[datensicherheit.de, 03.09.2024] Prof. Dr. Louisa Specht-Riemenschneider wurde nach eigenen Angaben am 3. September 2024 vom Bundespräsidenten als Nachfolgerin von Professor Ulrich Kelber zur Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ernannt. Ihre Wahl erfolgte demnach bereits am 16. Mai 2024. Die BfDI möchte nun vor allen Dingen einen lösungsorientierten Umgang beim Thema Datenschutz erreichen: „Ich werbe insgesamt für einen Datenschutz, der Rote Linien klar aufzeigt, aber unterhalb dieser Roten Linien konstruktive Lösungen, einen Korridor des Möglichen, anbietet.“ In diesem Zusammenhang soll noch früher und intensiver in den Dialog mit Gesellschaft, Gesetzgeber, Forschung und Wirtschaft eingetreten werden, um eine grundrechtssensible Digitalisierung zu ermöglichen: „Ich will wissen, wo die Beteiligten Herausforderungen sehen, um frühzeitig Lösungen anbieten zu können, die das Datenschutzrecht einhalten.“

Foto: BfDI/DH

Prof. Dr. Louisa Specht-Riemenschneider: Der Preis unserer Sicherheit darf niemals unsere Freiheit sein!

BfDI nimmt drei Themenfelder in den Fokus

Für die BfDI sollen drei Themenfelder im Fokus stehen: „In meiner Amtszeit werde ich mich insbesondere um die Bereiche Gesundheit, Künstliche Intelligenz und Sicherheit kümmern. Digitale Lösungen sind entscheidend für eine bessere Gesundheitsversorgung für uns alle. Dabei müssen die Grundrechte der Betroffenen umfassend geschützt werden, gleichzeitig darf ein hohes Maß an Funktionalität der Systeme nicht verhindert werden.“

Ähnliches gelte für die Künstliche Intelligenz (KI): „Ich werde alles tun, um eine vertrauenswürdige und grundrechtsorientierte KI-Landschaft zu ermöglichen.“ Gleichzeitig werde sie sich mit Vehemenz gegen rechtswidrige Datenverarbeitungen einsetzen. Sie betont: „Es ist meine feste Überzeugung, dass die KI-Aufsicht in die Hände der Datenschutzaufsichtsbehörden gehört!“ Denn die BfDI sei als einzige Behörden völlig unabhängig und habe bereits heute die notwendigen KI-Experten. Über sogenannte KI-Reallabore möchte sie Innovation aktiv begleiten.

Gewährleistung der inneren und äußeren Sicherheit mit Informationellem Selbstbestimmungsrecht ausbalancieren

Beim Thema Sicherheit gilt für die BfDI: „Der Preis unserer Sicherheit darf niemals unsere Freiheit sein. Wir brauchen ein Gleichgewicht zwischen Maßnahmen zur Gewährleistung der inneren und äußeren Sicherheit und dem Schutz der Bürgerinnen und Bürger im Hinblick auf ihr Informationelles Selbstbestimmungsrecht!“

Diesen Ausgleich möchte die BfDI noch stärker als bislang im Dialog mit den Nachrichtendiensten und Polizeien gewährleisten. „Eine Verlagerung wesentlicher Teile der datenschutzrechtlichen Aufsicht über die Nachrichtendienste auf andere Behörden halte ich für falsch.“

[datensicherheit.de, 07.06.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat nach eigenen Angaben anlässlich der 15. „Internationalen Konferenz der Informationsfreiheitsbeauftragten“ (ICIC) seine Forderungen nach einem Transparenzgesetz auf Bundesebene als Update des bestehenden Informationsfreiheitsgesetzes erneuert.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: In Sachen Informationsfreiheitsgesetzgebung gehört Deutschland … weltweit zu den Schlusslichtern!

Kernforderungen des BfDI für ein modernes Transparenzgesetz

„Der Austausch mit meinen internationalen Kolleginnen und Kolleginnen macht es deutlich: In Sachen Informationsfreiheitsgesetzgebung gehört Deutschland nicht nur europaweit, sondern sogar weltweit zu den Schlusslichtern“, moniert der BfDI, Prof. Ulrich Kelber. Auch wenn die tatsächliche Umsetzung des mittlerweile 18 Jahre alten Informationsfreiheitsgesetzes eine hohe Qualität aufweise, so sei es „unser Traum, dass Deutschland als Gastgeber der ,ICIC 2025‘ in Berlin sein neues Transparenzgesetz präsentieren kann“.

