Die Nachfrage nach Online-Datenschutz steigt. Betrachten wir ein aktuelles Beispiel aus dem letzten Jahr: Mit dem Update iOS 14.5 vom April 2021 wurde iPhone-Nutzern die Möglichkeit gegeben, sich über Apps hinweg tracken zu lassen. Satte 96 % der Befragten entschieden sich dafür, NICHT verfolgt zu werden, was zeigt, wie wichtig den Menschen die Privatsphäre ist.

Dieses Verlangen nach Privatsphäre ist jedoch nicht neu. Schon sehr früh in der Internet-Revolution nahmen die Verbraucher kostenlose Produkte für bare Münze und erkannten noch nicht, dass „wenn man nicht für das Produkt bezahlt, man sind das Produkt“.

Aber mit der Verlagerung der gesamten Kommunikation ins Internet während der COVID-19-Pandemie beginnen die Menschen, viel mehr von den Unternehmen zu erwarten, mit denen sie ihre Daten teilen. Angesichts der Tatsache, dass viele Menschen sich scheuen, ihre persönlichen Daten online preiszugeben, ist ein unabhängiger Beweis dafür, wie sehr Sie sich um die Privatsphäre der Verbraucher kümmern, ein enormer Geschäftsvorteil.

In diesem Artikel werden wir uns 5 Möglichkeiten ansehen, wie unser Ubiscore-Badge (genannt UBICERT) kann Ihnen helfen, das Vertrauen Ihrer Kunden und Partner zu gewinnen. Dieses Abzeichen wird von uns an Unternehmen verliehen, die Ubiscore verwenden, denn die Tatsache, dass Sie Ubiscore verwenden, beweist, dass Sie am Schutz der Kundendaten arbeiten und sich dafür einsetzen.

Unser Ubiscore-Abzeichen ist ein Wettbewerbsvorteil, denn:

1) Es verbessert Ihren ROI: Einem Bericht von Cisco aus dem Jahr 2020 zufolge bringt jeder Dollar, den Unternehmen in den Datenschutz investieren, 2,70 Dollar ein. Der ROI für den Datenschutz ist real, und angesichts der ständigen Bedrohung durch Datenschutzverletzungen und Datenmissbrauch durch befugte und unbefugte Nutzer wollen die Menschen kein Risiko mehr eingehen. Sie wollen nur mit Unternehmen zusammenarbeiten, denen sie vertrauen können. Und je mehr Verkäufe Sie erzielen, desto größer werden Sie, was wiederum mehr soziale Anerkennung und Markenbekanntheit für Ihr Unternehmen bedeutet.

2) Es erhöht die Kundentreue: Da unsere Plakette zeigt, dass Sie dem Datenschutz Priorität einräumen, ist sie eine der schnellsten Möglichkeiten, Kunden zu binden und zu halten. Der respektvolle Umgang mit den Daten eines Kunden führt zu glücklichen, zufriedenen Kunden, die immer wieder zurückkommen.

3) Es ist ein Beweis dafür, dass Sie sich an die Vorschriften halten: Unternehmen, die die Datenschutzbestimmungen nicht einhalten, müssen mit Geldstrafen, Gerichtsverfahren und potenzieller Haftung der Geschäftsführung rechnen. Wenn Sie hingegen Ubiscore verwenden und das Ubiscore-Zeichen erhalten, bedeutet dies, dass Sie die besten Praktiken für den Datenschutz umsetzen und die mit Datenschutzverletzungen verbundenen Risiken drastisch reduzieren.

4) Es hilft Ihnen, besser zu arbeiten:
Sobald Sie eine Ubiscore-Plakette erhalten und die Strategien zur Verbesserung Ihres Datenschutzes kennen, werden Sie über die Einhaltung der Vorschriften hinaus von erheblichen Vorteilen profitieren, darunter bessere Flexibilität, optimierte Daten und eine höhere Attraktivität für Investoren.

5) Sie etablieren sich als verbraucherorientierter Vordenker: Wenn Sie andere über ihre Rechte auf Datenschutz aufklären, können Sie sich in Ihrer Branche eine maßgebliche Stimme verschaffen. Gehören Sie zu den Ersten, die in Ihrer Branche ein Datenschutzabzeichen erhalten, und Sie werden sich als Vordenker für den Schutz der Privatsphäre profilieren. Ein Vordenker in diesem Bereich zu sein, kann Ihrem Unternehmen Türen öffnen, die es vorher nicht gab, einschließlich neuer Möglichkeiten, die Ihnen sonst verschlossen geblieben wären.

Unsere Ubiscore-Plakette soll ein Gefühl der Sicherheit und Glaubwürdigkeit vermitteln und die Aufmerksamkeit auf das Engagement Ihrer Marke für den Datenschutz lenken. Es ist eine kleine, aber wichtige visuelle Erinnerung, die die Kunden davon überzeugt, dass Ihr Unternehmen zuverlässig und vertrauenswürdig ist und dass Sie die Daten Ihrer Kunden sicher aufbewahren.

Die meisten Verbraucher wollen nicht mit einem Unternehmen zu tun haben, das bekanntermaßen keinen angemessenen Datenschutz bietet, und da die Zahl der Datenschutzverletzungen heutzutage so hoch ist wie nie zuvor, ist die Bereitstellung von Datenschutz nicht nur eine nette Sache, sondern eine entscheidende Sache. Wenn Sie den Datenschutz nicht ernst nehmen, werden sich Ihre Kunden anderswo umsehen.

So erhalten Sie Ihr eigenes UBICERT Badge zu erhalten und Ihren Kunden zu zeigen (und nicht nur zu sagen), wie wichtig Ihnen ihre Privatsphäre ist, melden Sie sich noch heute über den unten stehenden Link für unsere Plattform an!

Auf den Aufbau einer vertrauenswürdigen Marke, die über Jahre hinweg Bestand hat!

The post Wie das Ubiscore Privacy Badge Ihrem Unternehmen helfen kann appeared first on Ubiscore.

Anfang Juni teilte Microsoft Einzelheiten über eine bevorstehende GDPR-Strafe der irischen Datenschutzkommission (DPC) mit, für die das Unternehmen 425 Millionen Dollar (rund 390 Millionen Euro) zurückgelegt hat.

Microsoft ist das größte Softwareunternehmen der Welt. Seine Produkte werden auf praktisch jedem Desktop-Computer eingesetzt und fast eine Milliarde Nutzer nutzen das auf Unternehmen ausgerichtete soziale Netzwerk LinkedIn.

Dieser Bußgeldentwurf wäre der erste, den Microsoft im Rahmen der Datenschutz-Grundverordnung erhält. Aber das Unternehmen hat sich schon früher mit der Durchsetzung des Datenschutzes und des Schutzes der Privatsphäre befasst – ebenso wie mehrere Organisationen, die Microsoft-Produkte verwendet haben.

Der Entwurf LinkedIn Fine

Die Beobachter des Datenschutzes waren überrascht, als Microsoft in aller Stille
ankündigte.
am 1. Juni auf der „Investor Relations“-Seite seiner Website eine Geldstrafe von fast einer halben Milliarde Dollar ankündigte.

Die Nachricht des Tech-Giganten an die Investoren war der erste Hinweis auf eine Untersuchung, die offenbar schon seit über fünf Jahren läuft. Die Erklärung verriet jedoch wenig über die Geldbuße – außer, dass sie sich auf das Ad-Targeting auf LinkedIn bezieht und sich in der Phase des „Vorentwurfs“ befindet.

Microsoft hat LinkedIn im Jahr 2016 übernommen. Der Datenschutzhinweis des sozialen Netzwerks scheint nicht vollständig offenzulegen, wie es die Verarbeitung von Daten für Zwecke des Ad-Targeting rechtfertigt.

Dennoch macht Werbung einen erheblichen Teil der Einnahmen von LinkedIn aus,
erklärt
auf 13,8 Milliarden Dollar (rund 12,64 Milliarden Euro) im Jahr 2022.

Der Bußgeldentwurf der irischen Datenschutzbehörde würde etwa 3 % dieser Zahl ausmachen – ein hoher Anteil, wenn man bedenkt, dass die DSGVO eine Bußgeldobergrenze von 4 % für die schwerwiegendsten Verstöße vorsieht.

Aber die Muttergesellschaft von LinkedIn hat einen viel höheren Umsatz. Wenn – was wahrscheinlich ist – die Strafe von 425 Millionen Dollar als Anteil an den Einnahmen von Microsoft berechnet wird, würde sie 1,1 % der weltweiten Einnahmen des Unternehmens in Höhe von 116,8 Milliarden Dollar (rund 106,5 Milliarden Euro) im Jahr 2022 ausmachen.

Microsoft bestreitet jegliches Fehlverhalten und behauptet, dass die Vorwürfe der irischen Datenschutzbehörde sowohl rechtlich als auch faktisch falsch sind. Aber selbst wenn die DPC mit ihrer Entscheidung fortfährt, könnte das Verfahren zur Einziehung der Strafe noch mehrere Jahre dauern.

Das Glück der Iren (Tochtergesellschaften)

Wie praktisch alle großen Technologieunternehmen hat auch Microsoft Irland als „Hauptniederlassung“ in der EU gewählt.

Das bedeutet, dass die irische Datenschutzbehörde für die Regulierung der Einhaltung der DSGVO durch Microsoft verantwortlich ist – zusammen mit Apple, Google, Meta, TikTok, Twitter und anderen datenhungrigen Unternehmen.

(Amazon ist die bemerkenswerte Ausnahme – das Unternehmen betreibt seine europäischen Aktivitäten von einer Tochtergesellschaft in Luxemburg aus, deren Datenschutzbehörde


an


Datenschutzbehörde dem Unternehmen im Jahr 2021 eine Geldstrafe in Höhe von 746 Millionen Euro auferlegte).

Daher ist es vielleicht nicht überraschend, dass Microsoft die Folgen der DSGVO-Durchsetzung noch nicht zu spüren bekommen hat. Die irische Datenschutzbehörde wurde von vielen Seiten für ihre angebliche Untätigkeit in Sachen Datenschutz kritisiert.

Der irische Rat für bürgerliche Freiheiten (ICCL) hat kürzlich
beschuldigte
dem DPC vor, eine GDPR-„Krise“ heraufzubeschwören, und selbst der Leiter der deutschen Bundesdatenschutzbehörde hat einmal
kritisierte
die „extrem langsame Fallbearbeitung“ des DPC.

Irland hat viele der größten GDPR-Bußgelder aller Zeiten verhängt, darunter die jüngste Strafe in Höhe von 1,2 Milliarden Euro
Strafe
gegen Meta.

Doch in fast jedem größeren Fall zögerte die Datenschutzbehörde zunächst, harte Sanktionen zu verhängen, und die anderen Mitglieder des Europäischen Datenschutzausschusses (EDPB) zwangen die irische Aufsichtsbehörde zum Einlenken.

(Und obwohl die DPC stets jegliche Spannungen zwischen Irland und anderen EDPB-Mitgliedern leugnet, verklagt sie


gegen das EU-Gremium vor Gericht


nachdem der EDSB den Datenschutzbeauftragten Anfang des Jahres aufgefordert hatte, eine „problematische“ Untersuchung der Datenverarbeitungsaktivitäten von Meta durchzuführen).

Xbox COPPA-Bedenken

Die Datenschutzpraktiken von Microsoft sind kürzlich auch jenseits des Atlantiks auf den Prüfstand gekommen.

Die US Federal Trade Commission (FTC) hat einen
vorgeschlagene Datenschutzanordnung
gegen Microsoft Anfang Juni an – nur wenige Tage, nachdem das Unternehmen Investoren über die bevorstehende GDPR-Strafe informiert hatte.

Die Anordnung der FTC bezieht sich auf einen angeblichen Verstoß von Microsoft gegen das Bundesgesetz zum Schutz der Privatsphäre von Kindern im Internet (
COPPA
) durch sein Spieleprodukt Xbox Live.

COPPA wurde 1998 erlassen und verlangt von bestimmten Unternehmen, dass sie die Eltern benachrichtigen und deren Zustimmung einholen, bevor sie personenbezogene Daten von Kindern unter 13 Jahren erfassen. Das Gesetz wurde 2011 mit neuen Vorschriften über die Aufbewahrung und Löschung von Daten aktualisiert.

Bei der Anmeldung für Xbox Live fragt Microsoft nach bestimmten persönlichen Informationen, unter anderem nach dem Alter. Wenn der Benutzer angibt, dass er unter 13 Jahre alt ist, unterbricht Microsoft den Prozess der Kontoerstellung, während das Kind einen Elternteil oder Erziehungsberechtigten um Zustimmung bittet.

Die FTC behauptete jedoch, dass Microsoft zwischen 2015 und 2020 die Daten von Kindern – manchmal jahrelang – gespeichert hat, auch wenn kein Elternteil zugestimmt hatte.

Die FTC stellte fest, dass dies gegen die COPPA-Vorschrift verstößt, die besagt, dass Daten von Kindern nur so lange gespeichert werden dürfen, wie es für einen bestimmten Zweck erforderlich ist. Microsoft hat es angeblich auch versäumt, die Eltern über alle Arten von persönlichen Daten zu informieren, die es sammelt, wie z. B. die Profilbilder der Kinder.

Die Anordnung der US-Aufsichtsbehörde gegen Microsoft ist mit einer geringen Strafe verbunden (20 Millionen Dollar bzw. rund 18,2 Millionen Euro) und verpflichtet das Unternehmen, neue Verfahren zur Datenlöschung einzuführen, Videospielunternehmen zu benachrichtigen, wenn ein Nutzer unter 13 Jahren ist, und die Zustimmung der Eltern für bestehende Nutzer mit Kindern einzuholen.

