13. November 2023
Das EU-Parlament hat am 09.11.2023 bekannt gegeben, dass es mit großer Mehrheit für den Data Act gestimmt hat. Das neue Gesetz soll Hindernisse beim Zugang zu Daten beseitigen. Die Regelung legt fest, wer unter welchen Bedingungen einen Zugang zu Daten hat. Im Übrigen werden private und öffentliche Einrichtungen befugt gewisse Daten zu teilen.
Innovation durch Erleichterung des Datenzugangs
Sinn der neuen Regelung ist es, Innovation zu Fördern mittels eines erleichterten Zugangs zu Daten. Das Ausmaß an Daten, die täglich generiert wird, wächst exponentiell und nur ein geringer Anteil hiervon wird tatsächlich genutzt. Die neue Gesetzgebung ermöglicht es, auf die bereits existierenden Daten zuzugreifen und so das unerschlossene Potenzial vollständig zu nutzen.
Der Data Act ist vor allem darauf ausgelegt, Datenzugangsregeln für vernetzte Dienste festzulegen. Für solche Unternehmen sollen zukünftig transparente Regeln für das Teilen von Daten existieren. Dieser Schritt ist besonders entscheidend für die Fortentwicklung künstlicher Intelligenz, bei der umfangreiche Daten für ein effektives Training erforderlich sind.
Datenzugang für Nutzer
Die Nutzer sollen zunächst einen uneingeschränkten Zugang zu den von ihnen generierten Daten erhalten. Durch das Gesetz werden Anbieter vernetzter Produkte und Dienste verpflichtet, die hierdurch erstellten Daten dem Nutzer in leicht zugänglicher Form in Echtzeit und kostenlos bereitzustellen. Die Regelung richtet sich zum Beispiel an virtuelle Sprachassistenten wie Alexa oder Siri aber auch an Anbieter von Fitness-Uhren oder vernetzten Autos.
Kostensenkung bei After-Sales-Dienstleistungen
Ein weiterer mit dem Data Act verbundener Vorteil besteht in der potenziellen Kostenreduktion für After-Sales-Dienstleistungen und Reparaturen von vernetzten Geräten. Durch die Optimierung des Datenzugangs zielt die Gesetzgebung darauf ab, diese Dienste erschwinglicher zu machen und eine Umgebung zu schaffen, in der Verbraucher ihre vernetzten Geräte problemlos reparieren können.
Zugang des öffentlichen Sektors
Zudem soll es besondere Befugnisse für öffentliche Stellen in Notfallsituationen geben. So sollen etwa Behörden bei Überschwemmungen oder Waldbränden befähigt sein, auf erforderliche Daten von privaten Unternehmen zuzugreifen und diese zu nutzen. Allerdings können Behörden nur unter Beachtung der DSGVO in besonderen Konstellationen oder zur Erfüllung eines gesetzlichen Auftrages die gewünschten Daten fordern.
Schutz von Geschäftsgeheimnissen und Verhinderung rechtswidriger Übertragungen
In Anerkennung der Sensibilität von Geschäftsgeheimnissen hat das Parlament Maßnahmen integriert, um solche Daten zu schützen. Dies verhindert nicht nur rechtswidrige Datenübertragungen in Drittländer mit schwächeren Datenschutzvorkehrungen, sondern schützt auch davor, dass Wettbewerber die Daten nutzen, um Dienstleistungen oder Geräte ihrer Konkurrenten nachzuahmen. Dementsprechend können Unternehmen in Ausnahmefällen der Übermittlung bestimmter Daten widersprechen, wenn sie den hinreichend begründeten und objektiv nachvollziehbaren Nachweis erbringen, dass dies zu erheblichem wirtschaftlichem Schaden führen würde.
Erleichterung des Wechsels zwischen Cloud Service Providern
Zuletzt führt der Data Act Bestimmungen ein, um den Wechsel zwischen Cloud Service Providern zu vereinfachen und den Nutzern mehr Flexibilität zu geben. Durch die Neuerungen werden Betreiber verpflichtet mit anderen Diensten kompatible Standards zu verwenden. Dadurch wird auch kleineren Unternehmen gegenüber Marktbeherrschenden Konzernen eine Chance im Wettbewerb gegeben. Zudem sind die Nutzer dann nicht mehr an einen bestimmten Anbieter gebunden. Eine Neuerung im Vergleich zu der bereits in der DSGVO existierenden Regelung über Datenportabilität besteht darin, dass der Data Act auch nicht persönliche Datensätze erfasst.
Fazit
Nun, da das EU-Parlament für den Data Act gestimmt hat, fehlt nur noch eine förmliche Absegnung des EU-Rats. Bei Reibungslosem weiterem Ablauf, wird das Gesetz voraussichtlich Mitte 2025 in Kraft treten. Trotzdem gibt es weiterhin einige Zweifel. Die erzwungene Weitergabe von Daten könnte einen möglichen Schaden für europäische Unternehmen im internationalen Wettbewerb darstellen. Zudem bleibt die genaue Umsetzung und die Schaffung von Standards noch offen. Jedenfalls trägt die neue Regelung aber auch das Potential in sich, ein wegweisender Schritt für neue Prozesse und Geschäftsmodelle zu sein und so zu Innovation beizutragen. Der Weg zu einer effektiven und ausgewogenen Nutzung von Daten in Deutschland und Europa ist damit zumindest geebnet.
