Einwilligung der betroffenen Person sowie Verleumdungen und Betrug verhindern.

Was sind Deepfakes?

Deepfakes (oder auch „deep systhesis“ Technologien) sind „realistisch wirkende Medieninhalte (Foto, Audio und Video), die durch Techniken der künstlichen Intelligenz abgeändert und verfälscht worden sind.“ Damit kann beispielsweise in einem Video ein Gesicht mit dem einer anderen Person ersetzt oder in einer Aufnahme eine Stimme ausgetauscht werden. Während die Technologie unzählige Möglichkeiten in der Kunst eröffnet, wird sie in vielen Fällen zu Betrugszwecken eingesetzt. Besonders problematisch sind Deepfakes, bei denen in pornografischen Inhalten das Gesicht der Darsteller ausgetauscht wird. Auch Politiker werden oft Opfer von Deepfakes, die beispielsweise ihre Reden abändern. Für die meisten Menschen ist es nicht erkennbar, wenn sie einen Deepfake-Inhalt vor sich haben.

China als Vorreiter im Kampf gegen den Missbrauch von Deepfake-Technologien?

Ziel der Richtlinie ist laut der Cyberspace Administration of China (CAC), „die Verwaltung von Internet-Informationsdiensten in einer tiefgreifenden Synthese zu stärken, die sozialistischen Grundwerte zu fördern, die nationale Sicherheit und die sozialen öffentlichen Interessen zu schützen und die legitimen Rechte und Interessen von Bürgern, juristischen Personen und anderen Organisationen zu wahren“. Dabei ist anzunehmen, dass sich China als Vorreiter in der Regulierung von Deepfake-Technologien positionieren möchte.

Kern der Regeln ist zunächst Transparenz. So muss die Einwilligung der Person eingeholt werden, die vom Deepfake betroffen ist, und es muss angegeben werden, dass der Inhalt durch Technologie geändert wurde. Zudem muss die Identität des Erstellers erkennbar sein. Dieser muss sich unter seinem echten Namen registrieren.

Allerdings stellt die neue Richtlinie auch Anforderungen an die erlaubten Inhalte. So sind Inhalte, die gegen bestehende Gesetze verstoßen, ebenso verboten wie solche, die nationale Sicherheit und Interessen gefährden, das nationale Image schädigen oder die Wirtschaft stören. Damit reiht sie sich in Chinas von Zensur geprägtes System ein.

Regulierung von Deepfakes in der EU

Die Vorreiterrolle hat China mit der Richtlinie insoweit angenommen, als es die Entwicklung der Technologie antizipiert und im Vergleich zum Rest der Welt frühzeitig reguliert hat. Die Europäische Union (EU) arbeitet derzeit an der KI-Verordnung, welche auch Deepfake-Technologien erfassen wird.

Kategorien: Allgemein · Internationaler Datenschutz
Schlagwörter: China, Deepfake, KI, KI-Verordnung, Künstliche Intelligenz

Der Entwurf der EU-Kommission zur geplanten Chatkontrolle

19. Dezember 2022

In letzter Zeit haben Chatkontrollen immer mehr an Bedeutung gewonnen. Dabei handelt es sich um Maßnahmen, die dazu dienen, die Kommunikation in Online-Chats zu überwachen und gegebenenfalls zu beschränken. Diese Kontrollen werden oft von Unternehmen und Regierungen eingesetzt, um die Sicherheit und Integrität von Online-Communities zu gewährleisten.

Allerdings gibt es auch Bedenken hinsichtlich der Implikationen von Chatkontrollen. Kritiker argumentieren, dass solche Maßnahmen die Meinungsfreiheit einschränken und dazu führen können, dass wichtige Diskussionen und Debatten unterdrückt werden. Es besteht die Gefahr, dass Chatkontrollen zu Unrecht angewendet werden und somit zu falschen Entscheidungen führen.

