Category: Uncategorized

ATLAWS – Wiki über die EU Rechtsakte im digitalen Bereich

Das Research Institute hat die Ergebnisse des ATLAWS Projektes in einem WIKI veröffentlicht. Es bietet eine Übersicht zu über ein Dutzend Rechtsakte aus den Bereichen “Cybersecurity”, “Künstliche Intelligenz”, “Digitale Dienste und Märkte” und “Datenstrategie”.

Das Projekt will zu folgenden Themen aufklären bzw. Informationen liefern:

  • Betroffenheit von einem Rechtsakt
  • Kernpflichten aufgrund des Rechtsaktes
  • Konsequenzen bei Nichteinhaltung
  • horizontale/sektorale Anwendung
  • Information auch abseits vom Medialen Fokus
  • Recht, nicht nur für Jurist*innen

Informationen zu KI: Linksammlung

Dieser Beitrag wird immer wieder aktualisiert und bietet Links zu Informationen von Behörden und anderen Einrichtnugen. Einen Überblick über die verschiedenen Orientierungshilfen bietet der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Würtemberg (Stand Juli 2024).

Österreich:

Deutschland:

EuGH erachtet Verbandsklagen bei Verstoß gegen Informationspflichten für zulässig

Der EuGH hat im Verfahren des deutschen Bundesverbandes der Verbraucherzentralen und Verbraucherverbände gegen Meta entschieden (C‑757/22), dass Verbandsklagen gemäß Art 80 DSGVO zulässig sind, wenn dieRechte einer betroffenen Person durch die Verarbeitung verletzt  worden sind. Die Verletzung kann auch durch Misachtung der Informationspflichten gemäß Art 12 und 13 ergeben.

Datenschutzbehörde zu Meta-Tracking-Tools

Die österreichische Datenschutzbehörde hat entschieden, dass die Verwendung von Meta Pixel und Meta Facebook Login gegen die DSGVO vertößt und nicht im Einklang mit den Anforderungen des EuGH (Schrems II) steht. Damit wurde nach Google Analytics auch diese Datenübermittlung in die USA ohne ausreichende Massnahmen durch den Verantwortlichen und Meta untersagt.

Der Bescheid wurde vom Beschwerdeführer hier veröffentlicht.

Drittstaatenübermittlung – nächster Schritt zu neuem Abkommen mit den USA

Nach dem EuGH Urteil “Schrems II” (C-311/18) mit dem der Angemessenheitsbeschluss betreffend des  Privacy Shield Abkommen aufgehoben wurde, konnten Datenübermittlungen in die USA nicht mehr auf das Privacy Shield Abkommen gestützt werden. Das Grundproblem beseht in einem fehlenden Rechtsschutz und dem Recht auf einem Richter für EU-Bürger in den USA, wie er durch die EMRK vorgesehen ist. Betreffend der Standardvertragsklauseln, stellte der EuGH fest, dass es zusätzliche Garantien brauche, damit diese ausreichen und dies im Einzelfall zu beurteilen sei. Als Reaktion auf diese Urteil beschloss die EU Kommission neue Standardvertragsklauseln, die unter anderem ein verpflichtendes Data Transfer Impact Assessment (DTIA, Datenübermittlungs-Folgenabschätzung) erfordern.

Wie ein solches DTIA zu einem positiven Ergebnis kommen kann, wird aber in jenen Fällen, in denen der amerikanische Empfänger  den einschlägigien Überwachungsgesetzen unterliegt, zweifelhaft sein.  Daher gibt es eigentlich nur 4 Lösungsmöglichkeiten:

  1. Die USA ändern ihre Überwachungsgesetze
  2. Die EU ändert die EMRK bzw. ERC
  3. Es wird ein neues Abkommen zwischen den USA und der EU geschlossen, auf dem solche Datenübermittlungen durchgeführt werden
  4. Der Datenexporteur versucht so viele Maßnahmen wie möglich dem Datenimporteur aufzuerlegen oder soweit möglich selbst zu ergreifen, damit die Übermittlung möglichst rechtskonform ist.