9. November 2023
Der Europäische Datenschutzausschuss (EDSA) hat am 27.10.2023 in einem beispiellosen Schritt Maßnahmen verabschiedet, die auch den Social-Media-Konzern Meta betreffen. Um diesen Maßnahmen Rechnung zu tragen hat Meta, der Betreiber von Facebook und Instagram, bereits angekündigt ein Bezahl-Abo einzuführen. Aufgrund dieser Neuerung erhalten Nutzer die Möglichkeit eines werbefreien Zugang gegen Bezahlung einer Gebühr. Anschließend hat sich am 02.11.2023 der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über das Meta Bezahl-Abo geäußert (HmbBfDI).
Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites
Im Rahmen seiner Mitteilung über das Meta Bezahl-Abo verweist der HmbBfDI auf den Beschluss der Datenschutzkonferenz (DSK) zu Abo-Modellen auf Websites. Auf diesen Beschluss nahm Meta auch in seiner Ankündigung zum Abo-Modell Bezug. Der Beschluss verlangt unter anderem eine präzise Zustimmung, Transparenz und die Vermeidung irreführender Gestaltungsmittel. Nach Wertung des HmbBfDI sind diese Vorgaben auch bei dem kostenpflichtigen Abonnement von Meta umzusetzen.
Offene Fragen und laufender Dialog
Laut dem HmbBfDI bleibt die Frage, ob das zukünftige Modell diesen Anforderungen entspricht und eine datenschutzkonforme Lösung darstellt, vorerst unbeantwortet. Die deutschen Aufsichtsbehörden hätten bereits verschiedene Bedenken geäußert und würden nun eine nachvollziehbare rechtliche Prüfung durch die federführende Behörde in Irland erwarten. Derzeit befinde man sich im Dialog mit irischen Kollegen und anderen betroffenen nationalen Behörden, um diese wichtigen Fragen zu klären.
Fazit
Die jüngsten Entwicklungen zeigen, dass EU-Datenschutzbehörden die Rechte der Bürger schützen wollen. Weiterhin möchten sie sicherstellen, dass Digitalisierung im Einklang mit den Grundprinzipien der Privatsphäre erfolgt. Unternehmen, die in diesem Raum tätig sind, sollten sich auf strengere Datenschutzanforderungen einstellen und proaktiv Maßnahmen ergreifen, um den regulatorischen Anforderungen gerecht zu werden. Dies könnte auch eine Gelegenheit sein, den Schutz der Privatsphäre der Nutzer zu stärken und das Vertrauen in datenbasierte Dienste wiederherzustellen. Ob das Meta-Abo-Modell tatsächlich diesen Anforderungen genügt, bleibt abzuwarten. Schlussendlich wird die Umsetzung durch Meta eine genaue Prüfung durch die zuständigen Aufsichtsbehörden erfordern.
Whatsapp arbeitet aktuell an einer neuen Funktion für mehr Privatsphäre – das sogenannte Scheinprofil. Zuletzt führte der Messenger-Dienst neue Features wie die Anmeldung mit Passkeys und die Möglichkeit IP-Adressen während Anrufen zu verschleiern ein. Nun soll es zukünftig nach Angaben von WhatsappBetaInfo auch eine Neuerung zum Schutz des Profilbilds und des gewählten Namens geben.
Was ist neu?
Bis jetzt kann bei Whatsapp lediglich eingestellt werden, wer in der Lage sein soll das verwendete Profilbild zusehen. In diesem Zusammenhang kann man einstellen, dass nur eingespeicherte Kontakte das private Bild sehen und andere nur das grau-weiße Avatar-Bild.
Aktuellen testet der Messenger-Dienst eine Option, die es den Nutzern ermöglichen soll, ein alternatives Profilbild und einen anderen Namen anzulegen. Diese Informationen werden dann an alle Personen weitergegeben, die nicht in den Kontakten eingespeichert wurden. Das ermöglicht es den Auftritt gegenüber fremden Kontakten selbst zu bestimmen, während man gleichzeitig das persönliche Profilbild nicht mit Unbekannten teilen muss. Die gleiche Option soll es auch für den angezeigten Accountnamen geben. Zudem sollen zukünftig auch bestimmte Personen von Einsichtnahme des privaten Profils ausgeschlossen werden können, sodass sie nur das Alternativprofil erhalten.
Fazit
Wann diese neue Datenschutzfunktion für alle Nutzer verfügbar sein wird, ist noch unklar. Bis diese Einstellungsmöglichkeit final in der App existiert dürfte es noch einige Wochen oder Monate dauern. Jedenfalls trägt das Scheinprofil als neue Funktion bei Whatsapp dazu bei, die Nutzerprivatsphäre zu schützen und gleichzeitig flexible Gestaltungsmöglichkeiten zu ermöglichen.
Zwar bewahrt auch die aktuelle Option mit dem grau-weißem Avatar-Bild die Privatsphäre, sie stellt aber keine individuelle Lösung dar. Gerade in Zeiten, in denen Whatsapp immer häufiger im Business-Bereich verwendet wird, könnte dies eine gute Lösung sein, für Personen, die den Account gleichzeitig zu privaten Zwecken nutzen. In solchen Fällen sollte man allerdings dringend prüfen, ob man trotz der Verwendung von Whatsapp im Geschäftsbereich weiterhin alle Datenschutzvorschriften einhält.
