Inhalt:

• Strafe für ungeschützte Datenübermittlung in die USA - Niederländische Datenschutzbehörde belegt Uber mit Strafe über EUR 290 Mio
• USA: Anfragen nach dem FISA-Act nicht geheim gehalten?
• Hintergrundwissen: Wie US-Dienste arbeiten
• Profiling und automatisierte Entscheidungen: Umgehung des Rechts als Norm?
• Millionen Menschen betroffen - ORF muss mit Schadenersatzforderungen rechnen

 

 

Strafe für ungeschützte Datenübermittlung in die USA - Niederländische Datenschutzbehörde belegt Uber mit Strafe über EUR 290 Mio

Die Causa ist etwas kurios und könnte noch Weiterungen nach sich ziehen. Jedenfalls hat die Entscheidung viel Staub aufgewirbelt. Die Niederländische Datenschutzbehörde hat auf eine Beschwerde von 170 Uber-Fahrern reagiert, deren persönliche Daten in die USA übertragen wurden, nachdem der EuGH dies untersagt hatte (Juli 2020).

Zur Erinnerung: Nachdem die US-Gesetze den dortigen Geheimdiensten den uneingeschränkten Zugriff auf Daten von Personen erlauben, die sich im Ausland aufhalten oder dort vermutet werden, ohne, dass die Betroffenen dagegen ein Gericht anrufen könnten (FISA-Act), hat der EuGH die Datenübertragung in die USA wegen mangelnden Rechtsschutzes untersagt.

Uber hat jedoch ungeachtet der Rechtslage alle Daten der Fahrer von der Europa-Zentrale in den Niederlanden aus in die USA verschickt, wodurch die Rechte der Betroffenen verletzt wurden.

Uber hat angekündigt, gegen die Entscheidung Widerspruch einzulegen. Auf die Begründung kann man gespannt sein. Vermutlich wird die Diskussion eher mit politischen Argumenten und weniger mit juristischen Einwänden geführt werden, denn die Rechtsfrage ist klar und stützt die Entscheidung der Datenschutzbehörde.

Nicht ganz ausgeschlossen ist allerdings, dass der Fall neuerdings die Grundsatzfrage in den Vordergrund rückt: Ist der Angemessenheitsbeschluss der EU-Kommission von 2023, der die Datenübertragung in die USA wieder ermöglicht, gerechtfertigt? Hat sich der Rechtsschutz der Betroffenen betreffend die USA gegenüber dem Juli 2020 tatsächlich markant verbessert? Juristen sind sehr skeptisch, und sogar einzelne Datenschutzbehörden haben bereits Zweifel angemeldet.

Wer "auf der sicheren Seite" bleiben will, müsste die Übermittlung personenbezogener Daten in die USA komplett vermeiden. Das ist allerdings im internationalen Wirtschaftsleben unrealistisch und nicht machbar. Die Lage ist jedenfalls höchst kompliziert und aus rechtlicher Sicht unbefriedigend.

Quellen:

https://orf.at/#/stories/3367601/

https://www.derstandard.at/story/3000000233921/uber-soll-in-niederlanden-millionenstrafe-zahlen

https://www.corriere.it/economia/aziende/24_agosto_26/uber-multa-da-290-milioni-nei-paesi-bassi-violata-la-privacy-degli-autisti-85789819-a6d4-4abf-8e2a-53656267cxlk.shtml

https://www.reuters.com/technology/cybersecurity/dutch-privacy-watchdog-fines-uber-sending-drivers-data-us-2024-08-26/

https://therecord.media/uber-fined-324-million-netherlands-gdpr

https://www.edpb.europa.eu/news/news/2024/dutch-sa-imposes-fine-290-million-euro-uber-because-transfers-drivers-data-us_en

https://autoriteitpersoonsgegevens.nl/en/current/dutch-dpa-imposes-a-fine-of-290-million-euro-on-uber-because-of-transfers-of-drivers-data-to-the-us

(26.8.2024)

 

 

USA: Anfragen nach dem FISA-Act nicht geheim gehalten?