Bing’s Cookie-Einhaltung

Der Entwurf der irischen Datenschutzbehörde für LinkedIn wäre zwar die erste Geldbuße, die Microsoft im Rahmen der Datenschutz-Grundverordnung erhalten hat, doch hat das Unternehmen bereits eine Strafe in Höhe von 60 Millionen Euro
datenschutzbezogene Strafe
Ende 2022 von der französischen Datenschutzbehörde (CNIL).

Die CNIL ist wohl die aktivste Regulierungsbehörde der EU, wenn es um Verstöße gegen Cookies und Online-Werbung geht. Mitte Juni hat die CNIL
verhängte
die größte GDPR-Strafe, die jemals gegen ein nicht-amerikanisches Unternehmen verhängt wurde – 40 Millionen Euro gegen das Adtech-Unternehmen Criteo.

Die angeblichen Verstöße von Microsoft betrafen seine Suchmaschine Bing und wurden von der CNIL im Rahmen der französischen Umsetzung eines anderen EU-Gesetzes, der Datenschutzrichtlinie für elektronische Kommunikation, verfolgt.

Die CNIL beanstandete die Art und Weise, wie Microsoft Menschen über Bing verfolgt. Berichten zufolge setzte die Website zwei „nicht wesentliche“ Cookies, die u. a. für Werbezwecke und zur Betrugsbekämpfung verwendet werden, ohne die Zustimmung der Nutzer einzuholen.

Die Datenschutzrichtlinie für elektronische Kommunikation sieht geringere Geldbußen vor als die Datenschutz-Grundverordnung. Da Frankreich jedoch die CNIL ermächtigt hat, bei Verstößen gegen die Datenschutzgrundverordnung Sanktionen auf GDPR-Niveau zu verhängen, belaufen sich die französischen Bußgelder für Cookies oft auf mehrere zehn Millionen Euro.

Und im Gegensatz zur Datenschutz-Grundverordnung, die von den Aufsichtsbehörden verlangt, einige Datenschutzbeschwerden an die „federführende Aufsichtsbehörde“ eines Unternehmens (im Fall von Microsoft Irland) weiterzuleiten, kann jede EU-Datenschutzbehörde die ePrivacy-Richtlinie durchsetzen.

Daher wurden viele der größten europäischen Bußgelder im Zusammenhang mit dem Internet – auch gegen in Irland ansässige Unternehmen wie Google, Meta und Apple – von der CNIL im Rahmen der Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation und nicht der DSGVO verhängt.

Microsoft als Dienstanbieter

Wir haben uns drei Fälle aus dem Bereich des Datenschutzes und des Schutzes der Privatsphäre angesehen, die sich direkt gegen Microsoft richten. Dies ist eine relativ geringe Zahl, wenn man bedenkt, wie allgegenwärtig die Microsoft-Eigenschaften sind und wie viele Daten das Unternehmen verarbeitet.

Doch trotz dieser eher spärlichen Durchsetzung gegen Microsoft selbst taucht der Name des Unternehmens häufig bei Untersuchungen zur Datenschutz-Grundverordnung auf, die andere Organisationen betreffen.

Im Jahr 2019 hat zum Beispiel eine Regulierungsbehörde in Deutschland
untersagt.
die Nutzung des Microsoft-Produkts Office 365 durch Schulen, weil sie befürchtete, dass die Daten der Schüler für die US-Regierung zugänglich sein könnten.

Und im Mai dieses Jahres hat die finnische Datenschutzbehörde
eine Sanktion gegen
einen Schulbezirk für die Nutzung von Office 365, da das Produkt die persönlichen Daten von Schülern standardmäßig einer zu großen Anzahl von Personen zugänglich machte.

Microsoft wird auch wiederholt in Untersuchungen des Europäischen Datenschutzbeauftragten (
EDSB
) und des
EDSB
zur Nutzung von Cloud-Diensten durch EU-Organe und Einrichtungen des öffentlichen Sektors erwähnt.

Die Botschaft aus solchen Fällen ist eindeutig.

Unternehmen, die Produkte von Microsoft verwenden, können für Datenschutzverletzungen haftbar gemacht werden, die auftreten, wenn diese Software Daten mit Microsoft austauscht.

Microsoft sammelt große Mengen personenbezogener Daten – manchmal auch für eigene Zwecke – und speichert diese Daten häufig in den USA.

Trotz der Allgegenwärtigkeit des Tech-Giganten sollten europäische Unternehmen also genau überlegen, ob sie Microsoft als Dienstanbieter einsetzen.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post Microsoft und die Durchsetzung des Datenschutzes: Ist der Tech-Gigant glimpflich davongekommen? appeared first on Ubiscore.

Vor zehn Jahren ließ Edward Snowden Tausende von Geheimdokumenten durchsickern und enthüllte das Ausmaß der Überwachung durch US-Geheimdienste.

Neben vielen anderen schwerwiegenden Folgen lösten die Snowden-Enthüllungen eine Reihe von europäischen Gerichtsverfahren aus, die zwei internationale Abkommen für ungültig erklärten – und die Möglichkeiten von US-Tech-Firmen, in der EU zu operieren, ernsthaft untergruben.

Die Snowden-Geschichte

Snowden arbeitete zwischen 2006 und 2009 für die CIA, unter anderem in einer Position, in der er unter diplomatischer Tarnung in Genf die Netzwerksicherheit aufrechterhielt. Im Jahr 2009 nahm er einen Job als NSA-Auftragnehmer bei Dell in den NSA-Büros auf einem japanischen US-Luftwaffenstützpunkt an.

Dell siedelte Snowden 2012 nach Hawaii um, wo er in dem kürzlich eröffneten
Hawaii Cryptologic Center
.

Quelle: https://web.archive.org/web/20150918033924/https://www.nsa.gov/public_info/press_room/2012/a4_hawaii_final.shtml

Snowden hat seine wachsende Desillusionierung über die US-Außenpolitik während seiner Arbeit für die Geheimdienste beschrieben, wo er von Praktiken wie Erpressung, Ermordung und – vor allem – Massenüberwachung erfuhr.

In einem von vielen Beispielen erfuhr Snowden, dass die NSA die Pornografie-Konsumgewohnheiten von mutmaßlichen Dschihadisten verfolgte – mit der Absicht, die Informationen zu veröffentlichen und die „Herabsetzung oder den Verlust (ihrer) Autorität“ zu bewirken.

Quelle:
https://www.huffingtonpost.co.uk/entry/nsa-porn-muslims_n_4346128#slide=3074349

Snowden beobachtete auch, wie die NSA routinemäßig private Daten mit Behörden in Israel und anderen Staaten austauschte.

Diese Informationen sollen angeblich
enthalten
Abschriften von Telefongesprächen zwischen palästinensischen Amerikanern und ihren Verwandten in Palästina, die später vom israelischen Militär verwendet werden konnten, um mutmaßliche Aufständische ins Visier zu nehmen.

Snowden behauptete, dass die NSA trotz der gesetzlichen Verpflichtung, Eingriffe in die Privatsphäre von US-Bürgern so gering wie möglich zu halten, wenig oder gar keine Anstrengungen unternommen hat, um die Identität von Personen zu verschleiern, wenn sie Daten mit ausländischen Regierungen austauscht.

2013 Snowden-Leaks

Snowden behauptete, er habe während seiner Arbeit auf Hawaii „Zugang zu allem“ gehabt. Er war auch der Meinung, dass die NSA nicht damit gerechnet hatte, dass ein abtrünniger Agent die Praktiken der Behörde auffliegen lassen könnte.

Nachdem er einen Job bei einem anderen NSA-Auftragnehmer, dem digitalen Beratungsunternehmen Booz Allen, angenommen hatte, nahm Snowdens Zugangsniveau – und seine Ernüchterung – noch weiter zu.

Bei Booz Allen erfuhr Snowden von einem NSA-Projekt, das als „
MonsterMind
„, das Schadsoftware erkennen sollte, die auf die US-Infrastruktur abzielte – und das, wie er glaubte, automatisch Vergeltungsmaßnahmen gegen den Absender ergreifen könnte.

Für Snowden stellte die Automatisierung dieses Prozesses ein erhebliches Risiko dar, da Cyberangriffe oft über unschuldige Drittländer geleitet werden.

Nachdem Snowden von MonsterMind und anderen NSA-Projekten erfahren hatte, war er der Meinung, dass die Welt das Ausmaß der US-Überwachungspraktiken kennen muss. Er lud Tausende von Geheimdokumenten auf tragbare Speichermedien herunter und flog nach Hongkong, um sie an Journalisten weiterzugeben.

Was hat Snowden aufgedeckt?

Die Snowden-Leaks enthüllten geheime Überwachungsprogramme, die von Geheimdiensten wie der NSA und ihrem britischen Pendant, dem Government Communications Headquarters (GCHQ), betrieben werden.

Snowden zeigte auch, wie die nationalen Sicherheitsgesetze der USA in der Praxis angewandt wurden. Aus europäischer Sicht sind vor allem die folgenden US-Gesetze relevant:

• Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA 702“): Das wichtigste Gesetz, das regelt, wie Nachrichtendienste Daten über ausländische Geheimdienste auf US-Boden sammeln.
• Executive Order 12333 („EO 12333“), die die Überwachungsbefugnisse der Nachrichtendienste – auch im Hinblick auf die Auslandsüberwachung – stärkte. Der Erlass wurde von verschiedenen US-Präsidenten mehrfach geändert.

Für Nicht-Amerikaner betrafen die beiden wichtigsten Enthüllungen Snowdens die Überwachungsprogramme PRISM“ und Upstream“ der NSA.

PRISM

Das PRISM-Programm umfasst die Sammlung von Daten, die von privaten Unternehmen gespeichert werden:

• Google
• Meta (dann Facebook)
• Microsoft
• Yahoo
• Apfel
• AOL

Die PRISM-Enthüllungen werfen auch ein Licht darauf, wie die US-Geheimdienste ihre rechtlichen Befugnisse auslegen. Die Beweise
vorgeschlagen
dass die Sicherheitsvorkehrungen gegen übermäßige Überwachung schwach sind, nicht ausreichend genutzt und manchmal ignoriert werden.

Upstream

Das Upstream-Programm umfasst die direkte Erhebung von Daten „im Transit“ in Zusammenarbeit mit den Telekommunikationsunternehmen.

Die über Upstream erfassten Daten werden auf ihrem Weg durch die Glasfaserkabel abgefangen. In einer von Snowdens durchgesickerten Folien bezeichnete die NSA als „einzigartigen Aspekt“ von Upstream den „Zugang zu einer riesigen Menge an Daten“.

Snowden und die Schrems-Fälle

Nachdem der österreichische Datenschutzaktivist Max Schrems 2013 von den eingreifenden Überwachungsmaßnahmen der USA erfahren hatte, erhob er Klage gegen Facebook (und zunächst auch gegen Apple).

Schrems argumentierte, dass Facebook ihn durch die Übermittlung seiner persönlichen Daten von der irischen Tochtergesellschaft an die US-Muttergesellschaft dem Risiko der Überwachung durch das PRISM-Programm aussetzt.

Der Fall von Schrems wurde von der irischen Datenschutzkommission (DPC) abgewiesen.

„Es gibt ein Abkommen auf europäischer Ebene, das den freien Verkehr personenbezogener Daten zwischen der EU und den USA vorsieht“.
sagte
sagte der damalige Kommissar Billy Hawkes als Antwort auf Schrems‘ Beschwerde.

Hawkes verwies auf die „Safe Harbor Privacy Principles“ der EU und der USA, ein Zertifizierungssystem, das von der Europäischen Kommission im Jahr 2000 als „Angemessenheitsentscheidung“ angenommen wurde.

Das EU-Datenschutzrecht schreibt normalerweise vor, dass Organisationen Kontrollen durchführen müssen, bevor sie personenbezogene Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln. Solche Übermittlungen werden jedoch standardmäßig als rechtmäßig angesehen, wenn sie durch eine Angemessenheitsentscheidung wie Safe Harbor abgedeckt sind.

US-Unternehmen, die sich im Rahmen von Safe Harbor selbst zertifizieren, wurden vertraglich verpflichtet, importierte personenbezogene Daten aus der EU nach einem hohen Standard zu schützen. Schrems argumentierte jedoch, dass eine vertragliche Vereinbarung die US-Geheimdienste nicht daran hinderte, auf seine persönlichen Daten zuzugreifen.

Der irische Datenschutzbeauftragte war jedoch der Ansicht, dass er sich nicht mit der Safe-Harbor-Entscheidung befassen könne und wies die Argumente von Schrems zurück.

„Ich bin an diese Entscheidung gebunden, und deshalb gibt es für mich in diesem Fall nichts zu untersuchen“, sagte Kommissar Hawkes.

Snowden und der irische High Court

Schrems legte gegen die Entscheidung des irischen Datenschutzbeauftragten vor dem irischen High Court Berufung ein. In den ersten Absätzen des Urteils des High Court aus dem Jahr 2013 wurden die Snowden-Enthüllungen als „Hintergrund“ des Falles beschrieben.

„Es stimmt zwar, dass die Snowden-Enthüllungen Aufsehen erregt haben und immer noch erregen, aber nur die Naiven oder Leichtgläubigen können wirklich sehr überrascht gewesen sein“, so der Richter.

Aber während die Snowden-Leaks vielleicht nicht viel über die
Art
der US-Überwachung enthüllt haben, stellte der irische High Court fest, dass Snowden Licht in das
Ausmaß
solcher Praktiken.

