Drei Jahre nach dem Aus von „Privacy Shield“ ist endlich der Nachfolger, das „Data Privacy Framework“, am Start und soll die Grauzone bei Datentransfers zwischen den USA und der EU beenden. Um die zuvor vom EuGH geäußerten Bedenken auszuräumen, sollen US-Geheimdienste auf Daten aus der EU nur noch dann und nur so weit zugreifen dürfen, wie es „zum Schutz der nationalen Sicherheit“ erforderlich und verhältnismäßig ist. Diese Regelung gilt zusätzlich zu jenen der DSGVO, denen sich US-Unternehmen unterwerfen müssen, die Daten aus der EU importieren. Außerdem soll für Klagen von EU-Bürgern in den USA ein spezielles Gericht (Data Protection Review Court, DPRC) eingerichtet werden, dass z.B. die Löschung von Daten anordnen kann, die unter Verstoß gegen die neuen Garantien erhoben wurden. Der neue Datenschutzrahmen soll regelmäßig auf seine Wirksamkeit hin überprüft werden, das erste Mal bereits ein Jahr nach Inkrafttreten.
Alles in allem wird den USA so bescheinigt, ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten, ähnlich dem in der EU. Ob dem wirklich so ist, werden aber wieder einmal Gerichte entscheiden müssen. So haben bereits der Bundesdatenschutzbeauftragte und noyb um Max Schrems, der bereits die Vorgänger „Safe Harbour“ und „Privacy Shield“ vor dem EuGH zu Fall gebracht hatte, Bedenken angemeldet bzw. Klagen angekündigt. Denn „verhältnismäßig“ ist ein sehr relativer Ausdruck, zumal die USA die nationale Sicherheit erfahrungsgemäß deutlich höher einstufen als das Recht auf Privatsphäre von Nicht-US-Bürgern. Sollte der EuGH zustimmen, dass auch das neue Framework den vorherigen Abkommen zu sehr ähnelt, stünde man wieder vor einem Scherbenhaufen. Wie es im Einzelfall nun weitergehen kann, besprechen Sie am besten mit Ihrem Datenschutzbeauftragten.
Der EuGH hat den Streit zwischen dem Bundeskartellamt und Meta zugunsten der Wettbewerbshüter entschieden. Die Behörde hatte Meta 2019 untersagt, Nutzerdaten auch außerhalb von Facebook, Instagram und WhatsApp z.B. auf Webseiten, die einen „Gefällt mir“-Button eingebettet haben, zu sammeln, weil es den Markt für soziale Netzwerke deutlich beherrschte. Der EuGH bestätigte, dass das in den Kompetenzbereich des Kartellamts fallen kann und dass das Kartellamt auch die Einhaltung des Datenschutzes prüfen darf.
Datenschutzrechtlich entschied es außerdem, dass Meta ohne aktive informierte Einwilligung der Nutzer keine Informationen sammeln darf, die für das Netzwerk nicht unbedingt notwendig sind, insbesondere sensible Daten wie politische Meinungen, Religionszugehörigkeiten und sexuellen Orientierungen. Und man muss die Wahl haben, nicht einzuwilligen, und die Webseite dennoch in vollem Umfang nutzen können. Meta hatte versucht, ein berechtigtes Interesse am Datensammeln, in Form von Werbung, geltend zu machen. Doch das Urteil scheint die Messlatte dafür sehr hoch zu legen, und bloße Werbung wird wohl in der Regel nicht ausreichen.
In Norwegen ist der Datenschutzbehörde derweil der Geduldsfaden gerissen: Ab Anfang August wird Facebook und Instagram hier das Ausspielen personalisierter Werbung untersagt, wenn sie auf Daten beruht, die die Nutzer nicht selbst angegeben bzw. zu deren Nutzung sie nicht informiert eingewilligt haben. Die Behörde sorgt sich, dass viele Nutzer weder wissen noch den Sinn dahinter verstehen, dass Meta umfangreiche Profile mit äußerst sensiblen Daten erstellt. Die Anordnung gilt zunächst für drei Monate und/oder bis Meta entsprechende Besserungen umsetzt. Bei Zuwiderhandeln droht eine Strafe von einer Million norwegischen Kronen (knapp 89.000 Euro) pro Tag.