8. November 2023
Die Nutzung von AdBlockern, insbesondere auf Plattformen wie YouTube, hat in den letzten Jahren erheblich zugenommen. Nutzer schätzen die Möglichkeit, lästige Werbung zu blockieren und sich auf den eigentlichen Content zu konzentrieren. Das kürzlich verstärkte Gegenvorgehen von YouTube mittels AdBlocker-Erkennung führt dazu, dass verschiedene Personen Datenschutz-Bedenken äußern. Datenschützer kritisieren das Verfahren und fordern eine Überprüfung und Stellungnahme durch die EU.
Die Herausforderung für YouTube
YouTube ist eine der weltweit größten Video-Plattformen, die ihre Einnahmen hauptsächlich durch Werbung generiert. Um Werbung zu umgehen, nutzen einige User sogenannte AdBlocker. Hierdurch wird Werbung unterdrückt. Die zunehmende Verwendung dieser Tools hat YouTube erhebliche Einnahmeverluste beschert. Deswegen hat die Plattform Maßnahmen ergriffen, um dieser Entwicklung entgegenzuwirken und ihr Geschäftsmodell zu sichern.
Im Rahmen von Tests wurden zunächst Nutzern von Werbeblockern mittels eines Warnhinweises erläutert, dass die Verwendung dieses Tools nicht rechtmäßig ist. Allerdings konnte dieser Hinweis ohne Konsequenzen einfach weggeklickt werden. Mittlerweile sperrt YouTube teilweise die entsprechenden User nach drei Hinweisen von der Benutzung der Website.
Datenschutzrechtliche Bedenken gegen YouTubes Vorgehen
Die von YouTube ergriffenen Maßnahmen zur AdBlocker-Erkennung werfen jedoch Bedenken im Hinblick auf den Datenschutz auf. Um die Gegenmaßen ergreifen zu können muss YouTube nämlich gewisse Informationen der AdBlocker-User speichern. Hieran ist problematisch, dass der Online-Dienst dazu auf auf dem Endgerät des Nutzers gespeicherte Daten zugreifen muss. Das könnte ein unberechtigtes Ausspähen von Nutzerdaten darstellen, was einem Verstoß gegen Datenschutzvorschriften gleichsteht. Die ePrivacy-Richtlinie der EU (2002/58/EG Art. 5 Abs. 3) verpflichtet nämlich die Websitebetreiber dazu, in einem solchen Fall vorher eine Einwilligung der Nutzer einzuholen. Dieses Erfordernis entfällt nur, wenn der Dienst sonst nicht genutzt werden könnte.
Beschwerde bei der irischen Aufsichtsbehörde
Deswegen meint Datenschützer Alexander Hanff, dass das von YouTube verwendete Javascript-Erkennungsverfahren einer Zustimmung bedarf. Dies hat ihn dazu veranlasst Beschwerde gegen YouTube bei der irischen Datenschutz-Kommission (DPC) einzulegen, wie das Magazin Wired berichtet. Er argumentiert, dass hierin eine unbefugte Einsichtnahme in personenbezogene Daten und damit in die Privatsphäre stattfindet. Selbst wenn in den Allgemeinen Geschäftsbedingungen von YouTube (AGB) ein AdBlocker-Verbot existieren würde, berechtige dies das Unternehmen nicht dazu, dieses Verbot mittels Datenschutzverletzungen durchzusetzen. Das sei auch der Grund, weshalb Cookie-Zustimmungsbanner separat hervorgehoben werden müssen. Gleiches müsse für die Zustimmung zur AdBlocker-Erkennung gelten, wenn YouTube den Datenschutz beachten wolle.
Aufforderung zur Stellungnahme durch die Europäische Kommission
Auch der EU-Abgeordnete Patrick Breyer von der Piratenpartei fordert am 06.11.2023, dass die Europäische Kommission sich das Verhalten genauer anschaut und eine schriftliche Stellungnahme abgibt. Neben den von Hanff angebrachten Argumenten fügt er hinzu, dass sich die Nutzer durch die Verwendung von AdBlockern auch gegen illegale Einsichtnahme in ihr Suchverhalten schützen würden. Von der Kommission verlangt er insbesondere die Klärung von zwei Punkten. Zum einen will er wissen, ob der Schutz der im Endgerät gespeicherten Daten auch die Information darüber erfasst, ob ein AdBlocker installiert ist. Andererseits möchte er wissen, ob das AdBlocker-Erkennungssystem zwangsläufig erforderlich ist für den Video-Dienst oder ob das Vorgehen mangels Zustimmung rechtswidrig ist.
Stellungnahme von YouTube
Auf Anfrage von Wired hat ein Vertreter von YouTube darauf hingewiesen, dass es sich bei der Verwendung von AdBlockern um eine Verletzung der AGB handelt. Selbstverständlich werde das Unternehmen vollständig und kooperativ alle Fragen der DPC beantworten. Allerdings weist der Sprecher auch darauf hin, dass das verwendete Verfahren nicht auf den Endgeräten der User durchgeführt wird. Vielmehr finde der Erkennungsprozess direkt innerhalb YouTubes statt.