„… die Snowden-Enthüllungen zeigen, dass die Sicherheitsbehörden massiv über das Ziel hinausschießen und den Interessen der Bürgerinnen und Bürger an ihrer Privatsphäre nahezu gleichgültig gegenüberstehen. Ihre Datenschutzrechte wurden durch massenhafte und weitgehend unkontrollierte Überwachungsprogramme ernsthaft beeinträchtigt…

„Ich gehe daher davon aus, dass personenbezogene Daten, die von Unternehmen wie Facebook Irland an ihre Muttergesellschaft in den USA übermittelt werden, anschließend von der NSA im Rahmen einer massenhaften und wahllosen Überwachung dieser Daten eingesehen werden können.“

Das irische Gericht befand daher, dass der Gerichtshof der Europäischen Union (EuGH) die Safe-Harbor-Entscheidung überprüfen sollte, um sicherzustellen, dass sie nicht gegen die Grundrechte der Menschen in der EU verstößt.

Snowden und der CJEU

In der
Entscheidung
die jetzt als „Schrems I“ bekannt ist, bezog sich der EuGH auch auf die Snowden-Enthüllungen.

Das Gericht nannte Snowden als einen der Beweggründe von Schrems für die Klageerhebung und verwies auf den Standpunkt des irischen Obersten Gerichtshofs, dass Snowden die „erheblichen Übergriffe“ der NSA aufgedeckt habe.

Der EuGH hat in der Rechtssache Schrems I zwei wesentliche Feststellungen getroffen.

Zunächst befasste er sich mit der Behauptung der irischen Datenschutzbehörde, dass die nationalen Datenschutzbehörden nicht befugt seien, die von der Europäischen Kommission erlassenen Angemessenheitsbeschlüsse (in diesem Fall „Safe Harbor“) zu bewerten.

Der EuGH war anderer Meinung und stellte fest, dass die Datenschutzbehörden berechtigt sind, sich mit jeder Beschwerde einer Person zu befassen, die sich durch eine Angemessenheitsentscheidung in ihren Rechten verletzt fühlt.

Zweitens hat der EuGH die Aufgabe übernommen, Safe Harbor selbst zu bewerten. Das Gericht stimmte Schrems zu, dass die Entscheidung die von US-Unternehmen aus der EU importierten personenbezogenen Daten nicht wirksam schützt.

Damit hat der EuGH ein 16 Jahre altes internationales Abkommen zwischen der EU und den USA gekippt, das Milliarden von Datenübertragungen ermöglicht hatte.

Die Entscheidung veranlasste Tausende von Unternehmen, auf andere rechtliche Mechanismen auszuweichen, um ihre transatlantischen Geschäfte fortzuführen.

Schrems II

Nach dem Urteil in der Rechtssache Schrems I verhandelten Brüssel und Washington über einen Nachfolger von Safe Harbor, den so genannten „Privacy Shield“. Schrems hat das Privacy Shield aus ähnlichen Gründen wie Safe Harbor angefochten.

In der bahnbrechenden Rechtssache „Schrems II
Fall
befand der EuGH das Privacy Shield aus vielen der gleichen Gründe wie sein Vorgänger für unzureichend.

Das Gericht befand, dass der Rahmen den US-Geheimdiensten die wahllose Überwachung von Personen in der EU ermöglicht. Und wenn die NSA auf die Daten eines Europäers zugreift, hat der Einzelne aufgrund des schwachen Rechtsschutzes in den USA keine Möglichkeit, die Verletzung seiner Rechte anzufechten.

Darüber hinaus stellte der EuGH ähnliche Probleme bei anderen rechtlichen Mechanismen zur Erleichterung internationaler Datenübermittlungen fest, wie z. B. bei den „Standardvertragsklauseln“ (SCC), die in Vereinbarungen zwischen EU-Datenexporteuren und Nicht-EU-Importeuren aufgenommen werden können.

Das Gericht stellte fest, dass Gesetze wie FISA 702 und EO 12333 den US-Geheimdiensten weitreichende Befugnisse zur Überwachung von Nicht-Amerikanern einräumen – und dass die vertragliche Verpflichtung eines US-Unternehmens, EU-Daten sicher aufzubewahren, diese Befugnisse nicht beeinträchtigt.

Die Post-Schrems-II-Datenschutz-Landschaft

Da das Privacy Shield für ungültig erklärt wurde und die SCCs für die meisten Übermittlungen unzureichend sind, haben US-Unternehmen Schwierigkeiten, rechtmäßige Wege zu finden, um ihre Tätigkeit in der EU fortzusetzen.

Aber es überrascht vielleicht nicht, dass die Datenübermittlung in die USA weitgehend fortgesetzt wurde – auch wenn sie wahrscheinlich illegal ist.

Die Empfehlungen
des Europäischen Datenschutzausschusses (EDPB) deuten darauf hin, dass die meisten Datenübermittlungen aus der EU in die USA nach Schrems II rechtswidrig sind – selbst dann, wenn es höchst unwahrscheinlich ist, dass Nachrichtendienste versuchen würden, auf exportierte Daten zuzugreifen.

Abgesehen von diesen unverbindlichen Leitlinien haben die Datenschutzbehörden jedoch einen stückweisen Durchsetzungsansatz verfolgt und sich mit Datenübermittlungen in zahlreichen Einzeluntersuchungen zur Verwendung von Tools wie
Google Analytics
und des Meta-Pixels, ohne diese Produkte jedoch gänzlich zu verbieten.

Die Schrems-II-Entscheidung traf Meta jedoch schließlich im Mai 2023, als die irische Datenschutzbehörde widerwillig
verhängte
ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen das Unternehmen verhängte und Meta anordnete, die Übermittlung von Daten von Facebook-Nutzern aus dem EWR an die USA innerhalb von fünf Monaten einzustellen.

Die Datenschutzbehörde wies Meta außerdem an, die rechtswidrige Speicherung von Facebook-Daten in den USA einzustellen. Wird diese Anordnung befolgt, könnten die Beiträge, Fotos, Nachrichten und Kontodaten aller im EWR ansässigen Facebook-Nutzer noch vor Ende des Jahres endgültig gelöscht werden.

Zehn Jahre nach den Snowden-Leaks

Nachdem er 2013 die NSA enttarnt hatte, floh Snowden nach Russland, wo er die
Staatsbürgerschaft erhielt
im Jahr 2022.

Die Entscheidung Snowdens, in Moskau Zuflucht zu suchen, war umstritten. Einige ansonsten wohlwollende Kommentatoren haben
kritisierte
Snowden habe sich nicht lautstark gegen Putins Politik ausgesprochen, auch nicht gegen die Invasion in der Ukraine.

In einem
Guardian-Interview
sagte Snowden Anfang Juni, er bereue seine Enthüllungen nicht, aber die technischen Fortschritte des letzten Jahrzehnts ließen die Überwachungsmethoden von 2013 wie ein Kinderspiel aussehen.

Nachdem Snowden die kuscheligen Beziehungen der US-Tech-Unternehmen zu den Geheimdiensten aufgedeckt hatte, beeilten sich viele Unternehmen, neue Datenschutzmaßnahmen wie die Ende-zu-Ende-Verschlüsselung einzuführen.

Diese technischen Maßnahmen haben jedoch nicht verhindert, dass Big Tech in den seit zehn Jahren andauernden Datenschutzstreit zwischen der EU und den USA hineingezogen wurde.

Nach dem Außerkrafttreten von Safe Harbor und Privacy Shield wird ein
neue Regelung für den Datentransfer
das „EU-US Data Privacy Framework“ (EU-US DPF), bald in Kraft treten – und könnte Meta vor der Anordnung der irischen Datenschutzbehörde bewahren, die Datenübermittlung in die USA einzustellen.

Der Entwurf der EU-US-DSGVO-Entscheidung wurde jedoch vom Europäischen Datenschutzbeauftragten und vom Europäischen Parlament kritisiert. Beide Gremien äußerten die Befürchtung, dass der Rahmen gegen den Datenschutz und das Recht auf Privatsphäre in der EU verstoßen wird.

Der digitale Markt der EU ist nach wie vor mit US-Tech-Unternehmen gesättigt. Europäische öffentliche Einrichtungen, Unternehmen und Privatpersonen in der EU verwenden tagtäglich digitale Produkte aus den USA – weitgehend in Unkenntnis der Tatsache, dass die Verwendung solcher Produkte wahrscheinlich gegen EU-Recht verstößt.

Heutzutage wird Edward Snowden im Zusammenhang mit dem Datentransfer zwischen der EU und den USA nur noch selten erwähnt. Doch seine Enthüllungen führten zu einem Jahrzehnt der Unsicherheit darüber, wie US-Unternehmen weiterhin in der EU tätig sein können.

Max Schrems hat seine Absicht deutlich gemacht, das EU-US-DSGVO aus ähnlichen Gründen anzufechten wie seine Vorgänger Safe Harbor und Privacy Shield.

So könnten Snowdens Leaks den transatlantischen Datentransfer noch viele Jahre lang stören.

Wenn Sie wissen möchten, wie Ihr Unternehmen im Vergleich zu den Branchen-Benchmarks beim Datenschutz abschneidet, testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post Wie die Snowden-Leaks eine jahrzehntelange Krise der EU-US-Datenschutzdiplomatie“ auslösten appeared first on Ubiscore.

Meta hat die
die bisher höchste GDPR-Strafe
: 1,2 Milliarden Euro. Das Unternehmen unterliegt aber auch zwei Anordnungen: Zu stoppen
die unrechtmäßige Übermittlung
personenbezogener Daten aus der EU in die USA und die
rechtswidrige Speicherung
personenbezogener Daten aus der EU in den USA einzustellen.

Die 216-seitige Meta
Entscheidung
kommt von der irischen Datenschutzkommission (DPC) – allerdings erst, nachdem die anderen Regulierungsbehörden des Europäischen Datenschutzausschusses (
EDPB
) Irland gezwungen haben, härtere Sanktionen als geplant zu verhängen.

Dieser Artikel befasst sich mit dieser komplizierten und langwierigen Entscheidung und prüft, ob Meta die Bedingungen der Anordnung erfüllen kann, ohne
ohne sich ganz aus der EU zurückzuziehen.

Der Hintergrund

Diese Entscheidung bringt eine Menge Probleme mit sich.

Ein guter Anfang ist das Jahr 2013, als
Edward Snowden
das ganze Ausmaß der
Überwachungsmaßnahmen der US-Geheimdienste enthüllte.

Dies veranlasste den Datenschutzbeauftragten
Max Schrems
sich bei der irischen Datenschutzbehörde darüber zu beschweren, wie Facebook seine persönlichen Daten aus der EU in die USA übertragen hat.

Schrems I und II

Die Beschwerde von Schrems endete 2015 in einem Gerichtsverfahren mit der Bezeichnung „
Schrems I
„.

In dieser Rechtssache bewertete der Gerichtshof der Europäischen Union (CJEU)
einen Zertifizierungsrahmen namens „Safe Harbor“
der von vielen Unternehmen für die Übermittlung personenbezogener Daten aus der EU in die USA genutzt wurde.

Safe Harbor wurde umgesetzt durch
eine „Angemessenheitsentscheidung“
ein EU-Rechtsinstrument, das die Übermittlung von Daten an ein bestimmtes Land ermöglicht. Es ist möglich, Daten in ein „nicht angemessenes“ Land zu übermitteln, aber normalerweise müssen Sie eine andere Sicherheitsmaßnahme ergreifen.

Der EuGH stellte fest, dass
Safe Harbor rechtswidrig war
rechtswidrig, da es keine personenbezogenen Daten vor US-Geheimdiensten schützt.

Daher haben die EU und die USA einen neuen Rahmen ausgehandelt, der Safe Harbor ersetzen soll und den Namen
„Privacy Shield“ (Datenschutzschild)
.

Schrems hat Facebook erneut verklagt. In dem daraus resultierenden Fall vom Juli 2020, der als „Schrems II“ hat der EuGH das Privacy Shield geprüft. Auch hier stellte das Gericht fest, dass
der Rahmen sei illegal
da er keine personenbezogenen Daten vor US-Geheimdiensten schützte.

Die EU und die USA arbeiten an einem dritten Rahmenwerk, dem so genannten „EU-US Data Privacy Framework“ (EU-US DPF). Wir werden später darauf zurückkommen.

Es hat sich jedoch herausgestellt, dass sich Facebook nicht ausschließlich auf den Privacy Shield verlassen hat. Das Unternehmen nutzte eine weitere Transfersicherung, die als
„Standardvertragsklauseln“ (SCCs)
.

Der EuGH hat nicht gesagt, dass die SCC rechtswidrig sind. Das Gericht hat jedoch festgestellt, dass
SCCs waren nicht immer ausreichend
um personenbezogene Daten vor US-Geheimdiensten zu schützen.

Nach Schrems II muss jedes Unternehmen, das SCCs einsetzt, sicherstellen, dass diese wirksam sind. Wenn nicht, muss das Unternehmen andere
„zusätzliche Maßnahmen“
um sicherzustellen, dass Regierungen keinen Zugriff auf die übermittelten personenbezogenen Daten haben.

Wenn dies nicht möglich ist,
kann die Übertragung nicht durchgeführt werden.
.

Die Entscheidung

Nach Schrems II verwies der EuGH den Fall Schrems an die irischen Gerichte zurück, die die irische DPC aufforderten, die Entscheidung gegen Meta umzusetzen.

Nach mehreren
Jahren der Debatte mit dem EDPB
hat der irische Datenschutzbeauftragte endlich eine der wichtigsten (wenn auch vorhersehbaren) Entscheidungen zur DSGVO getroffen.

Der Befund

Trotz des Urteils des EuGH in Schrems II,
nutzte Facebook (jetzt Meta) weiterhin SCCs
um personenbezogene Daten aus der EU in die USA zu übermitteln.

Und laut der irischen DPC hat Meta
keine „zusätzlichen Maßnahmen“ ergriffen
um den Zugriff der US-Regierung auf personenbezogene Daten aus der EU zu verhindern.