Zu den Kernforderungen des BfDI für ein modernes Transparenzgesetz zählen demnach weitreichende, proaktive Veröffentlichungspflichten, um ein zeitgemäßes Informationsmanagement zwischen Staat und seinen Bürgern zu gewährleisten. Für Anträge auf Informationszugang müssten wiederum die bisher bestehenden Ausschlusstatbestände gestrafft und reduziert werden. Ein Antrag sollte zudem grundsätzlich anonym möglich sein.

Der BfDI trug in Tirana zur Balance zwischen Informationszugang und Datenschutz vor

Der BfDI habe von 3. bis 5. Juni 2024 an der „15. ICIC“ in Tirana teilgenommen und habe dort auf verschiedenen Podien zu der Balance zwischen Informationszugang und Datenschutz berichtet, ferner wie Deutschland von der Ratifizierung der „Tromsø Konvention“ profitieren würde, und einen Überblick der europaweiten Aktivitäten aller Mitglieder präsentiert.

Die ICIC gilt als ein ständiges Netzwerk von Informationsfreiheitsbeauftragten auf internationaler Ebene. Ihre Hauptziele seien Schutz und Förderung des Zugangs zu öffentlichen Informationen als einer fundamentalen Säule für soziale, ökonomische und demokratische Regierungsführung. Das diesjährige Thema der Konferenz habe gelautet: „Empowering Individuals through access to information: Ensuring transparency and Inclusivity in an Interconnected World”.

Weitere Informationen zum Thema:

ICIC
INTERNATIONAL CONFERENCE OF INFORMATION COMMISSIONERS

[datensicherheit.de, 23.05.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit BfDI hat nach eigenen Angaben den Bundesnachrichtendienst (BND) verklagt: Demnach hat der BfDI vor dem Bundesverwaltungsgericht Klage gegen den BND zur Durchsetzung seiner Kontrollbefugnisse erhoben. Dem BfDI werde vom BND die Einsicht in Unterlagen verwehrt, welche dem Einsichtsrecht des BfDI zur Durchführung seiner Kontrolle unterlägen und für diese unbedingt notwendig seien. Dieses Vorgehen habe der BfDI bereits zuvor erfolglos beanstandet.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Aus Sicht des BfDI würde eine effektivere Kontrolle der Nachrichtendienste deren wichtige Arbeit auch zusätzlich legitimieren!

Verfassungsgerichtlich zugesprochene BfDI-Kompensationsfunktion für unwissend betroffene Personen darf nicht länger ins Leere laufen

„Oft arbeiten wir gut mit den Nachrichtendiensten des Bundes zusammen und Hinweise von uns werden zum Anlass für Änderungen genommen. Leider stellen wir aber auch fest, dass bei Meinungsverschiedenheiten unsere gesetzlich vorgesehenen Beanstandungen unberücksichtigt bleiben“, erläutert der BfDI, Prof. Ulrich Kelber.

Dabei sei regelmäßig nicht nachvollziehbar, warum einer Beanstandung nicht Folge geleistet werde. „Es kann nicht sein, dass die dem BfDI verfassungsgerichtlich zugesprochene Kompensationsfunktion für unwissend betroffene Personen so ins Leere läuft.“ Zusätzlich gelte, so Professor Kelber: „Die endgültige Entscheidung, ob eine Datenverarbeitung rechtmäßig durch einen Nachrichtendienst des Bundes erfolgt, sollte nicht der abschließenden Wertung der Bundesregierung, sondern einem Gericht zustehen.“

BfDI muss aktiv werden, wenn datenschutzrechtlich relevante Verstöße etwa gegen das Bundesnachrichtendienstgesetz festgestellt werden

Der BfDI habe derzeit nur die Möglichkeit nicht durchsetzbare Beanstandungen gegenüber dem Bundeskanzleramt als für den BND zuständigem Ministerium auszusprechen. Ähnliches gelte für das Bundesamt für Verfassungsschutz und das fachlich zuständige Bundesinnenministerium. Dies geschehe dann, „wenn der BfDI datenschutzrechtlich relevante Verstöße etwa gegen das Bundesnachrichtendienstgesetz feststellt“.

