Datenrecht.at

Die deutsche Datenschutzkonferenz hat vor kurzem die aktualisierte “Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von digitalen Diensten (OH Digitale Dienste)” in der Version 1.2 veröffentlicht.

Grundsätzlich ist gemäß § 25 Abs. 1 Satz 1 TDDDG die Speicherung von Informationen in der Endeinrichtung von Nutzenden oder der Zugriff auf solche Informationen, die bereits in der Endeinrichtung gespeichert sind, nur mit Einwilligung der Endnutzer:innen zulässig (siehe in Österreich § 165 Abs 3 TKG 2021 und diese FAQ der österreichischen Datenschutzbehörde). Die OH enthält u.a. Ausführungen zur Anforderungen an die Einwilligung vor dem Setzen von Cookies und eine Abgrenzung der Anwendungsbereiche des TDDDG [Anm: entsprechend den Vorgaben der ePrivacyRL) und der DSGVO. Die Orientierungshilfe ergänzt laut DSK die im Oktober 2024 in finaler Fassung veröffentlichten EDSA Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive. 

Die Datenschutzbehörde stellt hier ihre (nicht rechtskräftige) Entscheidung zum Ersuchen um Einwilligung (Cookie-Banner) auf der Website www.orf.at zur Verfügung (eine weitere veröffentlichte Version des Bescheids ist übrigens hier zu finden).

Im Kern ging es vor allem um die Frage, ob auf der ersten Ebene des Cookie-Banners auch eine Schaltfläche zum Ablehnen von “technisch nicht notwendigen” Cookies (bzw anders formuliert: dem Akzeptieren von “nur notwendigen Cookies”) vorhanden sein muss und wie deren grafische Ausgestaltung auszusehen hat:

[…] 2) Der Beschwerdegegnerin wird amtswegig aufgetragen, innerhalb einer Frist von sechs Wochen

a) Das Ersuchen um Einwilligung (den Cookie Banner, siehe Sachverhaltsfeststellung C.6.) auf der Website www.orf.at derart abzuändern, dass beim Besuch der Website eine gültige
Einwilligung eingeholt wird. Hierfür hat die Beschwerdegegnerin den Cookie Banner jedenfalls derart abzuändern, dass der betroffenen Person auf der ersten Ebene des Cookie Banners eine
gleichwertige Wahlmöglichkeit zwischen „Alle Cookies akzeptieren“ und „Nur notwendige Cookies“ geboten wird. Dabei ist sicherzustellen, dass beide Auswahlmöglichkeiten hinsichtlich
visueller Gestaltung, einschließlich Farbe, Größe, Kontrast, Platzierung und Hervorhebung, gleichwertig gestaltet sind. Es ist unzulässig, eine der Auswahlmöglichkeiten durch ein
übermäßig auffälliges Design, wie eine bevorzugte Farbgebung, eine größere Schriftgröße oder eine prominentere Platzierung, in den Vordergrund zu stellen.

b) Die Website www.orf.at derart abzuändern, dass beim Besuch dieser Website vor Abgabe einer Einwilligung die folgenden Cookies nicht gesetzt werden:
i) ioam2018 (siehe Sachverhaltsfeststellung C.7.);
ii) i00 (siehe Sachverhaltsfeststellung C.7.);
iii) UserID1 (siehe Sachverhaltsfeststellung C.7.);
iv) autouserid2 (siehe Sachverhaltsfeststellung C.7.). […]

Laut Website der österreichischen Datenschutzbehörde wurde am 6. November 2024 die „Erklärung über ein Netzwerk Digitalisierung“ unterzeichnet. Das Netzwerk Digitalisierung dient dem regelmäßigen Informations- und Erfahrungsaustausch zwischen diesen Behörden. Ziel ist es, im Rahmen der jeweiligen Zuständigkeiten eng zusammenzuarbeiten, um ein gemeinsames Verständnis zu den relevanten Fragestellungen der Digitalisierung zu ermöglichen und somit unterschiedliche Entscheidungen und Ansätze weitgehend zu vermeiden..

