Daten­schutz: Das ist der aktu­el­le Stand

Daten­schutz: Das ist der aktu­el­le Stand
Ein großes Daten­schut­z­up­date gab es bei unserem Netz­werktref­fen am 14. Novem­ber um 16 Uhr im Van den Berg-Gewürz­haus in Graz. Ursula Illi­bau­er, Daten­schutz­ex­per­tin der WKÖ, gab Aus­kunft über aktu­el­le Themen, Ent­wick­lun­gen und Ent­schei­dun­gen. Fazit: Die Arbeit für Agen­tu­ren wird in Zukunft etwas ein­fa­cher, aber es gibt immer noch etliche daten­schutz­recht­li­che Bau­stel­len, die auch zu Fallen werden können. Das Wich­tigs­te ist, die Kun­din­nen und Kunden über alles trans­pa­rent zu informieren.

Zuerst eine sehr gute Nach­richt: Seit Juli 2023 ist der Daten­trans­fer in die USA wieder möglich, nämlich durch das EU-US Data Privacy Frame­work (DPF), einem Vertrag, den die EU-Kom­mis­si­on mit der US-Regie­rung aus­ge­han­delt hat. Es gibt eine online abruf­ba­re Liste all jener US-Unter­neh­men, die sich einer frei­wil­li­gen Selbst­zer­ti­fi­zie­rung unter­zo­gen haben und mit Daten geset­zes­kon­form umgehen, sprich die DSVGO ein­hal­ten – dazu gehört etwa auch Google, was einen wich­ti­gen Mei­len­stein in Sachen Daten­schutz dar­stellt. In dieser DPF-Liste lässt sich abglei­chen, ob der „Purpose of Data Coll­ec­tion“ mit dem eigenen Ver­ar­bei­tungs­zweck übereinstimmt.

Meta: wei­ter­hin mit Vor­sicht zu genießen
Die Zusam­men­ar­beit mit Meta, also in erster Linie Face­book und Insta­gram, bleibt wei­ter­hin schwie­rig. Der Daten­trans­fer in die USA ist mitt­ler­wei­le zwar unpro­ble­ma­tisch, aber Meta agiert welt­weit und das Kern­ge­schäft ist nun einmal die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, etwa per­so­na­li­sier­te Werbung. Unter­neh­men, die Meta-Dienste nutzen (Busi­ness-Tools, Plugins, Accounts, Fan­pages, The­men­sei­ten, Werbung), sind wei­ter­hin mit­ver­ant­wort­lich und haftbar. Ein alter­na­tiv ange­bo­te­nes Abo, auch „Pay or Okay“-Modell genannt, wie etwa von Tages­zei­tun­gen ange­bo­ten und auf Insta­gram unlängst ein­ge­führt, klingt zwar sehr gut, kann aber auch pro­ble­ma­tisch werden, weil die Ver­ar­bei­tung der Daten sehr weit­rei­chend und pau­schal imple­men­tiert ist, das bedeu­tet, man weiß nicht, was tat­säch­lich mit den Daten pas­siert. Fazit: Wer wei­ter­hin mit Meta arbei­tet, muss sich gut und ganz­heit­lich infor­mie­ren und dann eine Ent­schei­dung über die weitere Nutzung treffen. Agen­tu­ren haben hier eine beson­de­re Ver­ant­wor­tung und auch eine Warn­pflicht: Sie müssen ihre Kun­din­nen und Kunden über die daten­schutz­recht­li­chen Pro­ble­me, die sich aus der Nutzung von Meta ergeben, informieren.

Google Fonts: Aktu­el­ler Stand bei den Abmahnungen
Zu den Mas­sen­ab­mah­nun­gen zu Google Fonts, aus­ge­hend von einem ein­zi­gen Anwalt im Namen einer ein­zi­gen Man­dan­tin, gibt es eben­falls Neu­ig­kei­ten. Zur Erin­ne­rung: Der Anwalt ver­schick­te rund 40.000 Abmah­nun­gen auf 100 Euro Scha­den­er­satz / 90 Euro Kos­ten­er­satz wegen der dyna­mi­schen Ein­bin­dung von Google Fonts auf Web­sei­ten, da die IP-Adres­sen der User:innen in die USA wei­ter­ge­ge­ben werden. Ermitt­lun­gen wegen gewerbs­mä­ßi­gen Betrugs sind bei der WKStA sowohl gegen den Anwalt als auch die Man­dan­tin anhän­gig, dazu kommt ein Dis­zi­pli­nar­ver­fah­ren bei RAK NÖ gegen den Anwalt und diverse weitere Ver­fah­ren vor den Zivil­ge­rich­ten, um abklä­ren zu lassen, ob über­haupt dem Grunde nach Scha­den­er­satz zuste­hen könnte. Der Fall betraf den Daten­trans­fer in die USA, was jetzt mit dem neuen Abkom­men nicht mehr rele­vant ist. Derzeit ist die Ver­wen­dung von Google Fonts auch abseits der lokalen Ein­bin­dung wieder unproblematisch.

Cookie-Banner: keine Angst vor Post von „NOYB“
Bei „schlech­ten“ Cookie-Bannern gab es auch immer wieder Bean­stan­dun­gen, also etwa wenn der „JA“-Knopf grün und dreimal so groß ist wie der graue „NEIN“-Knopf, das Impres­sum und die Daten­schutz­richt­li­ni­en nicht abruf­bar sind oder die Ein­wil­li­gung nicht wider­ru­fen werden kann etc. Das „NOYB – Euro­päi­sches Zentrum für digi­ta­le Rechte“ (von Eng­lisch „none of your busi­ness“ – „geht dich nichts an“) von Max Schrems kommt aber ohne die klas­si­schen, kos­ten­pflich­ti­gen Abmah­nun­gen aus, sondern weist die betrof­fe­nen Unter­neh­men darauf hin, ihre Cookie-Banner upzu­da­ten. Unser Tipp: Einfach machen.

KI: Warten auf kon­kre­te EU-Regelungen
Eine neue Taskforce im euro­päi­schen Daten­schutz­aus­schuss beschäf­tigt sich mit der Ver­wen­dung von ChatGPT und anderen KI-Diens­ten. Denn man darf nicht ver­ges­sen, dass der Dienst im Hin­ter­grund per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet. Ziel ist, den Einsatz „daten­schutz­freund­lich“ zu gestal­ten, ihn aber nicht zu unter­bin­den. Der „AI Act“, also die Ver­ord­nung des Euro­päi­schen Par­la­ments, wird in jedem Fall kommen. Er wird den Begriff KI sehr weit fassen und möchte darauf hin­ar­bei­ten, dass KI „sicher, trans­pa­rent, nach­voll­zieh­bar, nicht­dis­kri­mi­nie­rend und umwelt­freund­lich“ sein soll. Tipp für die Agen­tu­ren: Wenn KI ver­wen­det wird, sollte man das in die AGBs schrei­ben und gemein­sam mit den Kun­din­nen und Kunden eine Ver­ein­ba­rung über die Ver­wen­dung von KI unterschreiben.

Links:

EU-US Data Privacy Framework:
https://commission.europa.eu/document/fa09cbad-dd7d-4684-ae60-be03fcb0fddf_en

Data Privacy Frame­work List
https://www.dataprivacyframework.gov/s/participant-search

Gesell­schaft für Daten­schutz und Datensicherheit
www.gdd.de

Info­sei­te der Bun­des­spar­te Infor­ma­ti­on und Consulting
www.it-safe.at

NOYB – Euro­päi­sches Zentrum für digi­ta­le Rechte
https://noyb.eu/de

Zur Prä­sen­ta­ti­on