Seitenbereiche
info@k11-consulting.de

Datenschutz News 02.11

© k11-consulting.com

EU: EDPB kündigt verbindliche Dringlichkeitsentscheidung zur Ausdehnung des Verbots des verhaltensorientierten Marketings von Meta auf die gesamte EU/EWR an

Am 31. Oktober 2023 gab die norwegische Datenschutzbehörde (Norwegian Datatilsynet) bekannt, dass der Europäische Datenschutzausschuss (EDPB) in seiner 86. Plenarsitzung beschlossen hat, das Verbot der Verarbeitung personenbezogener Daten zum Zwecke des verhaltensbezogenen Marketings, das Meta Platforms Ireland Limited auf seinen Plattformen Facebook und Instagram betreibt, auf den gesamten EU/EWR-Raum auszuweiten.

Die Entscheidung des EDPB folgt auf eine frühere Entscheidung des norwegischen Datatilsynet, ein dreimonatiges vorläufiges Verbot auf der Grundlage von Artikel 6 Absatz 1 Buchstabe b und Artikel 6 Absatz 1 Buchstabe f der Datenschutz-Grundverordnung (DSGVO), d. h. auf der Rechtsgrundlage des Vertrags und des berechtigten Interesses, auszusprechen und ein Bußgeld in Höhe von 1 Mio. NOK (ca. 97.857 USD) pro Tag zu verhängen, das am 14. August 2023 in Kraft tritt, falls Meta dem Verbot nicht nachkommt.

Daraufhin hat der EDPB nun seine verbindliche Eilentscheidung getroffen, dieses Verbot dauerhaft zu machen und auf die gesamte EU/EWR auszudehnen. Er hat die Datenschutzkommission (DPC) als federführende Aufsichtsbehörde in Bezug auf Meta angewiesen, innerhalb von zwei Wochen endgültige Maßnahmen in diesem Sinne zu ergreifen, wobei das Verbot eine Woche nach seiner Bekanntgabe an Meta in Kraft treten wird.

Zustimmungsbedürftige Lösungen

In Bezug auf die von Meta vorgeschlagene Lösung, den Nutzern in der EU und im EWR ab November eine Einwilligungslösung und ein Abonnementmodell anzubieten, äußerte das norwegische Datatilsynet Zweifel an der Rechtmäßigkeit dieses Plans und merkte an, dass die von Meta vorgeschlagene Einwilligungslösung von Nutzern, die dem verhaltensorientierten Marketing nicht zustimmen, eine Gebühr verlangen würde.

In diesem Zusammenhang bestätigte der EDPB, dass er derzeit den Vorschlag von Meta prüfe, einen einwilligungsbasierten Ansatz als rechtliche Grundlage für verhaltensorientiertes Marketing zu verwenden. 

Die Vorsitzende des EDPB, Anu Talus, sagte: "Nach sorgfältiger Abwägung hielt es der EDPB für notwendig, den [DPC] anzuweisen, ein EWR-weites Verarbeitungsverbot zu erlassen, das an [Meta] gerichtet ist. Bereits im Dezember 2022 wurde in der verbindlichen Entscheidung des EDPB klargestellt, dass ein Vertrag keine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Meta zum Zwecke der verhaltensbezogenen Werbung darstellt. Darüber hinaus hat die [DPC] festgestellt, dass Meta die Einhaltung der Ende letzten Jahres erlassenen Anordnungen nicht nachgewiesen hat. Es ist höchste Zeit, dass Meta seine Verarbeitung in Einklang bringt und die rechtswidrige Verarbeitung einstellt.

EU, 1. November 2023

 

International: Deutschland, Italien und Frankreich vereinbaren verstärkte Zusammenarbeit im Bereich KI

Am 30. Oktober 2023 gab das italienische Ministerium für Unternehmen und Made in Italy bekannt, dass Italien, Frankreich und Deutschland vereinbart haben, zusammenzuarbeiten und neue Initiativen im Bereich der künstlichen Intelligenz (KI) auf den Weg zu bringen. Die drei Länder waren sich insbesondere über die Notwendigkeit einig, den Verwaltungsaufwand zu reduzieren und die Verfahren für transnationale Projekte zu vereinfachen.

Die drei Länder begrüßten und unterstützten die laufenden europaweiten Bemühungen, ein auf KI spezialisiertes Konsortium in Europa zu gründen, um Sprachtechnologien und Gründungsmodelle durch einen erleichterten Zugang zu Rechenkapazitäten, Datenräumen, fortgeschrittenen Fähigkeiten und Testeinrichtungen zu entwickeln.

Die verstärkte Zusammenarbeit der drei Länder im Bereich KI basiert auf der Annahme, dass sie mögliche zukünftige EU-Gesetzesinitiativen unterstützen wird und bedeutet, dass sie gemeinsam konkrete Strategien und Maßnahmen verabschieden und umsetzen werden, beispielsweise zur Unterstützung von Start-ups und KMU durch digitale Innovation und KI.

Schließlich betonten die Vertreter der drei Länder, dass es von größter Bedeutung sei, die EU-Gesetzgebung ohne unnötige Bürokratie zu gestalten und die Verwaltungsverfahren zur Genehmigung von Investitionsprojekten in der EU radikal zu reformieren, zu vereinfachen und zu beschleunigen sowie ein einfaches und vorhersehbares Regelungsumfeld, insbesondere für KMU, zu schaffen.

