6. April 2023
Vergangene Woche teilte die italienische Datenschutzbehörde mit, dass das Chat-Tool „ChatGPT“ in Italien künftig verboten sei. Aufgrund verschiedener datenschutzrechtlicher Bedenken sei es nicht mehr möglich die Internetseite, über die ChatGPT zur Verfügung gestellt wird, in Italien aufzurufen.
Wenige Informationen und kein Jugendschutz
Als Grund für das Verbot nannte die italienische Datenschutzbehörde verschiede Gründe. Ausschlaggebend für das Aus sei zunächst ein Mangel an Informationen. Demnach informieren ChatGPT im Rahmen seiner Anwendung den Nutzer nicht darüber, welche personenbezogenen Daten sie sammele und zu welchem Zweck dies geschehe. Aus Sicht der Behörde sei es eindeutig, dass ChatGPT personenbezogene Daten der Nutzer zusammentrage und speichere. Allerdings sei es unklar, was mit den Daten geschehe und ob das hinter ChatGPT stehende Unternehmen „Open AI“ diese ggf. weiterveräußere. Außerdem gebe das Unternehmen nicht an, auf welcher Rechtsgrundlage es personenbezogene Daten verarbeite.
Darüber hinaus dürfen nur Nutzer, die über 13 Jahre alt seien ChatGPT verwenden. Allerdings bestehen derzeit keine Kontrollmöglichkeit, mit der das Alter der Nutzer überprüft werde. Folglich sei es möglich, dass Kinder und Jugendliche auf Inhalte Zugriff erhielten, die für sie nicht bestimmt seien.
Des Weiteren könne es dazu kommen, dass über ChatGPT falsche Informationen verbreitet werden. Demnach antworte der Chat nicht immer richtig, sodass ungenaue personenbezogene Daten verarbeitet werden.
Verbot in Deutschland?
In Deutschland kann die Chat-Anwendung derzeit noch genutzt werden. In einem Kommentar betonte eine Vertreterin des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI), dass ChatGPT auf seine datenschutzrechtliche Konformität hin überprüft werden solle. Insoweit warte man auf Informationen der italienischen Datenschutzbehörde, damit sich die Datenschutzbehörden der Bundesländer genauer mit dem Verbot auseinandersetzen können.
Grundsätzlich bleibt abzuwarten, wie die Verwendung von ChatGPT in Deutschland künftig aussehen wird und ob OpenAI datenschutzrechtliche Nachbesserungen treffen wird.
3. April 2023
Manchmal kommt es auch Jahre nach der Einführung der DSGVO immer noch vor, dass Dienstleister, die personenbezogene Daten verarbeiten sollen, nicht auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags reagieren. Dies stellt Datenschutzbeauftragte vor Herausforderungen, da die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter nur auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen darf, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Wenn der Dienstleister jedoch nicht bereit ist, eine solche Vereinbarung abzuschließen, fragt sich, welche Optionen der Verantwortliche hat.
Es ist wichtig zu betonen, dass es im Interesse des Dienstleisters oder Auftragnehmers liegt, einen Vertrag zur Auftragsverarbeitung abzuschließen. Wenn die Verarbeitung personenbezogener Daten ohne Vertrag durchgeführt wird, verstoßen beide Parteien gegen ihre Pflichten aus der DSGVO. Dies kann zu Bußgeldern führen. Wenn eine Anfrage zum Abschluss eines Vertrags unbeantwortet bleibt, sollten Verantwortliche darauf hinweisen, dass dies ein rechtliches Erfordernis ist und eine Vereinbarung zum Vorteil aller Beteiligten ist.
Der Fall Kolibri Images
Empfehlenswert und notwendig ist es, den Datenschutzbeauftragten bei der Angelegenheit einzubeziehen. Außerdem ist es sinnvoll, dem Dienstleister einen Vertragsentwurf zur Überprüfung vorzulegen. Ein Beispiel für die Bedeutung eines solchen Vertrags ist der Fall des Unternehmens Kolibri Images, gegen das 2018 von der Datenschutzaufsichtsbehörde in Hamburg ein Bußgeld verhängt wurde. Das Unternehmen hatte einen spanischen Dienstleister ohne entsprechenden Auftragsverarbeitungsvertrag eingesetzt, und obwohl Kolibri Images den Dienstleister mehrfach zur Übermittlung eines Vertragsentwurfs aufgefordert hatte, verweigerte dieser dies. Kolibri Images weigerte sich schließlich auch, einen eigenen Entwurf zu erstellen, was zur Verhängung des Bußgeldes führte.
Obwohl die Aufsichtsbehörden später den Bußgeldbescheid zurücknahmen, zeigt der Fall doch, dass sie von Verantwortlichen den Abschluss von Auftragsverarbeitungsverträgen fordern. Allerdings können Dienstleister nicht einfach “gezwungen” werden, einen solchen Vertrag abzuschließen, auch wenn sie gute Argumente haben. Wenn eine Erklärung der datenschutzrechtlichen Situation und die proaktive Zusendung eines Vertragsentwurfs keine Wirkung zeigen, sollten Verantwortliche darüber nachdenken, zu “drastischeren” Mitteln zu greifen, wie zum Beispiel einer anderweitigen Vergabe des Auftrags oder einer Kündigung, wenn der Auftragsverarbeitungsvertrag nicht innerhalb einer vorher definierten Frist abgeschlossen wird. Wenn auch das keine Wirkung zeigt, sollten Verantwortliche die Dienstleistung ohne einen Auftragsverarbeitungsvertrag nicht weiter in Anspruch nehmen, da dies gegen die Vorschriften der DSGVO verstößt und ein Bußgeldrisiko birgt.
