Willkommen zur monatlichen Ausgabe des Datenschutzes im Januar 2023. Einmal im Monat werden wir kurz über einige der wichtigsten Neuigkeiten zum Datenschutz berichten.
Was ist letzten Monat passiert? Finden wir es heraus!
{{Inhaltsverzeichnis}}- Europäische Kommission entwirft Angemessenheitsbeschluss
- EU unterzeichnet Erklärung zu digitalen Rechten
- Mehr rechtliche Probleme für Meta
- Slowenien verabschiedet Gesetz zum Schutz personenbezogener Daten
- Office 365 nach Ansicht deutscher Datenschützer nicht GDPR-konform
- US-Senat stimmt für Verbot von TikTok auf Geräten der Bundesregierung
- Meta verbietet Unternehmen für Auftragsüberwachung
- Rekordvergleiche für Epic Games
- Britische Aufsichtsbehörde benennt Unternehmen für Datenschutzverstöße
Europäische Kommission entwirft Angemessenheitsbeschluss
Am 13. Dezember hat die EU-Kommission einen Entwurf für die Angemessenheitsentscheidung für die USA veröffentlicht. Der nächste Schritt im Verfahren wird eine nicht bindende Stellungnahme des Europäischen Datenschutzausschusses sein. Schließlich wird der Entwurf von den Mitgliedstaaten abgestimmt und von der Kommission formell angenommen.
Die Annahme des Entwurfs ist angesichts der langwierigen Verhandlungen zwischen der EU und den USA über den transatlantischen Datenschutzrahmen praktisch sicher. Es ist jedoch auch so gut wie sicher, dass der bevorstehende Angemessenheitsbeschluss vom Europäischen Gerichtshof rechtlich überprüft werden wird. Der EuGH hat bereits in den Rechtssachen Schrems I und II zwei Rahmenregelungen für die Datenübermittlung für ungültig erklärt, und es ist schwer zu sagen, wie ein "Schrems III"-Fall ausgehen wird - aber der Europäische Datenschutzausschuss könnte uns in seiner bevorstehenden Stellungnahme einige Hinweise geben.
EU unterzeichnet Erklärung zu digitalen Rechten
Am 15. Januar wurde die Erklärung zu den europäischen digitalen Rechten und Grundsätzen von der Europäischen Kommission, dem Europarat und dem Präsidenten des Europäischen Parlaments unterzeichnet. Die Erklärung zielt darauf ab, einen digitalen Übergang zu fördern, der auf einer auf den Menschen ausgerichteten Vision basiert.
Die Erklärung beruht auf sechs Grundsätzen (der Mensch im Mittelpunkt, Solidarität und Integration, Wahlfreiheit, Beteiligung, Sicherheit und Schutz, Nachhaltigkeit) und soll die digitale Strategie der EU ergänzen. In der Praxis ist die Erklärung nicht verbindlich, könnte aber als Inspiration und Bezugspunkt für die Auslegung der Datenschutz-Grundverordnung und des EU-Datenschutzrahmens im Allgemeinen dienen.
Mehr rechtliche Probleme für Meta
Am 22. Dezember stimmte Meta Platforms einem ** Vergleich in Höhe von 725 Millionen Dollar** für eine Sammelklage im Zusammenhang mit dem Fall Cambridge Analytica zu. Facebook wurde wegen des Skandals bereits von der US Federal Trade Commission mit einer Geldstrafe in Höhe von 5 Milliarden Dollar belegt und musste außerdem eine Strafe von 500.000 Pfund an die britische Datenschutzbehörde zahlen.
Darüber hinaus verhängte die irische Aufsichtsbehörde am 4. Januar eine Geldstrafe in Höhe von 390 Millionen Euro gegen Meta Platforms Ireland, weil das Unternehmen Facebook- und Instagram-Nutzer unrechtmäßig mit personalisierter Werbung angesprochen hatte. Die Geldbuße folgt auf eine Entscheidung des Europäischen Datenschutzausschusses im Rahmen des Streitbeilegungsmechanismus der Datenschutz-Grundverordnung. Über die Entscheidung des EDPB haben wir in unserem Blog ausführlicher berichtet.
Schließlich wies der EU-Gerichtshof eine Klage der Meta-Tochter Whatsapp Irland gegen eine Entscheidung des EDPB ab. Das Verfahren bezieht sich auf eine von der DPC im Jahr 2021 verhängte Geldbuße in Höhe von 225 €. Die Klage wurde aus verfahrensrechtlichen Gründen abgewiesen, da die Entscheidung des EDSB nur für die Datenschutzbehörde verbindlich ist und Whatsapp nicht direkt betrifft.
Slowenien verabschiedet Gesetz zum Schutz personenbezogener Daten
Am 15. Dezember verabschiedete die Nationalversammlung der Republik Slowenien das Gesetz zum Schutz personenbezogener Daten.
Slowenien unterliegt der Datenschutz-Grundverordnung (DSGVO) seit ihrem Inkrafttreten, da die EU-Verordnungen direkt anwendbar sind. Die Datenschutz-Grundverordnung verlangt jedoch die nationale Umsetzung spezifischer Vorschriften, und die fehlende Umsetzung machte die Durchsetzung problematisch. Mit dem neuen Gesetz ist Slowenien nun endlich der letzte EU-Mitgliedstaat, der die Datenschutz-Grundverordnung in nationales Recht umsetzt.
