Der Oktober war ein ereignisreicher Monat, um es vorsichtig auszudrücken. Meta steht wieder einmal im Fadenkreuz der Regulierungsbehörden, da der EDPB personalisierte Werbung auf Facebook und Instagram verbietet; Länder auf der ganzen Welt treiben die Regulierung von KI weiter voran; Kalifornien verabschiedet ein innovatives Gesetz über das Recht auf Löschung und vieles mehr. Oh, und haben wir schon eine der schlimmsten Datenschutzverletzungen der Geschichte erwähnt?
- EDPB verbietet personalisierte Werbung für Meta.
- Groß angelegter Verstoß gegen genetische Daten bestätigt
- Ein heißer Monat für die KI-Regulierung
- Deutsche Wettbewerbsbehörde entscheidet gegen Facebook
- Amazon lanciert europäische Cloud
- Großbritannien verabschiedet umstrittenes Gesetz zur Online-Sicherheit
- Erste Klage gegen Datentransferrahmen abgewiesen
- Kongress erwägt befristete Neugenehmigung der FISA
- Entwicklungen im kalifornischen Datenschutzrecht
- Argentinien auf dem Weg zu einem neuen Datenschutzgesetz
EDPB verbietet personalisierte Werbung für Meta.
Am 27. Oktober hat der Europäische Datenschutzausschuss eine dringende und verbindliche Entscheidung erlassen, die von der irischen Datenschutzbehörde umgesetzt werden muss. Obwohl die Entscheidung noch nicht veröffentlicht wurde, geht aus der Pressemitteilung des Gremiums hervor, dass sie praktisch auf ein EU-weites Verbot von personalisierter Werbung auf Facebook und Instagram hinausläuft.
Seit fast einem Jahr kämpft Meta darum, sein datengesteuertes Geschäftsmodell zu rechtfertigen, das auf der Erstellung von Nutzerprofilen und gezielter Werbung basiert. Zwei verschiedene Versionen der Datenschutzrichtlinien von Meta wurden von den EU-Aufsichtsbehörden wegen Problemen im Zusammenhang mit personalisierter Werbung auf Facebook und Instagram verworfen, und die norwegische Datenschutzbehörde erließ später ein vorübergehendes Verbot gezielter Werbung für norwegische Nutzer. Schließlich wurde das norwegische Verbot durch die Eilentscheidung des EDPB in ein dauerhaftes, EU-weites Verbot umgewandelt, das in naher Zukunft von der irischen Datenschutzbehörde erlassen werden soll.
Nebenbei bemerkt hat Meta vor kurzem angekündigt, dass es den europäischen Nutzern kostenpflichtige, werbefreie Facebook-Abonnements als Alternative zu den derzeitigen kostenlosen, werbefinanzierten Mitgliedschaften anbieten wird. Wir vermuten, dass dieser umstrittene Schritt vor allem durch die Notwendigkeit motiviert ist, das derzeitige Geschäftsmodell gegenüber den nicht zahlenden Nutzern zu legitimieren, die aller Wahrscheinlichkeit nach in Zukunft die überwiegende Mehrheit der Facebook-Nutzerschaft ausmachen werden.
Groß angelegter Verstoß gegen genetische Daten bestätigt
Das US-amerikanische Gentestunternehmen 23andMe wurde Opfer einer groß angelegten Datenpanne. Das volle Ausmaß der Datenpanne ist noch nicht bekannt, doch ersten Berichten zufolge sind die genetischen Daten von mindestens 4 Millionen Nutzern abgeflossen.
Anfang des Monats gab ein Hacker bekannt, dass er die Daten gehackt und im Dark Web veröffentlicht hat. 23andMe gab zunächst bekannt, dass es die durchgesickerten Daten analysiere, um die Behauptungen zu überprüfen. Später schickte das Unternehmen Warn-E-Mails an die betroffenen Nutzer und bestätigte damit implizit, dass die durchgesickerten Daten echt sind.