Die Veröffentlichungen zu diesem Vorfall könnten kaum nebuloser sein: T-Mobile wurde in den USA von einer Behörde mit der Bezeichnung "Committee on Foreign Investment in the United States" (CFIUS) mit einer Strafe von 60 Mio USD belegt. In den US-Medien wird lediglich die Höhe der Strafe als außerordentlich beschrieben. Der Grund bleibt weitgehend im Dunkel.

Einzig "The National Law Review" gibt in einem Beitrag einen kryptischen Hinweis. So hätte angeblich T-Mobile eine Vorschrift der NSA (National Security Agency) nicht befolgt und dadurch die Sicherheit der USA in Gefahr gebracht. Wahrscheinlich ging es um "Law Enforcement" (Rechtsdurchsetzung), wie in manchen Quellen angedeutet wird. Offizieller Grund für die Strafe ist jedoch, dass Personendaten nicht ausreichend geschützt waren.

Allem Anschein nach dürfte es sich jedoch darum handeln, dass US-Geheimdienste Personendaten bei T-Mobile angefordert hatten und diese Anforderung - die geheim zu halten gewesen wäre - geleakt wurde, wodurch die Betroffenen davon Kenntnis erhielten.

T-Mobile weist jede Schuld von sich und erklärt, die Vorschriften vollständig erfüllt zu haben. Deshalb werde man auch gegen die Strafe Widerspruch einlegen.

Jedenfalls könnte der konkrete Fall auf einen grundlegenden Unterschied zwischen den USA und Europa zurückzuführen sein: Während in Europa die Rechte der Betroffenen im Vordergrund stehen, wird in den USA beim Datenschutz primär das Recht der Geheimdienste geschützt. Dies mit der Begründung, dass nur so die Sicherheit der USA gewährleistet werden könne.

Quellen:

https://orf.at/#/stories/3366600/

https://www.reuters.com/business/media-telecom/us-committee-slaps-60-million-fine-t-mobile-over-unauthorized-data-access-2024-08-14/

https://www.forbes.com/sites/antoniopequenoiv/2024/08/14/t-mobile-will-pay-record-breaking-60-million-settlement-over-alleged-data-breach-violations/

https://natlawreview.com/article/cfius-fines-t-mobile-60-million-over-unauthorized-data-access-and-breach-response

(15.8.2024)

 

 

Hintergrundwissen: Wie US-Dienste arbeiten

Der Datenschutz in der EU wird stark von der Rechtslage in den USA beeinflusst. Das hat damit zu tun, dass wichtige IT-Plattformen sowie Hersteller von Software und Hardware in den USA ihren Sitz haben. Außerdem ist die Wirtschaft weltweit stark verflochten, sodass beide Rechtssysteme aufeinander Bezug nehmen müssen, wenn die internationalen Wirtschaftsströme nicht leiden sollen. Eine wesentliche Schwierigkeit besteht jedoch darin, dass in den USA ein komplett anderes Verständnis für "Sicherheit" herrscht, als in Europa.

Das zeigt sich etwa beim Umfang der Rechte, die Betroffenen, Verdächtigen oder Angeklagten in den USA einerseits und in der EU andererseits zugestanden werden. Rechtssicherheit bedeutet aus europäischer Sicht ein Maximum an Zugeständnissen an die betroffene Person. In den USA steht die innere, die militärische und die gefühlte Sicherheit der Gemeinschaft im Vordergrund, hinter die die Einzelperson oft zurückzutreten hat. Der Staat mischt sich möglichst wenig in die Privatangelegenheiten der Menschen ein, außer es besteht auch nur der Anschein einer Möglichkeit, dass die Sicherheit, Ruhe und Ordnung im weitesten Sinn durch menschliches Verhalten berührt wird. Somit wird in den USA vieles zum Sicherheitsproblem, was in der EU der Privatautonomie zugerechnet wird.