Weitere Mitglieder des Netzwerks sind folgende unabhängige Behörden:

• Bundeswettbewerbsbehörde
• E-Control
• Finanzmarktaufsicht
• Kommunikationsbehörde Austria
• Rundfunk- und Telekom Regulierungs GmbH (RTR), Fachbereich Telekommunikation und Post
• Schienen Control
• Telekom-Control-Kommission

Die deutsche bitkom hat einen umfangreichen Leitfaden zur Umsetzung des AI Act veröffentlicht, der durch ein Online-Tool ergänzt wird. Der Umsetzungsleitfaden führt durch die KI-Verordnung (Einleitung, KI-System, persönlicher und räumlicher Anwendungsbereich, Risikoklassifizierung, Compliance-Anforderungen, Konformitätsnachweis/Pflichten) und soll laut bitkom Unternehmen, die KI-Systeme in Verkehr bringen oder betreiben, dabei unterstützen, die rechtlichen Vorgaben der Verordnung (EU) 2024/1689 vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-VO) zu implementieren.

The Guide to the Case-Law of the of the European Court of Human Rights on Data Protection is a good starting point to get a quick overview - it has been updated (August 2024) and is available here. Case-Law Guides provide an overview of Convention case-law on a particular Article or a Transversal Theme, for all available guides click here.

On 9 October 2024, the European Commission has issued its Report on the first periodic review of the functioning of the adequacy decision on the EU-US Data Privacy Framework. In its press release, the EC writes that “[b]ased on the information gathered during the review, the Commission concludes that the US authorities have put in place all the constitutive elements of the framework. [...]”. According the EC, the review is based on a review meeting, an input from a wide range of actors including civil society organisations, trade associations, EU data protection authorities, US authorities involved in implementing the framework, as well as feedback from the general public via the ‘Have your Say' portal (some quite interesting feedback not fully in appraisal of the decision can be found there).

• Update 6.11.2024: During its latest plenary, the European Data Protection Board (EDPB) adopted a report on the first review of EU-U.S. Data Privacy Framework (DPF), as well as a statement on the recommendations of the high-level group (HLG) on access to data for effective law enforcement.

Yesterday, the EDBP has issued its Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), which has been adopted on 7 October 2024. The opinion is based on certain questions from the Danish SA which seem to be - at least partly - based on the findings of the first coordinated enforcement action within the Coordinated Enforcement Framework (CEF) regarding use of cloud services in the public sector. Therefore, the opinion is of relevance to all controllers whose processing activities are fully or parlty “outsourced” to cloud service providers (processors and their sub-processors).

Some quick excerpts (highlighting is mine):

• Margin no 25: In cases where the controller decides to accept certain sub-processors at the time of the signature of the contract, a list of approved sub-processors should be included in the contract or an annex thereto. The list should then be kept up to date, in accordance with the general or specific authorisation given by the controller. […]
• No.28: This means that the information relating to the identification of all of the processor’s sub-processors should be easily accessible to the controller. […]
• No. 31: While this is not explicit in these provisions, the Board considers that for the purpose of Article 28(1) and 28(2) GDPR, controllers should have the information on the identity of all processors, sub-processors etc. readily available at all times27 so that they can best fulfil their obligations under the provisions mentioned above. […]
•  No. 32: To this end, the processor should proactively provide to the controller all information on the identity of all processors, sub-processors etc. processing on behalf of the controller, and should keep this information regarding all engaged sub-processors up to date at all times.
• No 88: As a first step, where personal data will be transferred to third countries in connection with the use of (sub-)processors, the controller should assess and be able to show documentation relating to the transfer mapping. The controller should ensure that a transfer mapping is carried out by the exporter (which processes personal data on its behalf), setting out which personal data are transferred (including remote access), where, and for which purposes. […]

Diese Dokumente (auszugsweise wiedergegeben), die (dazu eher spärlich vorhandene) Kommentarliteratur und natürlich der Wortlaut der DSGVO haben mich bei der Beantwortung einer diesbezüglichen Anfrage unterstützt - mehr dazu vielleicht als Publikation:

• EDPB, Guidelines 9/2022 on personal data breach notification under GDPR, https://www.edpb.europa.eu/system/files/2023-04/edpb_guidelines_202209_personal_data_breach_notification_v2.0_en.pdf
• EDPB, Leitlinien 01/2021 zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten, https://www.edpb.europa.eu/system/files/2022-09/edpb_guidelines_012021_pdbnotification_adopted_de.pdf
• Hamburger LfDI, Umgang mit Data-Breach-Meldungen nach Art. 33 DSGVO, https://datenschutz-hamburg.de/fileadmin/user_upload/HmbBfDI/Datenschutz/Informationen/Vermerk_Data_Breach_2023.pdf
• ENISA, Recommendations for a methodology of the assessment of severity of personal data breaches, https://op.europa.eu/en/publication-detail/-/publication/dd745e70-efb8-4329-9b78-79020ec69da5
• BayLDA, Meldepflicht und Benachrichtigungspflicht des Verantwortlichen (2019), https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Meldepflichten.pdf

Der EDPB trifft zumindest zur Downtime wegen einer geplanten Maintenance eine klare Aussage:

Wenn personenbezogene Daten aufgrund einer geplanten Systemwartung nicht verfügbar sind, ist dies keine „Sicherheitsverletzung“ im Sinne von Artikel 4 Absatz 12 der Datenschutz-Grundverordnung.

Und was in der Praxis manchmal übersehen wird - zur Dokumentation eines Vorfalls, auch wenn keine Meldung erforderlich ist führt der EDPB in Rz 22 seiner Guidelines 9/2022 aus:

Wie bei einem dauerhaften Verlust oder einer Zerstörung personenbezogener Daten (oder auch bei jeder anderen Art von Datenschutzverletzung) sollte eine Datenschutzverletzung, die mit einem vorübergehenden Verlust der Verfügbarkeit einhergeht, gemäß Artikel 33 Absatz 5 DSGVO dokumentiert werden. Dies hilft dem für die Verarbeitung Verantwortlichen, gegenüber der Aufsichtsbehörde, die möglicherweise Einsicht in diese Aufzeichnungen verlangt, seine Verantwortlichkeit nachzuweisen.

Das Landgericht Hamburg (LG Hamburg 27.09.2024, 310 O 227/23) hat in einem interessanten Verfahren zur Erstellung von KI-Trainingsdatensätzen das erstinstanzliche Urteil erlassen (Hintergründe aus Klägersicht u.a. hier und hier). Die Beklagtenvertreterin hat sich bereits dazu geäußert und sieht darin

einen wichtigen Meilenstein für die Forschung im Bereich der generativen Künstlichen Intelligenz dar, da es die die legale Nutzung von urheberrechtlich geschützten Bildern für Trainingsdatensätze wie „LAION 5B“ bestätigt.

Im Kern ging es in diesem Gerichtsverfahren um die Ausnahme für Text- und Data-Mining (kurz „TDM“) in Art 2 Z 2, Art 3, 4 und 7 DSM-RL, welche die im Rahmen des KI-Trainings vorgenommenen Vervielfältigungen unter bestimmten Voraussetzungen gestatten soll. Die TDM-Ausnahme wurde in Deutschland u.a. in § 60d UrhG (Text und Data Mining für Zwecke der wissenschaftlichen Forschung) umgesetzt, in Österreich mit § 42h UrhG.

Ohne Urheberrechtsexperte zu sein, stellt sich mir die Frage, wie weit diese Ausnahme reicht, also was von wissenschaftlicher Forschung (in Österreich: “wissenschaftliche oder künstlerische Forschung”) umfasst ist - eine Frage, die sich übrigens auch unter der DSGVO stellt, siehe hierzu unlängst die deutsche Datenschutzkonferenz zum Begriff der “wissenschaftlichen Forschungszwecke”. Besonders wichtig - und mE nicht abschließend geklärt - ist dabei die (spätere) Überführung in die kommerzielle Verwertung, woran der ursprüngliche Urheber wohl kaum mitpartizipieren wird …

Was lernt man daraus? Wenn man das Scraping auf dem eigenen Webauftritt untersagen möchte, ist die Verwendung einer (maschinenlesbaren) “robots.txt” und am besten auch ein schriftlicher Nutzungsvorbehalt (siehe hier bei Heise im Impressum) erforderlich, mehr dazu (samt Anleitung) u.a. hier und (paywalled) bei Heise (die Artikel-Links sind frei abrufbar) - zwar kein perfekter Schutz, aber immerhin …