Durch die verweigerte Einsichtnahme greife der BND in die Unabhängigkeit des BfDI ein, „indem er für sich in Anspruch nimmt, über die notwendigen Grundlagen, den Umfang und Inhalt der Kontrolle entscheiden zu wollen“. Die in der Folge ausgesprochene Beanstandung des BfDI sei durch das Bundeskanzleramt – wie schon in anderen Fällen zuvor – unberücksichtigt geblieben.

Der BfDI ist das Kontrollorgan mit der objektiv rechtlich umfassendsten Kontrollzuständigkeit gegenüber dem BND

Im vorliegenden dem Rechtsstreit zugrundeliegenden Fall könne der BfDI die ihm zustehenden Einsichtsrechte einklagen. „In den Fällen, in denen er eine rechtswidrige Datenverarbeitung beanstandet, ist dies nicht möglich.“ Der BfDI kritisiert laut Professor Kelber schon lange, dass ihm kein durchsetzbares Anordnungsrecht zusteht, welches eine effektivere Nachrichtendienstkontrolle möglich machen würde. „Nur mithilfe von Anordnungsrechten könnten Missstände zeitnah abgestellt oder der Gerichtsbarkeit zugeführt werden.“

Für den BfDI als das Kontrollorgan mit der objektiv rechtlich umfassendsten Kontrollzuständigkeit über den BND sei ein Anordnungsrecht daher von zentraler Bedeutung. Aus Sicht des BfDI würde eine effektivere Kontrolle der Nachrichtendienste deren wichtige Arbeit auch zusätzlich legitimieren. Die Anordnungen des BfDI könnten dabei natürlich durch die betroffenen Nachrichtendienste vor Gericht angefochten werden.

[datensicherheit.de, 20.03.2024] Nach eigenen Angaben hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, am 20. März 2024 der Präsidentin des Deutschen Bundestages seinen Tätigkeitsbericht für das Jahr 2023 übergeben. Der BfDI zieht demnach insbesondere zur internationalen Kooperation ein positives Fazit: „Wir schaffen hohe Datenschutzstandards auf globaler Ebene. Diese Harmonisierung ist ein Fortschritt für die Rechte der Bürgerinnen und Bürger, aber eben auch für die Wirtschaft, die auf einen freien und vertrauensvollen Datenverkehr angewiesen ist.“ Die Expertise des BfDI dazu werde international geschätzt und intensiv nachgefragt. Sein „32. Tätigkeitsbericht“ steht zum Download als pdf-Datei bereit und kann laut BfDI auch als Druckversion bestellt werden.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Expertise des BfDI wird international geschätzt und intensiv nachgefragt

KI laut BfDI zunehmend auch eine Datenschutz-Herausforderung

Professor Kelber erläutert: „Im vergangenen Jahr zeigte sich das bereits beim Thema Künstliche Intelligenz (KI).“ Mit Aufkommen der ersten Anwendungen für die breite Öffentlichkeit und den Diskussionen um die KI-Verordnung der Europäischen Union (EU) sei noch einmal deutlich geworden, dass KI auch aus datenschutzrechtlicher Sicht ein Rahmen gegeben werden müsse.

„Wir haben uns sowohl in der deutschen Datenschutzkonferenz als auch im Europäischen Datenschutzausschuss, der ,Global Privacy Assembly’ und im Rahmen des ,G7 Roundtable’ der Privacy-Behörden mit dem Thema KI befasst, damit wir die Chancen der Technologie nutzbar machen können, ohne uns den Risiken auszuliefern“, verdeutlicht derBfDI.

Digitalisierung des Gesundheitswesens: BfDI berät Bundesregierung

Eine ähnliche Sichtweise gelte für die dringend notwendige Digitalisierung des Gesundheitswesens. Hierzu habe der BfDI die Regierung intensiv zum Gesundheitsdatennutzungsgesetz, zum Digital-Gesetz und zum Europäischen Gesundheitsdatenraum beraten.