Laut Wired ist nach aktuellem Stand der Technik allerdings ein solches Verfahren mit Server-seitiger AdBlocker-Erkennung bislang nicht bekannt. Im Übrigen erwähnen die AGB auch nicht explizit „AdBlocker“. Es existiert lediglich eine Regelung, die es verbietet „den Dienst […] zu deaktivieren, betrügerisch zu verwenden oder anderweitig zu beeinträchtigen“. Hieraus könnte ein AdBlocker-Verbot interpretiert werden. Ob das allerdings automatisch das Erkennungsverfahren rechtfertigt, ist wie oben von Hanff bereits erwähnt, jedenfalls fraglich.
Fazit
Die Frage nach der Rechtmäßigkeit dieser Maßnahmen ist von zentraler Bedeutung. Einerseits ist verständlich, dass YouTube ein Interesse daran hat, die Integrität seiner Plattform zu schützen und den Zugriff auf Inhalte einzuschränken, wenn keine Werbeeinnahmen generiert werden können. Andererseits ist sicherzustellen, dass ein solches Vorgehen im Einklang mit Datenschutzgesetzen und den Rechten der Nutzer steht. Jedenfalls ist davon auszugehen, dass YouTube transparent über seine Maßnahmen informieren muss. Es ist nun Aufgabe der Europäischen Kommission und der zuständigen Datenschutzbehörde den Fall zu prüfen und eine Stellungnahme abzugeben.
Anfang des Monats haben wir davon berichtet, dass der Betreiber der Dating-App Grindr eine 5,8 Millionen Euro Strafe an die norwegische Datenschutzbehörde zahlen muss. Nun geht Grindr gegen die Millionenstrafe vor. Laut Aussage seiner Datenschutzbeauftragten gegenüber dem öffentlich-rechtlichen Rundfunk Norwegens (NRK) vom 30.10.2023 leitet das Unternehmen rechtliche Schritte gegen das verhängte Bußgeld ein. Durch das Vorgehen der Behörde werde das Geschäftsmodell und die Betrugsbekämpfungsstrategien bezweifelt.
Hintergrund der Debatte
Ursprünglich sollte das Unternehmen Grindr etwa 10 Millionen Euro Strafe zahlen. Allerdings reduzierte man das Bußgeld wegen kooperativem Verhalten auf 5,8 Millionen Euro. Der hiergegen erhobene Einspruch von Grindr hatte keinen Erfolg. Rechtliche Ursache des Bußgeldes war die Weitergabe personenbezogener Daten für gezielte Werbung ohne die Einwilligung der Nutzer.
Grindr leitet nun rechtliche Schritte ein
Nun wehrt sich Grindr gegen diese Strafe. Das Unternehmen argumentiert, dass die norwegischen Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) falsch interpretiert hat. Nicht sämtliche gesammelten Informationen seien als sensible Daten zu werten. Das damalige Vorgehen habe einem Industriestandard entsprochen, der mittlerweile nicht mehr verwendet werde.
Die Entscheidung der Aufsichtsbehörde könne dazu führen, dass entsprechende Dienst zukünftig in Europa nicht mehr angeboten werden könnten. Die Datenschutzbeauftragte Kelly Peterson Miranda führt aus, dass neben der gesamten Datenverarbeitung des Unternehmens auch Prozesse zur Betrugsbekämpfung und kontextbezogenen Werbung erheblich erschwert werden könnten.
Datenschutzbehörde bleibt standhaft
Die norwegische Datenschutzbehörde bleibt bei ihrer Entscheidung und betont, dass die Privatsphäre der Nutzer immer wieder von großen kommerziellen Unternehmen infrage gestellt wird. Solche Großkonzerne besäßen umfangreiche Ressourcen und seien bereit diese einzusetzen, um ihr Geschäftsmodell zu verteidigen.
Fazit
Dass Grindr gegen die Millionenstrafe vorgeht, überrascht wenig. Es handelt sich hier um den alten Kampf zwischen Datenschutz und Geschäftsinteressen mit dem Wunsch die Geldstrafe zu reduzieren und das Geschäftsmodell aufrechtzuerhalten. Erneut versucht ein Großkonzern mit dem Argument des vollständigen Rückzugs aus dem Markt Druck auf eine Aufsichtsbehörde auszuüben. Ob dieses Argument bei der norwegischen Behörde anschlagen wird, bleibt sehr fraglich. Schließlich hat die Realität doch schon häufig gezeigt, dass es am Ende für die betroffenen Unternehmen doch – wenn auch gegebenenfalls nicht ganz so lukrative – Lösungen gibt, um weiterhin den Dienst datenschutzkonform in Europa anzubieten.
7. November 2023
Sowohl die Datenwirtschaft der EU als auch von Japan wächst rasant. Deshalb haben laut Pressemitteilung der Europäischen Kommission vom 28.10.2023 die EU und Japan nun ein bahnbrechendes Abkommen unterzeichnet. Hierdurch soll der Datentransfer zwischen der EU und Japan einfacher, günstiger und effizienter gestaltet werden. Dieser Durchbruch wurde im Rahmen des EU-Japan High-Level Economic Dialogue (HLED) erzielt. Die Europäische Kommission bezeichnet den Vertrag als einen Meilenstein in den gemeinsamen Bemühungen, die Digitalisierung voranzutreiben.
