Autor: Online Redaktion

Nach der Verabschiedung des EU-U.S. Data Privacy Frameworks sollte nun endlich Rechtssicherheit zum Datenaustausch zwischen den USA und der EU herrschen. Davon würden besonders kleine und mittlere Unternehmen profitieren, weil jeder Fall von Datenübermittlung nach Amerika nicht länger einzeln geprüft werden muss.
Allen voran sollten damit die Bedenken des EuGH (Europäischer Gerichtshof) ausgeräumt werden – dabei wurde vor allem der umfangreiche Zugriff von US-Geheimdiensten auf europäische personenbezogene Daten, betont.
Präsident Joe Biden und die amerikanische Regierung begrüßen das Abkommen als „den Höhepunkt einer jahrelangen engen Zusammenarbeit“.

Kritik kommt u. a. von der Datenschutzorganisation Noyb, welche im Data Privacy Framework zum größten Teil eine Kopie des in der Vergangenheit gescheiterten Privacy Shield sehen. Das Abkommen sieht vor, dass US-Geheimdienste künftig nur auf übermittelte Daten zugreifen dürfen, wenn eine Notwendig- und Verhältnismäßigkeit gegeben ist. Eben diese Definition von „verhältnismäßig“ stößt den Datenschützern aber sauer auf, da die USA diesem Wort eine andere Bedeutung zumisst als der EuGH. Man sieht außerdem ein Problem darin, dass die im Abkommen eingeräumte Rechtshilfe nicht dem EU-Recht entspräche und dass eine Verletzung der Privatsphäre von EU-Bürgern kein Problem für Amerikaner darstelle.
Der Europaabgeordnete Moritz Körner sieht das Privacy Framework Abkommen bereits als gescheitert an und kritisiert Ursula Von der Leyen: „Sie weiß, dass das neue Abkommen vor dem EuGH scheitern wird“. Von der Leyen wirkte als EU-Kommissionspräsidentin an dem Abkommen mit. Ein Scheitern vor dem EuGH würde einen dritten Ansatz zu einer Einigung zwischen EU und USA erfordern – was letztlich zu zusätzlichen finanziellen Kosten führen würde, welche die Bürger und Unternehmen Europas zu zahlen hätten.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/privacy-shield-neu-aufgelegt-viel-kritik-an-neuem-datenschutzabkommen-zwischen-eu-und-usa-2307-175729.html

Die spanische Bank CaixaBank S.A. hat sich ein Bußgeld in Höhe von 15.000 Euro für ein mangelhaftes Nachkommen der Auskunftspflicht eingehandelt.

Ein Mutter wünschte, Informationen über das Bankkonto ihrer Tochter einzuholen. Die Bank hatte laut Untersuchung der zuständigen Datenschutzbehörde dabei nicht versucht, die Mutter als berechtigte Person zu identifizieren. Obendrein wurden die falschen Informationen herausgegeben, nämlich von der älteren Tochter anstatt der jüngeren. Insgesamt gab sich die Bank unkooperativ, was die Mutter schließlich zu einer Beschwerde bei der Datenschutzbehörde bewegte.
Darüber hinaus war der Vater ein Mitarbeiter der Bank, welcher sich jedoch in der Scheidung befand und das Konto seiner Tochter kündigte und das Geld auf das eigene Konto überwies. Für den dazugehörigen Antrag wären die Unterschriften beider Erziehungsberechtigten benötigt worden.

Weitere Informationen finden Sie hier:
https://www.aepd.es/es/documento/ps-00388-2022.pdf

Die Entscheidung durch die Europäische Kommission ist nun gefallen: das EU-U.S. Data Privacy Framework repräsentiert ein angemessenes Schutzniveau – nach diesem Standard können nun personenbezogene Daten ohne zusätzliche Maßnahmen von der EU an die USA übermittelt werden.
Voraussetzung hierfür ist, dass die US-basierte Organisation, welche die personenbezogenen Daten empfängt, auch unter dem Data Privacy Framework zertifiziert ist. Ob eine solche Zertifizierung vorliegt, ist zuvor vom jeweiligen EU-basierten Partner-Unternehmen zu prüfen.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/17_Angemessenheitsbeschluss-EU-US-DPF.html?nn=251928

Gegen das schwedische Unternehmen Bonnier News AB wurden mehrfach Beschwerden eingereicht, da Bonnier News über Monate personenbezogene Daten speicherte und damit personalisierte Werbung einschließlich kommerzieller Anrufe betrieb.

Das Unternehmen sammelte Daten auf ihren diversen Tochterfirmen zum Surf- und Kaufverhalten der Kunden. Dafür wurde ein Bußgeld von 13.000.000 Schwedische Kronen (= 1.112.775 Euro) verhangen.

Weitere Informationen finden Sie hier:
https://www.imy.se/nyheter/fel-anvanda-kunders-personuppgifter-for-profilering-utan-samtycke/

Überwachungskameras sind immer wieder aufs Neue Grund für Beschwerden und Datenschutzverstöße. So auch in Spanien, wo sich eine Privatperson beschwerte, dass die Überwachungskamera eines Nachbarn auch das eigene Grundstück mit erfasste.

Die Datenschutzbehörde wurde aktiv und verhängte ein Bußgeld in ursprünglicher Höhe von 300 Euro, welches durch Schuldeingeständnis und bereitwillige Zahlung auf 180 Euro reduziert wurde.