Der Entwurf der EU-Kommission zur Neuregelung der „Vorschriften zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern“, auch bekannt als CSA-Verordnung steht massiv unter Druck.

Der Grund: Der Entwurf zur neuen CSA-Verordnung macht keine genauen Vorgaben dazu, mit welchen konkreten Technologien die geplanten Maßnahmen umgesetzt werden sollen. Dafür sollen die Plattform-Betreiber verantwortlich sein. Gleichzeitig wird solchen Tech-Konzernen das Recht eingeräumt, hochgradig grundrechtseinschränkende Technologien zu entwickeln und zu verwenden. Um aber das Ziel der neuen CSA-Verordnung zu erreichen, also die Erstellung und die Verbreitung von Kindesmissbrauchsdarstellungen aktiv zu bekämpfen, sollen bestehende und erfolgreiche Strukturen des Kinderschutzes und deren Ausbau gefördert werden.

Ist Tech-Solutionismus die Lösung?

Der Tech‑Solutionismus besagt, dass Probleme durch neue Technologien gelöst werden können. Zugleich hat die Einführung komplexer neuer technischer Systeme meist die Entstehung von neuen Problemen zur Folge. Insbesondere die im Entwurf genannten algorithmischen Entscheidungssysteme sind nicht näher spezifiziert. Die tatsächliche Erkennung, so sieht es der Bericht vor, bleibt „technologieneutral“.

Zudem ist das automatisierte Melden von Inhalten ein viel komplexeres Problem, was sich an andere Anwendungsfälle bereits heute schon zeigen lässt. Die Algorithmen schlagen ohne inhaltliche Grundlage überdurchschnittlich häufig bei der Kommunikation unterrepräsentierter Gruppen an. Damit setzt so ein Entscheidungssystem die gesellschaftliche Diskriminierung fort, wobei aufgrund ihrer scheinbaren Objektivität die Entscheidung weniger angreifbar macht. Technische Lösungen können wohl nur so neutral sein, wie die Gruppe, die sie schafft, und die Daten, auf denen sie basiert.

Verschlüsselte Kommunikation aufbrechen

Die CSA-Verordnung sieht vor, digitale Kommunikationswege, wie Messenger, Chats auf Spieleplattformen, in Lern-Apps oder Ähnlichem, zu überprüfen. Genauso sollen Anwendungen, die die Kommunikation zwischen den Gesprächsteilnehmenden verschlüsseln, überwacht werden. Damit ist eine wirklich Ende-zu-Ende-verschlüsselte Kommunikation nicht mehr möglich. Eine ständige und dauerhafte Prüfung widerspricht aber dem Prinzip der Verschlüsselung: Entweder funktioniert sie und ist daher von keiner Instanz aufgebrochen werden oder sie ist kaputt.

Das “Datenschutzgrundrecht”

Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme schützt unsere persönlichen Daten und unsere privaten Kommunikationen, die digital gespeichert oder verarbeitet werden. Bei präventiven Eingriffen in diesen Schutzbereich sind insbesondere dem Staat hohe Hürden gesetzt: Solche Eingriffe sind immer nur anlassbezogen zulässig. Der Entwurf der CSA führt aber dazu, dass solche geschützten Bereiche aufgrund kontinuierlicher maschineller und menschlicher Überwachung nicht mehr existieren können. Insbesondere Journalisten, Whistleblower und Anwälten sind besonders auf intakte Verschlüsselung ihrer Kommunikation angewiesen. Die Überwachung durch Chatkontrollen würden ihre Arbeit nahezu aushebeln.

Kategorien: Allgemein · EU-Datenschutzgrundverordnung · Hackerangriffe · Internationaler Datenschutz · Online-Datenschutz · Social Media · Spionage · Tracking · Websiteanalyse
Schlagwörter: Chatkontrollen, Tech-Solutionismus

Beschlossen: Schutz für Hinweisgeber im beruflichen Umfeld

16. Dezember 2022

Die Abgeordneten des Deutschen Bundestages haben am Freitag, 16. Dezember 2022, einen „besseren Schutz hinweisgebender Personen“ im beruflichen Umfeld beschlossen.