Hintergrund des Abkommens
Bereits 2018 wollte die EU das japanische Datenschutzsystem anerkennen. Damit sollte Japan zu einem sogenannten „sicherem Drittland“ für den Datentransfer werden. Seit 2019 ist der Austausch personenbezogener Daten zwischen der EU und Japan nun uneingeschränkt erlaubt.
Im Oktober 2022 entschlossen sich die beiden Parteien dann dazu in Verhandlungen zur Aufnahme von Regeln für grenzüberschreitende Datenflüsse in das Wirtschaftspartnerschaftsabkommen (WPA) EU-Japan zu treten. Dadurch wolle die EU der modernen und digitalen Welt gerecht werdende Regeln zwischen den beiden Handelspartnern schaffen. Im Übrigen wies die Europäische Kommission darauf hin, dass vergleichbare Verhandlungen mit Korea und Singapur in Kürze folgen sollen.
Stärkung der Digitalwirtschaft in der EU und Japan
Die EU und Japan zählen beide zu den größten digitalen Volkswirtschaften der Welt. Deshalb ist internationaler Datenverkehr von entscheidender Bedeutung für ihre Entwicklung. Laut der Europäischen Kommission wende man sich mit dem Abkommen gegen digitalen Protektionismus und willkürliche Beschränkungen des Datenflusses.
Inhalt des Abkommens
Die Vereinbarung wird laut der Europäischen Kommission zu erheblichen Erleichterungen für Unternehmen in verschiedenen Branchen führen. Zum einen erleichtere man so Verwaltungs- und Speicheraufwand. Andererseits gebe man den Unternehmen ein vorhersehbares und sicheres Regelwerk als Orientierungshilfe. Die Vereinbarung beseitige teure Datenlokalisierungsanforderungen, die eine nicht erforderliche finanzielle Belastung für Unternehmen darstelle. Eine lokale Speicherung vor Ort bringe nicht nur erhöhte Kosten und komplexe Prozesse mit sich, sondern könne auch die Datensicherheit gefährden. Die Regeln seien im Einklang mit EU-Vorschriften zum Datenschutz.
Fazit
Die Vereinbarung zwischen der EU und Japan über grenzüberschreitende Datenströme markiert einen historischen Schritt in Richtung einer engeren digitalen Zusammenarbeit zwischen zwei der größten digitalen Wirtschaftsmächte der Welt. Sie vereinfacht den Datentransfer zwischen der EU und Japan und ebnet den Weg für eine effizientere und kostengünstigere Geschäftsabwicklung im Online-Bereich. Das Abkommen unterstreicht das Engagement beider Parteien für die Förderung der Digitalisierung und wendet sich gegen digitalen Protektionismus.
In einer Zeit, in der die Digitalisierung die Art und Weise, wie wir Geschäfte tätigen, revolutioniert, ist dies ein leuchtendes Beispiel für die Chancen und Möglichkeiten, die sich eröffnen, wenn Länder ihre Kräfte für eine gemeinsame digitale Zukunft bündeln. Es ist zu hoffen, dass dieses Abkommen auch für andere Länder und Regionen als Modell dient, um Wirtschaftswachstums zu Förderung. Wichtig ist, hierbei weiterhin grundlegende Datenschutzprinzipien und die digitale Freiheit der Bürger zu respektieren.
6. November 2023
Am 1.11.2023 hat das US-amerikanische New York Department of Financial Services (NYDFS) die zweite Änderung seiner Part 500 Cybersicherheitsregeln finalisiert und damit auch die Datenschutzregeln geändert. Neben den ursprünglich vor einem Jahr vorgeschlagenen Vorschriften, gibt es auch einige Neuerungen.
Neue Unternehmensgruppe: „Class A Companies“
Die wohl wichtigste Änderung stellt die Einführung der sogenannten „Class A Companies“ dar. Bei dieser Gruppe handelt es sich um NYDFS-regulierte Konzerne, die entweder mehr als 2.000 Angestellte haben oder über 1 Milliarde Euro Bruttojahresumsatz generieren.
Diese Unternehmen treffen besonders hohe Anforderungen. Zum einen sind sie dazu verpflichtet jährlich eine externe oder interne unabhängige Prüfung ihrer Cybersicherheitsprogramme durchzuführen. Weiterhin sollen sie eine Privileged Access Management-Lösung einführen sowie Methoden zum automatischen Blockieren häufig verwendeter Passwörter implementieren. Zuletzt müssen Betriebe Prozesse zur Überwachung und Protokollierung potenziell nicht autorisierter Aktivitäten schaffen.
Neuer Begriff: „Cybersecurity Incident”
Die aktualisierte Vorschrift führt den neuen Begriff „Cybersecurity Incident” ein. Obwohl der breitere Begriff „Cybersecurity Event” weiterhin in verschiedenen Abschnitten Verwendung findet, gilt „Cybersecurity Incident” speziell für Benachrichtigungen an das NYDFS. Die beiden Begriffe werden wie folgt definiert:
- Cybersecurity Event: Ein Cybersecurity Event ist jede Handlung oder Versuch, erfolgreich oder nicht, um unbefugten Zugang zu einem Informationssystem zu erlangen oder dieses zu stören oder die darauf gespeicherten Informationen zu missbrauchen.