Außerdem habe seine Behörde im Jahr 2023 bei der geplanten sogenannten Chat-Kontrolle, der Gesetzgebung der Nachrichtendienste und der Modernisierung des Bundespolizeigesetzes Möglichkeiten und Grenzen aufgezeigt.

Weitere Informationen zum Thema:

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 20.03.2024
32. Tätigkeitsbericht für den Datenschutz und die Informationsfreiheit 2023

[datensicherheit.de, 14.03.2024] Laut einer Meldung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 13. März 2024 hat das Europäische Parlament an diesem Tag die Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (KI-Verordnung) der EU verabschiedet. Der BfDI begrüßt demnach die europäische KI-Verordnung „als Ergänzung zur Datenschutz-Grundverordnung (DSGVO)“.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber rät aber auch der Bundesregierung, die Öffnungsklausel für striktere nationale Verbote zu nutzen

Durch die KI-Verordnung wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt

Der BfDI, Professor Ulrich Kelber, kommentiert: „Es freut mich, dass der europäische Gesetzgeber eine Einigung bei der KI-Verordnung erzielen konnte. Die darin formulierten Anforderungen ergänzen bestehende Anforderungen und unterstützen deren Einhaltung. Dadurch wird der Schutz der Grundrechte, insbesondere der Datenschutz, gestärkt.“

Insbesondere begrüßt der BfDI nach eigenen Angaben, „dass die Datenschutzaufsichtsbehörden als Aufsicht für diverse Hochrisiko-KI-Systeme vorgesehen sind“.

Viele Vorgaben für Hochrisiko-KI-Systemeh haben engen Bezug zum Datenschutz

Viele der Vorgaben für Hochrisiko-KI-Systeme in der Verordnung hätten einen „engen Bezug zum Datenschutz“. So werde beispielsweise der Schutz vor automatisierter Entscheidung aus der DSGVO gestärkt und durch das Erfordernis menschlicher Aufsicht bei KI-unterstützten Entscheidungsfindungen erweitert.

Gleichzeitig bedauert der BfDI aber, dass einige der vom Europäischen Datenschutzausschuss (EDSA) und dem Europäischen Datenschutzbeauftragten (EDSB) in einer gemeinsamen Stellungnahme von 2021 geäußerten Kritikpunkte nicht umgesetzt worden seien: „Es ist ein Versäumnis, dass es kein klares Verbot biometrischer Fernerkennung im Öffentlichen Raum gibt. Die Bundesregierung sollte die Öffnungsklausel für striktere nationale Verbote nutzen.“

Weitere Informationen zum Thema:

edpb European Data Protection Board, 18.06.2021
EDPB-EDPS Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act)

datensicherheit.de, 04.10.2022
KI: Bitkom kommentiert EU-Haftungsrichtlinie / EU-Kommission hat Entwurf zur Haftungsrichtlinie zu Künstlicher Intelligenz (AI Liability Directive) veröffentlicht

datensicherheit.de, 24.05.2022
KI-Whitepaper als Beitrag für kommende Umsetzung gesetzlicher Regulierung Künstlicher Intelligenz in der EU / TÜV-Verband, BSI und Fraunhofer stellen gemeinsames KI-Whitepaper „Towards Auditable AI Systems – From Principles to Practice“ vor

[datensicherheit.de, 14.02.2024] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber, geht in seiner aktuellen Stellungnahme auf die Verhandlungen zum EU-Verordnungsentwurf zur Bekämpfung des sexuellen Online-Kindesmissbrauchs (CSA-Verordnung), der demnach „in eine entscheidende Phase“ geht, ein. Er berichtet, dass der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDPS) daher in einer „Gemeinsamen Stellungnahme“ den EU-Gesetzgeber dazu aufgerufen hatten, die wesentlichen Änderungsvorschläge des Europäischen Parlaments (EP) zu unterstützen.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber: Durchleuchtung sämtlicher privater Nachrichteninhalte keine Option!