Warum ist der Schutz von Hinweisgebern wichtig?

Im beruflichen Kontext ist der Schutz von Hinweisgebern ein wichtiges, gleichzeitig aber auch sensibles Thema, da er für den Erhalt integrer Arbeitsplätze und die Einhaltung ethischer Grundsätze in Unternehmen unerlässlich ist. Hinweisgeber tragen dazu bei, Missstände aufzudecken und zu korrigieren, indem sie Informationen über illegale oder unethische Praktiken melden.

Das Problem: Die Meldung solcher Vorgänge kann sehr riskant sein, da sie möglicherweise finanzielle Verluste oder negative Konsequenzen bei der Arbeit einbringen kann.

Aus diesem Grund müssen hinweisgebende Mitarbeiter vor Diskriminierung und Repressalien geschützt werden.

Eine weitere Herausforderung besteht darin, dass viele Mitarbeiter oft nicht wissen, wo sie solche Informationen melden können oder wie sie am besten vorgehen sollen. Daher ist es für Unternehmen wichtig, einen Mechanismus zur Meldung von Missständen zu schaffen und proaktiv über diese Mechanismen zu informieren.

Das neue Gesetz

In den letzten Jahren ist die Bedeutung des Schutzes von Hinweisgebern immer stärker in den Fokus der Öffentlichkeit gerückt. Dies ist vor allem auf die steigende Zahl von Whistleblowern zurückzuführen, die sich gegen Missstände in ihrem Unternehmen oder in ihrer Branche wenden.

Mit dem nun beschlossenen Gesetzesentwurf soll der bislang lückenhafte und unzureichende Schutz hinweisgebender Personen ausgebaut werden. Nach eigenem Bekunden will die Bundesregierung mit dem Gesetz nun zum einen die Hinweisgeberschutz-Richtlinie der Europäischen Union ((EU) 2019 / 1937, (EU) 2020 / 1503) und zum anderen die Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte (EGMR) umsetzen. Deutschland – sowie einige weitere EU-Staaten – sind mit der Umsetzung allerdings sehr spät dran, denn die EU-Richtlinie hätte eigentlich bis zum 17. Dezember 2021 transferiert werden müssen. Gegen Deutschland läuft deswegen ein von der EU-Kommission angestrengtes Vertragsverletzungsverfahren.

Was ändert sich für Unternehmen und Beschäftigte?

Kernstück des Entwurfes ist ein neu zu schaffendes „Gesetz für einen besseren Schutz hinweisgebender Personen“ (Hinweisgeberschutzgesetz, HinSchG). Dieses Gesetz soll dem Entwurf zufolge die wesentlichen Anforderungen und Verfahren an den Hinweisgeberschutz beinhalten. Danach müssen grundsätzliche alle Unternehmen, die mindestens 50 Mitarbeiterinnen und Mitarbeiter beschäftigen, eine interne Meldestelle einrichten; Unternehmen mit bis zu 249 Mitarbeitenden haben die Möglichkeit, Meldestellen gemeinsam aufbauen.

Neue Meldestellen

Als externe Meldestelle soll grundsätzlich das Bundesamt für Justiz dienen, für einige Bereiche sind darüber hinaus spezielle Meldestellen vorgesehen. Wie die Bundesregierung ausführt, ist der Anwendungsbereich entsprechend der Vorgaben der EU-Richtlinie weit gefasst und umfasst neben Arbeiternehmerinnen und Arbeitnehmer auch Beamtinnen und Beamte, Anteilseignerinnen und Anteilseigner, Mitarbeiterinnen und Mitarbeiter von Lieferanten und Personen, die bereits vor Beginn eines Arbeitsverhältnisses Kenntnisse von Verstößen erlangt haben.