- Cybersecurity Incident: Ein Cybersecurity Incident ist ein Cybersecurity Event, das beim betroffenen Unternehmen, seinen Tochtergesellschaften oder seinen Drittdienstleistern aufgetreten ist und entweder:
- das betroffene Unternehmen betrifft und dieses verpflichtet eine übergeordnete Aufsichtsorganisation zu benachrichtigen,
- eine hinreichende Wahrscheinlichkeit hat, einen wesentlichen Teil des normalen Betriebs des betroffenen Unternehmens erheblich zu schädigen, oder
- zum Einsatz von Ransomware innerhalb eines wesentlichen Teils der Informationssysteme des betroffenen Unternehmens führt.
72-Stunden-Meldepflicht nur für betroffenes Unternehmen
Das NYDFS reagierte zudem auf Kritik bezüglich der 72-Stunden-Benachrichtigungsanforderung gegenüber einer übergeordneten Aufsichtsorganisation. Das NYDFS änderte die Formulierung entsprechend und erklärte, dass es das betroffene Unternehmen und nicht etwa ein Dienstleister ist, der die Benachrichtigungspflicht trägt. Deshalb werde die 72-Stunden-Meldepflicht auch erst ausgelöst, wenn das betroffene Unternehmen von einem meldepflichtigen Vorfall Kenntnis erlangt hat.
Reduzierte Updatepflicht zu Datenschutzvorfällen
Das NYDFS präzisierte auch die Anforderung, Updates zu Datenschutzvorfällen bereitzustellen. Diese Anforderung bezieht sich nur auf materille Änderungen oder neue Informationen, die zuvor nicht verfügbar waren.
Umsetzungsfristen
Die meisten Änderungen sollen 180 Tagen nach Inkrafttreten der neuen Verordnung (1.11.2023), also am 29.04.2024, wirksam werden. Es gibt jedoch auch einige hiervon abweichende Übergangsfristen je nach dem, welche Bereiche betroffenen sind.
Fazit
Durch die beschriebenen Neuerungen werden auch Datenschutzregeln in New York geändert. Das NYDFS normiert hier insbesondere Schutzvorkehrungen und Meldepflichten, die Unternehmen beachten müssen. Auch für deutsche Firmen können diese von Bedeutung werden, wenn sie mit US-Unternehmen zusammenarbeiten oder dort Mutter- oder Tochtergesellschaften haben. Betroffene Unternehmen sollten bereits jetzt mit der Vorbereitung und finanziellen Planung der neuen Anforderungen starten. Konkret sollten Unternehmen vor allem prüfen, ob sie als „Class A Company“ klassifiziert werden. In einem nächsten Schritt müssen sie Dokumentationsprozesse aktualisieren, um den neuen Regeln Rechnung zu tragen.
3. November 2023
Encrochat-Datenbezug durch deutsche Staatsanwaltschaft
Nach Auffassung der Generalanwältin des Europäischen Gerichtshofs (EuGH) Tamara Ćapeta war der Encrochat-Datenbezug aus dem gehackten Kommunikationsdienst aus Frankreich durch die deutsche Staatsanwaltschaft zulässig. Hierzu hat sie am 26.10.2023 zur Rechtssache C-670/22 ihre Schlussanträge veröffentlicht.
Der zugrundeliegende Fall
Hintergrund war ein Fall, in dem die Berliner Staatsanwaltschaft Daten des geknackten französischen Kommunikationsdienst Encrochat über Wochen abgefragt hat. Zuvor hatten niederländische und französische Ermittler das gesicherte Chat-Netzwerk entschlüsselt. Die hierdurch erlangten Daten übergab man auch an deutsche Ermittlungsbehörden. So konnten sie umfangreich Chatverläufe über organisierte Kriminalität verfolgen. Hieraus folgte auch ein von der Berliner Staatsanwaltschaft eingeleitetes Strafverfahren gegen die Tatverdächtigen.
Antrag auf Vorabentscheidung vom Berliner Landgerichts
Im Rahmen der Hauptverhandlung stellte das Landgericht Berlin an den EuGH die Frage, ob die so durch die deutsche Staatsanwaltschaft erlangten Informationen im Strafverfahren verwertbar sind, ohne dass gegen EU-Vorschriften verstoßen wird. In dem Antrag auf Vorabentscheidung ging es um die Auslegung der Richtlinie über die Europäische Ermittlungsanordnung in Strafsachen (EEA). Für die Richter war fraglich, ob für das Erheben von Beweismitteln eine gerichtliche Genehmigung eingeholt werden muss, wenn dies in einem nationalen Verfahren in einem Mitgliedsstaat erforderlich ist.
Schlussfolgerung der EuGH-Generalstaatsanwältin
Die EuGH-Generalstaatsanwältin hält das Vorgehen für zulässig. Die Encrochat-Daten seien im Rahmen internationaler Rechtshilfe an deutsche Ermittlungsbehörden rechtmäßig übertragen worden. Eine EEA könne nur erteilt werden, wenn die hierin enthaltenen Maßnahmen in einer ähnlichen innerstaatlichen Situation anzuordnen wären. Der vorliegende Fall sei so zu behandeln, wie ein vergleichbarer in Deutschland stattfindender Fall, in dem Ermittler Beweise innerstaatlich von einem Strafverfahren in ein anderes überreichen.
