Der Mai war ereignisreich. Die lang erwartete Entscheidung über die Datenübermittlung kam endlich, verpackt in einer zehnstelligen Geldstrafe für Meta. Linkedin ist der nächste in der Reihe der großen GDPR-Strafen. Das EU-Parlament lehnte das Trans-Atlantic Data Privacy Framework ab und vieles mehr.
Und wir wollen nicht vergessen: Im Amerika nach dem Urteil Dobbs vs. Jackson herrscht ein Chaos in Sachen Datenschutz und Menschenrechte, und Big Tech steht (wenig überraschend) auf der falschen Seite.
- Verbot der Datenübermittlung und Rekordgeldstrafe für Facebook
- EU-Parlament gegen US-Datentransferrahmen
- Google verspricht, sensible Standortdaten zu löschen, hält sich aber nicht daran
- Linkedin muss wegen gezielter Werbung eine hohe Geldstrafe zahlen
- Vorgeschlagene Chat-Kontrollverordnung wahrscheinlich illegal
- Zwei weitere US-Datenschutzgesetze
- Ana Talus zur EDPB-Vorsitzenden gewählt
- Twitter kann nicht aus der DSA austreten
Tauchen wir ein!
Verbot der Datenübermittlung und Rekordgeldstrafe für Facebook
Am 22. Mai ordnete der irische Datenschutzbeauftragte an, dass Meta Platforms Ireland die Datenübermittlung für Facebook aussetzen muss, und verhängte eine Rekordstrafe von 1,2 Milliarden Euro. Meta wurde außerdem angewiesen, bereits in die USA übermittelte personenbezogene Daten zu löschen.
Die Entscheidung ist das Ergebnis eines jahrzehntelangen Rechtsstreits, an dem der Anwalt für den Schutz der Privatsphäre Max Schrems, die Datenschutzbehörde, die irische Justiz, der Europäische Gerichtshof und der Europäische Datenschutzausschuss beteiligt waren. Der Ausschuss spielte eine Schlüsselrolle bei der Entscheidung, indem er die Datenschutzbehörde dazu drängte, eine Geldstrafe zu verhängen und die Löschung personenbezogener Daten anzuordnen.
Meta beabsichtigt, die Entscheidung anzufechten und eine Aussetzung der Anordnung der Datenschutzbehörde zu beantragen. Damit verschafft sich das Unternehmen etwas Zeit, bis der transatlantische Datenschutzrahmen vollständig umgesetzt ist, um eine EU-weite Sperrung von Facebook zu vermeiden.
Dieser Fall ist wegweisend für die Durchsetzung der Datenübertragungsregeln der Datenschutz-Grundverordnung und wurde in unserem Blog ausführlich erörtert.
EU-Parlament gegen US-Datentransferrahmen
Der LIBE-Ausschuss des EU-Parlaments lehnte den vorgeschlagenen transatlantischen Datenschutzrahmen im April einstimmig ab. Am 11. Mai folgte das EU-Parlament. Beide Abstimmungen sind für die Europäische Kommission nicht rechtsverbindlich.
Das Parlament erkannte an, dass der Rahmen einen Fortschritt gegenüber seinem Vorgänger (dem Privacy Shield) darstellt, äußerte aber auch Bedenken, u.a. wegen der Massenerfassung von Daten und der mangelnden Transparenz des Rechtsbehelfsmechanismus. Das Parlament bezweifelt auch, dass der neue Rahmen einer Überprüfung durch den EU-Gerichtshof standhalten wird.
Es ist unwahrscheinlich, dass das Votum des Parlaments die Kommission an der vollständigen Umsetzung des Rahmens hindern wird. Aller Wahrscheinlichkeit nach wird die vorhersehbare Anfechtung vor dem Europäischen Gerichtshof eine Feuertaufe für den neuen Rahmen und die Stunde der Wahrheit für die Datenübermittlung zwischen der EU und den USA sein.
Google verspricht, sensible Standortdaten zu löschen, hält sich aber nicht daran
Eine kürzlich von der Washington Post durchgeführte Untersuchung hat ergeben, dass Google sein Versprechen, Gesundheitskliniken und andere "sensible" Standorte aus dem Standortverlauf zu löschen, nicht einhält.
Es steht viel auf dem Spiel: Vor einem Jahr hob der Oberste Gerichtshof der USA das Grundsatzurteil Roe vs. Wade auf, das es den Staaten erlaubte, Abtreibungen zu verbieten. Die konservativen Staaten haben sofort Anti-Abtreibungsgesetze erlassen, und nun verfolgt die Polizei Abtreibungswillige anhand von Daten , die von Big Tech bereitgestellt werden.
Der Schutz der Privatsphäre ist für amerikanische Frauen von entscheidender Bedeutung, und Big Tech ist dabei keine Hilfe - um es milde auszudrücken.
Linkedin muss wegen gezielter Werbung eine hohe Geldstrafe zahlen
Laut Reuters erwartet Microsoft eine Geldstrafe in Höhe von 400 Millionen Euro von der irischen Datenschutzkommission wegen gezielter Werbung im sozialen Netzwerk Linkedin. Weitere Einzelheiten über die Entscheidung sind nicht bekannt.