Die hinweisgebende Person soll laut des Gesetzesentwurfs wählen können, ob sie sich an eine interne oder externe Meldestelle wende. Entscheidend ist, dass die Identität der hinweisgebenden Person in beiden Fällen grundsätzlich vertraulich zu behandeln ist. Meldungen sollen daher laut Entwurf auch anonym möglich sein. Laut Entwurfstext soll für interne Meldestellen allerdings keine Verpflichtung bestehen, „die Meldekanäle so zu gestalten, dass sie die Abgabe anonymer Meldungen ermöglichen“. Gleiches soll vorbehaltlich spezialgesetzlicher Regelungen auch für die externen Meldestellen gelten. In beiden Fällen sollte zudem gelten, dass die jeweilige Meldestelle „anonym eingehende Meldungen allerdings bearbeiten [sollte], soweit dadurch die vorrangige Bearbeitung nicht anonymer Meldungen nicht gefährdet wird“.

Schutz vor Repressalien

Für hinweisgebende Personen und bestimmte andere Personen gilt ein Schutz vor Repressalien beziehungsweise vor einer Drohungen damit.

Erfolgt nach einer Meldung durch einen Arbeitnehmer eine „Benachteiligungen“ einer hinweisgebenden Person „im Zusammenhang mit ihrer beruflichen Tätigkeit“, soll laut Entwurfstext vermutet werden, dass es sich um eine Repressalie handelt. Daher hat „In diesem Fall hat die Person, die die hinweisgebende Person benachteiligt hat, zu beweisen, dass die Benachteiligung auf hinreichend gerechtfertigten Gründen basierte oder dass sie nicht auf der Meldung oder Offenlegung beruhte“.

Bei einem Verstoß gegen das Verbot von Repressalien soll dem Hinweisgeber ein Schadensersatzanspruch gegen den Verursacher zustehen.

In der Praxis bleibt abzuwarten, in wie weit die gesetzlichen Regelungen tatsächlich zu einem reibungslosen Aufdecken von Missständen führen.

Fazit

Der Schutz von Hinweisgebern ist von entscheidender Bedeutung für die Einhaltung ethischer Grundsätze im beruflichen Umfeld sowie für den Erhalt integrer Arbeitsplätze und fair gehandhabte Geschäftsfelder. Daher ist es Aufgabe aller Beteiligten – insbesondere der Unternehmen – sicherzustellen, dass effektive Maßnahmen zum Schutz von Hinweisgebern getroffen werden.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen · Beschäftigtendatenschutz · Internationaler Datenschutz
Schlagwörter: Arbeitnehmer, Datenschutz im Betrieb, Hinweisgeberschutzgesetz

EU-US-Datentransfers: Europäische Kommission veröffentlicht Entwurf für neuen Angemessenheitsbeschluss

15. Dezember 2022

Die Europäische Kommission setzte am 13. Dezember 2022 den Grundstein für einen neuen Angemessenheitsbeschluss, der rechtssichere Datentransfers von der Europäischen Union (EU) in die Vereinigten Staaten von Amerika (USA) ermöglichen soll. In diesem Entwurf kommt sie zu dem Ergebnis, dass die USA ein angemessenes Datenschutzniveau bei solchen Datentransfers bieten.

Aller guten Dinge sind drei?

Dies ist bereits der dritte Versuch der Kommission, durch einen sogenannten Angemessenheitsbeschluss nach Art. 45 DSGVO Datentransfers in die USA zu erleichtern. Die bisherigen Vorgänger des „EU-US Data Privacy Framework“ waren 2016 und 2020 (wir berichteten) vor dem Europäischen Gerichtshof (EuGH) im Rahmen der Schrems-Urteile gescheitert. In diesen Entscheidungen hatte der EuGH geurteilt, dass das bei Transfers personenbezogener Daten in die USA kein angemessenes Schutzniveau gewährleistet sei. Der EuGH kritisierte insbesondere die Zugriffsmöglichkeiten von US-Geheimdiensten auf Daten von EU-Bürgern sowie mangelnde Rechtsschutzmöglichkeiten für betroffene Personen.

