Willkommen zurück zu unserem monatlichen Datenschutzbericht! Der April war ein ereignisreicher Monat in Sachen Datenschutz: Der Fall ChatGPT schlug Wellen in ganz Europa, Meta riskiert eine europaweite Facebook-Sperre, der LIBE-Ausschuss des EU-Parlaments hat sich gegen den Rahmen für den Datentransfer zwischen der EU und den USA ausgesprochen, und vieles mehr.
- Ein heißer Monat für ChatGPT
- EU-Parlamentarier drängen gegen US-Entscheidung zur Angemessenheit
- EPPO untersucht die Verwendung von Pegasus in Griechenland
- Steht ein Facebook-Blackout bevor?
- EU-Kommission veröffentlicht erste Liste der vom DSA betroffenen Dienste
- Cambridge Analytica 2.0?
- Frankreich ratifiziert das Übereinkommen 108+
- EDPB veröffentlicht Bericht der Belegschaft über Google-Analytics-Beschwerden
- Meta ändert seine Datenschutzrichtlinien nach der EDPB-Entscheidung
- TikTok hat erneut Daten von Kindern falsch behandelt
- US-Bürger können einen Vergleich mit Facebook beantragen
Ein heißer Monat für ChatGPT
Die beliebte ChatGPT-KI von OpenAI stand in letzter Zeit im Mittelpunkt der Datenschutzdebatte. Am 30. März hat die italienische Datenschutzbehörde ChatGPT aufgrund von Datenschutzproblemen vorläufig gesperrt(wie wir ausführlich erläutert haben). Open AI hat seitdem einige Änderungen an der Datenverarbeitung von ChatGPT vorgenommen, was die italienische Behörde dazu veranlasste, das Verbot am 28. April aufzuheben. Die Behörde führt jedoch noch immer eine eingehende Untersuchung durch und kann gegebenenfalls weitere Maßnahmen ergreifen.
Der Fall setzte einen EU-weiten Dominoeffekt in Gang. Der Europäische Datenschutzausschuss (EDPB) richtete eine Task Force ein, die die rechtlichen Fragen im Zusammenhang mit ChatGPT untersuchen und das Vorgehen der Behörden koordinieren soll. Aller Wahrscheinlichkeit nach wird die Arbeit der Task Force über ChatGPT hinausgehen und sich auf die Regulierung der generativen KI auswirken. In der Zwischenzeit führen sowohl die französischen als auch die deutschen Datenschutzbehörden ihre eigenen Untersuchungen zu ChatGPT durch.
Nicht zuletzt hat das Europäische Parlament einem neuen Entwurf des KI-Gesetzesvorschlags zu gestimmt, der generative KI wie ChatGPT als hohes Risiko einstuft und sie strengeren Risikomanagement- und Datenschutzvorschriften unterwirft.
EU-Parlamentarier drängen gegen US-Entscheidung zur Angemessenheit
Am 13. April hat der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments einstimmig gegen die bevorstehende Angemessenheitsentscheidung der Europäischen Kommission für die USA gestimmt. Die Entschließung ist für die Kommission nicht bindend, dürfte aber die Diskussion über den neuen Rahmen für den Datentransfer zwischen der EU und den USA beeinflussen, insbesondere angesichts der überraschenden Einstimmigkeit, die hinter dem Votum steht.t
In der Entschließung wird anerkannt, dass der Transatlantische Datenschutzrahmen eine Verbesserung gegenüber dem Privacy Shield darstellt, doch werden Probleme wie die Kriterien für die Massenerfassung von Daten, die Vorschriften für die Vorratsdatenspeicherung und die Transparenz des Rechtsbehelfsmechanismus hervorgehoben.
Der Entwurf des Angemessenheitsbeschlusses wird wahrscheinlich trotzdem von der Kommission angenommen. Aller Wahrscheinlichkeit nach wird die vorhersehbare Anfechtung vor dem Europäischen Gerichtshof die Feuerprobe für den neuen Datentransferrahmen sein.
EPPO untersucht die Verwendung von Pegasus in Griechenland
Auf Ersuchen von Mitgliedern des Europäischen Parlaments hat die Europäische Staatsanwaltschaft eine Untersuchung über die Verwendung und den Verkauf von Spionagesoftware militärischer Qualität in Griechenland eingeleitet.
Die Verwendung von militärischer Spionagesoftware (insbesondere Pegasus) durch staatliche Akteure ist auf europäischer Ebene ein heißes Thema und wurde von Menschenrechtsorganisationen stark kritisiert. Letztes Jahr veröffentlichte der PEGA-Ausschuss des EU-Parlaments einen Bericht, der ein besorgniserregendes Bild vom Einsatz von Spionagesoftware in der EU zeichnete. Kurz darauf forderte der Europäische Datenschutzbeauftragte in seiner Stellungnahme zum Europäischen Gesetz über die Medienfreiheit ein Verbot von Spähsoftware militärischer Qualität.