Die juristischen Auseinandersetzungen beim Datenschutz gehen auf diese grundsätzlichen Auffassungsunterschiede zurück. Ein wesentlicher Punkt dabei ist, dass die US-Geheimdienste kraft Gesetzes auf eine Weise in die Privatsphäre der Menschen eindringen dürfen, wie dies in der EU schon aus verfassungsrechtlichen Gründen kaum möglich wäre. Deshalb ist es unter dem Gesichtspunkt der "Reinheit der juristischen Lehre" schwer verständlich, dass die EU-Kommission im Sommer 2023 einen "Angemessenheitsbeschluss" gefasst und damit den Datenaustausch zwischen den Unternehmen in beiden Welten de facto freigegeben hat. Allerdings: Aus praktischen wirtschaftlichen Überlegungen war der Schritt hingegen dringend erforderlich, wenngleich er mehr juristische Probleme schafft, als er beseitigt.

Anläßlich der aus Sicherheitsgründen abgesagten Konzerte von Taylor Swift Anfang August 2024 wurde ein Verdächtiger in der niederösterreichischen Ortschaft Ternitz ausfindig gemacht, wobei die österreichische Polizei wesentliche Informationen von US-Diensten erhielt. Die Tageszeitung "Der Standard" nahm dies zum Anlass, einen Bericht über die US-Geheimdienste und ihre Arbeitsweise zu veröffentlichen, der als Hintergrundinformation für aktuelle Datenschutzprobleme gut geeignet ist.

Quelle:

https://www.derstandard.at/story/3000000231899/hinweis-zu-terrorplan-wie-die-cia-ternitz-ueberwacht
(10.8.2024)

https://www.derstandard.at/story/3000000234295/cia-lieferte-wichtige-hinweise-auf-anschlagsplaene-bei-swift-konzert
(29.8.2024)

 

 

Profiling und automatisierte Entscheidungen: Umgehung des Rechts als Norm?

Über den Artikel 22 der DSGVO ("Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.") bzw. über Rechtsumgehung durch Banken, Versicherungen, Energielieferanten oder Telekommunikationsunternehmen wurde bereits oft berichtet. Problematisch an dieser Rechtsbeugung sind vorallem zwei Fakten: die inhaltlich unklare Grundlage der automatisierten Entscheidung und der "Missbrauch" von Mitarbeitern, deren Aufgabe darin besteht, die automatisierte Entscheidung gegenüber dem abgewiesenen oder gekündigten Kunden robust durchzusetzen, um den Anschein der rechtskonformen Vorgangsweise zu erwecken.

Wenn die Aufgabe eines Mitarbeiters nur darin besteht, dem Bankkunden bspw. eine automatisierte Kreditablehnung zu verkünden, ohne dass eine menschliche Instanz in der Bank vorgesehen wäre, um die Entscheidung zu prüfen und allenfalls zu revidieren, muss man von Rechtsbruch ausgehen. Vergleichbare Vorgangsweisen finden sich aber immer wieder, sie folgen jedoch internen - oft geheim gehaltenen - Regeln des jeweiligen Unternehmens und sind schwer nachweisbar.

Nicht außer Acht lassen darf man die nebulose Entstehung der Entscheidungsgrundlagen. In Österreich werden dazu Daten von den Kreditschutzverbänden durch die Firmen angekauft, die ihre Kunden vor dem Vertragsabschluß durchleuchten möchten. Diese Daten beruhen anscheinend oft auf einem seltsamen Amalgam von Aussagen von Onlinehändlern, Gerüchten, Vermutungen von Nachbarn, Annahmen aufgrund der Wohngegend etc. und haben - Zeitungsmeldungen zufolge - bisweilen starke Ähnlichkeit mit den Prophezeiungen von Wahrsagern. Wirklich Genaues über die Ermittlung der scores geben die Kreditschutzverbände leider nicht preis und berufen sich dabei auf ihr Geschäftsgeheimnis. Wenn derartige Einschätzungen z.B. von einem Kreditinstitut übernommen werden, ist es selbstverständlich schwierig, die Stichhaltigkeit der Entscheidung (mangels Kenntnis ihres Zustandekommens) nach außen zu vertreten. Dass auf diese Weise kein rechtskonformer Zustand erreicht werden kann, ist klar.

Der italienischen Datenschutzbehörde ist es geglückt, nachzuweisen, dass ein Leasingunternehmen bewußt illegal auf Datenbanken zur Betrugsprävention zugegriffen hat und so seine Kundenanfragen entschied. Angesichts der Anzahl der Betroffenen und der Schwere der Verfehlung wurde eine Strafe von EUR 250.000 verhängt.