US-Präsident Biden erließ im Oktober eine sogenannte Executive Order, mit der US-Geheimdienste bei der Signalaufklärung zur Notwendigkeit und Verhältnismäßigkeit ihrer Datensammlungen verpflichtet werden. Zudem sollte danach auch ein Rechtsweg für Nicht-US-Bürger eröffnet werden, mit dem sie Einwände geltend machen können.

Was ist ein Angemessenheitsbeschluss?

Die Datenschutzgrundverordnung (DSGVO) sieht vor, dass personenbezogene Daten von der EU aus nur unter bestimmten Bedingungen in Drittstaaten übermittelt werden dürfen. Ziel ist es, dass das durch die DSGVO gewährleistete Schutzniveau nicht untergraben werden kann. Mit einem Angemessenheitsbeschluss wird einem Drittland attestiert, dass dieses Schutzniveau gegeben ist. Im Rahmen des Beschlusses werden die Rechtsvorschriften des Landes sowie die Rechtsschutzmöglichkeiten und die Datenschutzaufsicht berücksichtigt.

Zentrale Inhalte des Entscheidungsentwurfs

Die Kommission stellte zu Beginn des Entwurfs klar, dass die DSGVO kein identisches Schutzniveau der Drittstaaten voraussetze. Vielmehr müsse das System in seiner Gesamtheit das erforderliche Schutzniveau erreichen. Die Art und Weise, wie das Drittland personenbezogene Daten schütze, müsse keine Kopie der EU-Regeln sein. Zu berücksichtigen seien die Datenschutzregeln und deren effektive Umsetzung, Überwachung und Durchsetzung.

Wie schon der Vorgänger „Privacy Shield“ formuliert das EU-US Data Privacy Framework Prinzipien, die denen der DSGVO ähneln. Auch hält der Entwurf an dem Zertifizierungsmechanismus fest. So müssen sich US-Unternehmen, die sich daran beteiligen möchten, registrieren und zertifizieren. Mit der Zertifizierung, die jährlich erneuert werden muss, unterwirft sich das Unternehmen den Prinzipien des EU-US Data Privacy Framework.

Den Bedenken hinsichtlich der Zugriffsmöglichkeiten der US-Geheimdienste begegnet der Kommissionsentwurf mit einer Analyse des US-Rechts. Hier stützt die Kommission sich erheblich auf die genannte Executive Order. Anders als bei der vorherigen Rechtslage könne durch Einführung des Verhältnismäßigkeitsgrundsatzes sowie stärkerer Überprüfung bei sicherheitsdienstlichen Maßnahmen den Bedenken abgeholfen werden. Zudem könnten betroffene Personen eine Beschwerde beim „Civil Liberties Protection Officer“ erheben und dessen Entscheidungen vor dem „Data Protection Review Court“ angreifen.

Wie geht es nun weiter?

Der Kommissionsentwurf wird in einem nächsten Schritt vom Europäischen Datenschutzausschuss beurteilt. Dieser wird eine Stellungnahme abgeben, die jedoch für die Kommission nicht bindend ist. Im Anschluss erfolgt eine Stellungnahme durch einen Ausschuss aus Vertretern der Mitgliedstaaten. Zudem können das EU-Parlament sowie der Rat die Kommission dazu auffordern, die Verabschiedung des Angemessenheitsbeschlusses zu unterlassen. Für die Kommission ist allerdings keine dieser Stellungnahmen oder Interventionsversuche bindend.

Zu rechnen ist mit dem endgültigen Beschluss wohl frühestens im Frühjahr 2023. In der Wirtschaft wird er ungeduldig erwartet, schließlich werden gerade in den USA viele in der EU genutzte Dienste betrieben. Während sich der Verband der Internetwirtschaft zuversichtlich zeigt, ist Max Schrems von noyb, der auch die vorhergehenden Beschlüsse zu Fall gebracht hatte, skeptisch.

