Datenschutz Monatlich: August 2023

Image of Carlo Cilento

Veröffentlicht am 24. Aug. 2023 und bearbeitet am 13. Sept. 2023 von Carlo Cilento

  1. Europäische Kommission beschließt Rahmen für US-Datentransfer
  2. Europäische Kommission will Google-Geschäfte aufspalten
  3. Meta muss nach CJEU-Urteil erneut Datenschutzrichtlinie ändern
  4. EU macht Fortschritte bei der digitalen Gesetzgebung
  5. 24 US-Bundesstaaten fordern Schadensbegrenzung nach Dobbs v. Jackson
  6. Französische Aufsichtsbehörde verhängt Geldstrafe von 40 Mio. Euro gegen großen Adtech-Anbieter
  7. Wegweisendes EuGH-Urteil zum Schadenersatz nach der DSGVO
  8. OpenAI sieht sich Sammelklage wegen Web-Scraping gegenüber
  9. Meta verzögert den EU-Start von Threads
  10. US-Geheimdienst kauft Verbraucherdaten
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Europäische Kommission beschließt Rahmen für US-Datentransfer

Am 10. Juli nahm die Europäische Kommission eine Angemessenheitsentscheidung für die Vereinigten Staaten an. Dies ist der letzte Schritt zur Umsetzung des seit langem erwarteten Transatlantischen Datenschutzrahmens, eines bilateralen Rahmens zwischen der EU und den USA, der einen einfacheren Datenverkehr zwischen den USA und den EU/EWR-Ländern ermöglicht.

Der Rahmen ist der Versuch der EU und der USA, die Rechtsunsicherheit bei Datenübertragungen infolge der Urteile Schrems I und II des EU-Gerichtshofs zu beseitigen. Nicht alle sind darüber glücklich: Das Europäische Parlament hat sich in einer nicht bindenden Abstimmung mit überwältigender Mehrheit gegen den Rahmen ausgesprochen, und noyb - eine Nichtregierungsorganisation, die bereits in das Rechtsdrama um die Datenübermittlung verwickelt ist - hat bereits angekündigt, dass sie die Entscheidung vor dem Europäischen Gerichtshof anfechten wird.

Es bleibt abzuwarten, ob der neue Rahmen die Prüfung durch den Gerichtshof übersteht oder das gleiche Schicksal erleidet wie die Rahmenwerke Safe Harbor und Privacy Shield.

Weitere Informationen über den Rahmen finden Sie in unserem Blog.

Europäische Kommission will Google-Geschäfte aufspalten

Die Europäische Kommission hat den Google-Eigentümer Alphabet Inc. über ihre vorläufige Auffassung informiert, dass Google gegen das Kartellrecht verstößt und möglicherweise aufgefordert wird, seine Geschäftsbereiche aufzulösen.

Die Mitteilung ist das Ergebnis einer Untersuchung der Rolle von Google auf dem Online-Werbemarkt, bei der die Kommission feststellte, dass Google auf mindestens zwei verschiedenen Märkten eine beherrschende Stellung innehat: bei den Anzeigenservern für Verlage und bei den Tools für den Online-Anzeigenkauf. Die Kommission ist der Ansicht, dass Google seine beherrschende Stellung missbraucht, indem es seine eigenen Dienste in den über seine AdX-Plattform betriebenen Anzeigenbörsen bevorzugt.

Nach Ansicht der Kommission ist die Veräußerung einiger Google-Dienste die einzige Möglichkeit, diesen Missbrauch zu beenden. Die Untersuchung ist noch nicht abgeschlossen und sollte aufmerksam verfolgt werden.

Meta muss nach CJEU-Urteil erneut Datenschutzrichtlinie ändern

Im jüngsten Urteil des Bundeskartellamts stellte der EU-Gerichtshof fest, dass die Tracking-Tools von Facebook sensible Daten verarbeitenund dass Meta Nutzer nicht ohne deren Zustimmung für verhaltensbezogene Werbung verfolgen darf.