Fazit
Wenn Verantwortliche Dienstleister auswählen, die Zugriff auf personenbezogene Daten erhalten sollen, sollten sie den Datenschutz von Anfang an berücksichtigen und die Bereitschaft zum Abschluss eines Vertrags zur Auftragsverarbeitung als Kriterium für die Beauftragung verwenden. Wenn Dienstleister bereits im Einsatz sind, ohne dass ein Vertrag besteht, sind die oben genannten Schritte die einzigen Optionen, und als letztes Mittel kann eine Trennung vom jeweiligen Dienstleister eingeleitet werden, falls dieser keine Einigung erzielen kann.
31. März 2023
Nach umfassenden Recherchen durch mehrere Medien aus acht verschiedenen Ländern, darunter der Spiegel, das ZDF, der Guardian und die Washington Post, wurde bekannt, dass russische Geheimdienste in Zusammenarbeit mit einer Moskauer IT-Firma weltweit Cyberangriffe auf Einrichtungen der kritischen Infrastruktur planen.
Die „Vulkan-Files“, die aus den Jahren 2016 bis 2021 stammen, wurden von einem anonymen Whistleblower veröffentlicht, der über den Krieg Russlands in der Ukraine verärgert war.
Gezielte Angriffe auf die Infrastruktur
Offiziell gibt sich NTC-Vulkan als ein Beratungsunternehmen für Cybersicherheit aus. Das Unternehmen ist allerdings Teil des militärisch-industriellen Komplexes in Russland. Ein kürzlich aufgetauchtes Leck vertraulicher Dateien hat aufgedeckt, dass sie an der Förderung von Putins Cyberwarfare-Fähigkeiten beteiligt sind. Diese durchgesickerten Dokumente, die Tausende von Seiten umfassen, zeigen, wie die Vulkan-Ingenieure mit dem russischen Militär und den Geheimdiensten zusammenarbeiten. Ihre Arbeit umfasst die Unterstützung von Hacking-Operationen, die Ausbildung von Agenten für Angriffe auf die nationale Infrastruktur, die Verbreitung von Desinformationen und die Kontrolle über bestimmte Teile des Internets. Die Verbindung des Unternehmens mit dem föderalen Geheimdienst Russlands (FSB), den operativen und nachrichtendienstlichen Abteilungen der Streitkräfte (GOU und GRU) und dem Auslandsgeheimdienst (SVR) wurde durch diese Dokumente nachgewiesen.
Sowohl NTC-Vulkan als auch der Kreml wurden mehrfach um eine Stellungnahme gebeten, dort wollte man sich jedoch nicht zu den Enthüllungen äußern. Die Echtheit der Vulkan-Dateien wurde allerdings von fünf westlichen Geheimdiensten bestätigt. Die durchgesickerten Dokumente enthalten auch Beispiele für potenzielle Ziele, darunter eine Karte mit Punkten, die Orte in den USA markieren, sowie Details über ein Kernkraftwerk in der Schweiz.
Verbindungen zu westlichen Konzernen
Nachdem sie NTC-Vulkan verlassen hatten, arbeiteten mehrere ehemalige Mitarbeiter für große westliche Unternehmen wie Amazon und Siemens. Beide Unternehmen haben die Beschäftigung dieser ehemaligen Vulkan-Mitarbeiter eingeräumt, aber erklärt, dass ihre internen Kontrollen einen unbefugten Zugang zu sensiblen Informationen verhinderten. Einige dieser ehemaligen Mitarbeiter leben nun in EU-Ländern, darunter Deutschland, und arbeiten nach Angaben verschiedener Medien für globale Technologieunternehmen. Das Sicherheitsrisiko, das von diesen ehemaligen Vulkan-Ingenieuren ausgehe, sei unklar, ebenso wie die Frage, ob sie die Aufmerksamkeit westlicher Spionageabwehrbehörden auf sich gezogen haben oder nicht.
Bedrohungen auf dem Vormarsch
Die Enthüllungen kommen zu einem Zeitpunkt, an dem die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und die Spannungen mit Russland zunehmen. Eine solche Infrastruktur umfasst wichtige Systeme wie Stromnetze, Wasserwerke, Krankenhäuser und Transportnetze, die von Regierungen und Unternehmen auf der ganzen Welt betrieben werden.
Die potenziellen Auswirkungen solcher Angriffe auf die kritische Infrastruktur sind enorm. Sie könnten nicht nur die betroffenen Einrichtungen lahmlegen, sondern auch zu einer Kaskade von Problemen führen, die sich auf andere Bereiche ausbreiten können. Zum Beispiel könnte ein Angriff auf das Stromnetz in einer Stadt dazu führen, dass Krankenhäuser ohne Strom bleiben und lebenswichtige medizinische Geräte nicht mehr funktionieren. Die Entdeckung der Vulkan Files ist ein alarmierendes Zeichen dafür, dass solche Angriffe immer gezielter und aggressiver werden.
Wie können sich Regierungen und Unternehmen vor diesen Bedrohungen schützen?