EU-Unternehmen, die mit US-Unternehmen Daten austauschen, müssen sich bis zum verbindlichen Angemessenheitsbeschluss noch mit den Standardvertragsklauseln als Rechtsgrundlage zufriedenstellen.

Kategorien: Allgemein · DSGVO · EU-Datenschutzgrundverordnung · Internationaler Datenschutz · Privacy Shield · Safe Harbor
Schlagwörter: Angemessenheitsbeschluss, Datentransfer Drittländer, EU-U.S. Data Privacy Framework, Europäische Kommission, USA

US-Bundesstaat Indiana verklagt TikTok wegen Daten- und Jugendschutzverstößen

8. Dezember 2022

Wie der Generalstaatsanwalt des US-Bundesstaats Indiana, Todd Rokita, am 7. Dezember 2022 bekannt gab, muss sich die chinesische Videoplattform TikTok in zwei Klageverfahren wegen seiner undurchsichtigen Datenverarbeitungspraktiken verantworten. Rokita bezeichnete die Plattform als „Trojanisches Pferd“, welches insbesondere bei Kindern und Jugendlichen großen Schaden anrichte.

Unangemessene Inhalte träfen auf Spionage

Die beiden Klagen des US-Bundesstaats thematisieren einen mangelnden Jugendschutz einerseits und andererseits mangelnden Datenschutz, der eine Spionage US-amerikanischer Nutzerinnen und Nutzer durch die chinesische Regierung ermögliche.

Obwohl die App im App-Store ab 12 Jahren freigegeben sei, würden Kinder und Jugendliche auf TikTok häufig mit unangemessenen Inhalten konfrontiert. So zeige TikTok diesen beispielsweise sexuelle und gewalttätige Inhalte sowie Alkohol- und Drogenmissbrauch. Dabei erlaube TikTok diese Inhalte nicht bloß, sondern schlage sie sogar gezielt vor. Mithilfe der Algorithmen sollten demnach junge Menschen von der App abhängig gemacht werden.

Hinsichtlich des Datenschutzes bemängelt Rokita insbesondere die Verbindungen TikToks zu China. Die chinesische Regierung habe einen erheblichen Einfluss auf die App, auch wenn TikTok dies abstreite. Problematisch sei hier unter anderem, dass die Daten von US-amerikanischen Nutzerinnen und Nutzern auf chinesischen Servern gespeichert würden, obwohl TikTok Verbindungen zu China in seinen Datenschutzbestimmungen im US-Markt unterschlage. Dabei seien diese Informationen in den EU-Datenschutzbestimmungen bereits enthalten. Entgegen TikToks Aussagen bestünde kein ausreichender Schutz vor Spionage seitens China. Insbesondere habe die chinesische Regierung bereits zuvor Interesse an der Datensammlung von TikTok gezeigt.

Erste Klage dieser Art – aber kein neuer Vorwurf

Die Vorwürfe gegen TikTok sind nicht neu. Zwar ist Indiana der erste Bundesstaat, der auf dem Klageweg gegen die App vorgeht. Doch schon 2020 hatte der damalige US-Präsident Donald Trump mit einem Verbot gedroht, woraufhin China mit einem Verkaufsstopp für Software-Algorithmen gekontert hatte. US-Präsident Joe Biden hatte den Verbotsversuch gestoppt. Zuletzt verboten die Gouverneure der US-Bundesstaaten Texas, Maryland, North Dakota und South Dakota sowie verschiedene Bundesministerien TikTok auf Dienstgeräten von Behördenangestellten. Auch der FBI-Chef Christopher Wray hatte Sicherheitsbedenken geäußert.

Kategorien: Allgemein · Internationaler Datenschutz · Social Media · Spionage
Schlagwörter: China, Datenschutz in den USA, Indiana, TikTok

Pages: 1 2 3 4 5 6 7 ... 34 35