Griechenland steht derzeit im Mittelpunkt des Spionagesoftware-Skandals. Die griechische Regierung soll die Spionagesoftware Predator zur Überwachung von Politikern und Journalisten eingesetzt und Predator-Lizenzen an andere Länder verkauft haben (u. a. an den Sudan, der derzeit in einen Bürgerkrieg verwickelt ist).
Steht ein Facebook-Blackout bevor?
Nach Angaben der IAPP könnte der irische Datenschutzbeauftragte bald den Datentransfer zwischen der EU und den USA für Facebook aussetzen, was zu einem EU-weiten Facebook-Blackout führen könnte.
Die Entscheidung ist ein weiterer Schritt in einem langen Rechtsstreit über die Datenübertragungsregeln der DSGVO, an dem die Datenschutz-NGO noyb und der Europäische Datenschutzausschuss beteiligt sind. Der Ausschuss hat den Streit bereits am 13. April mit einer noch unveröffentlichten Entscheidung beigelegt. Die Kommissarin, die rechtlich an die Entscheidung des Gremiums gebunden ist, wird voraussichtlich am 12. Mai ihre eigene endgültige Entscheidung veröffentlichen. Sollte die Datenübermittlung ausgesetzt werden, wird Meta die Entscheidung sicherlich vor den irischen Gerichten anfechten.
Zahlreiche US-Unternehmen haben ihre europäischen Niederlassungen in der Republik Irland, darunter Tech-Giganten wie Meta, Google und Apple. Die Entscheidung des Kommissars könnte daher erhebliche Auswirkungen auf die Datenübermittlung zwischen der EU und den USA haben.
EU-Kommission veröffentlicht erste Liste der vom DSA betroffenen Dienste
Am 25. April veröffentlichte die Europäische Kommission eine erste Reihe von Online-Plattformen und Suchmaschinen, die für die Zwecke des Gesetzes über digitale Dienste als "sehr groß" eingestuft werden.
Zu diesen Diensten gehören Facebook, der Apple App Store, TikTok und mehrere Google-Dienste, darunter Google Search und Youtube. Wikipedia ist der einzige Dienst auf der Liste, der von einer Non-Profit-Organisation angeboten wird.
Nach dem Gesetz unterliegen sehr große Online-Plattformen und Suchmaschinen strengeren Regeln in Bezug auf Transparenz, gezielte Werbung, Inhaltsmoderation und Schutz von Minderjährigen.
Cambridge Analytica 2.0?
Die Datenschutz-NGO noyb reichte eine Reihe von Beschwerden gegen die großen politischen Parteien in Deutschland ein und behauptete, dass sie während der Bundestagswahl 2021 über Facebook unrechtmäßig Wähler für politische Werbung auf Mikroebene ansprachen.
In den Worten von noyb-Mitglied Felix Micolash: "Alle Daten über die politischen Ansichten einer Person sind durch die Datenschutzgrundverordnung besonders streng geschützt. Solche Daten sind nicht nur äußerst sensibel, sondern ermöglichen auch eine groß angelegte Manipulation von Wählern, wie Cambridge Analytica gezeigt hat".
In einem kürzlich bekannt gewordenen Fall, an dem die NRO beteiligt war, stellte der Europäische Datenschutzausschuss fest, dass gezielte Werbung auf Facebook rechtswidrig ist (wie wir in unserem Blog erläutert haben). Dieser Präzedenzfall könnte der noyb bei den Beschwerden die Oberhand geben.
Die Erstellung von Profilen auf der Grundlage sensibler Daten in sozialen Netzwerken ist ein dringendes Problem für den Schutz der Privatsphäre, mit dem sich das Bezirksgericht Amsterdam kürzlich in einem Zivilverfahren befasst hat (das wir ausführlich erörtert haben). Unabhängig vom Ausgang und den Vorzügen der Klage von noyb ist es besorgniserregend, dass politisches Microtargeting im Stile von Cambridge-Analytica in Europa nach der Datenschutz-Grundverordnung stattgefunden hat.
Zufälligerweise haben sowohl das Europäische Parlament als auch der Europäische Datenschutzbeauftragte ein Verbot von politischem Microtargeting in der vorgeschlagenen Verordnung für die Transparenz und die gezielte Ausrichtung politischer Werbung gefordert. Könnte da etwas dran sein?
Frankreich ratifiziert das Übereinkommen 108+
Am 30. März ratifizierte Frankreich, das bereits Vertragspartei des Übereinkommens 108 war, das modernisierte Übereinkommen 108 (besser bekannt als Übereinkommen 108+).