Die Generalanwältin hebt hervor, dass die EEA-Richtlinie es der Berliner Staatsanwaltschaft gestattet, eine Ermittlungsanordnung zu erlassen. Nach dem deutschen Recht sei die Erteilung einer gerichtliche Genehmigung für eine ähnliche nationale Übertragung nicht erforderlich. Da hier somit keine Richtergenehmigung nötig sei, war die Berliner Staatsanwaltschaft nach ihrer Ansicht befugt, die einschlägige EEA zu erlassen und Informationen aus dem Encrochat aus Frankreich abzurufen. Ćapeta unterstreicht, dass die Kontrolle des Chat-Netzwerks von französischen Gerichten gestattet war. In der Bewertung der Zulässigkeit müsse man diesem Schritt dieselbe Bedeutung geben, den er in einem vergleichbaren innerstaatlichen Fall hätte.
Zuletzt meint sie, dass die Zulässigkeit von gegebenenfalls unter Verletzung von EU-Recht erlangten Beweisgegenständen nach nationalem Recht zu entscheiden ist, sofern die EU-Grundrechtecharta eingehalten wird.
Fazit
Das Vorgehen der Strafverfolgungsbehörden ist teilweise starker Kritik ausgesetzt. Es wird beanstandet, dass die vielen Verhaftungen auf Grundlage unzureichender Beweise und Ermittlungsvorgehensweisen erfolgt seien. Gerade vor dem Hintergrund des Schutzes personenbezogener Daten und des Rechts auf informationelle Selbstbestimmung ist der Umgang mit den Rechten der Beschuldigten fraglich. Deswegen ist die Frage der Zulässigkeit der Beweisverwertung von entscheidender Bedeutung und wird weiterhin Gegenstand intensiver Diskussionen sein. Zumindest hat das Bundesverfassungsgericht bereits kürzlich eine Verfassungsbeschwerde in dieser Angelegenheit nicht zur Entscheidung angenommen. Zuletzt ist noch festzustellen, dass die Schlussanträge der Generalanwältin für den EuGH keine Bindungswirkung haben. Allerdings werden sie häufig als erste Richtungsweiser betrachtet. Wie die konkrete Entscheidung am Ende ausfallen wird, bleibt abzuwarten.
2. November 2023
Meta führt Bezahl-Abo für werbefreie Nutzung ein
Ab November führt der Internet-Konzern Meta in Europa ein Bezahl-Abo für die werbefreie Nutzung von Social-Media-Diensten wie Instagram und Facebook ein. Das verkündete Meta am 30.10.2023 in einem Blogbeitrag. Damit reagiert der vormals als „Facebook“ bezeichnete Konzern auf veränderte und immer strenger werdende Datenschutzanforderungen.
Inhalt der Änderung
Zukünftig sollen sich Nutzer in der EU sowie der Schweiz, Island, Liechtenstein und Norwegen von Werbeanzeigen befreien können, indem sie monatlich 10 Euro bezahlen. Für User, die mehrere verknüpfte Accounts nutzen, wird nach einer Übergangsphase ab dem 01.03.2024 eine Zusatzgebühr von 6 Euro erhoben. Abonnements, die Nutzer auf dem Smartphone buchen, sind teurer. In diesem Fall beträgt die monatliche Gebühr 13 Euro und ab dem 01.03.2024 für jedes zusätzliche Konto 8 Euro. Der Grund der Preisgestaltung liegt darin, dass Anbieter von App-Stores wie Apple und Google für jede Zahlung eine Provisionsgebühr erheben. Durch die Preiserhöhung wälzt Meta diese Zahlung auf den Endkunden ab.
Reaktion auf veränderte Datenschutzanforderungen
Meta antwortet mit dem Abo-Modell auf die immer strenger werdende Datenschutzlage in Europa. Insbesondere zielt der Konzern auf das Problem der Zustimmung der Nutzer zur Verwendung ihrer Daten für personalisierte Werbung ab. Zudem bedarf es auch einer ausdrücklichen Zustimmung zum dienstübergreifenden Sammeln der Daten innerhalb eines Konzerns.
Nach Angaben von Meta genügen die Änderungen den Anforderungen der europäischen Regulierungsbehörden. Am Ende bliebe den Nutzern eine freie Wahl dahingehend, ob sie die werbefreie Nutzung bevorzugen oder weiterhin die kostenlosen Dienste im Austausch gegen ihre Daten nutzen möchten. Dies ermögliche es dem Social-Media-Unternehmen, weiterhin sämtlichen Nutzern in der Europa einen rechtskonformen Zugang zu den Netzwerken zu gewährleisten.
Die Reaktion folgt wahrscheinlich auch auf die zu Jahresbeginn von der irischen Datenschutzbehörde verhängte Strafe von 390 Millionen Euro aufgrund von Verstößen gegen Datenschutzbestimmungen. Sie verbot es hierdurch dem Unternehmen, die Vertrags-Rechtsgrundlage zur Ausrichtung personalisierter Werbung anhand der verfolgten Nutzeraktivitäten zu verwenden.