Genetische Datenlecks sind besonders riskant, da sie nicht nur die Personen betreffen, denen die Daten zugespielt wurden, sondern auch deren Angehörige, unabhängig davon, ob sie Gentests in Anspruch nehmen oder nicht. Im Falle von groß angelegten Datenlecks bei kommerziellen Diensten können sogar entfernte Verwandte der Nutzer betroffen sein.
Ein heißer Monat für die KI-Regulierung
Der Oktober war ein ereignisreicher Monat für die KI-Regulierung. Die Vereinten Nationen richteten einen globalen KI-Beirat ein, die G7 einigten sich auf einen Verhaltenskodex für die KI-Entwicklung, der britische KI-Sicherheitsgipfel erzielte wichtige Ergebnisse, darunter ein KI-Testabkommen zwischen 27 Regierungen, und der US-Präsident unterzeichnete eine Durchführungsverordnung, die sich mit den Sicherheits- und Datenschutzbelangen der KI befasst.
Was die EU betrifft, so berichtet Euractiv, dass eine Einigung über das KI-Gesetz in greifbare Nähe gerückt sein könnte. Der endgültige Entwurf des Gesetzes versucht, eine Einigung zu erzielen, indem er einen Mittelweg zwischen dem Parlament und der Kommission findet: Das Parlament könnte bereit sein, ein wenig Raum für biometrische Echtzeit-Identifizierung im Rahmen der Strafverfolgung zu lassen, im Austausch für eine längere Liste verbotener KI-Anwendungen.
Deutsche Wettbewerbsbehörde entscheidet gegen Facebook
Nach einer Untersuchung durch das Bundeskartellamt hat Google zugesagt, den Nutzern mehr Kontrolle über die gegenseitige Nutzung von Daten zwischen verschiedenen Google-Diensten sowie über die Kombination von Daten, die durch Apps und Dienste von Drittanbietern gesammelt wurden, zu geben. Mit anderen Worten, die Verbraucher werden nun die Möglichkeit haben, sich gegen die gegenseitige Nutzung von Daten zu entscheiden, wenn diese nicht erforderlich ist.
Die Behörde gab bekannt, dass ähnliche Untersuchungen gegen andere Big Tech-Unternehmen anhängig sind.
Diese Entscheidung steht im Zusammenhang mit dem jüngsten Urteil des EU-Gerichtshofs zum Bundeskartellamt - eine wichtige Entscheidung, die wir in diesem Blog ausführlich besprochen haben.
Amazon lanciert europäische Cloud
Amazon kündigte kürzlich die AWS European Sovereign Cloud an, einen neuen, EU-basierten Cloud-Service. Der Dienst soll Unternehmen und öffentlichen Organisationen helfen, Datenschutzstandards und Datenlokalisierungsregeln einzuhalten.
Amazon ist nicht der einzige datengetriebene Riese, der auf Datenlokalisierung setzt: Im Januar führte Microsoft das EU Data Boundary Programm für seinen Microsoft Cloud Service ein. Diese Dienste machen Microsoft und Amazon zu attraktiven Anbietern für Regierungen, öffentliche Organisationen und Unternehmen, die große Mengen sensibler Daten verarbeiten.
Großbritannien verabschiedet umstrittenes Gesetz zur Online-Sicherheit
Das britische Gesetz zur Online-Sicherheit ist am 26. Oktober in Kraft getreten. Das Gesetz enthält Verpflichtungen zur Inhaltsmoderation für Plattformen und wird schrittweise in Kraft treten, während die britische Telekommunikationsbehörde die neuen Vorschriften einführt.
Das Gesetz verpflichtet auch die Anbieter von Messaging-Diensten, Bilddateien zu scannen, um Material über sexuellen Kindesmissbrauch zu erkennen und zu kennzeichnen. Dies zwingt einige Anbieter dazu, Hintertüren in die Ende-zu-Ende-Verschlüsselung einzubauen, wodurch der Datenschutz und die Sicherheit der Kommunikation untergraben werden könnten. Datenschützer kritisierten den Gesetzentwurf in der Entwurfsphase scharf, während Whatsapp und Signal damit drohten, den britischen Markt zu verlassen, falls das Gesetz verabschiedet würde.