Plädoyer für gezieltere Aufdeckung sexuellen Online-Kindesmissbrauchs in der EU

Professor Kelber betont: „Die Durchleuchtung sämtlicher privater Nachrichteninhalte ist keine Option. Der Verordnungsentwurf der Kommission in seiner ursprünglichen Form darf daher nicht realisiert werden!“ Die EP-Vorschläge gäben dafür die Richtung vor – „denn sie sehen eine gezieltere Aufdeckung von sexuellem Online-Kindesmissbrauch vor“.

EU-Gesetzgeber sollten sich in Trilog-Verhandlungen auf Aufdeckungsanordnungen nur als letztes Mittel einigen

Gleichzeitig teilt der BfDI nach eigenen Angaben die von seinen europäischen Kollegen geäußerte Kritik an der vom EP formulierten Ausgestaltung von sogenannten Aufdeckungsanordnungen: „Ich hoffe, dass die EU-Gesetzgeber sich in den ,Trilog’-Verhandlungen darauf einigen können, dass ,Aufdeckungsanordnungen’ nur als letztes Mittel und gezielt gegenüber konkret verdächtigen Personen oder Personengruppen eingesetzt werden.“ Alles Andere sei der „Einstieg in eine anlasslose Massenüberwachung“.

Europäisches Parlament hat viele Kritikpunkte der Gemeinsamen Stellungnahme von EDSA und EDPS aufgegriffen

Das EP habe in seinem Bericht viele Kritikpunkte der „Gemeinsamen Stellungnahme“ von EDSA und EDPS vom Juli 2022 aufgegriffen. „Es hatte jedoch offengelassen, ob ein Auslesen der privaten Kommunikation auch über die konkret verdächtigen Personen hinausgehen könnte“, so Professor Kelber. Mit dem Vorschlag des EP solle außerdem das Scannen nach bisher unbekanntem kinderpornographischen Material möglich bleiben – „obwohl die dazu genutzten Technologien noch immer hohe Fehlerquoten aufweisen“.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 14.02.2024
Statement 1/2024 on legislative developments regarding the Proposal for a Regulation laying down rules to prevent and combat child sexual abuse

datensicherheit.de, 26.09.2023
Sofortiger Stopp der Chat-Kontrolle: Digitalcourage unterstreicht Forderung / In einer investigativen Recherche hat ZEIT ONLINE das umfangreiche Lobby-Geflecht zur geplanten Chat-Kontrolle offengelegt

datensicherheit.de, 10.02.2023
Chat-Kontrolle: Deutscher Anwaltverein warnt vor Totalüberwachung unter Deckmantel des Kinderschutzes / Gefährdung der Grundrechte aller Bürger durch EU-Pläne zur Chat-Kontrolle

[datensicherheit.de, 17.11.2023] Professor Ulrich Kelber, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), sieht nach eigenen Angaben bei den Neuerungen der Gesetze der Nachrichtendienste noch datenschutzrechtliche Mängel: Der Bundesnachrichtendienst (BND) soll demnach Informationen zur politischen Unterrichtung der Bundesregierung auch nachgeordneten Behörden des Bundes und Behörden der Länder übermitteln dürfen. „Nach den Vorgaben des Bundesverfassungsgerichts ist dies jedoch nur im Fall einer unmittelbar bevorstehenden Gefahr für ein überragendes Rechtsgut erlaubt“, betont Professor Kelber.

Foto: Bundesregierung/Kugler

Professor Ulrich Kelber: Fristen zur BfDI-Beteiligung erschweren den demokratischen Prozess und sind nicht akzeptabel!

BfDI: Bei Novellierung der BfV- und des MAD-Gesetze ebenfalls Nachbesserungsbedarf

Auch bei der Novellierung des Bundesverfassungsschutzgesetzes und des Gesetzes für den Militärischen Abschirmdienst (MAD) sieht Professor Kelber Nachbesserungsbedarf: „Durch die Änderungen des Innenausschusses gab es einige Verbesserungen des ursprünglichen Gesetzesentwurfes. Trotzdem bleiben Unsicherheiten und Lücken.“

Positiv sieht der BfDI, „dass eine konkretisierte Gefahr für besonders wichtige Rechtsgüter vorliegen muss, wenn Nachrichtendienste Informationen an Gefahrenabwehrbehörden weitergeben wollen“. Dies fordere auch das Bundesverfassungsgericht in seiner Entscheidung vom April 2022.

