Zu sagen, dass der April ein heißer Monat war, wäre wohl eine Untertreibung. Es gibt viele Neuigkeiten aus dem US-Kongress, darunter eine beispiellose Gesetzgebung gegen Tiktok und ein neues, überparteiliches Datenschutzgesetz. In der Zwischenzeit hat Apple dem Druck der Regulierungsbehörden in China nachgegeben, und der EDPB hat in einem wichtigen, viel beachteten Rechtsstreit gegen Meta Stellung bezogen.
Es gibt viel zu besprechen, also fangen wir an!
- US-Kongress erörtert Bundesgesetz zum Datenschutz und verbietet TikTok
- Mehr vom Kongress: FISA 702 neu autorisiert, 4. Verfassungszusatz nicht käuflich
- Personenbezogene Daten sind keine Ware, sagt der EDPB
- Apple entfernt verschlüsselte Dienste aus dem chinesischen App Store
- Massenhaftes Datenleck in den USA
- ByteDance setzt TikTok-Belohnungsprogramm in Europa aus
- US-Regierung verschärft HIPAA-Regeln für Daten zur reproduktiven Gesundheit
- Google verzögert die Abschaffung von Cookies - wieder einmal.
- Grindr muss sich wegen HIV-Daten vor Gericht verantworten
- Google zahlt 62 Millionen Dollar Vergleich wegen Standortdaten
- KI wirft immer wieder Fragen zum Datenschutz auf
US-Kongress erörtert Bundesgesetz zum Datenschutz und verbietet TikTok
Unerwartet wurde im Kongress ein Gesetzentwurf zum Datenschutz auf Bundesebene eingebracht. Der Gesetzesentwurf mit dem Namen American Privacy Right Act (APRA) enthält ein umfassendes Paket an Datenschutzbestimmungen, darunter Anforderungen an Datenminimierung und Transparenz, neue Verbraucherrechte und ein privates Klagerecht mit bestimmten Einschränkungen.
Das Vorrecht der Bundesstaaten wird wahrscheinlich ein heikles Thema bei künftigen Verhandlungen sein. Einige Staaten bieten ihren Bürgern bereits einen starken Schutz der Privatsphäre und werden es nicht gerne sehen, wenn diese durch Bundesgesetze untergraben werden.
In der Zwischenzeit hat der Kongress ein beispielloses Gesetz verabschiedet, das den chinesischen Giganten ByteDance zwingt, seine Anteile an TikTok unter Androhung eines Verbots vom US-Markt zu veräußern. Laut Reuters ist ByteDance bereit, die Verfassungsmäßigkeit des Gesetzes anzufechten, würde aber lieber den US-Markt verlassen, als seine Anteile zu veräußern, wenn es hart auf hart kommt.
Mehr vom Kongress: FISA 702 neu autorisiert, 4. Verfassungszusatz nicht käuflich
Weitere Nachrichten aus dem US-Kongress: Abschnitt 702 des FISA-Gesetzes wurde gerade noch rechtzeitig für zwei Jahre neu genehmigt.
FISA erlaubt die Überwachung ausländischer Bürger, wurde aber in der Vergangenheit missbraucht, um die Kommunikation von Amerikanern ohne richterliche Anordnung zu überwachen. Datenschützer und Bürgerrechtler kritisieren seit langem die schwachen Sicherheitsvorkehrungen im Zusammenhang mit dem Gesetz und sind nicht glücklich darüber, dass es ohne jegliche Änderung verlängert wird.
Erfreulicherweise hat das Repräsentantenhaus den "4t Amendment Is Not For Sale Act" verabschiedet, einen Gesetzesentwurf, der es Strafverfolgungsbehörden und Geheimdiensten verbietet, persönliche Informationen von Datenmaklern zu kaufen, ohne dass es dafür eine Garantie gibt(was sie ständig tun). Wir hoffen, dass dieses Gesetz in Kraft tritt.
Personenbezogene Daten sind keine Ware, sagt der EDPB
In seiner mit Spannung erwarteten Stellungnahme zum Thema "Pay-or-ok" stellte der EDSB klar, dass personenbezogene Daten keine Ware sind, und bezog klar Stellung gegen das Data Mining von Meta. Aller Wahrscheinlichkeit nach wird der Gerichtshof das letzte Wort in Metas langer Saga über die Einhaltung der DSGVO haben, aber die Stellungnahme des EDSB ist dennoch ein sehr gutes Zeichen.