Erste Klage gegen Datentransferrahmen abgewiesen
Das Gericht der Europäischen Union hat den Antrag von Philippe Latombe auf Aussetzung des Angemessenheitsbeschlusses für die USA wegen verfahrensrechtlicher Fragen abgelehnt. Nach Angaben der International Association of Privacy Professionals hat Herr Latombe gegen die Entscheidung des Gerichts Berufung eingelegt.
Der Angemessenheitsbeschluss der EU-Kommission für die USA ist der letzte Schritt in den gemeinsamen Bemühungen der USA und der EU, seit langem bestehende rechtliche Probleme bei der Datenübermittlung zu lösen. Der EU-Gerichtshof hat in den letzten zehn Jahren zwei Rahmenregelungen für den Datentransfer zwischen der EU und den USA für ungültig erklärt. Der derzeitige Rahmen - auf den sich die Angemessenheitsentscheidung bezieht - wird in Zukunft sicherlich noch mehr rechtlichen Herausforderungen ausgesetzt sein.
Kongress erwägt befristete Neugenehmigung der FISA
Da sich die Verhandlungen über die Neugenehmigung des FISA im US-Kongress verlangsamen, erwägen einige Kongressabgeordnete eine befristete Neugenehmigung, um einen Stillstand zu vermeiden.
Der Foreign Information Surveillance Act (FISA) ist ein US-Gesetz, das die Überwachungsaktivitäten der US-Geheimdienste gegenüber ausländischen Bürgern regelt. Die Zukunft des FISA könnte erhebliche Auswirkungen auf die Datenübermittlung zwischen der EU und den USA haben, da die weitreichenden Überwachungsbefugnisse, die das Gesetz verleiht, ein entscheidender rechtlicher Aspekt in den Urteilen Schrems I und II des Europäischen Gerichtshofs waren.
Entwicklungen im kalifornischen Datenschutzrecht
Am 11. Oktober unterzeichnete der kalifornische Gouverneur das Gesetz "Delete Act ". Das Gesetz stärkt das Recht der Einwohner Kaliforniens auf Löschung von Daten, indem es eine zentrale Anlaufstelle für Löschungsanträge an Datenvermittler vorsieht. So können die Einwohner Kaliforniens von allen Datenvermittlern die Löschung ihrer persönlichen Informationen verlangen, indem sie einen einzigen Antrag stellen.
Das Löschgesetz ist ein ehrgeiziges und innovatives Gesetz, das wahrscheinlich erhebliche Auswirkungen auf den digitalen Werbemarkt sowie auf andere Märkte haben wird, die von kommerziell verfügbaren personenbezogenen Daten bestimmt werden. Wir haben das Gesetz in diesem Blog ausführlicher besprochen.
Der Staat änderte auch das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern (CCPA), um einen besseren Schutz für Daten zum Einwanderungsstatus und zur reproduktiven Gesundheit zu gewährleisten.
Argentinien auf dem Weg zu einem neuen Datenschutzgesetz
Die argentinische Regierung hatden Entwurf eines Gesetzes über den Schutz personenbezogener Daten vorgelegt. Das neue Gesetz basiert auf einem Entwurf der argentinischen Datenschutzbehörde und soll das derzeitige Datenschutzgesetz des Landes ersetzen. Der Vorschlag sieht eine extraterritoriale Reichweite der Datenschutzvorschriften vor, ähnlich wie die GDPR, das brasilianische LGPD und das kalifornische CCPA.
Es ist erwähnenswert, dass Argentinien eines der wenigen Länder ist, für die ein Angemessenheitsbeschluss nach EU-Recht vorliegt. Daher können personenbezogene Daten von Personen aus der EU und dem Europäischen Wirtschaftsraum problemlos in das Land übermittelt werden.