Als Mitglied des Europäischen Wirtschaftsraums EWR gilt auch in Norwegen die DSGVO. Somit ist auch hier eigentlich die irische Datenschutzbehörde zuständig; aber in Notfällen können nationale Behörden temporär eigene Maßnahmen ergreifen. Laut Behörde liegt ein Notfall vor: „Wenn wir jetzt nicht eingreifen, würden die Datenschutzrechte der Mehrheit der Norweger:innen auf unbestimmte Zeit verletzt“ – da die irische Behörde seit mittlerweile fünf Jahren keine neue Entscheidung getroffen hat. Die Angelegenheit könnte auch bald beim Europäischen Datenschutzausschuss landen und durch diesen verlängert werden, hieß es aus Norwegen.
Apropos Nicht EU: In der Schweiz gilt ab 1. September ein neues Datenschutzgesetz! Wer dort irgendwie aktiv ist, findet hier mehr Infos von den Schweizer Behörden.
Derweil baut sich Meta ein weiteres Standbein auf: Während Elon Musk immer mehr Nutzer von Twitter, ähm, jetzt „X“, vergrault, bringt Mark Zuckerberg das sehr ähnliche Format „Threads“ an den Start – allerdings (erstmal?) nicht in der EU. Dies gab Meta von sich aus bekannt; aber vermutlich hat man dort nicht noch Lust auf einen weiteren Rechtsstreit. Auch Threads verlangt einen sehr weitreichenden Zugriff auf personenbezogene Daten. Außerdem ist es von vorn herein plattformübergreifend konzipiert und soll direkt an Instagram andocken. Ohne Account dort kommt man nicht zu Threads. Und ein Threads-Konto kann man nur deaktivieren – wer es löschen will, muss zugleich auch das eigene Instagram-Konto löschen. Das ist insbesondere vor dem Hintergrund des Digital Market Acts problematisch. Denn für den einen Zweck eingesammelte personenbezogene Daten dürfen nicht für einen anderen wiederverwendet werden. Als Gatekeeper darf Meta auch eigene Produkte und Dienstleistungen nicht mehr bevorzugen.
Meta hat auch offenbar immer noch nicht gelernt, wie das mit der DSGVO gemeint ist. In Apples App Store wird aufgeschlüsselt, welche Daten „Threads“ sammeln soll – erwartungsgemäß nimmt man so ziemlich alles an Daten mit, was geht, und nutzt diese auch für Werbezwecke an anderer Stelle. „Sensible Informationen“ werden ausdrücklich als Daten aufgeführt, die erfasst werden. Allerdings soll Threads auch das ActivityPub-Protokoll verwenden und (anders als Twitter) ans sogenannte Fediverse angeschlossen sein, in der auch Mastodon eingebettet ist. Inwiefern sich die beiden vertragen, muss sich dann noch zeigen. Aufgrund von erweitertem Klärungsbedarf bezüglich der DSGVO hatte kürzlich auch Google den Launch der hauseigenen ChatGPT-Alternative Bard in der EU nach hinten verschoben. Beide scheinen den EU-Datenschutz nicht von vorn herein mitgedacht, sondern erst em Ende implementiert zu haben.
Schließlich noch ein Blick nach vorn in einem ganz anderen Feld: Die EU-Kommission hat kürzlich nach jahrelanger Vorbereitung ihren Gesetzentwurf zum digitalen Euro vorgelegt. Dieser soll als weitere Variante zu den bisherigen Zahlungsmöglichkeiten hinzukommen, als zweite Währung in der Eurozone fungieren und auch ohne Internetverbindung genutzt werden können. Ob das aus Datenschutz-Sicht sinnvoll ist, oder doch nur ein Schritt auf dem Weg zum gläsernen Menschen, ist durchaus umstritten. Aber auf dem Weg durch die Institutionen kann sich ja bekanntlich auch noch einiges am Entwurf ändern.