Weitere Informationen finden Sie hier:
https://www.aepd.es/es/documento/ps-00623-2022.pdf

In Island wurde der Datenschutzbehörde eine Datenpanne auf der Webseite des Gesundheitsdienstes Heilsuvera gemeldet.
Dabei wurden durch eine technische Schwachstelle sensible Gesundheitsdaten wie etwa Anträge für Folgerezepte sowie Sonogrammbilder von Schwangeren für andere Nutzer einsehbar, die auf der Seite eingeloggt waren.

Verhängt wurde eine Strafe in Höhe von 12.000.000 Isländischen Kronen (= 80.699 Euro).

Weitere Informationen finden Sie hier:
https://www.personuvernd.is/urlausnir/sekt-vegna-oryggisveikleika-i-heilsuveru

Um dem Potenzial wie auch den Herausforderungen von KI zu begegnen, hat die DIN (Deutsches Institut für Normung) den Arbeitsausschuss „KI in der Medizin“ im Normenausschuss NA 176 „Gesundheitstechnologien“ gegründet. Damit soll der zukünftige Einsatz von KI im medizinischen Bereich in Normen und Standards gefasst werden.

Diese Standards sind wichtig, um KI-gestützte Anwendungen besser nutzbar und sicherer zu machen. Darüber hinaus sollen dadurch Vertrauen unter Anwendern und Patienten geschaffen werden.

Zuvor wurde bereits eine Normungsroadmap zur Förderung von KI-Normen ins Leben gerufen, welche mittlerweile bereits eine zweite Ausgabe zur Grundlage eines Gütesiegels für KI-Technologie zusammengetragen hat. Der neue Arbeitsausschuss soll helfen, eben jene Empfehlungen der Normungsroadmap umzusetzen.

Weitere Informationen finden Sie hier:
https://www.secupedia.de/news/ki-in-der-medizin-din-gruendet-neuen-arbeitsausschuss/
https://www.din.de/de/forschung-und-innovation/themen/kuenstliche-intelligenz/fahrplan-festlegen

In einem offen einsehbaren Webverzeichnis waren kürzlich Anträge von Neumitgliedern der AfD-Partei zu sehen. Dabei waren Namen, Adressen, Geburtsdaten und Bankverbindungen einsehbar.

Laut IT-Expertin Ornella Al-Lami, welche das offene Verzeichnis entdeckte, sei ihr der offen zugängliche Speicher am 23. Juni 2023 aufgefallen – ob er für mehr als einen Tag einsehbar war, ist unklar.

Die AfD selbst erklärt, dass höchstens 15 Mitgliedsanträge einsehbar waren, äußert sich aber nicht näher, ob die Einsicht nur am 23. Juni möglich war. Aktuell wird ermittelt, ob es klare Verstöße gegen den Datenschutz gab und ob infolge dessen Betroffene zusätzlich zu Datenschutzbeauftragten informiert werden müssen.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/datenleck-afd-mitgliedsantraege-waren-frei-im-netz-verfuegbar-2306-175239.html#cmts

Am 23. Juni trafen sich europäische und asiatische Organisationen und Datenschutzbehörden sowie Vertreter diverser Technologieunternehmen zum Thema „Künstliche Intelligenz und Datenschutz: Bewältigung neu entstehender Herausforderungen“ in Seoul. Die Konferenz wurde von der PIPC (Personal Information Protection Commission) aus Korea veranstaltet.

Der deutsche Datenschutzbeauftragte Ulrich Kelber sprach sich auf der Konferenz insbesondere für Transparenz von KI-Systemen sowie die Einräumung der Möglichkeit zur Verteidigung gegen Diskriminierung durch KI-Systeme aus.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2023/16_Konferenz-Seoul.html?nn=251928

Die französische Firma CRITEO trackt und sammelt Daten über die Surfgewohnheiten von Nutzern, um so mittels „Behavioral Retargeting“ zielgerichtete Werbung von Werbetreibenden vermitteln zu können.
Nun muss das Unternehmen 40.000.000 Euro Bußgeld zahlen. Die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) wurde nach Beschwerden von den Verbänden Privacy International und None of Your Business aktiv uns stellte mehrere Mängel bei der Datenverarbeitung fest.

CRITEO sammelt die Daten von Internetnutzern mittels eines Cookies, der bei dem Besuch von CRITEO-Partner-Webseiten gesetzt werden. EU-weit hat das Unternehmen damit bereits Nutzerdaten von rund 370 Millionen Personen gesammelt – der Cookie, der diese Daten sammelt, wird jedoch ohne Einwilligung platziert. Eine Prüfung, ob Nutzer den Cookie zulassen oder ob die Partner-Seiten eine solche Einwilligung einholen, fand offenbar nicht statt.
Darüber hinaus sind die Datenschutzrichtlinien des Unternehmens zu vage und geben keine ausreichende Auskunft über die Zwecke der Datenverarbeitung.
Der Auskunftspflicht ist CRITEO ebenfalls nicht nachgekommen, denn sie haben diverse gespeicherte Daten beim Auskunftsersuch zurückgehalten. Als Resultat eines Widerrufs der Einwilligung wurde lediglich das Anzeigen von personalisierter Werbung unterbunden, nicht jedoch gespeicherte Daten gelöscht.

Weitere Informationen finden Sie hier:
https://www.dsgvo-portal.de/bussgelder/dsgvo-bussgeld-gegen-criteo-2023-06-22-FR-2986.php