Am 28. Januar 2024 findet der 18. Europäische Datenschutztag statt. Wie in jedem Jahr nehmen wir diesen internationalen Aktionstag zum Anlass, um Ihnen ein kleines Resümee zum Datenschutz-Jahr 2023 zusammenzustellen. Welches waren die prominentesten Themen des vergangenen Jahres? Was erwarten uns aus datenschutzrechtlicher Sicht für spannende Themen im Jahr 2024?

Europäischer Datenschutztag 2024

In ähnlicher Weise wie in den vorherigen Jahren nehmen wir den Europäischen Datenschutztag als Gelegenheit, um eine kurze Bilanz des vergangenen Datenschutzjahres 2023 zu ziehen. Zudem möchten wir einen vorsichtigen Ausblick auf die Themen werfen, die uns voraussichtlich 2024 im Bereich des betrieblichen Datenschutzes beschäftigen werden.

Einführung der WhistleBlower Richtlinie auch für mittelständische Unternehmen
Entwicklung der künstlichen INtelligenz in 2024
Rekordstrafe Bußgelb für Meta Facebook im ersten Halbjahr 2023
Europäischer Datenschutztag 2023

DSGVO Verstöße 2023

Im Jahr 2023 traf es den Facebook Mutterkonzern Meta am härtesten. Mit einem Rekord-Bußgeld in Höhe von 1,2 Milliarden Euro verhängte der Europäische Datenschutzausschuss das Strafmaß am 12. Mai 2023. Allein in den ersten 5 Monaten des Jahres 2023 waren somit höhere Bußgelder wegen Verstößen gegen die DSGVO verhängt worden als noch in den Jahren von 2019 bis 2021 zusammengerechnet. Hier folgt die „Top Ten“ der europäischen Bußgeldbescheide des vergangenen Jahres.

Datum Bußgeld Empfänger Vorfall
22. Mai 2023 1.200.000.000 € Meta Platforms Ireland Ltd. rechtwidrige Übermittlung personenbezogener Daten in die USA
4. Januar 2023 390.000.000 € Meta Platforms Ireland Ltd. personalisierte Werbung ohne Rechtsgrundlage
15. September 2023 345.000.000 € TikTok Technology Ltd. diverse Verstöße beim Umgang mit Daten minderjähriger User
22. Juni 2023 40.000.000 € CRITEO Werbe-Retargeting ohne Einwilligung von Nutzerinnen und Nutzern
23. Oktober 2023 10.000.000 € Axpo Italia Spa Aktivierung unaufgeforderter Verträge in über 5.000 Fällen
4. Januar 2023 8.000.000 € APPLE Distribution intern. Fehlende Werbeeinwilligung im App-Store
9. Juni 2023 7.631.175 € Tim S.p.A. zahlreiche Beschwerden gegen „wildes“ Telemarketing
19. Januar 2023 5.500.000 € WhatsApp Ireland Ltd. Verstoß gegen Transparenzpflichten
5. Oktober 2023 5.470.000 € EOS Matrix doo Unrechtmäßige Aufzeichnung von Telefongesprächen, Gesundheitsdaten, fehlende technische Sicherheit
11. Juni 2023 4.992.038 € Spotify AB Unzureichende Informationen zur Datenverarbeitung sowie mangelnde Beschreibung der erfassten Daten
TTDSG schützt personenbezogene Daten

Hinweisgeberschutzgesetz – HinSchG

Im Oktober 2019 wurde der Start für die „EU-Whistleblower-Richtlinie“ gesetzt. Personen, die in öffentlichen oder privaten Organisationen tätig sind, nehmen Gefahren oder Schädigungen des öffentlichen Interesses oft als Erste wahr. Wenn Mitarbeitende Verstöße melden, agieren sie als sogenannte Hinweisgeber und können maßgeblich dazu beitragen, Verstöße innerhalb ihres Unternehmens oder ihrer Organisation aufzudecken.