Insgesamt sind die Vulkan Files ein alarmierendes Beispiel für die Bedrohung durch Cyberangriffe auf die kritische Infrastruktur und verschärfen zusätzlich den Konflikt mit Russland. Die Sicherheitsmaßnahmen müssen verstärkt werden, um Angriffe zu verhindern oder schnell darauf reagieren zu können. Das bedeutet, dass ein stärkeres Bewusstsein für Cyber-Sicherheitsrisiken in allen Bereichen geschaffen werden muss. Regierungen müssen sicherstellen, dass ihre kritische Infrastruktur ausreichend geschützt ist, und Unternehmen müssen sicherstellen, dass ihre Netzwerke sicher und robust sind.
27. März 2023
Die Europäische Kommission plant im zweiten Quartal 2023 eine Gesetzesinitiative zur Änderung der Datenschutz-Grundverordnung (DSGVO) vorzulegen. Dabei handelt es sich jedoch nicht um eine umfassende Reform der DSGVO, sondern um gezielte Änderungen, um die Zusammenarbeit und Konfliktlösung zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten zu verbessern, insbesondere in Fällen, die grenzüberschreitend sind.
Die geplanten Änderungen sollen insbesondere die Zusammenarbeit und den Informationsaustausch zwischen den nationalen Datenschutzbehörden der EU-Mitgliedstaaten verbessern, um grenzüberschreitende Fälle von Datenschutzverstößen effektiver zu lösen. Bisher gab es einige Schwierigkeiten bei der Koordination und Zusammenarbeit zwischen den nationalen Datenschutzbehörden, insbesondere bei komplexen grenzüberschreitenden Fällen.
Grund der Reform
Die DSGVO sieht vor, dass bei grenzüberschreitenden Datenverarbeitungen die federführende Aufsichtsbehörde alleiniger Ansprechpartner des Verantwortlichen bzw. des Auftragsverarbeiters ist. Dies bedeutet, dass Unternehmen, die personenbezogene Daten in verschiedenen EU-Ländern verarbeiten, nur einen behördlichen Ansprechpartner haben. Die federführende Aufsichtsbehörde hat das Recht, verbindliche Beschlüsse über Maßnahmen nach der DSGVO zu erlassen und muss dabei mit anderen betroffenen Aufsichtsbehörden zusammenarbeiten.
Die Zusammenarbeit zwischen den Aufsichtsbehörden ist wichtig, um sicherzustellen, dass die Durchsetzung der DSGVO grenzüberschreitend und kohärent erfolgt. Die federführende Aufsichtsbehörde muss den anderen betroffenen Aufsichtsbehörden einen Beschlussentwurf zur Stellungnahme übermitteln. Wenn eine betroffene Aufsichtsbehörde Einwände gegen den Beschlussentwurf hat, kann sie Einspruch erheben. Wenn sich die federführende Aufsichtsbehörde dem Einspruch nicht anschließt, muss der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss zur Sache fassen.
In Bezug auf große Technologieunternehmen wie Meta, Google, Apple, Twitter und Microsoft, haben diese Unternehmen ihren Sitz häufig in einem Land und verarbeiten personenbezogene Daten von Nutzern in vielen verschiedenen Ländern. Die irische Datenschutzbehörde (DPC) ist in vielen Fällen federführend zuständig, da viele dieser Unternehmen ihren europäischen Hauptsitz in Irland haben. Dies hat zu Kritik geführt, dass die DPC nicht schnell genug handelt und Beschwerden zu langsam bearbeitet.
Die Reform-Pläne
Die geplanten Veränderungen der DSGVO, die von der Europäischen Kommission angestrebt werden, haben hauptsächlich Auswirkungen auf die Zusammenarbeit bei grenzüberschreitenden Angelegenheiten, insbesondere auf die Artikel 60 bis 65 der DSGVO. Die Kommission reagiert damit auf Forderungen, die der Europäische Datenschutzausschuss (EDSA) im Oktober des vergangenen Jahres an sie gerichtet hatte. Basierend auf dieser Forderungsliste könnten die folgenden Änderungen möglich sein:
Fristenregelung
Die Einführung verbindlicher Fristen soll ein wichtiges Mittel zur Verfahrensbeschleunigung sein, insbesondere im Hinblick auf die grenzüberschreitende Zusammenarbeit und Art. 60 ff. der DSGVO. Obwohl einige Fristen in der DSGVO bereits vorgesehen sind, sind für viele weitere Prozesse im Rahmen der europäischen Zusammenarbeit von Aufsichtsbehörden keine Fristen festgelegt. Der EDSA schlägt daher vor, Fristen für die Weiterleitung von Beschwerden an die federführende Aufsichtsbehörde vorzusehen und eine generelle Bearbeitungsfrist für grenzüberschreitende Fälle einzuführen, die die federführende Aufsichtsbehörde einzuhalten hätte. Es wird auch vorgeschlagen, Art. 60 Abs. 3 DSGVO anzupassen, um den Begriff “unverzüglich” zu präzisieren und die Modalitäten der Zusammenarbeit zu verbessern. Die federführende Aufsichtsbehörde soll die anderen betroffenen Aufsichtsbehörden zukünftig über den Stand des Verfahrens informieren und es soll eindeutig geregelt werden, welche Dokumente standardmäßig zwischen den Aufsichtsbehörden auszutauschen sind.