Das bedeutet, dass alle personenbezogenen Daten, die Meta seit Juli 2020 in die USA übermittelt hat, illegal übermittelt wurden.

Daher stellte der Datenschutzbeauftragte fest, dass Meta
gegen Artikel 46 Absatz 1 der Datenschutz-Grundverordnung verstoßen hat
verstoßen hat, der Folgendes besagt:

„Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter darf personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übermitteln, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen.“

Die Aufträge

Nachdem die irische Datenschutzbehörde festgestellt hatte, dass Meta gegen die Datenschutz-Grundverordnung verstoßen hatte, erließ sie
drei „Abhilfemaßnahmen“ erlassen
. Meta muss:

1. Stoppen Sie
   die illegale Übermittlung
   innerhalb von fünf Monaten die Übermittlung personenbezogener Daten an die USA einzustellen.

1. Stoppen Sie
   illegale Verarbeitung
   die personenbezogenen Daten, die sie seit Juli 2020 an die USA übermittelt hat, innerhalb von sechs Monaten einzustellen.

1. Zahlen Sie eine
   1,2 Milliarden Euro Geldstrafe
   .

Schauen wir uns an, wie Meta mit jedem dieser drei Aufträge umgehen könnte.

Die „Aussetzungsanordnung“ für Überweisungen

Meta muss
die unrechtmäßige Übermittlung von Daten von Facebook-Nutzern aus der EU an die USA einstellen
innerhalb von sechs Monaten. Wie wird sie das tun?

Es scheint zwar klar zu sein, dass Meta sich nicht an die internationalen Datenübertragungsregeln gehalten hat, aber es ist nicht klar, wie das Unternehmen dies hätte tun können, ohne die in der EU ansässigen Nutzer zu verlieren.

Es gibt Möglichkeiten, übertragene personenbezogene Daten vor dem Zugriff der Behörden zu schützen. Zum Beispiel,
wenn Meta die personenbezogenen Daten verschlüsselt hätte
verschlüsselt hätte und keinen Zugang zu dem für die Entschlüsselung der Daten erforderlichen Schlüssel hätte, würden die Daten als sicher gelten und die Übermittlung wäre legal.

Aber mit verschlüsselten Daten kann Meta nicht viel anfangen. Bei einer Plattform wie Facebook muss der Betreiber Zugang zu unverschlüsselten Daten haben.

Und wie geht es weiter? Meta verfügt über Datenzentren in der EU und kann es sich leisten, bei Bedarf weitere zu kaufen. Kann das Unternehmen einfach die personenbezogenen Daten von EU-Nutzern ausschließlich in europäischen Datenzentren speichern?

Es gibt zwei Hauptgründe, warum dies nicht funktionieren könnte.

Rechtliche Fragen

Das nationale Sicherheitsgesetz der USA gibt den Geheimdiensten des Landes
sehr weitreichende Befugnisse, um auf persönliche Daten
die sich im Besitz von US-Unternehmen befinden.

In einem Fall aus dem Jahr 2015, bekannt als
Microsoft gegen die Vereinigten Staaten
hatte die US-Regierung verlangt, dass
Microsoft die Herausgabe von in Irland gespeicherten Daten
von Microsofts irischer Tochtergesellschaft.

Microsoft weigerte sich mit dem Argument, dass das Gesetz das Unternehmen nicht dazu verpflichte, Zugang zu außerhalb der USA gespeicherten Daten zu gewähren. Der Fall landete vor dem Obersten Gerichtshof der USA.

Doch bevor der Oberste Gerichtshof über den Fall entschied, änderte die US-Regierung das Gesetz durch die Verabschiedung des
das CLOUD-Gesetz
. Der CLOUD Act stellt klar, dass US-Unternehmen müssen nach wie vor im Ausland gespeicherte Daten herausgeben.

Schließlich erließ die Regierung auf der Grundlage des CLOUD-Gesetzes eine neue Verfügung gegen Microsoft, und Microsoft ließ das Verfahren fallen.

Dies deutet darauf hin, dass die Probleme von Meta nicht allein dadurch gelöst werden können, dass die Daten der EU-Nutzer in Europa gespeichert werden
.
Jedes Mal, wenn die US-Regierung Zugang zu den Daten der Nutzer beantragt (was
was häufig vorkommt
), müsste Meta möglicherweise
gegen EU-Recht verstoßen
um
US-Recht einzuhalten
.

Technische Fragen

Es ist möglich, ein auf die EU beschränktes soziales Netzwerk zu betreiben, das keine personenbezogenen Daten aus Europa heraus überträgt. Aber Facebook ist ein globales Unternehmen, und viele EU-Nutzer interagieren gerne mit Menschen in den USA und anderswo.

Wäre es für einen EU-Nutzer möglich, einer Facebook-Gruppe mit US-Nutzern beizutreten oder ein Produkt von einem in den USA ansässigen Facebook-Anbieter zu kaufen
ohne dass ein „Datentransfer“ stattfindet?

Für eine Datenübermittlung sind mindestens zwei Organisationen erforderlich. Man überträgt die Daten an einen anderen. Ein Unternehmen – auch ein Unternehmen mit Sitz in den USA – das
personenbezogene Daten direkt von einer Person erhebt
keine „Datenübermittlung“ vornimmt.

Die Überweisungen, um die es in diesem Fall geht, waren
von Meta Platforms Irland an Meta Platforms Inc.
(die US-Einheit des Unternehmens).

Wenn Meta Platforms Ireland alle Daten von EU-Facebook-Nutzern, einschließlich der Interaktionen mit Nicht-EU-Nutzern, verwalten würde, könnte es technisch möglich sein, Facebook ohne die Übermittlung von Daten von EU-Nutzern zu betreiben.

Aber auch hier gibt es eine Komplikation.

In einer anderen Rechtssache des EuGH mit der Bezeichnung „
Mode-ID
„, stellte das Gericht fest, dass
Unternehmen, die Facebook-Seiten betreiben, „für die Verarbeitung Verantwortliche“ sind
im Sinne der Datenschutz-Grundverordnung sind und gemeinsam mit Facebook für die Einhaltung der Datenschutz-Grundverordnung verantwortlich sind.

Eine „Übermittlung“ könnte demnach stattfinden
jedes Mal, wenn ein EU-Nutzer mit der Facebook-Seite eines Nicht-EU-Unternehmens interagiert
-selbst wenn die personenbezogenen Daten des Nutzers in Europa gespeichert sind und von Meta Platforms Ireland verwaltet werden.

Der Auftrag zur Einstellung der Verarbeitung

Zusätzlich zur Beendigung der Datenübermittlung,
muss Meta die Verarbeitung der personenbezogenen Daten einstellen
die es seit Juli 2020 unrechtmäßig übermittelt hat.

Der Beschluss legt fest, dass
„Verarbeitung“ schließt „Speicherung“ ein
. In der verbindlichen Entscheidung des EDSB werden die Auswirkungen dieser Anordnung erörtert.

Meta hat nicht angegeben, wie viele Daten illegal übertragen wurden. Es steht jedoch fest, dass der Fall die
„massenhafte, wiederholte und laufende“
Übertragung der Daten von Millionen von Nutzern.

Für Meta gibt es nur zwei klare Optionen, um die Speicherung personenbezogener Daten in den USA zu beenden:
Die Daten „zurückgeben“ oder sie löschen.

Es ist nicht ganz klar, wie die „Rückgabe“ der personenbezogenen Daten aussehen würde, aber die offensichtliche Interpretation wäre, dass
sicherzustellen, dass alle personenbezogenen Daten der EU-Nutzer in Datenzentren in der EU gespeichert werden
von Meta Platforms Ireland. Wir haben bereits einige mögliche Probleme mit dieser Lösung untersucht.

Metas vermeintlich
chaotischer Ansatz zur Datenverwaltung
könnte das Unternehmen daran hindern, die Daten der EU-Nutzer richtig zu unterscheiden. Darüber hinaus könnte eine strikte Abgrenzung zwischen EU- und Nicht-EU-Nutzerdaten angesichts der in der Datenschutz-Grundverordnung eine weit gefasste Definition des Begriffs „personenbezogene Daten“.

Damit bliebe Meta nur noch eine Möglichkeit
: Löschen aller EU-Facebook-Daten
die seit Juli 2020 übertragen wurden.

Wenn dies möglich ist, könnte es die Löschung aller Beiträge, Nachrichten, Fotos und Kontodaten von EU-Nutzern erfordern.
jedes Anzeichen dafür, dass ein EU-Nutzer die Plattform nach Juli 2020 genutzt hat
verwendet hat, müsste gelöscht werden.

Die Geldstrafe

Die irische Datenschutzbehörde hatte ursprünglich vorgeschlagen, keine Geldbuße gegen Meta zu verhängen. Nach dem EDPB-Streitbeilegungsverfahren wurde das Unternehmen mit Abstand
die höchste Strafe in der Geschichte der GDPR
-1,2 Milliarden Euro.

Obwohl diese hohe Strafe für Schlagzeilen sorgte und Meta beabsichtigt, dagegen Berufung einzulegen, ist die Geldbuße weniger folgenreich als die oben erwähnten Anordnungen zur Aussetzung der Überweisung und zur Einstellung der Bearbeitung.

1,2 Milliarden Euro sind etwas mehr als
1 % des Umsatzes von Meta in Höhe von 116,6 Milliarden Euro
für den relevanten Zeitraum – selbst in Kombination mit den
weiteren rund 1,3 Milliarden Euro
an GDPR-Strafen, die das Unternehmen in den letzten zwei Jahren erhalten hat.

Metas schlechte Erfolgsbilanz bei der Einhaltung der DSGVO hat das Unternehmen viel gekostet, aber die Einsparungen und Gewinne, die durch die Missachtung des Gesetzes erzielt wurden, übersteigen wahrscheinlich die Geldstrafen – vorerst.

Wie geht es weiter?

Wie bereits erwähnt, sind Fragen der Privatsphäre und des Datenschutzes für Meta keine Fremdwörter. Aber es ist wichtig zu wissen, dass Meta
bei weitem nicht das einzige Unternehmen, das
von der Entscheidung der DPC betroffen.

Das Internet wird von US-amerikanischen Dienstleistern beherrscht. Beide unterliegen denselben Gesetzen wie Meta, und beide stehen vor denselben technischen Herausforderungen beim Schutz personenbezogener Daten vor den US-Behörden.

Aber es sind die
EU-Unternehmen, die solche Dienste nutzen
die normalerweise
nach der Datenschutz-Grundverordnung haftbar
wie wir aus den zahlreichen Fällen gegen europäische Websites wissen, die
Google Analytics
.

Eine Lösung könnte in greifbarer Nähe sein, wenn die EU den EU-US-Datenschutzrahmen (EU-US DPF) annimmt. Diese Regelung würde die früheren Rahmenwerke „Safe Harbor“ und „Privacy Shield“ ersetzen und könnte von Meta (und anderen) genutzt werden, um ihre Datenübermittlungen rechtmäßig zu gestalten.

Aber
das DPF EU-USA könnte nur eine vorübergehende Entlastung bringen
. Einige EU-Gremien haben angedeutet, dass sie nicht glücklich mit dem Rahmen. Und Max Schrems hat angedeutet, dass er beabsichtigt, den neuen Rahmen beim EuGH anzufechten.

Angesichts der bisherigen Erfolge von Schrems bei der Durchsetzung transatlantischer Datentransferregelungen,
wird seine Klage gegen die EU-US-DSGVO wahrscheinlich gewinnen
. Damit wäre Meta wieder da, wo es angefangen hat – zusammen mit allen anderen US-Unternehmen und ihren EU-Kunden.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post Kann Meta seine 1,2-Milliarden-Euro-GDPR-Strafe überleben? appeared first on Ubiscore.

Der Europäische Datenschutzausschuss (EDPB) hat einen Bericht über die Arbeit seiner Task Force 101. Der Bericht gibt Einblicke in die Art und Weise, wie die europäischen Datenschutzbehörden (DSB) an Beschwerden über eines der schwierigsten Probleme der GDPRInternationale Datenübermittlung.

In diesem Artikel werden die Hintergründe der 101 Task Force des EDPB erläutert und vier wichtige Erkenntnisse aus dem Bericht herausgearbeitet, damit Sie verstehen, warum die Verwendung bestimmter Softwareprodukte mit Sitz in den USA nach der Datenschutz-Grundverordnung illegal sein könnte.

Was ist die Task Force 101?

Die 101-Task-Force des EDPB wurde eingerichtet, um sich mit
101 Beschwerden
die in mehreren EU-Ländern von der Datenschutzkampagnengruppe noyb („None of Your Business“) eingereicht wurden.

Die Beschwerden kamen kurz nachdem der Gründer von noyb, der österreichische Aktivist Max Schrems, vor dem Gerichtshof der Europäischen Union (EuGH) einen Prozess gegen Facebook (jetzt Meta) gewonnen hatte.

Der Fall, der jetzt als „Schrems II“ bekannt ist, betraf die Vorschriften der Datenschutz-Grundverordnung über die internationale Datenübermittlung-die Weitergabe personenbezogener Daten an Organisationen mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR).

Gemäß der GDPR, müssen internationale Datenübermittlungen durch eine „Übermittlungssicherung“ abgedeckt sein. In der Rechtssache Schrems II kippte der EuGH ein internationales Datentransfersystem namens Privacy Shield, das von Tausenden von in den USA ansässigen Unternehmen zur Absicherung von Datentransfers aus dem EWR genutzt wurde.

Standardvertragsklauseln (SCCs)

Der EuGH hat nicht nur das Privacy Shield für ungültig erklärt, sondern auch die Gültigkeit eines anderen häufig verwendeten Übermittlungsmechanismus in Frage gestellt, der als „Standardvertragsklauseln“ (SCCs).