Insbesondere die Ausführungen des Gerichtshofs zur verhaltensorientierten Werbung könnten das Aus für die neue Datenschutzpolitik von Meta bedeuten. Meta hatte kürzlich angekündigt, die Zustimmung der Nutzer für gezielte Werbung einzuholen. Die angekündigte Änderung wäre die zweite Aktualisierung der Datenschutzpolitik des Unternehmens innerhalb eines Jahres, nachdem Meta bereits seine Rechtsgrundlagen als Reaktion auf die Geldbußen der irischen Datenschutzbehörde geändert hatte.

In der Zwischenzeit hat die norwegische Datenschutzbehörde die gezielte Werbung auf Facebook und Instagram aufgrund des Gerichtsurteils vorübergehend verboten.

Die Entscheidung des Bundeskartellamts ist sehr wichtig, weshalb wir sie in zwei Blogs ausführlich analysiert haben (klicken Sie hier für den ersten Teil).

EU macht Fortschritte bei der digitalen Gesetzgebung

Das Europäische Parlament hat eine neue Version des KI-Gesetzentwurfs angenommen. Der Vorschlag muss nun zwischen dem Parlament, der Europäischen Kommission und dem Europäischen Rat verhandelt werden. Der neue Entwurf enthält derzeit strengere Regeln für generative KI und biometrische Überwachung im öffentlichen Raum.

Gleichzeitig erzielten der Europäische Rat und Vertreter des Parlaments eine Einigung über den Entwurf des Datengesetzes. Der Vorschlag muss nun noch vom Europäischen Parlament und der Kommission genehmigt werden. Im Falle seiner Verabschiedung wird das Datengesetz die Rechte auf Datenübertragbarkeit in der gesamten EU stärken und vertragliche Ungleichgewichte in Bezug auf die gemeinsame Nutzung von Daten beseitigen, um so den Weg zu einem Datenbinnenmarkt zu ebnen.

24 US-Bundesstaaten fordern Schadensbegrenzung nach Dobbs v. Jackson

24 US-Bundesstaaten, angeführt von den Generalstaatsanwälten von Kalifornien und New York, forderten den Kongress auf , den HIPAA (Health Insurance Portability and Accountability Act) zu verschärfen, nur wenige Monate nachdem die US-Gesundheitsbehörde den Gesetzgeber dazu aufgefordert hatte.

Der Vorstoß für einen stärkeren Schutz von Gesundheitsdaten ist eine Reaktion auf das Urteil des US-Gerichtshofs im Fall Doobs gegen Jackson, das einer Welle von Anti-Abtreibungsgesetzen in konservativen Staaten Tür und Tor öffnete. Dies führte zu einer weitreichenden Menschenrechts- und Datenschutzkrise: Die Gesundheitsdaten von Frauen werden häufig zur Strafverfolgung verwendet und befinden sich in den Händen von Unternehmen, die oft mehr als bereit sind, sie an den Meistbietenden zu verkaufen.

Französische Aufsichtsbehörde verhängt Geldstrafe von 40 Mio. Euro gegen großen Adtech-Anbieter

Die französische Datenschutzbehörde (CNIL) hat das Online-Werbeunternehmen Criteo mit einer Geldstrafe in Höhe von 40 Millionen Euro belegt, weil es nicht in der Lage war, die Zustimmung der Verbraucher nachzuweisen, und weil es unter anderem an Transparenz mangelte.

Die Entscheidung berührt interessante rechtliche Fragen. Nach Ansicht der CNIL können Werbemittler wie Criteo die Einhaltung der Vorschriften nicht einfach aus der Hand geben und ihren Partnern die Einwilligung vollständig überlassen. Stattdessen müssen sie von ihren Partnern verlangen, dass sie Daten auf rechtmäßige Weise erheben, und sie müssen in der Lage sein, die Zustimmung der Nutzer nachzuweisen.