Beschwerdeverfahren
Der ESDA bemängelt außerdem Verbesserungsbedarf im Hinblick auf das Beschwerdeverfahren. Eine Harmonisierung der formalen Anforderungen für Beschwerden soll stattfinden, da in einigen Mitgliedstaaten eine Beschwerde per E-Mail möglich ist, während in anderen Mitgliedstaaten eine eigenhändige Unterschrift erforderlich ist. Wenn in einem Mitgliedstaat die formalen Anforderungen an eine Beschwerde erfüllt sind, soll die federführende Aufsichtsbehörde des anderen Mitgliedstaats die Zulässigkeit der Beschwerde nicht erneut prüfen müssen. Obwohl dies bereits den internen Richtlinien des EDSA entspricht, könnte die DSGVO dies ausdrücklich gesetzlich regeln.
Ermittlungsbefugnisse
Der ESDA schlägt Verbesserungen im Zusammenhang mit der Zuständigkeit der Datenschutzbehörden vor. Die Hauptniederlassung des Verantwortlichen bestimmt, welche Datenschutzbehörde innerhalb der EU federführend ist. Die Bestimmung der Hauptniederlassung kann jedoch kompliziert sein, da geprüft werden muss, in welchem Mitgliedstaat der Verantwortliche die Entscheidungen über die Zwecke und Mittel der Datenverarbeitung trifft. Um den Prozess der Vorprüfung zu standardisieren, schlägt der ESDA vor, die Vorprüfung und die Ermittlungsbefugnisse der Aufsichtsbehörden in der DSGVO festzulegen.
Unabhängig davon müssen sich alle Datenschutzbehörden mit Beschwerden befassen, die in ihrem Hoheitsgebiet erhoben werden. Die Untersuchung des Beschwerdegegenstands soll in angemessenem Umfang erfolgen, was jedoch unterschiedlich interpretiert werden kann. Der ESDA schlägt vor, gesetzlich geregelte Beispiele zu verwenden, um den Umfang der Untersuchung zu spezifizieren, anstatt starre Vorgaben zu Untersuchungstiefe und Dauer zu machen.
Beteiligtenrechte
Falls das Beschwerdeverfahren in Deutschland durchgeführt wird, hat der Beschwerdeführer bestimmte Rechte gemäß dem Verwaltungsverfahrensgesetz des Bundes oder der Länder. Dies beinhaltet das Recht auf Akteneinsicht und rechtliches Gehör, da er als Beteiligter des Verfahrens angesehen wird. Des Weiteren sind die Behörden laut den Verwaltungsverfahrensgesetzen dazu verpflichtet, insbesondere Betriebs- und Geschäftsgeheimnisse geheimzuhalten. Zudem müssen sie ihre schriftlichen Entscheidungen begründen.
Im Gegensatz dazu hat der Beschwerdeführer in anderen Mitgliedstaaten lediglich ein Beschwerderecht und ist nicht am weiteren Verfahren beteiligt. Daher schlägt der ESDA vor, einheitliche Beteiligtenrechte zu schaffen und auf EU-Ebene zu klären, welche Geheimhaltungspflichten gelten und welche Dokumente davon betroffen sind.
24. März 2023
Das Arbeitsgericht Oldenburg hat kürzlich ein Unternehmen dazu verurteilt, einem ehemaligen Mitarbeiter immateriellen Schadensersatz in Höhe von 10.000 Euro zu zahlen, weil es einem Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO nicht nachgekommen sei (Urteil vom 09.02.2023, Az. 3 Ca 150/21). Der Fall zeigt, dass die Datenschutz-Grundverordnung (DSGVO) auch im Bereich der Arbeitsverhältnisse ein wichtiger Faktor ist.
Sachverhalt
In einem Arbeitsrechtsstreit forderte ein ehemaliger Geschäftsführer und Vertriebsleiter einer Firma für Feuerwerkskörper von seiner ehemaligen Arbeitgeberin Auskunft über seine personenbezogenen Daten. Die Arbeitgeberin verweigerte jedoch die Auskunftserteilung und legte erst im Prozess einzelne Unterlagen vor. Der Kläger machte neben dem Auskunftsersuchen auch einen Anspruch auf immateriellen Schadensersatz geltend.
Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO
Bis heute ist die Reichweite des Auskunftsanspruchs gem. Art. 15 DSGVO umstritten. Dabei stellt sich immer wieder die Frage, wie präzise die erteilten Auskünfte sein müssen.
Artikel 15 DSGVO gewährt betroffenen Personen das Recht, von einem Unternehmen oder einer Organisation Auskunft darüber zu erhalten, ob personenbezogene Daten von ihnen verarbeitet werden und wenn ja, welche Daten dies sind. Der Auskunftsanspruch gemäß Art. 15 DSGVO ist ein wichtiges Instrument, das es den Betroffenen ermöglicht, mehr Kontrolle über ihre personenbezogenen Daten zu erlangen und sicherzustellen, dass diese ordnungsgemäß verarbeitet werden. Die Reichweite des Auskunftsanspruchs gemäß Art. 15 DSGVO ist weitreichend und umfasst sowohl die Daten, die von dem Unternehmen oder der Organisation verarbeitet werden, als auch eine Reihe von anderen Informationen. Insbesondere hat die betroffene Person das Recht, Informationen über die Zwecke der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, die Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt wurden oder werden, sowie die voraussichtliche Dauer, für die die personenbezogenen Daten gespeichert werden, zu erhalten.