SCCs sind Bestimmungen, die in ein Abkommen zwischen einem „Datenimporteur“ (mit Sitz in einem „Drittland“, z. B. den USA) und einem „Datenexporteur“ (mit Sitz im EWR) aufgenommen werden können und den Datenimporteur zur Einhaltung eines hohen Datenschutzniveaus verpflichten.

Der CJEU stellte fest, dass SCCs allein nicht verhindern, dass ausländische Nachrichtendienste-insbesondere die der USA- nicht am Zugriff auf personenbezogene Daten hindern.

Das Gericht stellte fest, dass im EWR ansässige Datenexporteure auch technische Maßnahmen ergreifen um das Risiko eines unbefugten Zugriffs auf personenbezogene Daten wirksam auszuschalten.

Google und Meta

Die 101 Beschwerden von Noyb betrafen jeweils im EWR ansässige Unternehmen, die zwei gängige Online-Tracking-Tools verwenden: Google Analytics und das Meta Pixel (früher „Facebook-Pixel“).

Die Gruppe behauptete, dass Unternehmen, die diese Tools verwenden, verstoßen gegen das Gesetz weil sie keine Sicherheitsvorkehrungen getroffen hätten, die den Zugriff auf personenbezogene Daten durch US-Geheimdienste verhindern würden.

Beachten Sie jedoch, dass Google Analytics und das Meta Pixel nicht eindeutig sind in der Art und Weise, wie sie personenbezogene Daten an in den USA ansässige Unternehmen übermitteln. Die Lehren aus dem Bericht der Task Force 101 könnten auch für viele andere Software-Tools gelten.

Vier Lehren aus dem Bericht der Task Force 101

Inzwischen sollten Sie den Hintergrund und die Bedeutung wichtiger Begriffe wie „SCC“ und „internationaler Datentransfer“ verstehen. Schauen wir uns also an vier Lektionen über Datenübertragungen aus dem Bericht der Task Force 101.

1. Datenübertragungen sind nicht die einzige Überlegung bei der Nutzung der Tools von Google und Meta

Der EDPB stellt gleich zu Beginn fest, dass Datenübertragungen nur eine Überlegung sind für im EWR ansässige Unternehmen, die Google Analytics oder das Meta Pixel nutzen möchten.

„…wenn ein bestimmtes Tool zur Erhebung personenbezogener Daten auf einer Website ohne Rechtsgrundlage im Sinne von Artikel 6 Absatz 1 DSGVO verwendet wird, ist die Datenverarbeitung rechtswidrig, selbst wenn keine Probleme mit den Anforderungen von Kapitel V der DSGVO bestehen.“

Artikel 6 Absatz 1 der Datenschutz-Grundverordnung verlangt, dass jede Verarbeitung personenbezogener Daten „rechtmäßig, fair und transparent“ ist. Kapitel V der Datenschutz-Grundverordnung enthält die Vorschriften für die internationale Datenübermittlung.

Die 101 Task Force konzentriert sich zwar ausschließlich auf Datenübertragungen, doch ist es wichtig zu bedenken, dass es andere rechtliche Probleme geben kann bei der Verwendung von Produkten wie Google Analytics und dem Meta Pixel.

So erfordert beispielsweise die Verarbeitung personenbezogener Daten nach der DSGVO eine „Rechtsgrundlage“. Organisationen, die Analyse- und Werbetools einsetzen, die Cookies verwenden sollte normalerweise die Zustimmung einholenDas bedeutet, dass die Tools so konfiguriert werden müssen, dass sie nicht ohne die Zustimmung des Besuchers der Website aktiviert werden.

Die 101 Beschwerden von Noyb konzentrierten sich auf Datenübertragungen – doch das ist nur ein Teil des Puzzles zur Einhaltung der DSGVO. Die Produkte von Google und Meta sammeln eine Menge personenbezogener Datenund es könnten noch weitere Fragen zur Einhaltung der GDPR zu klären sein, bevor diese Tools eingesetzt werden.

2. Verschlüsselung schützt persönliche Daten nicht immer

Die 101 Task Force war sich einig, dass die Tools von Google und Meta personenbezogene Daten in die USA übertragen und nicht die Art von technischen Sicherheitsvorkehrungen die den Anforderungen der GDPR an die Datenübertragung entsprechen.

Wie bereits erwähnt, können SCCs ein brauchbares Datenübertragungsinstrument sein. In der Entscheidung in der Rechtssache Schrems II stellte der EuGH jedoch fest, dass Unternehmen, die eine SCC einsetzen, unter Umständen auch Folgendes beachten müssen den Schutz durch SCCs ergänzen durch zusätzliche technische Sicherheitsvorkehrungen.

Die Verschlüsselung kann ein solcher technischer Schutz sein. Die Task Force 101 stellt jedoch fest, dass Verschlüsselung ist nicht immer genug.

Im EWR ansässige Unternehmen können personenbezogene Daten rechtmäßig an in den USA ansässige Unternehmen übermitteln, wenn die folgenden drei Bedingungen erfüllt sind:

1. SCCs sind vorhanden, und
2. Die persönlichen Daten werden verschlüsselt und
3. Das in den USA ansässige Unternehmen verfügt nicht über die Entschlüsselungsschlüssel.

Google Analytics und das Meta Pixel erfüllen die ersten beiden Bedingungen, nicht aber die dritte.

Google Analytics und das Meta-Pixel werden zum Teil zur Analyse des individuellen Nutzerverhaltens eingesetzt. Als solche, Google und Meta müssen die persönlichen Daten, die ihre Tools sammeln, „sehen“..

Sowohl Google als auch Meta geben an, dass sie personenbezogene Daten „bei der Übermittlung“ in die USA verschlüsseln, was verhindern soll, dass unbefugte Dritte personenbezogene Daten abfangen können.

Allerdings, Google und Meta kontrollieren die VerschlüsselungsschlüsselDadurch können die Unternehmen die personenbezogenen Daten entschlüsseln und analysieren und die Ergebnisse dieser Analyse an die Betreiber der Website weitergeben. Die personenbezogenen Daten sind somit für diese Unternehmen in unverschlüsselter Form zugänglich sind.

Aufgrund der nationalen Sicherheitsgesetze der USA können die US-Geheimdienste US-Unternehmen anweisen, sowohl sowohl verschlüsselte personenbezogene Daten als auch die Verschlüsselungsschlüssel zur Entschlüsselung erforderlich. Dies birgt ein inakzeptables Risiko des unbefugten Zugriffs und macht die Übermittlung unrechtmäßig.

3. Europäische Organisationen sind für unrechtmäßige Datenübermittlungen haftbar

Europäische Unternehmen – nicht Google und Meta – sind verantwortlich für alle GDPR-Verstöße die durch die Verwendung von Tools wie Google Analytics und dem Meta Pixel verursacht werden.

Obwohl sich die 101 Beschwerden von Noyb auf diese beiden Produkte konzentrierten, Google und Meta waren nicht die Auskunftspersonen. Die Beschwerden von Noyb richteten sich gegen im EWR ansässige Websites, die als „für die Datenverarbeitung Verantwortliche“ handeln, indem sie Google Analytics oder das Meta Pixel auf ihren Websites einsetzen.

Nach der DSGVO bestimmt der für die Verarbeitung Verantwortliche „die Zwecke und Mittel“ der Verarbeitung personenbezogener Daten.

Ausgangspunkt für die Beurteilung jeder der 101 Beschwerden wardass ein Website-Betreiber, der Google Analytics oder das Meta Pixel verwendet, ein für die Verarbeitung Verantwortlicher ist, weil er:

• beschließt (entscheidet), das Tool auf seiner Website zu installieren.
• Es gibt einen Grund (Zweck) für die Verwendung des Tools (z. B. zur Steigerung des Absatzes durch verhaltensorientierte Werbung).
• wählt die Methode (Mittel) der Verarbeitung personenbezogener Daten (z. B. die Verwendung des Meta-Pixels, um personenbezogene Daten über seine Nutzer zu sammeln und relevante Werbung anzuzeigen).

Website-Betreiber, die Google Analytics und Meta Pixel verwenden, übertragen personenbezogene Daten über ihre Website-Besucher an in den USA ansässige Server, die Google bzw. Meta gehören. Diese Website-Betreiber sind verantwortlich für die Umsetzung von Schutzmaßnahmen bei der Datenübertragung – nicht Google oder Meta.

4. Die europäischen Regulierungsbehörden verfolgen einen einheitlichen Ansatz

Anfang 2022 begannen die EU-Datenschutzbehörden, einige der 101 Beschwerden abzuschließen. So haben beispielsweise die Datenschutzbehörden in mehreren Ländern, darunter Finnland, Österreich, Frankreich, Italien und Dänemark, Beschwerden über Unternehmen, die Google Analytics verwenden, entschieden.

In beiden Fällen kamen die Datenschutzbehörden zu demselben Ergebnis: Google Analyticswenn es in einer der von Google bereitgestellten Standardkonfigurationen implementiert wird, kann nicht verwendet werden, ohne gegen die GDPR zu verstoßen.

Jede Datenschutzbehörde traf die gleiche Entscheidung: Der Website-Betreiber muss Google Analytics entfernen.

Dieser konsequente Ansatz hat seinen Grund. Die EWR-Regulierungsbehörden verfügen über Mechanismen, die ihnen helfen, Unstimmigkeiten zu beseitigen und sicherzustellen, dass sie das Recht konsequent anwenden.

Dies bedeutet, dass alle noch ausstehenden 101 Beschwerden wahrscheinlich auf die gleiche Weise entschieden werden – zusammen mit allen weiteren Beschwerden, die sich auf Google Analytics, das Meta Pixel oder alle anderen Tools, die personenbezogene Daten in die USA übertragen ohne ausreichende Sicherheitsvorkehrungen.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post Vier Lehren aus dem Bericht der Taskforce 101 des EDPB zur Datenübermittlung nach der DSGVO appeared first on Ubiscore.

Die EU hat eine Reihe von Verordnungen erlassen, die sich auf Unternehmen auswirken werden, die im digitalen Bereich tätig sind, und die noch größere Auswirkungen haben könnten noch größere Auswirkungen haben könnten als die GDPR.

Dieser Artikel gibt einen Überblick über drei wichtige EU-Gesetzesvorschläge: das KI-Gesetz, die ePrivacy-Verordnung und das DatengesetzEr erklärt, worum es sich dabei handelt, wie sie mit der Datenschutz-Grundverordnung zu vergleichen sind und wann sie voraussichtlich in Kraft treten werden.

AI-Gesetz

Die
AI-Gesetz
(manchmal auch KI-Verordnung genannt) ist der Ansatz der EU zur Regulierung der künstlichen Intelligenz.

Das Gesetz über künstliche Intelligenz ist noch nicht fertiggestellt, aber das vorgeschlagene Gesetz würde dies tun:

• Definieren Sie „KI“ weit, um alle Modelle und Anwendungsfälle abzudecken.
• einen risikobasierten Ansatz zur Regulierung von KI entsprechend ihrem Schadenspotenzial zu verfolgen.
• Einführung neuer Transparenzpflichten für die meisten Arten von KI-Systemen.
• Einführung eines Selbstzertifizierungsverfahrens für Entwickler bestimmter KI-Systeme, um nachzuweisen, dass ihre Produkte sicher und konform sind.
• Verbot des Einsatzes von KI in bestimmten unannehmbar riskanten Kontexten.

Wie verhält sich das KI-Gesetz im Vergleich zur GDPR?

Das Gesetz über künstliche Intelligenz und die Datenschutz-Grundverordnung stehen in Wechselwirkung zueinander und weichen in einigen wichtigen Punkten voneinander ab.

Sowohl die Datenschutz-Grundverordnung als auch das Gesetz über künstliche Intelligenz beruhen auf Artikel 16 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV), der es den EU-Institutionen erlaubt, Vorschriften zum Schutz personenbezogener Daten zu erlassen.

Die Datenschutz-Grundverordnung hat bereits erhebliche Auswirkungen auf die Nutzung und Entwicklung von KI-Systemen. Der Grund dafür ist KI-Systeme verwenden in der Regel eine Menge personenbezogener Daten-sowohl für das Modelltraining als auch für die Entscheidungsfindung.

Die Regeln und Grundsätze der GDPR wird im Allgemeinen weiterhin für KI-Systeme gelten, wenn personenbezogene Daten betroffen sind. Im Gegensatz zur Datenschutz-Grundverordnung ist der Anwendungsbereich des AI-Gesetzes jedoch nicht auf personenbezogene Daten beschränkt.

Die GDPR regelt die „die automatisierte Entscheidungsfindung“ – allerdings nur, wenn die Entscheidungsfindung ohne menschliches Zutun erfolgt und „rechtliche oder ähnlich bedeutende Auswirkungen“ hat (z. B. KI-gesteuerte Kreditentscheidungen). Die Vorschriften des AI-Gesetzes zur Entscheidungsfindung werden wahrscheinlich umfassender sein.

Das KI-Gesetz wird wahrscheinlich auch Folgendes erlauben neue Verwendungen von „Daten besonderer Kategorien“ (Daten über beispielsweise die ethnische Zugehörigkeit, das Sexualleben oder die Gesundheit von Menschen) für bestimmte Zwecke in KI-Systemen erlauben, etwa zur Erkennung und Korrektur von Verzerrungen.

Wann wird das KI-Gesetz in Kraft treten?

Bevor ein EU-Rechtsakt verabschiedet wird, müssen die drei wichtigsten EU-Institutionen (Kommission, Rat und Parlament) jeweils einen „gemeinsamen Standpunkt“ vorlegen, in dem sie die von ihnen bevorzugte Fassung des Rechtsakts darlegen.