Die ersten beiden ALternativen erscheinen nicht realistisch, die letzte Alternative wird zum Teil technsich schwierig umzusetzen sein.

Bezüglich eines neuen Abkommens, gibt es schon länger Verhandlungen. Zuletzt zeigten sich die EU Kommission und die USA im Frühjahr optimisitisch, dass es zu einer Lösung kommt. Am 10.7 hat der amerikansiche Präsident Biden eine Executive Order erlassen, die einen Ombudsmann und eine zweite Instanz in Form eines “Data Protection Review Court” vorsieht. Es gibt aber bereits Kritik, an der fehlenden Unabhängikeit und dass die Entscheidung der Berufungsinstanz bereits vordefiniert sei. Es liegt nun an der EU-Kommission, ihrerseits diese Anordnug zu prüfen und mit der USA ein entsprechendes Abkommen zu schließen. Diese wird wohl nicht vor nächstem Frühjahr zu erwarten sein.

Sollte es zu einem neuerlichen Abkommen (dem dritten nach Safe Harbour und Privacy Shield) kommen, so schient eine erneute Anfechtung vor dem EuGH  bei derzeitigem Kenntnisstand nicht unwahrscheinlich. Bis zur Entscheidung durch den EuGH wird diese aber wieder als Rechtsgrundlage herangezogen werden. Da auch schon in der Vergangenheit, sich die US – Konzerne nicht ausschließlich auf Privacy Shield gestützt haben sondern auch Standardvertragsklauseln zum Vertragsinahlt geamcht haben, damit bei Wegfall einer Rechtsgrundlage, eine weitere bestehen bleibt, werde nauch in Zukunft von den Datenexporteuren (also den europäischen Verantwortlichen gemäß DSGVO) DTIAs durchzuführen sein.

Report des Europarats zu technischen Lösungen zur Covid19 Bekämpfung

Der Europarat hat einen Bericht zum Thema Digital solutions to fight COVID-19: shortcomings protecting privacy and personal data veröffentlicht. Der Bericht behandelt die Auswirkunken der Bemühungen der Bekämpfung der Covid-19 Pandemie durch die 55 Signatarstaaten der Konvention 108, dem Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten. Der Bericht analysiert die legistischen Entwicklungen ebenso, wie ausgewählte Fallstudien, bespielsweise ein Vergleich der Contract Tracing Apps.

Vergleichsstudie zu Contract Tracing Apps

Am Trinity College Dublin wurde eine Studie zum Thema Contact Tracing App Privacy: What Data Is SharedBy Europe’s GAEN Contact Tracing Apps durchgeführt. Dabei wird die Stopp Corona App vom Roten Kreuz, ebenso wie die entsprechenden Apps von Deutschland, Italien und  der Schweiz, als Musterbeispiel für Datenschutz eingestuft.

Update: Contact Tracing (Tracking Apps)

In zahlreichen Medienberichten wird weiterhin über Contact Tracing/Tracking Apps diskutiert. Dabei bestehen nicht nur datenschutzrechtliche sondern auch technische Schwierigkeiten. Um letztere zu lösen haben Google und Apple eine gemeinsame Initiative angekündigt. Daneben gibt es aber auch alternativ Vorschläge und differenzierte Sichtweisen, wie beispielsweise netzpolitik.org berichtet.

Aus datenschutzrechlticher Sicht wird auf jeden Fall auch die technische Umsetzung und deren Risiken Bestandteil einer Datenschutz-Folgennabschätzung sein müssen, auch um die Grundsätze des Privacy by Design und Default in der Umsetzung zu überprüfen. Eine gekürzte DSFA für die “Stopp Corona” App des roten Kreuzes liegt nun im Umfang von 90 Seiten vor.