Darüber hinaus hat die betroffene Person das Recht, eine Kopie der personenbezogenen Daten, die verarbeitet werden, zu erhalten. Diese Kopie muss in einem strukturierten, gängigen und maschinenlesbaren Format bereitgestellt werden. Wenn die betroffene Person dies wünscht, kann sie auch verlangen, dass die personenbezogenen Daten direkt an einen anderen Verantwortlichen übermittelt werden.
Es ist wichtig zu beachten, dass das Recht auf Auskunft nicht uneingeschränkt ist. In bestimmten Situationen kann es gerechtfertigt sein, den Auskunftsanspruch gemäß Art. 15 DSGVO einzuschränken oder auszusetzen. Beispielsweise kann dies der Fall sein, wenn die Verarbeitung personenbezogener Daten die öffentliche Sicherheit gefährdet oder das Recht auf Meinungsfreiheit und Informationsfreiheit anderer Personen beeinträchtigt.
Die Beklagte hat das Auskunftsersuchen des Klägers zurückgewiesen, da sie der Meinung war, dass der Anspruch nicht bestehe. Das Arbeitsgericht Oldenburg entschied jedoch, dass die Beklagte verpflichtet gewesen sei, das Auskunftsbegehren zu erfüllen. Der Kläger hätte das Recht auf Auskunft über sämtliche seiner bei der Beklagten verarbeiteten personenbezogenen Daten sowie zu den sich aus Artikel 15 Abs. 1 Hs. 2, Abs. 2 DSGVO ergebenden Informationen. Das Gericht ging jedoch nicht auf die Frage ein, ob der Verantwortliche auch Auskunft über Informationen erteilen müsse, die dem Betroffenen bereits bekannt sind.
Art. 82 Abs. 1 DSGVO mit präventivem Charakter
Artikel 82 DSGVO regelt das Recht auf Schadensersatz bei Verstößen gegen die DSGVO. Dieser Artikel stellt sicher, dass Betroffene bei Verletzung ihrer Datenschutzrechte einen Anspruch auf finanziellen Ausgleich haben.
Wenn ein Verantwortlicher oder ein Auftragsverarbeiter gegen die DSGVO verstößt, kann dies zu einem Schaden für den Betroffenen führen. In diesem Fall kann der Betroffene gemäß Artikel 82 DSGVO eine angemessene Entschädigung verlangen, die den erlittenen materiellen oder immateriellen Schaden ausgleicht. Dabei müssen die Umstände des Einzelfalls berücksichtigt werden, einschließlich der Art, Schwere und Dauer des Verstoßes sowie des Umfangs des erlittenen Schadens.
Das Arbeitsgericht stellte fest, dass die Beklagte gegen ihre Auskunftspflicht gemäß Art. 12 Abs. 3 DSGVO verstoßen habe, indem sie das Auskunftsbegehren des Klägers nicht innerhalb eines Monats erfüllte. Die Nichterfüllung der DSGVO-Verpflichtungen führe bereits zu einem auszugleichenden immateriellen Schaden, weshalb der Kläger nicht weiter spezifizieren müsse, welcher Schaden ihm entstanden sei. Der präventive Charakter des Schadenersatzanspruchs nach Art. 82 Abs. 1 DSGVO solle dazu beitragen, die Einhaltung der Datenschutzbestimmungen sicherzustellen.
„Das Bundesarbeitsgericht hat sich im Nachgang zu dem genannten Vorabentscheidungsersuchen in seiner Entscheidung vom 05.05.2022 (2 AZR 363/21) dahingehend geäußert, dass zugunsten der Klägerin unterstellt werden kann, dass dem Anspruch nach Art. 82 Abs. 1 DSGVO Präventionscharakter und eine Abschreckungsfunktion zukomme (BAG, Urt. v. 05.05.2022 – 2 AZR 363/21 Rn. 23).“
So hielt das ArbG in diesem Fall einen Schadensersatz von 10.000 Euro für gerechtfertigt. Anders als das Bundesarbeitsgericht (BAG), das im dortigen Fall einen Schadensersatz von 1.000 Euro für ausreichend hielt, sah das ArbG hier aufgrund des höheren Auskunftsinteresses des Klägers und des langen Zeitraums der Nichterfüllung der Auskunftspflicht einen höheren Schadensersatz als gerechtfertigt an.
Fazit
Unternehmen sollten sicherstellen, dass sie über angemessene Mechanismen verfügen, um Anfragen von Mitarbeitern nach Art. 15 DSGVO zu erfüllen, und sicherstellen, dass sie innerhalb der gesetzlich vorgeschriebenen Frist antworten.
23. März 2023
Die österreichische Organisation „None of your business“ (noyb) reichte diese Woche mehrere Beschwerden gegen deutsche Parteien bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit ein. Grund für die Beschwerden sei, dass die Parteien während des Bundestagswahlkampfes 2021 das sog. Microtargeting auf der Social-Media-Plattform „Facebook“ einsetzten, um Wählerstimmen zu gewinnen.
Recherchen des ZDF Magazin
In einem am 24.September 2021 veröffentlichten Beitrag befasste sich das ZDF Magazin Royale mit den Ergebnissen seiner Recherche zum Thema Microtargeting. Diese stammten aus einer Zusammenarbeit mit der Transparenzinitiative „Who Targets Me“. Im April 2024 hatte das ZDF Magazin Royale seine Zuschauer dazu aufgerufen bei den Recherchen behilflich zu sein. Dafür sollten die Zuschauer eine Browser-Erweiterung installieren über die ausgelesen und gespeichert werden konnte, ob bei dem Besuch der Webseite Facebook Microtargeting erfolgt. Im Ergebnis konnte analysiert werden, dass alle größeren politischen Parteien Microtargeting auf Facebook betreiben.