Die Europäische Kommission geht voran und veröffentlicht den Text ihrer vorgeschlagenen Rechtsvorschriften. Die Kommission hat ihren Vorschlag für ein AI-Gesetz im April 2021 veröffentlicht.

Der Europäische Rat hat seinen Standpunkt im Dezember 2022 festgelegt.

Am 27. April 2023 haben sich die verschiedenen Fraktionen des Europäischen Parlaments
auf
auf einen gemeinsamen Standpunkt geeinigt, über den voraussichtlich im Mai endgültig abgestimmt wird.

Nach Angaben von
Kommissarin Margrethe Vestager
bedeutet dieser Fortschritt, dass könnte das KI-Gesetz später im Jahr 2023 verabschiedet werden.

Datenschutzverordnung für elektronische Kommunikation

Die
ePrivacy-Verordnung
ist eine lang erwartete Aktualisierung der Datenschutzrichtlinie für elektronische Kommunikationdie im Jahr 2002 verabschiedet wurde. Das Gesetz sieht unter anderem Folgendes vor:

• Regulierung von Cookies, elektronischem Marketing und Datenschutz in der Kommunikation.
• Explizite Einbeziehung von „Over-the-Top (OTT)“-Kommunikationsdiensten wie WhatsApp, Facebook Messenger und Skype.
• Klärung und Änderung der Regeln für die Zustimmung zu Cookies, einschließlich Mechanismen wie „Cookie-Walls“ und First-Party-Analytics.
• Klärung des Geltungsbereichs der EU-Datenschutzvorschriften, damit sie mit den Datenschutzvorschriften der Datenschutz-Grundverordnung übereinstimmen (d. h. die Datenschutzverordnung für elektronische Kommunikation wird unter bestimmten Bedingungen ausdrücklich für Organisationen außerhalb der EU gelten).

Wie unterscheidet sich die Datenschutzverordnung für elektronische Kommunikation von der Datenschutz-Grundverordnung?

Wie die derzeitige Datenschutzrichtlinie für elektronische Kommunikation wird auch die Datenschutzverordnung für elektronische Kommunikation als „lex specialis“ zur Datenschutz-Grundverordnung fungieren, was bedeutet, dass sie Vorrang vor der Datenschutz-Grundverordnung in bestimmten Bereichen.

So wird beispielsweise in der Datenschutzverordnung für elektronische Kommunikation wie in den derzeitigen Vorschriften festgelegt welche Cookies eine Zustimmung erfordernwährend sich der Standard für die Einwilligung aus der Datenschutz-Grundverordnung ergeben wird.

Die Datenschutzverordnung für elektronische Kommunikation wird in einigen Punkten weiter gefasst sein als die Datenschutz-Grundverordnung.

Die Datenschutz-Grundverordnung gilt nur für die Kommunikation mit personenbezogenen Daten, während die ePrivacy-Verordnung den Datenschutz für alle Formen der elektronischen Kommunikation regeltunabhängig davon, ob es sich um personenbezogene Daten handelt.

Wann wird die ePrivacy-Verordnung in Kraft treten?

Das lange Warten auf Fortschritte bei der Datenschutzverordnung für elektronische Kommunikation ist unter den Beobachtern der Entwicklung der EU-Rechtsvorschriften zum Schutz der Privatsphäre zu einer Art Running Gag geworden.

Die Kommission hat ihre Version der Datenschutzverordnung für elektronische Kommunikation erstmals 2017 vorgeschlagen. Sowohl der Rat als auch das Parlament haben zu dem endgültigen Text Stellung genommen.

Die Gesetzgebung hat sich wiederholt verzögert da die EU-Mitgliedstaaten über die Regeln für die Vorratsdatenspeicherung und die nationale Sicherheit diskutieren.

Die Berichterstatterin für die ePrivacy-Verordnung, MdEP Birgit Sippel, hat kürzlich
forderte
die schwedische Ratspräsidentschaft auf, an den Verhandlungstisch zurückzukehren und die Gesetzgebung voranzutreiben.

Datengesetz

Das
Datengesetz
betrifft die Vorschriften der EU darüber, wie Organisationen persönliche und nicht-persönliche Daten weitergeben und verwenden. Das Datengesetz sieht unter anderem Folgendes vor:

• Die Anbieter von vernetzten Geräten sollten verpflichtet werden, den Verbrauchern den Zugriff auf die von diesen Geräten erzeugten Daten zu ermöglichen.
• Regeln für Verträge über die gemeinsame Nutzung von Daten aufstellen, die versuchen, die Macht zugunsten kleiner und mittlerer Unternehmen (KMU) auszugleichen.
• Ermöglichung des Zugriffs öffentlicher Stellen auf Daten, die sich im Besitz von Organisationen des privaten Sektors befinden, unter bestimmten Bedingungen.
• Schaffung eines Rahmens, der es den Verbrauchern ermöglicht, zwischen Anbietern von Datenverarbeitungsdiensten zu wechseln.

Wie verhält sich der Data Act zur GDPR?

Es gibt viele Überschneidungen zwischen dem Data Act und der GDPR.

Das Datengesetz verweist in mehreren Bereichen, die personenbezogene Daten betreffen, auf die Datenschutz-Grundverordnung. In einigen dieser Bereiche hat die Datenschutz-Grundverordnung ausdrücklich Vorrang vor dem Data Act. In anderen Fällen ist das Datengesetz erweitert die GDPR-ähnlichen Vorschriften auf nicht-personenbezogene Daten.

Ähnlich wie die GDPR sieht das Datengesetz Beschränkungen für die internationale Übermittlung von Daten– mit der Ausnahme, dass im Falle des Datengesetzes die Beschränkungen für nicht-personenbezogene Daten gelten.

Der Data Act enthält auch einige andere Konzepte im Stil der GDPR, darunter Standardvertragsklauseln und die Grundsätze der Fairness und Datenminimierung.

Wann wird das Datengesetz in Kraft treten?

Die Kommission hat ihre Version des Datengesetzes im vergangenen Februar vorgeschlagen, der Rat folgte im Februar und das Parlament im März.

Es wird nun eine Verhandlungsphase zwischen dem Rat und dem Parlament geben, die zwischen einigen Monaten und mehreren Jahren dauern kann.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post Wie unterscheiden sich das KI-Gesetz, die ePrivacy-Verordnung und das Datengesetz der EU von der GDPR? appeared first on Ubiscore.

19. April, Berlin, Deutschland – Ubiscore, die weltweit erste unabhängige Plattform für Datenschutzbewertungen, hat den Start ihrer öffentlichen
Datenschutz-Datenbank
bekannt gegeben, in der Einzelpersonen nun erfahren können, wie Unternehmen ihre Daten schützen.

Ubiscore hat mit dem Rollout seiner Datenschutzdatenbank mit über 5.000 deutschen Startups und bald wird die Plattform auch für Unternehmen in der DACH-Region, Italien und anderen Ländern der GDPR-Region verfügbar sein. Diese Plattform führt eine neue Art der Unternehmensbewertung ein und ermöglicht es den Nutzern zu überprüfen, wie sie oder ihre Konkurrenten den Datenschutz handhaben.

Die Plattform bietet völlig unabhängige unabhängige Bewertungen für Unternehmen mit hohen und niedrigen Punktzahlen. So können Einzelpersonen fundierte Entscheidungen treffen, wenn sie ihre Daten an Unternehmen weitergeben.

„Wir freuen uns sehr, dass wir unsere Datenschutzdatenbank auf den Markt bringen und Einzelpersonen ein Werkzeug zur Verfügung stellen können, mit dem sie die Datenschutzpraktiken von Unternehmen bewerten können“, sagte Frank Trautwein, Gründer und CEO von Ubiscore. „Unsere Plattform ist darauf ausgelegt, Transparenz und Verantwortlichkeit im Datenschutz zu fördern, und wir glauben, dass dies die Unternehmen dazu ermutigen wird, dem Datenschutz bei ihren Tätigkeiten Priorität einzuräumen.

Die Plattform von Ubiscore verwendet ein einzigartiges Scoring-System das die Datenschutzpraktiken eines Unternehmens anhand von vier Kategorien bewertet: Bereiche, Anbieter, Datenschutz und Sicherheit. Dieser umfassende Ansatz stellt sicher, dass die Unternehmen nach ihrem allgemeinen Engagement für den Datenschutz bewertet werden.

„Wir sind stolz darauf, die erste Plattform zu sein, die unabhängige Datenschutzbewertungen für Unternehmen anbietet“, sagt Alex Di Mango, Gründer und CTO von Ubiscore. „Wir hoffen, dass unsere Plattform die Unternehmen dazu ermutigen wird, bewährte Praktiken im Datenschutz anzuwenden, und dass die Bürger mehr Vertrauen in die Weitergabe ihrer Daten haben werden.

Werfen Sie hier einen Blick in unsere Datenbank: Seite erkunden

Über Ubiscore:

Ubiscore wurde in einer Welt geboren, in der die Zahl der Datenschutzverletzungen zunimmt und die Transparenz im Umgang mit Daten fehlt. Unsere Plattform zielt darauf ab, Organisationen weltweit in die Lage zu versetzen, bessere Entscheidungen im Umgang mit ihren Nutzerdaten zu treffen, und sie gleichzeitig bei der Einhaltung von Datenschutzgesetzen zu unterstützen. Ubiscore ist ein führender Anbieter von Datenschutz-Ratings und Datenschutz-Analysen für Unternehmen. Das Unternehmen hat es sich zur Aufgabe gemacht, Organisationen aller Größenordnungen dabei zu helfen, ihr volles Potenzial auszuschöpfen, indem es ihnen die Werkzeuge und Erkenntnisse zur Verfügung stellt, die sie benötigen, um ihre Datenschutzpraktiken zu verstehen und zu verbessern.

Kontaktieren Sie uns unter press@ubiscore.com oder besuchen Sie unsere Unternehmenswebsite unter ubiscore.com

The post Ubiscore lanciert öffentliche Datenschutz-Datenbank appeared first on Ubiscore.

OpenAI began as a non-profit that trained open-source AI models on unpublished books. Eight years later, fueled by billion dollars of investment from Microsoft, the company faces allegations of violating European data protection law—and compliance demands that might be impossible to meet. 

‘A Good Outcome for All’ 

OpenAI started in 2015, funded by donations from entrepreneurs including Sam Altman (now the company’s CEO), Elon Musk, and Peter Thiel—plus corporations such as Amazon Web Services (AWS), Infosys, and Microsoft. 

OpenAI’s stated goal was to “advance digital intelligence in the way that is most likely to benefit humanity as a whole, unconstrained by a need to generate financial return.” 

It’s hard to predict when human-level AI might come within reach,” an early OpenAI press release states. “When it does, it’ll be important to have a leading research institution which can prioritise a good outcome for all over its own self-interest”. 

Semi-Supervised Learning 

OpenAI’s most significant work is its GPT series (short for “Generative Pre-trained Transformer”) of AI models. 

GPT was the first “transformer”-type AI to receive “semi-supervised” training. Whereas earlier transformers required a lot of costly and time-consuming human intervention, GPT could learn from large amounts of raw, unlabelled data. 

The first GPT model was trained on literature—7,000 unpublished books comprising 4.5 GB of text. 

With GTP’s successor, GPT-2, OpenAI began integrating text scraped from the open web. The model’s training set included “all outbound links from Reddit… which received at least three karma”. As a result, GPT-2 produced more convincing, “human-like” outputs. 

After some initial reluctance to publicly release the model—supposedly due to concern over its potential to produce disinformation—OpenAI eventually published GPT-2’s source code in February 2019.  

Common Crawl 

Shortly before releasing GPT-2, OpenAI announced that was switching from a non-profit to a “capped” private company whose profits would never exceed an amount 100 times higher than its original investment. 

The following year, OpenAI announced GPT-3—a version of which would later power OpenAI’s leading commercial product, ChatGPT. 

GPT-3 was trained on a much larger corpus of data than previous GPT models. Around 60% of GPT-3’s training set came from Common Crawl, a non-profit that “scrapes” the web each month and provides free access to the resulting dataset. 

Common Crawl, a non-profit, has been largely left alone by US authorities and rightsholders. The organisation has defended the legality of its operations against allegations of copyright abuse. 

Under US law, web scraping is protected by the first amendment. The legal situation is different in Europe, where a “legal basis” is required for most activities involving personal data (which will inevitably appear in a large enough set of web-scraped data). 

The Closing of OpenAI 

Although OpenAI allowed limited third-party access to the GPT-3 API, enabling others to integrate GPT-3 into their products, the company declined to release the model’s source code. 

“In addition to being a revenue source to help us cover costs in pursuit of our mission, the API has pushed us to sharpen our focus on general-purpose AI technology.” OpenAI said in a June 2020 blog post. 

In January, the company received a $10 billion funding injection from Microsoft, which subsequently announced it would integrate OpenAI’s model into the Bing search engine. 

On releasing its most recent GPT model, GPT-4, this March, OpenAI did not publish any information about the model’s size, architecture, or training data, citing the “competitive landscape” and “safety implications”. 

‘Plausible-Sounding But Incorrect’ 

ChatGPT, the chatbot released by OpenAI last October, runs on GPT-3.5—a fine-tuned version of GPT-3 whose training data includes information published as recently as June 2021. 

ChatGPT’s user-friendly design helped it reportedly become history’s fastest-growing app, attracting over 100 million users within a few months of its launch. 

Despite the program’s impressively human-like outputs, OpenAI admitted that ChatGPT would sometimes “respond to harmful instructions”, “exhibit biased behaviour”, and produce “plausible-sounding but incorrect or nonsensical answers”. 

OpenAI’s GDPR compliance efforts have been relatively slow. The company published its data processing agreement, a mandatory contract for companies using “data processors” under the GDPR, on 14 March—some five months after ChatGPT’s launch. 