Der BfDI kritisiert aber auch schon die Erhebung bestimmter Daten: „Es gibt keine spezifische Rechtsgrundlage für das systematische Erfassen und Zusammenführen von öffentlich zugänglichen Daten. Durch solche Analysen gebildete Profile stellen einen erheblichen Eingriff in die Informationelle Selbstbestimmung der Bürgerinnen und Bürger dar.“

BfDI kritisiert minimale Fristen zur Stellungnahme

Kritikpunkte verblieben auch bei den neuen Vorschriften über die Datenverarbeitung der Nachrichtendienste zum Zweck der Eigensicherung. Es fehlten insbesondere Angaben zu Speicherfristen, Bestimmungen zur Zweckbindung und Kennzeichnungspflichten und damit grundsätzliche datenschutzrechtliche Anforderungen.

Außerdem unterschieden sich die Vorgaben zur Eigensicherung der jeweiligen Nachrichtendienste, ohne dass es dafür einen zwingenden Grund gebe.

Abschließend zeigt sich Professor Kelber außerdem unzufrieden mit der Beteiligung durch die Bundesregierung: „Wir hatten einmal sieben Arbeitstage und einmal sogar nur 48 Stunden, um zu diesen umfangreichen Gesetzentwürfen Stellung zu nehmen. Solche Fristen erschweren den demokratischen Prozess und sind nicht akzeptabel!“

Weitere Informationen zum Thema:

golem.de
Countdown für den Datenschutzbeauftragten

BfDI Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, 27.10.2023
Stellungnahme zur Reform des Nachrichtendienst-Rechts an den Ausschuss für Inneres und Heimat des Deutschen Bundestags

[datensicherheit.de, 04.07.2023] Laut einer aktuellen Stellungnahme des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) hat der Gerichtshof der Europäischen Union (EuGH) am 4. Juli 2023 sein Urteil zur sogenannten Meta-Entscheidung des Bundeskartellamts verkündet. Der BfDI begrüßt nach eigenen Angaben dieses Urteil in seiner Bedeutung für den Datenschutz.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber gratuliert Bundeskartellamt zum Erfolg…

Meta-Entscheidung zeigt auch: Bundeskartellamt muss zuständige Datenschutzaufsichtsbehörden einbinden

„Es freut mich, dass der EuGH anerkennt, dass die Einhaltung von Datenschutzanforderungen wettbewerbsrelevant ist und Kartellbehörden erlaubt, zum Schutz des Wettbewerbs auch die Vereinbarkeit des Verhaltens von Unternehmen mit Datenschutzrecht zu prüfen“, so der BfDI. Professor Ulrich Kelber. Er gratuliert dem Bundeskartellamt zu diesem „Erfolg“.

Der EuGH habe auch klargestellt, dass vorrangig die unabhängigen Datenschutzaufsichtsbehörden Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) festzustellen hätten. „Daher muss das Bundeskartellamt die zuständigen Datenschutzaufsichtsbehörden vor einer eigenen Entscheidung in datenschutzrechtlichen Fragen einbinden.“

Nicht nur bei Mata: Bürger besser vor rechtswidrigen und missbräuchlichen Datenverarbeitungen schützen

Kartell- und Datenschutzaufsichtsbehörden könnten datengetriebene Geschäftsmodelle nur erfolgreich regulieren, „wenn sie eng zusammenarbeiten“. Dies bestätigt laut der Professor Kelber „die Praxis in Deutschland, wo Bundeskartellamt und der Bundesdatenschutzbeauftragte entsprechend kooperieren“.

Gemeinsam mit seinen europäischen Kollegen werde sich der BfDI die Entscheidung in der „Task Force“ des Europäischen Datenschutzausschusses zum Zusammenspiel von Datenschutz, Wettbewerb und Verbraucherschutz auswerten und „Best Practices“ für eine effiziente Zusammenarbeit festlegen, damit Bürger besser vor „rechtswidrigen und missbräuchlichen Datenverarbeitungen“ geschützt werden könnten. Die Erfahrungen der Zusammenarbeit in Deutschland seien dafür eine gute Grundlage.