Was ist Microtargeting?
Nach den Recherchen des ZDF Magazin Royals werde Microtargeting im Rahmen des Wahlkampfes eingesetzt, um zielgerichtete Werbung schalten zu können. Zu diesem Zwecke sammle und analysiere Facebook die Daten und das Verhalten seiner Nutzer. Die Beschwerdeführende Organisation noyb betonte, dass unklar sei, wie Facebook den Parteien Microtargeting ermögliche. Im Ergebnisse zeige Facebook jedem Nutzer individualisierte Wahlwerbung an. Allerdings richte sich diese Werbung nach den Interessen des Nutzern. Demnach könne eine Partei mit zwei verschiedenen Wahlversprechen, die sich schlichtweg unterschieden auf Facebook vertreten sein.
Beschwerden durch noyb
Nach Ausstrahlung des Beitrags, sei eine Vielzahl an Personen bereit gewesen der Organisation ihre Daten zu überlassen. Auf diese Weise sei es noyb möglich gewesen die Daten nach Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) zu untersuchen. Einen Verstoß gegen die DSGVO sah noyb in der versteckten Auswertung politischer Ansichten durch Facebook und durch die Parteien. Besonders problematisch an der Auswertung sei, dass politische Ansichten personenbezogene Daten besonderer Kategorie gemäß Art. 9 DSGVO seien. Ihre Verarbeitung werde nach der DSGVO grundsätzlich untersagt. Außerdem können Parteien durch die individualisierte Wahlwerbung ihre Wähler manipulieren.
Fazit
Folglich erhob noyb Beschwerde gegen die AFD, das Bündnis 90/die Grünen, die CDU, die Linke, die SPD und die Ökologisch-Demokratische Partei. Die Organisation betonte die Gefahren, die Microtargeting beinhalte. Die Parteien beeinflussten das Meinungsbild ihrer Wähler mit unlauteren Mitteln.
Mit der Auffassung, dass der Betrieb einer Facebook-Fanpage für eine Behörde datenschutzkonform nicht möglich sei, wies der Bundesdatenschutzbeauftragte Ulrich Kelber das Bundespresseamt an den Betrieb der Facebook-Fanpage einzustellen. Nach einem Kurzgutachten der Datenschutzkonferenz sei der behördliche Betrieb einer Fanpage auf Facebook mit dem Datenschutzrecht unvereinbar.
Das Bundespresseamt möchte die Fan-Page jedoch gerne weiter betreiben und reichte kürzlich beim Verwaltungsgericht Köln Klage ein. Der Stellvertretenden Chef des Presse- und Informationsamtes, Dr. Johannes Dimrot erklärte sich dazu folgend:
„Die Bundesregierung hat einen verfassungsrechtlichen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Zur Erfüllung dieses Auftrags gehört es, sich an der tatsächlichen Mediennutzung der Bürgerinnen und Bürger zu orientieren, um diese auch wirklich zu erreichen. […]”. Aktuell wird die Facebook-Fanpage weiterhin betrieben.
Stellvertretender Regierungssprecher Wolfgang Büchner gibt dem Bundespresseamt Rückhalt. Er ist der Auffassung, dass der Facebook-Auftritt ein wichtiger Bestandteil der Öffentlichkeitsarbeit der Bundesregierung sei. Daran sollte Büchners Auffassung nach daher auch erst einmal festgehalten werden.
Wie das Verwaltungsgericht Köln entscheiden wird, bleibt erst einmal abzuwarten. Spannend bleibt der Fall allemal, da dem Bundespresseamt mit der Information der Öffentlichkeit eine wichtige Rolle zukommt.
20. März 2023
Im Jahr 2022 war China zum siebten Mal in Folge Deutschlands wichtigster Handelspartner. Im Zuge dessen gründen immer mehr europäische Unternehmen Konzerngesellschaften in China, um von den dortigen Marktchancen zu profitieren. Diese Expansion führt zwangsläufig zu Datentransfers von China an die europäische Hauptverwaltung.
Um den rechtlichen Anforderungen an den internationalen Datenverkehr gerecht zu werden, hat die chinesische Regierung im November 2021 ein neues Datenschutzgesetz verabschiedet. Dieses Gesetz legt ähnliche Vorgaben wie die DSGVO fest und enthält in Artikel 38 Regelungen zur Rechtmäßigkeit von Datenübermittlungen ins Ausland. Eine Möglichkeit, diese Vorgaben zu erfüllen, ist der Abschluss von Standardvertragsklauseln mit dem Datenempfänger.
Die Cyberspace Administration of China (CAC) hat im Februar 2023 die endgültige Fassung der Maßnahmen für die Standardvertragsklauseln für die grenzüberschreitende Übermittlung personenbezogener Daten (SCC-Maßnahmen) veröffentlicht. Die chinesischen Standardvertragsklauseln sind in diesen Maßnahmen enthalten. Diese neuen Vorgaben treten am 1. Juni 2023 in Kraft. Unternehmen haben bis zum 30. November 2023 Zeit, um Maßnahmen zur Einhaltung der SCC-Maßnahmen zu ergreifen.