Leider gibt es genügend Möglichkeiten für Unternehmen, die gesetzlichen Vorschriften des Art. 22 zu umgehen bzw. offen zu ignorieren. Nachdem der Nachweis dieses Verhaltens in der Regel schwierig ist, könnte nur eine konsequente Rechtsprechung zu Gunsten der Betroffenen die Lage verbessern, soferne nicht die Gesetzgebung geändert wird.

Quellen:

https://www.derstandard.at/story/3000000234211/kreditauskunftei-ksv-1870-soll-datenschutzregeln-gezielt-ignorieren
(29.8.2024)

https://www.gpdp.it/home/docweb/-/docweb-display/docweb/10043752
(9.8.2024)

 

 

Millionen Menschen betroffen - ORF muss mit Schadenersatzforderungen rechnen

Eine Kombination aus Schlamperei, Ungeschicklichkeit und Sorglosigkeit führte 2020 dazu, dass die Meldedaten von Millionen Menschen in Österreich bei einem Dienstleister der GIS von einem Kriminellen entwendet und verbreitet wurden. Der Mann wurde in den Niederlanden verhaftet und verurteilt. Die österreichische Rechtsprechung tendiert dazu, im Sinn der Betroffenen ganz allgemein die Schadenersatzpflicht der Verantwortlichen der Datenverarbeitung zu bestätigen.

Hierzulande hat der nahezu beispiellose Vorfall bei der GIS bisher allerdings kaum zu allgemeiner Empörung geführt - eher Achselzucken war das Ergebnis: Da kann man halt nichts machen. Lediglich eine - gemessen an der Zahl der Betroffenen - geringe Menge an Beschwerden wurde durch zwei Anwälte rechtsfreundlich vertreten. Mittlerweile hat nicht nur die Datenschutzbehörde, sondern auch das Bundesverwaltungsgericht entschieden, dass damals die GIS, für die der ORF verantwortlich war, die notwendige Vorsicht vermissen ließ und somit schuldhaft gehandelt hat. Das "Weiterreichen" der Verantwortung an den technischen Dienstleister entbinde den ORF nicht von seiner Sorgfaltspflicht. Das eröffnet den Betroffenen jetzt den Weg für Schadenersatzklagen, für die letztlich die Republik Österreich finanziell geradestehen muss.

Für den ORF wird es nun langsam ernst. Dazu kommt, dass kürzlich das Oberlandesgericht (OLG) Wien in zweiter Instanz rechtskräftig geurteilt hat, dass die Stadt Baden in einem nahezu identischen Fall schadenersatzpflichtig ist. Das Urteil ist allerdings noch nicht veröffentlicht. Der Anwalt, der den Kläger erfolgreich vertreten hat, erläuterte, dass für das OLG schon alleine die allgemeine Möglichkeit des Missbrauchs entwendeter Daten ausgereicht hätte, um dem Betroffenen wegen seiner Unlustgefühle und Sorgen vor möglichen Betrugsversuchen Schadenersatz zuzusprechen.

Wer als Verantwortlicher Daten - und besonders sensible Gesundheitsdaten - in irgendeiner Weise verarbeitet, sollte penibel darauf achten, dass er seine Sorgfaltspflicht SEHR ernst nimmt. Das setzt durchaus voraus, dass man auch Dienstleister, die man mit IT-Aufgaben betraut, konsequent und ständig kontrolliert. Wie weit allerdings die Kontrolle in technischen Frage geht, wird ein Gericht wohl von den Vorkenntnissen des Verantwortlichen abhängig machen müssen.

Quellen:

GIS: Gestohlene Meldedaten

https://www.derstandard.at/story/3000000232194/gestohlene-meldedaten-orf-schaltet-hoechstgericht-ein
(12.8.2024)

Schadenersatzforderungen gegen GIS

https://www.derstandard.at/story/3000000236385/millionenfacher-datendiebstahl-bei-gis-anwaelte-fordern-fuer-betroffene-je-1000-euro
(16.9.2024)

Kostspielige Datenlecks

https://www.derstandard.at/story/3000000237439/stadt-baden-wegen-datenlecks-zu-schadenersatz-verdonnert
(23.9.2024)