Die CNIL ist eine einflussreiche Behörde in Europa. Sollten andere Behörden ihrem Beispiel folgen, könnte dieser Ansatz erhebliche Auswirkungen auf die Position von Vermittlern auf dem Online-Werbemarkt haben.

Wegweisendes EuGH-Urteil zum Schadenersatz nach der DSGVO

Der EU-Gerichtshof hat in einem Urteil, das die österreichische Post betraf, einige wichtige Aspekte des Schadensersatzsystems im Rahmen der Datenschutz-Grundverordnung geklärt.

Die Entscheidung ist recht technisch und dreht sich um das in Artikel 82 der Verordnung vorgesehene Entschädigungssystem. Der Gerichtshof stellte fest, dass es nach der Datenschutz-Grundverordnung keinen Schwellenwert für Schadenersatz gibt. Der Gerichtshof stellte auch klar, dass Schadenersatz nicht für einen bloßen Verstoß gegen die Datenschutz-Grundverordnung gewährt werden kann: Der Kläger muss infolge des Verstoßes in irgendeiner Form einen Schaden erlitten haben - ob materiell oder immateriell.

OpenAI sieht sich Sammelklage wegen Web-Scraping gegenüber

Vor dem Bundesgericht in San Francisco wurdeeine Sammelklage gegen OpenAIeingereicht. Die Kläger beschweren sich darüber, dass die Suchmaschinen ChatGPT und DALL-E enorme Mengen an persönlichen Daten aus dem Internet gesammelt haben, ohne die Internetnutzer zu informieren oder um Erlaubnis zu fragen.

Data Scraping ist ein heißes juristisches Thema auf beiden Seiten des Ozeans. Das Abgreifen der Daten von Millionen ahnungsloser Internetnutzer war einer der Gründe, die zum einmonatigen Verbot von ChatGPT in Italien führten. Im Anschluss an die italienische Untersuchung befassen sich derzeit auch andere europäische Aufsichtsbehörden mit den Datenschutzproblemen von ChatGPT, und der Europäische Datenschutzausschuss hat eine Task Force zur Koordinierung ihrer Bemühungen eingerichtet.

Meta verzögert den EU-Start von Threads

Ein Meta-Sprecher gab bekannt, dass die soziale Plattform Threads in der EU nicht verfügbar sein wird. Nachrichtenquellen wie der Irish Independent und Politico berichten, dass die Entscheidung auf den Digital Markets Act der EU zurückzuführen sein könnte, der es Gatekeeper-Unternehmen verbietet, Datensätze von verschiedenen Plattformen zu kombinieren.

Übrigens führt Meta bereits Daten von Facebook- und Instagram-Nutzern zusammen. Es wird interessant sein zu sehen, ob Meta Maßnahmen ergreifen wird, um die Einhaltung des DMA in Bezug auf die Zusammenführung von Datenbanken zu gewährleisten.

US-Geheimdienst kauft Verbraucherdaten

Eine Neuigkeit, die niemanden überraschen wird, ist ein freigegebener Bericht des Office of the Director of National Intelligence, der bestätigt, dass die US-Geheimdienste bis mindestens 2022 Verbraucherdaten von Datenmaklern gekauft haben.

Es ist ein offenes Geheimnis, dass Nachrichtendienste in der ganzen Welt zunehmend auf kommerziell verfügbare Informationen zurückgreifen. Das ist eine diplomatische Umschreibung dafür, dass sie enorme Mengen an personenbezogenen Daten von Unternehmen und Datenmaklern kaufen. Der Kauf von Daten auf dem Markt ist einfacher, als sie direkt zu erheben, und ermöglicht es den Geheimdiensten manchmal, Beschränkungen zu umgehen, die sonst für ihre Tätigkeit gelten würden. Diese Praxis wirft Fragen in Bezug auf die Privatsphäre und die Bürgerrechte auf, wie im Bericht selbst hervorgehoben wird.

GA4 ist komplex. Versuchen Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen, ohne einen Pilotenschein zu haben

14-Tage-Testversion starten