Um die Vorgaben einzuhalten, müssen Unternehmen unter anderem sicherstellen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten eingehalten werden. Unternehmen sollten auch die nationalen Gesetze und Vorschriften beider Länder sorgfältig prüfen, um zu vermeiden, dass sie gegen Datenschutzgesetze verstoßen.
Datenübermittlung aufgrund SCC außerhalb Chinas
Die Übermittlung von Daten aus China ins Ausland kann nicht immer aufgrund der SCC (Standard Contractual Clauses) erfolgen. Laut Art. 4 der SCC-Maßnahmen können die SCC nur verwendet werden, wenn alle vier Bedingungen erfüllt sind, darunter die Verarbeitung von persönlichen Informationen von weniger als einer Million Menschen, die Durchführung von grenzüberschreitenden Übertragungen von weniger als 100.000 allgemeinen persönlichen Informationen und weniger als 10.000 sensiblen persönlichen Informationen seit dem 1. Januar des vorangegangenen Jahres sowie die Nicht-Zugehörigkeit zum Betreiber kritischer Informationsinfrastrukturen. Diese Schwellenwerte entsprechen den Schwellenwerten für grenzüberschreitende Datenübertragungen, die einer von der CAC durchgeführten Sicherheitsbewertung bedürfen. Unternehmen dürfen die Datenübertragungen nicht aufteilen, um den Sicherheitsbewertungsmechanismus der CAC zu umgehen, und müssen die jährliche Gesamtmenge der zu übertragenden Daten schätzen.
Model der chinesischen SCC
Die chinesischen SCC bestehen im Gegensatz zu den EU-Standardvertragsklauseln aus einem universellen Modul, welches für alle Datenexporteure (Verarbeiter) Chinas und Datenimporteure im Ausland gilt, unabhängig von ihrer Rolle und Funktion. Es ist zu beachten, dass es auch für solche Datenexporteure gilt, die zwar nicht in China ansässig sind, jedoch nach Art. 3 Abs. 2 PIPL für die betreffende Verarbeitung der PIPL unterliegen. Nach Art. 3 Abs. 2 PIPL findet das Gesetz Anwendung auf Verarbeitungen persönlicher Daten natürlicher Personen außerhalb des Gebiets der Volksrepublik China, wenn bestimmte Umstände vorliegen, wie zum Beispiel die Verarbeitung zum Zweck, natürlichen Personen innerhalb des chinesischen Gebiets Waren oder Dienstleistungen anzubieten oder das Verhalten natürlicher Personen innerhalb des chinesischen Gebiets zu analysieren oder zu bewerten.
Bußgelder
Die Provinz-Aufsichtsbehörde kann Korrekturen bei grenzüberschreitendem Datentransfer verlangen und hat einen Meldemechanismus für Verstöße eingerichtet. Verstöße gegen das chinesische Gesetz zum Datenschutz können zu administrativen, zivil- und strafrechtlichen Konsequenzen führen. Die Höchststrafen betragen 50 Millionen RMB oder 5 % des Vorjahresumsatzes, je nachdem, welcher Betrag höher ist. Das PIPL sieht auch persönliche Haftung vor und es können Geldstrafen von bis zu einer Million Yuan sowie Verbote für bestimmte Positionen verhängt werden.
Kernklauseln der chinesischen SCC
Deutsche Unternehmen sollten insbesondere folgende Pflichten beachten: Der Datenimporteur darf personenbezogene Daten nur gemäß den Bedingungen verarbeiten, die im Anhang I aufgeführt sind, und darf die Daten nicht über den vereinbarten Umfang hinaus verarbeiten. Der Importeur muss die Rechte und Interessen der betroffenen Person minimal beeinflussen und die Sicherheit der Datenverarbeitung durch technische und organisatorische Maßnahmen gewährleisten. Im Falle von Datenschutzverletzungen muss der Importeur Maßnahmen zur Abhilfe ergreifen, den Verarbeiter benachrichtigen und die Aufsichtsbehörden informieren. Eine weitere Übermittlung von personenbezogenen Daten durch den ausländischen Empfänger ist nur unter bestimmten Bedingungen gestattet.
Fazit
Die chinesischen SCC ähneln im Allgemeinen den EU-Standardvertragsklauseln. Im Gegensatz zu den EU-SCC gibt es jedoch keine Unterscheidung zwischen Übertragungen von Controller zu Prozessor und von Controller zu Controller in den chinesischen SCC. Stattdessen gibt es ein einziges Modul mit vielen Bestimmungen, die dem Controller-zu-Prozessor-Modul der EU-SCC ähneln
17. März 2023
Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI), Professor Ulrich Kelber hat am 15. März 2023 den Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin spricht er insgesamt zehn Empfehlungen aus und befasst sich mit den verschiedenen Schwerpunktthemen.
Zahl der gemeldeten Verstöße nimmt zu
2022 gingen 10.658 Meldungen beim BfDI ein, das sind gut fünf Prozent mehr als im Vorjahr. Bürgerinnen und Bürger wendeten sich mit 6.619 Beschwerden und Anfragen an die Behörde. Seit Einführung der Datenschutz-Grundverordnung (DSGVO) sei eine leicht fallende Tendenz in dieser Hinsicht zu beobachten. Der BfDI führt dies „auch auf die intensive Beratung z. B. bei Jobcentern und Finanzämtern zurück, die zur Verbesserung der Verarbeitungsprozesse und damit zu weniger Beschwerden geführt haben“ (S. 111).