Vor einigen Monaten hatte die Datenschutzkommission Meta Ireland wegen illegaler gezielter Werbung auf den Plattformen Facebook und Instagram zu einer Geldstrafe von insgesamt 390 Millionen Euro verurteilt. Mit der erwarteten Geldstrafe gegen Microsoft wäre Linkedin das dritte soziale Netzwerk, das innerhalb kurzer Zeit mit hohen Geldstrafen wegen gezielter Werbung belegt wird.
Vorgeschlagene Chat-Kontrollverordnung wahrscheinlich illegal
Wie The Guardian berichtet, deuten durchgesickerte interne EU-Rechtsgutachten darauf hin, dass der umstrittene Vorschlag der Kommission für eine Verordnung gegen sexuellen Kindesmissbrauch illegal sein könnte.
Den Dokumenten zufolge verstößt der Entwurf gegen die in der Rechtsprechung des Europäischen Gerichtshofs festgelegten Standards für die elektronische Überwachung. Dies bedeutet, dass der Gerichtshof eine künftige Verordnung bei einer gerichtlichen Überprüfung wahrscheinlich für ungültig erklären wird.
Die vorgeschlagene Verordnung verpflichtet die Anbieter von Kommunikationsdiensten, Videos und Bilder zu scannen, um Kinderpornografie zu erkennen. Scansysteme können jedoch nicht implementiert werden, ohne die Ende-zu-Ende-Verschlüsselung zu beeinträchtigen, die von beliebten Messaging-Diensten wie WhatsApp, Telegram und Signal eingesetzt wird.
Wegen seiner Auswirkungen auf die Verschlüsselung steht der Vorschlag im Mittelpunkt einer hitzigen rechtlichen und politischen Debatte, an der Interessenverbände, Regierungen und europäische Institutionen beteiligt sind.
Eine ähnliche Debatte gibt es um den Entwurf für das britische Gesetz zur Online-Sicherheit, das von vielen Interessenverbänden und Dienstanbietern gleichermaßen abgelehnt wird. WhatsApp hat sogar damit gedroht, den britischen Markt zu verlassen, sollte der Entwurf Gesetz werden.
Zwei weitere US-Datenschutzgesetze
Am 8. Mai verabschiedete der Bundesstaat Florida ein neues Datenschutzgesetz. Auch der texanische Gesetzgeber hat ein Datenschutzgesetz verabschiedet, das voraussichtlich am Wochenende in Kraft treten wird.
Beide Gesetze konzentrieren sich auf Unternehmen und die Rechte der Betroffenen und enthalten Ausnahmen für kleine Unternehmen. Diese Ausnahmen sind im Gesetzentwurf von Florida im Gegensatz zum texanischen Entwurf sehr weit gefasst.
In den USA gibt es kein allgemeines Bundesgesetz zum Datenschutz. Die einzigen bundesstaatlichen Datenschutzbestimmungen finden sich in sektoralen Rechtsvorschriften wie HIPAA und COPPA. Die Verhandlungen über ein Bundesdatenschutzgesetz (ADPPA) sind ins Stocken geraten, und in der Zwischenzeit verabschieden immer mehr Bundesstaaten ihre eigenen Datenschutzgesetze.
Ana Talus zur EDPB-Vorsitzenden gewählt
Am 25. Mai wurde Ana Talus, Leiterin der finnischen Datenschutzbehörde, zur neuen Vorsitzenden des Europäischen Datenschutzausschusses gewählt. Die Zypriotin Irene Loizidou Nikolaidou wird als stellvertretende Vorsitzende fungieren.
Der EDSB hat bisher eine zentrale Rolle bei der Durchsetzung und Auslegung der Datenschutz-Grundverordnung gespielt. Die Leitfäden des Ausschusses haben die Auslegung der Datenschutz-Grundverordnung und anderer Quellen des EU-Datenschutzrechts stark beeinflusst. Und in jüngster Zeit war der Ausschuss selbst direkt an mehreren viel beachteten Entscheidungen beteiligt, die Meta Ireland betrafen.
Die ehemalige und erste Vorsitzende des EDPB war Andrea Jelinek, Leiterin der österreichischen Datenschutzbehörde.
Twitter kann nicht aus der DSA austreten
In einem eher verwirrenden Schritt hat Twitter am 26. Mai den EU-Verhaltenskodex für Desinformation gekündigt, Monate bevor die Vorschriften des Digital Services Act zur Moderation von Inhalten in Kraft treten.
Dieser Schritt führte zu bissigen Bemerkungen der EU-Kommissare Thierry Breton und Vera Jourova. Wenn man bedenkt, dass die Kommission selbst den DSA durchsetzt, ist dies wahrscheinlich nicht der beste Start.
Die Einhaltung der DSA wird für Online-Plattformen nicht einfach sein, und in Anbetracht des unberechenbaren und kapriziösen Managementstils des neuen Eigentümers erwarten wir, dass Twitter mehr Schwierigkeiten haben wird als andere.