Das ursprüngliche und das modernisierte Übereinkommen sind Verträge des Europarates, stehen aber auch Staaten außerhalb des Europarates offen. Bis heute sind die Konventionen die einzigen rechtsverbindlichen Vereinbarungen zum Datenschutz im internationalen Recht. Das Übereinkommen 108 wurde von 55 Staaten in der ganzen Welt ratifiziert (die meisten davon in Europa), aber nicht alle haben das Übereinkommen 108+ unterzeichnet und ratifiziert.
EDPB veröffentlicht Bericht der Belegschaft über Google-Analytics-Beschwerden
Im Jahr 2021 bildete der EDSB eine Arbeitsgruppe, die sich mit 101 Beschwerden der Nichtregierungsorganisation noyb gegen die Datenübermittlungen von Google im Zusammenhang mit Google Analytics befassen sollte. Ein Bericht über die Arbeit der Task Force wurde am 28. März nach einer überraschend langen Verzögerung veröffentlicht.
Der Bericht ist in seinem Ton eher vorsichtig, betont aber, dass die Standardvertragsklauseln für die Übermittlung von Daten in die USA durch zusätzliche Maßnahmen ergänzt werden müssen, wie der Gerichtshof in seinem Urteil in der Rechtssache Schrems II festgestellt hat. Außerdem wird hervorgehoben, dass die IP-Anonymisierungsoption von Google Analytics und die (nicht Ende-zu-Ende-) Verschlüsselung der Daten durch Google nicht ausreichen, um personenbezogene Daten vertraulich zu halten.
Dies ist nichts Neues, da mehrere Datenschutzbehörden in ihren Urteilen bereits dasselbe festgestellt haben (wir haben das Thema in unserem Blog eingehend untersucht). Letztendlich hängt die Zukunft der Datenübermittlung zwischen der EU und den USA immer noch von der bevorstehenden Schrems-III-Entscheidung über den transatlantischen Datenschutzrahmen ab.
Meta ändert seine Datenschutzrichtlinien nach der EDPB-Entscheidung
Am 5. April änderte Meta die Datenschutzrichtlinien für seine Plattformen Facebook und Instagram. Nach den neuen Richtlinien ist Metas Rechtsgrundlage für die Bereitstellung gezielter Werbung das berechtigte Interesse. Außerdem haben die Nutzer in der EU nun die Möglichkeit, sich gegen gezielte Werbung zu entscheiden.
Der Schritt erfolgte, nachdem die irische Datenschutzbehörde das Unternehmen zu einer Geldstrafe von insgesamt 390 Millionen Euro verurteilt hatte, weil es Nutzer beider Plattformen unrechtmäßig mit personalisierter Werbung ansprach. Die Geldstrafen waren das Ergebnis eines kontroversen, viel beachteten Falls, an dem die EDPB beteiligt war (wie wir in unserem Blog erläutert haben).
Noyb steht der neuen Rechtsgrundlage von Meta skeptisch gegenüber (zu Recht, wie wir meinen) und kündigte an, Meta in dieser Frage weiter anzufechten. Sie bieten auch ein Opt-out-Tool an, mit dem Facebook- und Instagram-Nutzer gezielte Werbung auf den Plattformen ablehnen können.
TikTok hat erneut Daten von Kindern falsch behandelt
Am 4. April verhängte die britische Datenschutzbehörde (ICO) gegen TikTok eine Geldstrafe in Höhe von 12,7 Millionen Pfund wegen der unrechtmäßigen Verarbeitung von Kinderdaten. Nach Ansicht der ICO hat die soziale Plattform zu wenig getan, um das Alter neuer Nutzer zu überprüfen und bestehende Konten von Kindern unter 13 Jahren zu löschen.
Dies ist nicht das erste Mal, dass TikTok wegen seiner unzureichenden Altersüberprüfung Ärger mit den Datenschutzbehörden bekommt. Im Jahr 2021 hat die italienische GPDP die Aktivitäten von TikTok dreimal wegen minderjähriger Nutzer ausgesetzt. Ein Jahr später entwarf die irische Datenschutzbehörde eine Entscheidung, die Plattform wegen ähnlicher Verstöße mit einem Bußgeld zu belegen, und reichte sie bei ihren europäischen Kollegen ein. Zurzeit ist das Verfahren noch anhängig.
US-Bürger können einen Vergleich mit Facebook beantragen
Im vergangenen Dezember stimmte Meta der Zahlung von 725 Millionen Dollar zu, um eine Sammelklage im Zusammenhang mit dem Cambridge Analytica-Skandal beizulegen. Den Vorwürfen zufolge gab Meta (damals Facebook Inc.) ohne Zustimmung der Nutzer personenbezogene Daten an Cambridge Analytica weiter und ermöglichte es dem inzwischen aufgelösten britischen Unternehmen, bei den Präsidentschaftswahlen 2016 gezielt US-Wähler anzusprechen.
Facebook-Nutzerinnen und -Nutzer haben nun das Recht, den Vergleich zu beantragen, sofern sie zu irgendeinem Zeitpunkt zwischen 2007 und 2022 in den USA ansässig waren.