Elektronische Patientenakte, Facebook-Fanpage, künstliche Intelligenz und mehr
Der Tätigkeitsbericht deckt zahlreiche Themenfelder ab. Viele davon sind und waren auch Teil der öffentlichen Debatte. So hält der BfDI das viel diskutierte Opt-Out-Verfahren bei der elektronischen Patientenakte grundsätzlich für möglich, sieht allerdings keine Erforderlichkeit, von der derzeitigen Opt-In-Lösung abzuweichen.
Auch die Anweisung gegenüber dem Bundespresseamt, den Betrieb von Facebook-Fanpages einzustellen, ist Teil des Tätigkeitsberichts. Nach Ansicht des BfDI ist ein datenschutzkonformer Betrieb nicht möglich. Inzwischen hat das Bundespresseamt beim Verwaltungsgericht Köln erhoben. Es ist der Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind“.
Der Einsatz von künstlicher Intelligenz (KI) wird im Tätigkeitsbereich an verschiedenen Stellen aufgegriffen. So empfiehlt der BfDI der Bundesregierung den Erlass eines Beschäftigtendatenschutzgesetzes, „in dem etwa der Einsatz von KI im Beschäftigungskontext, die Grenzen der Verhaltens- und Leistungskontrolle sowie typische Datenverarbeitungen im Bewerbungs- und Auswahlverfahren klar geregelt werden“. Zudem äußert er sich kritisch gegenüber der von der Europäischen Union geplanten Chat-Kontrolle. Diese biete „kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation“ (S. 45).
16. März 2023
Im Rahmen eines Beschwerdeverfahrens gegen den US-Konzern „Meta“ stellte die österreichische Datenschutzbehörde (DSB) die Rechtswidrigkeit der durch Meta zur Verfügung gestellten Tools „Facebook Logins“ und „Meta Pixel“ fest. Grund für diese Entscheidung sei der rechtswidrige Drittlandstransfer personenbezogener Daten in die USA.
Hintergründe
Zu der Entscheidung der DSB kam es aufgrund einer durch die Datenschutzorganisation „none of your business“ (noyb) angestrengten Beschwerde. Diese strengte noyb zusammen mit weiteren 100 Beschwerden gegen verschiedene Webseitenbetreiber an, die auf ihren Seiten Anwendungen von Meta und Google implementiert hatten (wir berichteten).
Im konkreten Fall ging noyb gegen den Betreiber eines Online-Nachrichtenportals vor. Dieser hatte u.a. die von Meta zur Verfügung gestellten Tools Facebook Logins und Meta Pixel auf seiner Webseite implementiert. Insoweit sei es fraglich gewesen, ob die aufgrund der Implementierung erfolgte Datenübermittlung in die USA durch eine geeignete Garantie nach Art. 45 DSGVO oder eine Ausnahme nach Art. 49 DSGVO erlaubt sei.
Facebook Logins und Meta Pixel
Facebook Login sei, laut Meta eine Anwendung, die die Nutzererfahrung verbessere. Der Nutzer einer Webseite müsse sich kein neues Benutzerkonto anlegen, sondern könne sein Facebook-Profil zur Anmeldung verwenden. Die DSB stellte allerdings fest, dass aufgrund der Implementierung von Facebook Logins eine Vielzahl personenbezogener Daten der Nutzer in die USA übermittelt werden. Dazu zählen u.a. die IP-Adresse, Ort und Datum des Webseitenbesuches und die Nutzer-ID.
Meta Pixel sei, wie der Konzern erklärt, eine Anwendung, die es Webseitenbetreibern ermögliche, das Verhalten ihrer Nutzer nachzuvollziehen. Alle Handlungen, die ein Nutzer auf der Webseite vornehme, wie beispielweise das Hinzufügen eines Artikels in den Warenkorb, könne die Anwendung dokumentieren. Wie auch bei Facebook-Logins, komme es bei Meta Pixel zu einer Datenübermittlung in die USA. Zu diesen personenbezogenen Daten zählen u.a. die IP-Adresse und die Klickdaten für Buttons des Endgerätes.
Feststellung der DSB
Hinsichtlich der Datenübermittlung in die USA stellt die DSB einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 ff. DSGVO fest. Obwohl zu dem fraglichen Zeitpunkt der EuGH den „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, bereits für unwirksam erklärt habe, sollte auf seiner Grundlage eine Datenübermittlung erfolgen. Demnach reichten später eingeführte Standardvertragsklauseln aus Sicht der DSB nicht zur rechtwirksamen Datenübermittlung. Die untersuchte Datenübermittlung sei vor Einführung der Vertragsklauseln erfolgt. Eine Ausnahme iSd Art. 49 DSGVO habe die Webseite nicht für die Datenübermittlung vorgesehen.
Fazit
Vorsitzender der Organisation noyb, Max Schrems, betonte, dass erstmalig eine Aufsichtsbehörde einem Webseitenbetreiber die Illegalität der Facebook-Tracking-Technologie aufgezeigt habe.
Abschließend bleibt fraglich, wann und ob mehr Rechtssicherheit in Bezug auf die Datenübermittlung in die USA einkehren wird.
Pages: 1 2 ... 5 6 7 8 9 ... 262 263 