The following week, OpenAI notified users of a security breach that exposed some users’ private chat topics, names, email addresses, billing addresses, and limited payment information. It was this relatively minor incident that led to OpenAI’s first reckoning under the GDPR. 

OpenAI’s GDPR Reckoning 

Italy’s data protection authority (DPA), the Garante, was the first regulator to directly challenge OpenAI, announcing action against the company on 31 March. 

While the Garante’s intervention was triggered by ChatGPT’s security incident, the regulator issued an emergency order addressing a much broader set of issues. The Garante alleged that OpenAI: 

• Was not sufficiently transparent about how ChatGPT used personal data. 
• Had no legal basis for collecting personal data to train its algorithms.
• Processed inaccurate personal data about people via ChatGPT. 
• Had no age verification system in place to stop children from using ChatGPT. 

 The regulator cited violations of Articles 5, 6, 8, 13, and 25 of the GDPR—provisions relating to the GDPR’s principles, its legal bases, the rules on delivering online services to children, transparency obligations, and the concept of “data protection by design”. 

The Garante’s order against OpenAI required the “temporary limitation of the processing of personal data of data subjects established in the Italian territory”. The company had 20 days to explain how it would address the compliance issues alleged by the regulator. 

In response, OpenAI “ceased offering ChatGPT in Italy”. 

Not a Block or a Ban 

Italy’s action against OpenAI provoked headlines such as “Italy blocks ChatGPT over privacy concerns” and “ChatGPT banned in Italy”.  

But rather than having been “blocked” or “banned” by Italy, OpenAI chose to restrict Italian users’ access as a means to comply with the regulator’s order.  

In an interview following OpenAI’s decision, a Garante representative said the company could, in theory, have continued offering ChatGPT—if it could do so without processing any personal data about people in Italy. 

On a technical level, it would be impossible to offer ChatGPT in Italy without processing personal data about Italians. In fact, it’s unclear how OpenAI could have limited all processing of such data—regardless of whether the company blocked ChatGPT. 

 Processing” is defined broadly in the GDPR, covering “any operation” performed on personal data. 

As such, whatever OpenAI did in response to the Garante would have constituted “processing”—including deleting personal data in its training set, continuing to store that data, or providing refunds to Italian customers. 

And despite the geo-restriction of ChatGPT, the chatbot would continue to generate inaccurate personal data about people in Italy (which was one of the Garante’s key concerns). There is no clear solution to the “accuracy” problem short of closing down the app altogether. 

Further Investigations 

On 12 April, a week before OpenAI’s original deadline, the Garante announced that OpenAI had a further 18 days to bring its operations into compliance with the GDPR. 

By the end of April, OpenAI must: 

• Create a new privacy notice describing the “logic involved” in ChatGPT, plus information about the rights of users and non-users. 
• Adopt a new “legal basis” for processing personal data, based either on consent or the company’s “legitimate interests”. 
• Implement a system enabling people to request the correction or erasure of inaccurate personal data, and to object to the use of their personal data in training sets. 
• Prohibit children from using ChatGPT, and, by the end of September, filter out children under 13 and children aged 13-18 whose parents have not provided consent. 
• Conduct an awareness-raising campaign across TV, radio, and print media, informing people about the use of personal data in training algorithms. 

The following day, at the request of the Spanish regulator, the European Data Protection Board (EDPB) announced a new “dedicated task force” to “foster cooperation” and “exchange information on possible enforcement actions” against OpenAI. 

The next OpenAI enforcement action could come from France, where the country’s regulator is apparently investigating complaints about the company. 

The End of the Beginning 

Even if OpenAI manages to satisfy Italy’s demands, the company’s compliance issues are unlikely to go away. 

Data protection experts have been highlighting conflicts between the GDPR’s requirements and the large-scale processing of data that powers large language models like GPT. 

In a 2018 paper titled “Algorithms that remember”, academics Michael Veale, Lilian Edwards, and Reuben Binns argued that AI models themselves—not only the datasets used to train the models—constitute “personal data” under the GDPR. 

 This would mean that AI models are personal data “all the way down”—they are trained on personal data, process personal data as inputs, produce personal data as outputs, and, according to the above interpretation, are themselves personal data. 

A recent Oxford University paper argues that European regulators are “ill-prepared for the emergence of this new generation of AI models”—and will remain so even after the passing of the EU’s upcoming AI Act. 

The GDPR’s principles of fairness, transparency, data minimisation, data accuracy, and its rules on automated decision-making all apply to the training and operation of AI models.  

But full GDPR compliance could seriously undermine OpenAI’s data-hungry operations, and it might be easier for the company to leave Europe altogether. 

We hope this guide was helpful. Thank you for reading and we wish you the best of luck with improving your company’s privacy practices! Stay tuned for more helpful articles and tips about growing your business and earning trust through data-protection compliance. Test your company’s privacy practices, CLICK HERE to receive your instant privacy score now!

The post Are the GDPR Walls Closing in on OpenAI? (NO, Italy did not ban ChatGPT!) appeared first on Ubiscore.

Die EU-Datenschutzgrundverordnung (GDPR) gilt für den gesamten Europäischen Wirtschaftsraum (EWR) und das Vereinigte Königreich. Jedes Land hat ein nationales Gesetz erlassen, in dem festgelegt ist, wie die Datenschutz-Grundverordnung in diesem Land gilt.

Wir haben eine Liste mit allen Gesetzen zur Umsetzung der DSGVO zusammengestellt. Die Liste enthält einen Link zu den Rechtsvorschriften des jeweiligen Landes sowie ein oder zwei Informationen über länderspezifische Vorschriften oder Ausnahmen.

Österreich

Bundesgesetz 165/1999 (Datenschutzgesetz)

Nach österreichischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die höchstens 14 Jahre alt ist.

Belgien

Gesetz vom 30. Juli 2018 über den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten

Das belgische Recht legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO als eine Person im Alter von 13 Jahren oder darunter fest.

Bulgarien

Gesetz zum Schutz personenbezogener Daten
(Direkter PDF-Download)

Nach bulgarischem Recht müssen die betroffenen Personen innerhalb von sechs Monaten nach dem mutmaßlichen Verstoß eine Beschwerde einreichen. Das Gesetz legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO als eine Person unter 14 Jahren fest.

Kroatien

Gesetz zum Schutz personenbezogener Daten
(Direkter PDF-Download)

Das kroatische Recht verleiht der Datenschutzbehörde zusätzliche Befugnisse, die über die in der Datenschutz-Grundverordnung aufgeführten hinausgehen.

Zypern

Gesetz 125(I) von 2018

Nach kroatischem Recht können bestimmte Verstöße gegen die Datenschutz-Grundverordnung mit einer Freiheitsstrafe von 1-5 Jahren geahndet werden.

Tschechien (Tschechische Republik)

Gesetz vom 12. März 2019 über die Verarbeitung personenbezogener Daten

Nach tschechischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 15 Jahre oder jünger ist.

Dänemark

Gesetz Nr. 502 vom 23. Mai 2018 (Datenschutzgesetz)

Das dänische Datenschutzgesetz legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO als eine Person unter 15 Jahren fest. Das dänische Gesetz sieht einige zusätzliche Ausnahmen zur Erleichterung des „Rechts auf Zugang“ vor, darunter den Schutz von Geschäftsgeheimnissen.

Estland

Gesetz zum Schutz personenbezogener Daten (PDPA) 2018

Nach estnischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 13 Jahre oder jünger ist. Der Rechtsakt enthält auch einige Bestimmungen über das Fortbestehen der Einwilligung einer betroffenen Person nach deren Tod.

Finnland

Datenschutzgesetz (1050/2018)

Nach finnischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 13 Jahre oder jünger ist. Das Gesetz steht in Bezug auf die Verarbeitung von Arbeitnehmerdaten in einigen wichtigen Punkten in Wechselwirkung mit dem finnischen Gesetz zum Schutz der Privatsphäre am Arbeitsplatz.

Frankreich

Loi n° 78-17 (Gesetz über den Datenschutz)

Mit dem französischen Gesetz werden Bestimmungen der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation umgesetzt. Das Gesetz legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO als eine Person im Alter von 15 Jahren oder darunter fest.

Deutschland

Bundesdatenschutzgesetz

Das deutsche Recht sieht eine Reihe von besonderen Bedingungen vor, unter denen eine Organisation einen Datenschutzbeauftragten (DSB) bestellen muss, u. a. wenn mehr als 10 Personen regelmäßig personenbezogene Daten verarbeiten.

Griechenland

Gesetz Nr. 4624/2019
(Direkter PDF-Download)

Nach griechischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 15 Jahre oder jünger ist. In Artikel 27 des Gesetzes sind einige besondere Regeln für die Verarbeitung von Arbeitnehmerdaten festgelegt.

Ungarn

Gesetz CXII von 2011 über das Recht auf informationelle Selbstbestimmung und die Informationsfreiheit

Im ungarischen Gesetz sind sowohl der Datenschutz als auch die Informationsfreiheit in einem einzigen Gesetz zusammengefasst. Das Gesetz erlaubt es einer benannten Person, die Rechte der betroffenen Person im Namen einer verstorbenen Person bis fünf Jahre nach deren Tod auszuüben.

Island

Gesetz über den Datenschutz und die Verarbeitung personenbezogener Daten

Nach isländischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 13 Jahre oder jünger ist. Das Gesetz gilt für „die Verarbeitung personenbezogener Daten verstorbener natürlicher Personen, gegebenenfalls für einen Zeitraum von fünf Jahren ab deren Tod oder länger, wenn es sich um personenbezogene Daten handelt, deren vertrauliche Behandlung nach Treu und Glauben angemessen ist“.

Irland

Datenschutzgesetz 2018

Nach irischem Recht ist es Arbeitgebern untersagt, von Arbeitnehmern oder Bewerbern zu verlangen, dass sie einen Antrag auf Zugang zu personenbezogenen Daten stellen. Das Alter eines „Kindes“ im Sinne von Artikel 8 der Datenschutz-Grundverordnung liegt derzeit bei 16 Jahren, wird jedoch überprüft.

Italien

Kodex zum Schutz personenbezogener Daten

Nach italienischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 14 Jahre oder jünger ist. Für die risikoreiche Verarbeitung von Gesundheitsdaten, biometrischen und genetischen Daten, bei der sich die für die Verarbeitung Verantwortlichen nicht allein auf die „Einwilligung“ verlassen können, gelten besondere Vorschriften.

Lettland

Gesetz über die Verarbeitung personenbezogener Daten 2021

Das lettische Recht legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO auf Personen bis 13 Jahre fest.

Liechtenstein

Datenschutzgesetz (DSG)

Das liechtensteinische Recht verpflichtet Ärzte, Anwälte und Krankenhäuser zur Verschwiegenheit über die Daten von Verstorbenen. Bestimmte Verstöße gegen das Gesetz werden mit Freiheitsentzug geahndet.

Litauen

Gesetz über den rechtlichen Schutz personenbezogener Daten

Nach litauischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 14 Jahre oder jünger ist. Das litauische Recht verbietet die Verarbeitung nationaler Identifikationsnummern zu Zwecken der Direktwerbung.

Luxemburg

Gesetz vom 1. August 2018 (Datenschutzgesetz)

Das luxemburgische Recht verbietet es, sich bei der Verarbeitung genetischer Daten auf die Einwilligung der betroffenen Person zu stützen. Die Datenschutzbehörde kann unter bestimmten Bedingungen Geldbußen in Höhe von 5 % des durchschnittlichen Tagesumsatzes des Vorjahres verhängen.

Malta

Datenschutzgesetz

Nach maltesischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 13 Jahre oder jünger ist. Das Gesetz sieht auch eine Altersgrenze von 16 Jahren für die Verarbeitung von Schülerdaten vor.

Niederlande

Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG)

Das niederländische UAVG erlaubt die Verarbeitung von nationalen Identifikationsnummern nur für die gesetzlich vorgesehenen Zwecke. Eine umstrittene Entscheidung der Datenschutzbehörde besagt, dass ein „rein kommerzielles Interesse“ niemals ein „berechtigtes Interesse“ sein kann. Der EuGH wird über diesen Fall entscheiden.

Norwegen

Datenschutzgesetz

Nach norwegischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 13 Jahre oder jünger ist. Das Gesetz sieht eine Ausnahme von den Transparenz- und Auskunftsrechten der Datenschutz-Grundverordnung vor, wenn die Offenlegung der Informationen die Gesundheit der betroffenen Person beeinträchtigen könnte.

https://www.whitecase.com/insight-our-thinking/gdpr-guide-national-implementation-norway

Polen

Ustawa z 10 Maja 2018 o Ochronie Danych Osobowych (UODO)
(Direkter PDF-Download)

Die polnische UODO sieht Ausnahmen von den Rechten der betroffenen Personen aus verschiedenen Gründen vor, darunter Kreditwürdigkeit und Geldwäsche.

Portugal

Gesetz 58/2019 (Datenschutzgesetz)

Das portugiesische Recht regelt die Verarbeitung von genetischen und gesundheitlichen Daten über Verstorbene. Das Gesetz legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO als eine Person im Alter von 13 Jahren oder darunter fest.

Rumänien

Gesetz Nr. 190 (Datenschutzgesetz)

Das rumänische Datenschutzgesetz steht in Wechselwirkung mit anderen datenbezogenen Vorschriften in den Bereichen Rechnungswesen und Arbeitsrecht.

Slowakei

Gesetz Nr. 18/2018 (Datenschutzgesetz)

Nach slowakischem Recht kann ein naher Verwandter einer verstorbenen Person in deren Namen die Zustimmung erteilen, sofern keine anderen nahen Verwandten Einwände erheben. Das slowakische Arbeitsrecht schränkt die Arten von personenbezogenen Daten ein, die im Zusammenhang mit der Beschäftigung erhoben werden können.