Die Stellungnahme des EDSB ist jedoch ein sehr gutes Zeichen. Für den Datenschutz ist dies eine wirklich große Sache, da viele Dienste Nutzerdaten auf ähnliche Weise wie Meta zu Geld machen. In unserem Blog erfahren Sie mehr über die Stellungnahme des EDPB, die Geschichte dahinter und die möglichen Auswirkungen auf die Privatsphäre der EU-Bürger.
Apple entfernt verschlüsselte Dienste aus dem chinesischen App Store
Apple hat auf Anordnung der chinesischen Behörden vier Apps aus der chinesischen Version des App Store entfernt. Auf der Liste stehen die Plattform Threads und drei beliebte verschlüsselte Messaging-Apps (WhatsApp, Telegram und Signal), die Ende-zu-Ende verschlüsselt sind.
Dies ist nicht das erste Mal, dass die chinesische Regierung Apple anweist, Software nicht mehr verfügbar zu machen: Das Unternehmen war bereits 2017 gezwungen, eine VPN-App zu entfernen. Es ist überflüssig, auf die möglichen Schäden für Nutzer hinzuweisen, wenn datenschutzfreundliche Apps aus der geschlossenen iOS-Umgebung entfernt werden, insbesondere in einem Land wie China.
Wie ein Apple-Sprecher gegenüber dem WSJ erklärte, muss sich das Unternehmen an die Gesetze halten, auch wenn es sie nicht mag. Dennoch wäre nichts von alledem passiert, wenn es chinesischen iOS-Nutzern einfach erlaubt hätte, Apps per Sideload zu laden, wie es EU-Nutzern gemäß dem Digital Markets Act möglich ist. Durch die Entscheidung, die vollständige Kontrolle über die iOS-Umgebung in China zu behalten, bringt sich Apple wissentlich in eine Position, in der es von der Regierung gezwungen werden kann , seinen Nutzern zu schaden.
Massenhaftes Datenleck in den USA
Die Federal Communications Commission hat gegen mehrere US-Mobilfunkanbieter Geldbußen verhängt, weil sie die Standortdaten ihrer Kunden ohne Zustimmung an Datenbroker weitergegeben haben. Die Geldbußen belaufen sich auf insgesamt ** 200 Mio. USD** für Verizon, AT&T, T-Mobile und Sprint (jetzt im Besitz von T-Mobile).
Dies ist ein Datenleck von katastrophalem Ausmaß. Die von der FCC sanktionierten Anbieter gehören zu den größten auf dem US-Markt, wobei allein Verizon fast 150 Millionen Kunden hat.
ByteDance setzt TikTok-Belohnungsprogramm in Europa aus
Als ob das Ultimatum des Kongresses an TikTok nicht schon genug wäre, kündigte die EU-Kommission eine Untersuchung des Belohnungsprogramms von TikTok Lite wegen möglicher Verstöße gegen das Gesetz über digitale Dienste an. Die Untersuchung veranlasste ByteDance, das Programm auf dem EU-Markt auszusetzen.
Das Aufgaben- und Belohnungsprogramm von TikTok Lite belohnt Nutzer für die Nutzung der Plattform und die Erfüllung bestimmter Aufgaben wie das Liken von Inhalten und das Einladen von Freunden, TikTok beizutreten. Die Kommission stellt fest, dass ByteDance es versäumt hat, die Risiken von Task and Reward ordnungsgemäß zu bewerten, und vermutet, dass das Programm süchtig machen und die psychische Gesundheit der (meist recht jungen) Nutzer der Plattform schädigen könnte.
US-Regierung verschärft HIPAA-Regeln für Daten zur reproduktiven Gesundheit
Das US-Gesundheitsministerium hat neue Vorschriften zur Einschränkung der Weitergabe von Daten im Rahmen des HIPAA erlassen, um Frauen zu schützen, die in den Zufluchtsstaaten reproduktive Gesundheitsfürsorge in Anspruch nehmen. Entscheidend ist, dass die neue Vorschrift die Weitergabe von Daten zum Zweck der Untersuchung einer rechtmäßig erbrachten reproduktiven Gesundheitsversorgung verbietet.