Office 365 nach Ansicht deutscher Datenschützer nicht GDPR-konform
Die Deutsche Datenschutzkonferenz (DSK) hat in einem aktuellen Bericht hervorgehoben, dass die Office 365-Suite von Microsoft einige wichtige Bestimmungen der Datenschutz-Grundverordnung nicht erfüllt.
Die Deutsche Datenschutzkonferenz (DSK) ist ein Gremium, das von der deutschen Bundesdatenschutzbehörde und den Datenschutzbehörden der einzelnen Bundesländer gebildet wird. Der Bericht wurde Ende November veröffentlicht und ist das Ergebnis von zweijährigen Beratungen zwischen einer Arbeitsgruppe der DSK und Microsoft selbst. Der Bericht hebt mehrere Probleme bei der Einhaltung der Vorschriften hervor, darunter unzureichende Sicherheitsvorkehrungen für Datenübertragungen zwischen der EU und den USA, fehlende Richtlinien für die Datenaufbewahrung und ein allgemeiner Mangel an Klarheit über Microsofts Rolle als für die Verarbeitung Verantwortlicher oder als Auftragsverarbeiter in Bezug auf einzelne Datenverarbeitungsvorgänge.
Microsoft hat vor kurzem angekündigt, dass es sein EU Data Boundary Program im Jahr 2023 einführen wird, um die Datenübermittlung in die EU zu reduzieren. Dieser Schritt von Microsoft könnte für die Einhaltung der Datenschutz-Grundverordnung von entscheidender Bedeutung sein. Microsofts neue Richtlinien für europäische Daten werden jedoch sicherlich einer genauen Prüfung bedürfen, da einige Datenübertragungen in die USA in bestimmten Szenarien wahrscheinlich weiterhin notwendig sein werden.
Der Bericht der Arbeitsgruppe ist auf der Website der DSK verfügbar.
US-Senat stimmt für Verbot von TikTok auf Geräten der Bundesregierung
Am 14. Dezember stimmte der US-Senat einstimmig für einen Gesetzentwurf, der es Bundesbediensteten verbietet, die App TikTok auf ihre Geräte herunterzuladen. Um Gesetz zu werden, muss der Vorschlag noch vom Kongress gebilligt und vom US-Präsidenten unterzeichnet werden.
US-Politiker beider Parteien sind besorgt, dass TikTok von der chinesischen Regierung zum Sammeln von Geheimdienstinformationen genutzt werden könnte. Darüber hinaus wird die App einer Sicherheitsüberprüfung durch den Ausschuss für ausländische Investitionen in den USA (CFIUS) unterzogen, nachdem der TikTok-Eigentümer ByteDance 2019 die App musical.ly gekauft und deren Nutzerbasis mit der von TikTok zusammengelegt hat.
Meta verbietet Unternehmen für Auftragsüberwachung
Am 14. Dezember gab Meta bekannt, dass es sieben "Surveillance-for-hire"-Unternehmen aus Facebook verbannt hat, um sie daran zu hindern, ihre Dienste über das soziale Netzwerk zu bewerben. Das Unternehmen stellte außerdem ein Strategiepapier vor, in dem die Regierungen aufgefordert werden, Maßnahmen gegen die Überwachungsindustrie zu ergreifen.
Laut Meta stellen Spionageprogramme und Überwachungsfirmen eine erhebliche Bedrohung für die Privatsphäre und die Gesellschaft dar. Viele solcher Unternehmen sind auf Facebook vertreten, und einige von ihnen führen ihre Geschäfte auf der Plattform aus, indem sie gefälschte Konten und Spyware-Links verwenden, um ihre Kunden auszuspionieren. Meta hat zwar Maßnahmen zur Bekämpfung von Spyware auf seiner Plattform Priorität eingeräumt, weist aber darauf hin, dass die politischen Entscheidungsträger etwas unternehmen müssen, um die Bedrohung durch die "Surveillance-for-hire"-Branche zu bekämpfen.
Rekordvergleiche für Epic Games
Die Federal Trade Commission und der Fortnite-Entwickler Epic Games haben mit der Federal Trade Commission zwei Vereinbarungen über eine Rekordsumme von 520 Millionen Dollar getroffen. Die Summe umfasst eine Strafe in Höhe von 275 Millionen Dollar für die Verletzung des Children's Online Privacy Protection Act durch die Standard-Datenschutzeinstellungen von Fortnite sowie eine hohe Rückerstattung für ungewollte Käufe, die durch irreführendes Design verursacht wurden. Epic wird außerdem verpflichtet, die Standard-Datenschutzeinstellungen von Fortnite zu ändern und für Nutzer unter 13 Jahren eine Zustimmung zum Text- und Sprachchat im Spiel zu verlangen.
Britische Aufsichtsbehörde benennt Unternehmen für Datenschutzverstöße
In einem eher ungewöhnlichen Schritt hat die britische Datenschutzbehörde (ICO) damit begonnen, umfassende Listen von Unternehmen zu veröffentlichen, die wegen Datenschutzverstößen gerügt wurden. Kommissar John Edwards erläuterte die Gründe für diese Entscheidung in einer kürzlich gehaltenen Rede und betonte die Notwendigkeit von Transparenz und Sicherheit bei der Durchsetzung von Vorschriften sowie die Bedeutung der Rechenschaftspflicht für Unternehmen.