Slowenien

Zakon o Varstvu Osebnih Podatkov (ZVOP-1)

Nach slowenischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 15 Jahre oder jünger ist. Für den Einsatz von Videoüberwachung am Arbeitsplatz gelten besondere Vorschriften.

Spanien

Organgesetz 3/2018 (Datenschutzgesetz)

Nach spanischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 15 Jahre oder jünger ist. Das Gesetz sieht besondere Regeln für die Verarbeitung von „Geschäftskontaktdaten“ vor.

Schweden

Lag (2018:218) (Datenschutzgesetz)

Das schwedische Gesetz besagt, dass eine Verarbeitung aufgrund eines „öffentlichen Auftrags“ nur dann zulässig ist, wenn sie durch ein bestimmtes Gesetz, eine Verordnung oder einen Tarifvertrag gerechtfertigt ist. Das Gesetz legt das Alter eines „Kindes“ für die Zwecke von Artikel 8 DSGVO als eine Person im Alter von 13 Jahren oder darunter fest.

Vereinigtes Königreich

Datenschutzgesetz (DPA) 2018

Nach britischem Recht gilt als „Kind“ im Sinne von Artikel 8 DSGVO eine Person, die 15 Jahre oder jünger ist. Das Vereinigte Königreich ist dabei, sein Datenschutzrecht zu reformieren, was wahrscheinlich zu erheblichen Änderungen des Datenschutzgesetzes 2018 führen wird.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post GDPR-Umsetzungsgesetze: Die vollständige Liste (EU, EWR und UK) appeared first on Ubiscore.

Dieser Artikel befasst sich mit drei Bereichen, in denen der EDPB Probleme mit dem Entscheidungsentwurf der Europäischen Kommission sieht:
die Grundsätze, der Rechtsbehelfsmechanismus und das nationale Sicherheitsrecht der USA
.

Die Stellungnahme des EDSB ist nicht bindend, aber seine Analyse ist wichtig.
Viele der Kritikpunkte des EDSB könnten vom Gerichtshof der Europäischen Union (EuGH) geteilt werden.
-und jedes Unternehmen, das plant, sich auf die DPF zu verlassen, sollte darauf vorbereitet sein, dass sie scheitern könnte.

EU-US-DPF-Grundsätze

Die Grundsätze und ergänzenden Grundsätze der DPF (zusammen „die DPF-Grundsätze“) sind die Anforderungen, die zertifizierende Unternehmen bei der Verarbeitung von aus der EU importierten personenbezogenen Daten erfüllen müssen.

Die DPF-Prinzipien sind im Wesentlichen dieselben wie die des Privacy Shield. Die Grundsätze wurden nicht geändert, da sie in Schrems II nicht kritisiert wurden.

Nichtsdestotrotz,
steht der EDPB den Grundsätzen der DPF recht kritisch gegenüber.

Da die DPF-Grundsätze seit dem Privacy Shield unverändert sind, hält sich der EDPB weitgehend an die
Stellungnahme zum Privacy Shield
die von der Artikel-29-Datenschutzgruppe (WP29) angenommen wurde.

Der EDPB hält seine Bedenken aufrecht:

• Zu weit gefasste Ausnahmen vom Recht auf Zugang.
• Zeitpunkt und Modalitäten“ für das Widerspruchsrecht.
• Unklarheit darüber, wie die Grundsätze auf die Verarbeiter anzuwenden sind.
• Die weitreichende Ausnahme für öffentlich zugängliche Informationen.
• Fehlende Garantien für die Weitergabe von personenbezogenen Daten.
• Fehlende Regeln für die automatisierte Entscheidungsfindung.

Aber wie bereits erwähnt, ging es in Schrems II nicht um die Grundsätze, so dass diese Kritik wohl eher akademisch ist.

Die wichtigeren Themen sind Wiedergutmachung und nationale Sicherheit.

Gerichtlicher“ Rechtsbehelf

Den betroffenen Personen stehen im Rahmen der EU-US-DSGVO zunächst sieben Rechtsbehelfe zur Verfügung, darunter eine EU-Datenschutzbehörde (DPA), eine unabhängige Streitbeilegungsstelle oder die US-amerikanische Federal Trade Commission (FTC).

Am wichtigsten ist jedoch, dass Personen, die möglicherweise von US-Geheimdiensten überwacht wurden, „Rechtsmittel“ zur Verfügung stehen.

Nach EU-Recht
hat jeder das Recht auf einen „wirksamen Rechtsbehelf vor einem Gericht“.
Das Fehlen eines wirksamen Rechtsbehelfs war einer der Hauptgründe, warum der EuGH das Privacy Shield in Schrems II für ungültig erklärte.

Damit die EU-US-DSGVO erfolgreich sein kann, muss der Rahmen ein Rechtsmittel bieten, das besser ist als die Ombudsperson des Privacy Shield, die laut EuGH „kein Gericht“ nach den Standards des EU-Rechts ist.

Der Rechtsbehelfsmechanismus der EU-US-DSGVO besteht aus zwei Ebenen:

• Einreichung einer Beschwerde beim Civil Liberties Protection Officer des Office of the Director of National Intelligence (ODNI CLPO oder CLPO).
• Einspruch beim Datenschutz-Überprüfungsgericht (DPRC).

Nach der Entscheidung der DPRC ist kein weiterer Rechtsbehelf möglich.

Wiedergutmachung: Das Gute

Positiv zu vermerken ist laut EDPB, dass der neue Rechtsbehelfsmechanismus:

• ist im Vergleich zum Privacy Shield Ombudsmann „deutlich verbessert“.
• Bietet „mehr Garantien“ für die Unabhängigkeit.
• Sie beinhaltet „wirksamere Befugnisse zur Beseitigung von Verstößen“.
• Kann den Nachrichtendiensten verbindliche Entscheidungen auferlegen.

Zur Unabhängigkeit stellt der EDSB fest, dass
der DPRC nicht dem Generalstaatsanwalt der USA unterstellt ist
und unterliegt nicht der „alltäglichen Aufsicht“ des Generalstaatsanwalts (allerdings gibt es hier einen Vorbehalt – siehe unten). Diese Faktoren stellen „eine erhebliche Verbesserung gegenüber dem Privacy Shield“ dar.

Wiedergutmachung: Das Schlechte

Auf der negativen Seite ist der EDPB besorgt über:

• Die „Standardantwort“, die die DPRC im Anschluss an eine Beschwerde geben wird (mehr dazu weiter unten).
• Die Tatsache, dass die Entscheidungen der DPRC nicht angefochten werden können.
• Die Ernennung und Entlassung der DPRC-„Richter“.

Der EDSB stellt fest, dass
das DPRC immer noch innerhalb der US-Exekutive angesiedelt ist
. Dies wirft die Frage auf, ob die Stelle wirklich unabhängig ist.

Der EDSB ist auch besorgt über die Bedeutung der „täglichen Überwachung“. Bedeutet dies, dass die DPRC-„Richter“ einer anderen Form der Aufsicht durch den Generalstaatsanwalt unterliegen werden? Dies sollte klargestellt werden.

Wiedergutmachung: Das Hässliche

Das vielleicht größte Problem für den EDSB ist die „Standardantwort“, die betroffenen Personen, die sich an den DPRC wenden, gegeben wird.

Die DPRC wird weder bestätigen noch dementieren, dass eine Person überwacht wurde.
Jeder erhält eine Standardantwort: „
Bei der Überprüfung wurden entweder keine erfassten Verstöße festgestellt oder das Datenschutzprüfungsgericht hat eine Entscheidung getroffen, die angemessene Abhilfemaßnahmen erfordert
„.

Der EDSB stimmt zu, dass ein Gleichgewicht zwischen dem „allgemein legitimen Zweck“ der Wahrung des Staatsgeheimnisses gefunden werden muss. Der Ausschuss ist jedoch besorgt darüber, dass es keine Ausnahmen von dieser allgemeinen Regel gibt.

Der EDPB sagt, dass die Entscheidungen des DPRC „begründet“ sind. Aber
der EDSB ist eindeutig nicht beeindruckt von der Standardantwort an die betroffenen Personen
in Verbindung mit der Tatsache, dass gegen Entscheidungen des DPRC kein Rechtsmittel eingelegt werden kann.

Nationale Sicherheit

Im Rahmen seiner Stellungnahme bewertete der EDSB die Vorschriften der USA über den Zugang zu und die Verwendung von personenbezogenen Daten für Zwecke der nationalen Sicherheit.

Der EDPB beurteilt das nationale Sicherheitssystem der USA durch die Brille der
Europäischen Grundgarantien
: vier Grundsätze, die eingehalten werden müssen, um einen ausreichenden Standard des Schutzes der Privatsphäre und des Datenschutzes zu gewährleisten.

Selbst unter Berücksichtigung der neuen Schutzmaßnahmen hat der EDPB Bedenken, ob die USA diese Garantien erfüllen.

Klare, präzise und zugängliche Regeln

Jeder Eingriff in die Grundrechte auf Privatsphäre und Datenschutz muss auf klaren, präzisen und zugänglichen Regeln beruhen.

Der EDSB stellt fest, dass die Überwachungsmaßnahmen (oder „signals intelligence“) der US-Behörden auf der Grundlage einer Reihe von Gesetzen und Anordnungen erfolgen, die der Öffentlichkeit zugänglich sind.

Allerdings,
ist der EDPB besorgt über die mangelnde Klarheit der Definitionen und des Anwendungsbereichs einiger dieser Rechtsinstrumente.

EO 14086
Die im Lichte von Schrems II erlassene Durchführungsverordnung, mit der die Sicherheitsvorkehrungen für nachrichtendienstliche Tätigkeiten verbessert werden sollen, soll klären, wann nachrichtendienstliche Tätigkeiten stattfinden können.

Die Anordnung enthält eine Liste von 12 Zielen, zu deren Erreichung die Nachrichtendienste auf personenbezogene Daten zugreifen können. Der EDSB stellt fest, dass einige dieser Ziele „allgemein“ (sprich: „vage“) sind, wie z. B. die „globale Sicherheit“.

Der EDSB empfiehlt außerdem, dass die Kommission ihren Angemessenheitsbeschluss nicht annehmen sollte
nur dann annehmen sollte, wenn die USA das EO 14086 in eine Reihe von Strategien und Verfahren für die US-Nachrichtendienste umwandeln.

Erforderlichkeit und Verhältnismäßigkeit

Einschränkungen des Rechts auf Privatsphäre und Datenschutz müssen zur Verfolgung legitimer Ziele notwendig und verhältnismäßig sein.

Der EDSB stellt fest, dass EO 14086 den Nachrichtendiensten angeblich Anforderungen an die „Verhältnismäßigkeit“ und „Notwendigkeit“ auferlegt.

Der Ausschuss kritisiert jedoch die Art und Weise, wie EO 14086 die „Massenerfassung“ behandelt, d. h. die wahllose Erfassung personenbezogener Daten zu nachrichtendienstlichen Zwecken.

Der EDSB befürwortet die Art und Weise, in der das EO 14086 der gezielten Überwachung Vorrang vor der Massenerfassung einräumt. Außerdem sieht die Anordnung begrenzte Gründe vor, auf deren Grundlage Geheimdienste Massenerhebungen durchführen können.

Allerdings,
Der EDSB beanstandet mehrere Aspekte der Art und Weise, wie EO 14086 die Massenerfassung behandelt
und zwar:

• Es können immer noch große Datenmengen gesammelt werden.
• Der Präsident kann die Liste der zulässigen Gründe für eine Massenabholung ergänzen.
• Für die Massenabholung ist keine unabhängige Vorabgenehmigung erforderlich, und sie unterliegt auch keiner unabhängigen Überprüfung.
• Die Regeln für die Aufbewahrung von personenbezogenen Daten, die in großen Mengen gesammelt werden, sind unklar.
• Es gibt keine angemessenen Beschränkungen dafür, wie Nachrichtendienste massenhaft (oder anderweitig) gesammelte Daten verbreiten oder weitergeben können.

Hält der EDPB den DPF für gut oder schlecht?

Der EDPB bewertet den DPF nicht mit einer Note von zehn. Die Stellungnahme ist recht ausgewogen, aber auch recht kritisch.

Der Vorstand sieht eindeutig Verbesserungen gegenüber Privacy Shield. In der Stellungnahme werden viele Aspekte des neuen Rahmens „begrüßt“, andere (wie die Grundsätze) werden eher widerwillig akzeptiert.

Allerdings,
gibt es einige grundlegende Probleme mit der DPF, die der EDSB nicht ignorieren kann
Dazu gehören die „Standardantwort“, die das DPRC den betroffenen Personen anbietet, die fehlende Aufsicht über die Massenerhebung und die ungenauen Definitionen bestimmter wichtiger Begriffe.

Die Stellungnahme des EDSB zum Entwurf der Angemessenheitsentscheidung enthält einige Empfehlungen an die Kommission. Der EDPB kann jedoch kein Veto gegen die Annahme der Angemessenheitsentscheidung einlegen.

Unabhängig davon, ob die Angemessenheitsentscheidung erfolgreich ist oder nicht, ist die Analyse des EDSB eine hilfreiche Erinnerung an die Probleme, die zur Nichtigerklärung der Entscheidung durch den EuGH führen könnten.

Unternehmen, die planen, sich bei der Übermittlung personenbezogener Daten auf die DSGVO zu stützen, sollten in Erwägung ziehen, einen Notfallplan für den Fall zu haben, dass der Rahmen versagt.

Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,

HIER KLICKEN

und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!

The post Die Stellungnahme des EDPB zum EU-US-Datenschutzrahmen: 3 Hauptprobleme appeared first on Ubiscore.