Die Vertraulichkeit von Daten zur reproduktiven Gesundheitsfürsorge wurde im Jahr 2022 zu einem zentralen Menschenrechtsthema, als das Urteil im Fall Dobbs gegen Jackson der Anti-Abtreibungsgesetzgebung in konservativen Staaten Tür und Tor öffnete. Die Verschärfung des HIPAA ist ein Schritt in die richtige Richtung, aber riesige Mengen von Gesundheitsdaten fallen immer noch nicht in den engen Anwendungsbereich des Gesetzes und können von Strafverfolgungsbehörden und anderen Akteuren in einer Weise genutzt werden, die Frauen und Gesundheitsdienstleistern schadet.
Google verzögert die Abschaffung von Cookies - wieder einmal.
Google hat die Abschaffung von Drittanbieter-Cookies erneut verschoben. Die Ankündigung erfolgte einige Tage, nachdem die Washington Post über den behördlichen Druck gegen die Sandbox aufgrund von Datenschutzschwachstellen berichtet hatte.
Weitere Informationen über die Neuigkeiten und die Privacy Sandbox finden Sie in unserem Blog.
Grindr muss sich wegen HIV-Daten vor Gericht verantworten
Grindr muss sich in Großbritannien einer Sammelklage wegen der nicht einvernehmlichen Offenlegung sensibler Daten, einschließlich HIV-Daten, stellen. Die Klage betrifft Hunderte von Nutzern und dreht sich um die Weitergabe von persönlichen Daten zwischen 2018 und 2020.
Grindr, eine beliebte Dating-App für queere Menschen, wurde in Norwegen bereits zu einer Geldstrafe verur teilt, weil sie sensible Daten nicht einvernehmlich an Werbetreibende weitergegeben hat. Nach den eigenen Richtlinien von Grindr findet eine solche Weitergabe immer noch statt, wenn auch mit der Zustimmung des Nutzers (oder höchstwahrscheinlich unter der Fiktion einer Zustimmung, wie es für Dating-Apps typisch ist).
Google zahlt 62 Millionen Dollar Vergleich wegen Standortdaten
Bitte unterbrechen Sie mich, wenn Sie das schon einmal gehört haben, aber Google hat einen Vergleich über Standortdaten unterzeichnet.
Sie kennen die Geschichte inzwischen: Google möchte den Nutzern die "Kontrolle" über ihre Daten geben, indem es die Erfassung von Standortdaten an mehrere, unklare Einstellungen bindet, die sich an allen möglichen Stellen auf Android-Geräten befinden. Dies kann, muss aber nicht der Fall sein, um die Nutzer daran zu hindern, die Erfassung von Standortdaten vollständig zu deaktivieren. Die Einstellungen von Google sind absichtlich so unklar, dass selbst ein Google-Ingenieur nicht in der Lage war, das Tracking zu deaktivieren.
KI wirft immer wieder Fragen zum Datenschutz auf
In einem kürzlich erschienenen Bericht der New York Times wird beschrieben, wie OpenAI, Google und Meta das Internet für Trainingsdaten plündern, um ihre hochmodernen KIs zu entwickeln. In ihrem Wettlauf um die Entwicklung immer größerer und leistungsfähigerer Modelle ziehen diese Giganten Daten aus allen möglichen Quellen heran, darunter auch Facebook- und Youtube-Inhalte.
Die NYT hat ein Hühnchen mit OpenAI zu rupfen, wirft aber dennoch einige berechtigte Fragen auf. Das Scrapen des Internets durch Big Tech umgeht die Unternehmensrichtlinien, nutzt Lücken im Urheberrecht aus und wirft ernste Bedenken hinsichtlich des Datenschutzes auf, die noch nicht geklärt sind. Ähnliche Datenschutzbedenken wurden von der italienischen Datenschutzbehörde in ihrer anhängigen Untersuchung zu Open AI und in einer parallelen Untersuchung zu Sora, dem Text-to-Video-Tool von OpenAI, geäußert.
In der Zwischenzeit reichte der Datenschutzbeauftragte noyb eine Beschwerde gegen OpenAI ein, nachdem das Unternehmen es versäumt hatte, die von ChatGPT angegebenen falschen persönlichen Daten zu korrigieren. Die Beschwerde wirft ein heikles Problem auf: Nach der Datenschutz-Grundverordnung ist OpenAI verpflichtet, sicherzustellen, dass personenbezogene Daten korrekt sind, was bedeutet, dass auch die Ausgabe von ChatGPT korrekt ist. Viel Glück dabei.