Fazit
Der Schritt von Meta kommt nicht überraschend. Bislang beruhte das Geschäftsmodell des Großkonzerns darauf, seinen Nutzern die Social-Media-Dienste kostenfrei zur Verfügung zu stellen. Anhand des individuellen Nutzerverhaltens wurden dann Userprofile erstellt. Hierdurch war es dem Unternehmen möglich im Anschluss Werbung passgenau an die entsprechende Zielgruppe auszuspielen und so Einnahmen zu generieren. Da dieses Vorgehen durch die neuen EU-Regeln, -Rechtsprechungen und -Behördenanordnungen immer weiter beschränkt wird, muss sich das Unternehmen neue Möglichkeiten einfallen lassen, um Umsätze zu erzielen. Nichtsdestotrotz gibt Meta weiterhin an, an ein freies für jedermann unabhängig vom Einkommen zugängiges “werbeunterstützes Internet“ zu glauben und sich hierfür weiterhin einsetzen zu wollen.
1. November 2023
Der Europäische Gerichtshof (EuGH) hat mit Urteil vom 26.10.2023 (C-307/22) den Zugang zu Patientenakten gestärkt. Hierin bestätigte er das Recht der Patienten auf eine kostenlose erste Kopie der Patientenakte, auch wenn sie ohne Begründung angefordert wurde. Dieses Urteil sorgt für mehr Transparenz durch Ärzte im Gesundheitswesen.
Der zugrundeliegende Fall
Das Urteil beruht auf einem Fall in Deutschland, bei dem ein Patient von seiner Zahnärztin eine Kopie seiner Patientenakte verlangte. Hiermit wollte er wegen mutmaßlichen Fehlverhaltens der Ärztin rechtliche Schritte gegen sie einleiten. Die Zahnärztin verlangte im Gegenzug jedoch, dass der Patient die Kosten für die Kopie übernehmen sollte.
Bisherige Rechtslage
Im deutschen Recht regelt § 630g BGB das Recht des Patienten auf Einsichtnahme in die Patientenakte. Nach Abs. 1 S. 1 darf dieses Recht nur verweigert werden, wenn erhebliche therapeutische Gründe oder sonstige erhebliche Rechte Dritter entgegenstehen. Im Übrigen hat nach Abs. 2 S. 2 der Patient die Kosten für eine Kopie hiervon zu tragen. Hingegen würde nach dem EU-Recht in Art. 15 Abs. 3 S. 1 DSGVO im Rahmen des allgemeinen datenschutzrechtlichen Auskunftsanspruch dem Behandelten eine kostenlose erste Kopie der Patientenakte zu stehen.
Der EuGH hatte das Verhältnis dieser beiden Regelungen bislang nicht abschließend geklärt. Bisher hatte er lediglich den Inhalt und Umfang des Auskunftsanspruchs geregelt (C-487/21). Demnach haben Patienten das Recht auf eine vollständige Kopie der in ihrer Patientenakte enthaltenen Informationen, sofern diese notwendig sind, um die personenbezogenen Daten der Akte eindeutig zu verstehen. Dies umfasst Daten wie Befunde und Angaben zu Heilungsmaßnahmen.
Das EuGH-Urteil
Der EuGH hat nun in seinem Urteil festgelegt, dass Patienten das Recht auf eine kostenlose erste Kopie ihrer Patientenakte haben. Kostentragungspflichten entstehen nur, wenn weitere Kopien der Akte angefordert werden.
Dieses Recht gilt unabhängig davon, ob der Patient beabsichtigt, die Informationen zum Beispiel im gerichtlichen Prozess gegen medizinische Fachkräfte zu nutzen. Im Übrigen besteht auch keine Pflicht zur Begründung des Antrags. Es ist lediglich erforderlich, dass der Patient legitime Zwecke verfolgt, selbst wenn sie wie im vorliegenden Fall keinen datenschutzrechtlichen Bezug aufweisen.
Die rechtliche Grundlage für dieses Urteil sieht der EuGH in der Datenschutz-Grundverordnung (DSGVO). Der EuGH betont, dass nationale Gesetze den Patienten nicht die wirtschaftliche Last einer ersten Kopie übertragen dürfen. Vielmehr sind die Ärzte „Verantwortliche“ im Sinne der DSGVO und müssen deswegen entsprechend Art. 15 Abs. 3 S. 1 DSGVO eine kostenlose Kopie zur Verfügung stellen. Die wirtschaftlichen Interessen der Ärzteschaft müssen demgegenüber zurücktreten. Weder Art. 12 DSGVO noch Art. 15 DSGVO normieren zudem eine Pflicht zur Angabe von Gründen. Weiterhin wird für den Verantwortlichen hierin auch kein Ermessen eingeräumt, eine Begründung zu fordern oder diese zu bewerten.
Damit kommt der EuGH zum Ergebnis, dass eine diesen Grundsätzen entgegenstehende nationale Regel, wie § 630g Abs. 2 S. 2 BGB, unionsrechtswidrig ist.
Fazit
Das EuGH-Urteil stärkt die Rechte der Patienten und fördert die Transparenz im Gesundheitswesen. Geregelt werden zwei wesentliche Punkte. Zunächst bestätigt er das Recht auf eine kostenlose Kopie der Patientenakten. Zum anderen bedarf es keiner Angabe von Gründen für das Auskunftsverlangen von Seiten des Antragsstellers. Durch das Urteil schafft der EuGH nicht nur Deutschland, sondern EU-weit einheitliche Standards im Umgang mit Patientenakten und dem Recht auf Information. Ob dies zu einem steigenden Rechtsmissbrauch des Auskunftsanspruchs führen wird, bleibt abzuwarten.
Pages: 1 2 ... 9 10 11 12 13 ... 275 276 