International, 31. Oktober 2023

 

Niederlande: AP veröffentlicht Stellungnahme zum Entwurf des VWS II Datenerhebungsgesetzes

Am 30. Oktober 2023 kündigte die niederländische Datenschutzbehörde (AP) die Veröffentlichung einer Stellungnahme zum Entwurf des VWS II Datenerhebungsgesetzes (das Gesetz) an. Die AP stellte insbesondere fest, dass der Entwurf darauf abzielt, verschiedene Gesetze im Gesundheitssektor zu ändern, und dass er datenschutzrechtliche Mängel aufweist, die behoben werden sollten.

Zu den Haupteinwänden des AP gehören insbesondere

- Die Verhältnismäßigkeit einer gesetzlichen Verpflichtung für Gesundheitsdienstleister, Daten, einschließlich Gesundheitsdaten, von nicht versicherten Patienten an Kommunen zum Zwecke der Gesundheitsversorgung weiterzugeben, wurde nicht ausreichend nachgewiesen;

- die Verhältnismäßigkeit einer gesetzlichen Verpflichtung für Leistungserbringer, Daten, einschließlich Gesundheitsdaten, aller Patienten, die zuvor an einer Bevölkerungsstudie oder einer Reihenuntersuchung teilgenommen haben, mit dem Durchführenden der Studie oder dem Nationalen Institut für öffentliche Gesundheit und Umwelt (RIVM) zu teilen, ist nicht hinreichend nachgewiesen; und

- In der Begründung des Gesetzes fehlt eine detaillierte Prüfung im Lichte der Artikel 9 und 10 der Allgemeinen Datenschutzverordnung (DSGVO) im Zusammenhang mit der Bereitstellung bestimmter personenbezogener Daten zur Vorbereitung oder Durchführung einer gerichtlichen Genehmigung für die nicht freiwillige Einweisung und den Aufenthalt in einer Pflegeeinrichtung gemäß dem Gesetz.

Niederlande, 31. Oktober 2023

 

Griechenland: HDPA verhängt Bußgeld von € 210.000 gegen Piraeus Bank wegen rechtswidriger Verarbeitung personenbezogener Daten und Verletzung des Auskunftsrechts

Am 12. Juni 2023 veröffentlichte die griechische Datenschutzbehörde (HDPA) ihre Entscheidung Nr. 25/2023, mit der sie gegen die Piraeus Bank SA eine Geldstrafe in Höhe von 210.000 € wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) verhängt.

Hintergrund der Entscheidung

Die HDPA teilte mit, dass der Beschwerdeführer, ein Kunde der Bank, sie darüber informiert habe, dass die Piraeus Bank seine personenbezogenen Daten an ein Darlehens- und Kreditverwaltungsunternehmen, Alternative Financial Solutions (AFS), weitergegeben habe, ohne dafür einen rechtlichen Grund oder ein Recht zu haben, da keine Forderungen mehr gegen ihn bestünden. 

Darüber hinaus behauptete der Beschwerdeführer, dass die Bank keine zufriedenstellende und detaillierte Antwort auf sein Auskunftsersuchen bezüglich der Weitergabe seiner personenbezogenen Daten an AFS gegeben habe.

Feststellungen der HDPA

Die HDPA stellte fest, dass die Piraeus Bank als für die Verarbeitung Verantwortliche gegen den Grundsatz der Rechtmäßigkeit gemäß Artikel 5 Absatz 1 Buchstabe a und Artikel 6 der Datenschutz-Grundverordnung verstoßen habe, indem sie eine große Anzahl personenbezogener Daten, einschließlich der Daten des Beschwerdeführers, ohne Rechtsgrundlage automatisiert verarbeitet habe. Darüber hinaus stellte die HDPA fest, dass die Bank gegen Artikel 25 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung verstoßen habe, da sie keine geeigneten Maßnahmen ergriffen habe, um die rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen.

Schließlich stellte die HDPA fest, dass die Piraeus Bank gegen Artikel 15 Absatz 1 Buchstabe a der DSGVO verstoßen habe, da sie das Auskunftsrecht der betroffenen Person nach dessen Ausübung durch den Beschwerdeführer nicht ordnungsgemäß erfüllt habe.

Ergebnis

Infolgedessen verhängte die HDPA die folgenden Geldbußen gegen die Piraeus Bank:

- 100.000 € für den Verstoß gegen Artikel 5 Absatz 1 Buchstabe a, Artikel 5 Absatz 1 Buchstabe b und Artikel 6 der Datenschutz-Grundverordnung;

- 100 000 EUR wegen Verstoßes gegen Artikel 25 Absatz 1 der Datenschutz-Grundverordnung und

- 10.000 € für den Verstoß gegen Artikel 15 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung.

Darüber hinaus wies die HDPA die Piraeus Bank an, dem Auskunftsrecht des Beschwerdeführers nachzukommen.

  1. Oktober 2023

Erstellt:

Experte für Datenschutz gesucht? Neben dem großen Thema Datenschutz unterstützen wir Sie im Interim Management, bei strategischen & betriebswirtschaftlichen Managementaufgaben. Sie haben Fragen, genug vom Blabla und wollen Genaueres wissen? Hier unverbindlich kontaktieren.

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite
Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.