Praxis von Meta gerügt, Daten zu detaillierten Nutzerprofilen zu verknüpfen

Hintergrund des Verfahrens sei die Praxis von Meta, die Daten seiner Nutzer nicht nur auf „facebook“ selbst, sondern auch bei seinen Tochterfirmen und über Schnittstellen auf anderen Webseiten zu sammeln und zu detaillierten Nutzerprofilen zu verknüpfen. Aus Sicht des Bundeskartellamts missbrauche Meta damit seine marktbeherrschende Stellung.

„Da Meta seinen Sitz in Irland hat, ist nach dem sogenannten One-Stop-Shop Mechanismus der DSGVO die irische Datenschutzaufsichtsbehörde (DPC) federführend zuständig.“ In Deutschland sei der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HbmBfDI) für Meta zuständig.

[datensicherheit.de, 08.06.2023] In ihrer aktuellen Meldung berichtet die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) über einheitliche Regeln für Datenschutzbußgelder in Europa: Der Europäische Datenschutzausschuss (EDSA) hat demnach in seiner Sitzung vom 24. Mai 2023 die „endgültigen Leitlinien zur Bußgeldzumessung“ nach einer öffentlichen Konsultation angenommen. Damit erfolge die Bußgeldpraxis der Datenschutzaufsichtsbehörden in Europa nun nach einheitlichen Maßstäben. Als Repräsentantinnen der deutschen Datenschutzaufsicht seien auf europäischer Ebene die Datenschutzaufsichtsbehörden Berlins, Hessens und des Bundes beteiligt gewesen.

Europäische Aufsichtsbehörden dürfen bei Verstößen gegen Datenschutz-Grundverordnung Bußgelder erlassen

„Die europäischen Aufsichtsbehörden dürfen bei Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder erlassen.“ Diese könnten bis zu 20 Millionen Euro oder bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes betragen. Mit den nun verabschiedeten Leitlinien zur Bußgeldzumessung werde die Anwendung der gesetzlichen Vorgaben europaweit harmonisiert. Hierfür sähen die Leitlinien ein aus fünf Schritten bestehendes Zumessungsverfahren vor, welches insbesondere die Art und Schwere der Verstöße sowie den Umsatz der betreffenden Unternehmen berücksichtige.

Zuvor hätten bereits die deutschen Aufsichtsbehörden mit dem nunmehr abgelösten Bußgeldkonzept der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) Ende 2019 gezeigt, dass auch in einem föderalen Aufsichtssystem eine Vereinheitlichung der Bußgeldpraxis möglich sei.

Vorgehen der Aufsichtsbehörden bei Sanktionierung von Datenschutzverstößen nun transparenter

„Durch die europäischen Leitlinien zur Bußgeldzumessung wird das Vorgehen der Aufsichtsbehörden bei der Sanktionierung von Datenschutzverstößen transparenter“, betont Meike Kamp, die BlnBDI: Dieses Fünf-Schritte-Verfahren gebe klare Regeln für die Zumessung von Geldbußen vor und trage somit zu einem nachvollziehbareren Verwaltungshandeln bei.

„Ich freue mich, dass die Berliner Datenschutzbehörde dieses Konzept entscheidend mitgeprägt und damit einen wichtigen Beitrag zu einer weiteren Harmonisierung der europäischen Bußgeldpraxis geleistet hat“, so Kamp.

Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben

Prof. Dr. Alexander Roßnagel, der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI), kommentiert: „Mit der Verabschiedung der Bußgeldleitlinien findet ein intensiver Austausch zwischen den Mitgliedstaaten zu einem wohl abgewogenen Kompromiss. Dieser trägt zum einen den unterschiedlichen Rechtstraditionen in den EU-Mitgliedstaaten Rechnung und leistet zum anderen einen grundlegenden und lang erwarteten Beitrag zur Harmonisierung der Bußgeldzumessung.“ Mithin werde nun die erforderliche Transparenz der Bußzumessung gewährleistet, welche der immensen Höhe der Bußgelder Rechnung trage.