Allerdings schrecken potenzielle Hinweisgeber oft davor zurück, Verdachtsmomente zu melden – oft aus Furcht vor möglichen Repressalien. Genau hier setzt das am 16.12.2022 vom Bundestag verabschiedete Hinweisgeberschutzgesetz (HinSchG) an, das die EU-Whistleblower-Richtlinie in nationales Recht umsetzt. Seit dem 18. Dezember 2023 sind alle Unternehmen und Organisationen mit mehr als 50 Beschäftigten dazu verpflichtet, sichere interne Hinweisgebersysteme einzurichten und zu betreiben.

google Web Fonts korrekt auf Websites einbinden

Chat GPT und der Einsatz von künstlicher Intelligenz

Nachdem OpenAI bereits am 30. November 2022 die Software-Version GPT-3 für die Öffentlichkeit kostenfrei verfügbar gemacht hatte, registrierten sich weltweit innerhalb von nur fünf Tagen eine Million Nutzer. Eine unglaubliche Entwicklung, die im Jahr 2023 noch vom X-Konkurrenten (ehem. Twitter) „Threads“ übertroffen werden sollte:

Infografik: Wie lange brauchen Online-Dienste, um eine Million Menschen zu erreichen | Statista

Aber zurück zum Einsatz künstlicher Intelligenz mit Tools wie Chat GPT, OpenCV, TensorFlow oder Adobe Firefly. KI-generierte Texte, Bilder, Videos oder Audio-Dateien sind auf dem Vormarsch und die Entwicklung rasant zu nennen ist wahrscheinlich noch stark untertrieben.

Bei allen bekannten Vorteilen sollten Unternehmen und Organisationen auch immer die Risiken im Blick haben. Ein kostenloser KI-Dienst kann Daten von Geräten sammeln, individuelle Eingabeaufforderungen speichern und diese Daten dann verwenden, um sein eigenes Modell zu trainieren. Dies mag zwar auf den ersten Blick nicht schädlich erscheinen, aber genau deshalb ist es so wichtig, zu verstehen, was genau im Hintergrund geschieht und welche Datenschutzfragen bei der Verarbeitung der gesammelten Daten für das Training generativer KI-Algorithmen auftreten können.

Ohne Zustimmung dürfen personenbezogene Daten nicht ohne Weiteres bei Chat GPT eingegeben werden. Die Industrie- und Handelskammer Reutlingen hat zu diesem Thema einen gelungenen Beitrag veröffentlicht, der darüber hinaus das Thema Urheberrecht genauer unter die Lupe nimmt.

Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework

Am 10. Juli 2023 hat die Europäische Kommission den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework als Nachfolger des „Privacy Shields“ angenommen. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.

Das EU-US Data Privacy Framework hat das Ziel sicherzustellen, dass personenbezogene Daten von Bürgerinnen und Bürgern der EU in den USA denselben Schutz erfahren wie auf dem europäischen Kontinent. Frühere Urteile hatten festgestellt, dass weder Safe Harbour noch das Privacy Shield diesem Anspruch gerecht wurden. Ein zentrales Problem bestand darin, dass US-amerikanische Unternehmen aufgrund nationaler Gesetze kaum eine vergleichbare Sicherheit für personenbezogene Daten in den USA gewährleisten können, da sie Geheimdiensten Zugang zu diesen Daten gewähren.

Das neue Abkommen begegnet diesem Problem, indem es festlegt, dass US-Geheimdienste nur dann auf personenbezogene Daten zugreifen dürfen, wenn dies im Interesse der nationalen Sicherheit der USA liegt. Die Regelung betont dabei die Notwendigkeit und Verhältnismäßigkeit dieses Zugriffs.

Datenschützer haben im Übrigen bereits angekündigt, auch gegen dieses Abkommen gerichtlich vorzugehen. Wir halten Sie selbstverständlich auch in diesem Jahr wieder zu diesen und allen anderen relevaten Themen rund um den betrieblichen Datenschutz auf dem Laufenden.