Schließlich führt Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), zu dem Ergebnis aus: „Eine Entscheidung, auf die sehr viele Stellen schon lange mit Spannung gewartet haben. Historisch haben wir nun erstmals eine Vereinheitlichung der Bußgeldpraxis von Datenschutzbehörden in unterschiedlichen Mitgliedsstaaten.“ Die Leitlinien seien damit der konsequente nächste Schritt in der europäischen Integration und könnten künftig auch Vorbild und Orientierung für die Durchsetzung anderer EU-Gesetze sein.

Weitere Informationen zum Thema:

edpb European Data Protection Board, 24.05.2023
Guidelines 04/2022 on the calculation of administrative fines under the GDPR

[datensicherheit.de, 25.05.2023] Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bewertet nach eigenen Angaben die Datenschutz-Grundverordnung (DSGVO) als „europäisches Erfolgsmodell“, welches demnach eine verbesserte Rechtsdurchsetzung garantiert.

Foto: Bundesregierung/Kugler

Prof. Ulrich Kelber fordert eine Herstellerhaftung auch im Datenschutz

DSGVO hat in Europa neuen Standard mit Vorbildcharakter gesetzt

„Zu Beginn gab es natürlich einige Unsicherheit bei allen Beteiligten, wie sie bei der Einführung eines großen, neuen Rechtssystems vollkommen normal sind. Inzwischen bewegen wir uns zunehmend in sicherem und berechenbarem Fahrwasser“, kommentiert der BfDI, Prof. Ulrich Kelber:. Gerade die letzten Entscheidungen in grenzüberschreitenden Fällen hätten dabei gezeigt, dass sich auch die großen internationalen Anbieter an Recht und Gesetz halten müssten.

Zur Vorbildwirkung führt Professor Kelber aus: „Die DSGVO hat in Europa einen neuen Standard gesetzt, der zunehmend weltweit Eingang in die Datenschutzregeln anderer Länder findet. Auch sie wollen so einen freien Datenverkehr ermöglichen, der Vertrauen bei den Bürgerinnen und Bürgern findet.“ Zu den Ländern, welche sich an der DSGVO orientieren, gehörten u.a. Japan, Korea, Israel, Brasilien und immer mehr US-Staaten.

DSGVO hilft, geltendes Recht durchzusetzen

Zukünftige Herausforderungen sieht der BfDI insbesondere bei der konkreten Regulierung von neuen Technologien, wie z.B. Künstlicher Intelligenz (KI). Für die Zukunft formuliert er zwei konkrete Wünsche: „Bei den großen, grenzüberschreitenden Fällen brauchen wir eine schnellere Bearbeitung, damit diese über den einzelnen Fall hinaus Signalwirkung entfalten und Rechtssicherheit schaffen können.“

Es sei wichtig, geltendes Recht durchzusetzen. Außerdem werde eine Herstellerhaftung auch im Datenschutz benötigt. „Es kann nicht sein, dass vor allem kleine und mittlere Unternehmen dafür datenschutzrechtlich geradestehen müssen, was eigentlich Aufgabe der Microsofts, Googles und AWS dieser Welt wäre“, so Professor Kelber abschließend. Dies gelte umso mehr, wenn zunehmend KI-Systeme zum Einsatz kommen.

Weitere Informationen zum Thema:

datensicherheit.de, 24.05.2022
4 Jahre Datenschutz-Grundverordnung: DSGVO-Konformität kann auch vor Ransomware-Schäden schützen / Michael Scheffler rät, DSGVO-Vorteile gerade auch für Unternehmen noch stärker ins Blickfeld zu nehmen

datensicherheit.de, 18.10.2021
PSW GROUP: Mahnung zur Einhaltung der DSGVO / DSGVO-Bußgelder könnten schnell existenzbedrohend werden

datensicherheit.de, 16.04.2021
US CLOUD Act vs. EU-DSGVO: Ringen um Compliance und Datensicherheit / Uniscon kommentiert dritten Jahrestag des „Clarifying Lawful Overseas Use of Data Act“ (CLOUD Act)