Datenschutz gegen digitalen Autoritarismus
Die Datenmacht des Staates stellt für Bürger*innen und ihre Rechte im heutigen Zeitalter eine zentrale Gefahr dar. Unabhängige Datenschutzbehörden sollen Missbräuche dieser Datenmacht verhindern. Autoritäre Kräfte, die nach den anstehenden Landtagswahlen auch in deutschen Landesregierungen beteiligt sein könnten, könnten allerdings versuchen, diese Kontrolle zu neutralisieren.
Continue reading >>
In the Shadows
Recent investigations by Netzpolitik and the German public service broadcaster Bayerischer Rundfunk into the company Datarade have shed light on a part of the digital economy that has so far operated mainly in the background: data trading. The key players in this sector are data brokers, whose business model is to trade in (non-)personal data. Data trading is a multi-billion-dollar component of the global digital economy and not a new phenomenon. This article outlines the legal implications of data trading in the context of the GDPR, the DSA and the AI Act.
Continue reading >>
Schattenwirtschaft Datenhandel
Die Recherchen von Netzpolitik und dem Bayerischen Rundfunk zum Unternehmen Datarade haben einen Teil der Digitalwirtschaft in den Fokus gerückt, der bisher vor allem im Hintergrund operierte: Datenhandel. Zentrale Akteure sind Datenhändler:innen (sog. Data Brokers), deren Geschäftsmodell darin besteht mit (nicht-)/personenbezogenen Daten zu handeln. Ausgehend von dem was über die Praktiken vieler Data Broker bekannt ist, erscheint vieles was heute offenbar gängige Praxis ist schlicht rechtswidrig. Der Beitrag umreißt die rechtlichen Implikationen von Datenhandel im Hinblick auf die DSGVO, den DSA und die KI-VO.
Continue reading >>
Proximity, Amicable Settlements, and how the EU Guts GDPR Enforcement
The EU legislator is working on a new Regulation to modify the GDPR. Unfortunately, the reform features deeply troubling elements. It seeks to mainstream a controversial Irish approach to dealing with data protection complaints, namely “amicable settlements” between individuals and digital corporations. Further, and rather problematically, the reform foreshadows the end of the principle of proximity. Gutting – or at least eroding – the proximity principle should ring alarm bells for anyone concerned with effective judicial remedies in the EU.
Continue reading >>
Und (fast) täglich grüßt das Murmeltier
Anfang Mai 2024 deckte eine Investigativrecherche des Bayerischen Rundfunks auf, dass das Bundeskriminalamt offenbar schon im Jahr 2019 heimlich rund fünf Millionen Gesichtsbilder aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer-Institut für Graphische Datenverarbeitung zur Verfügung gestellt hat. Immer wieder verkennen die Sicherheitsbehörden die Reichweite der Datenschutz(grund-)rechte oder ignorieren geflissentlich Vorgaben der Rechtsprechung des Bundesverfassungsgerichts.
Continue reading >>The Unbearable Lightness of Interfering with the Right to Privacy
The European Court of Justice has once again ruled on national data retention laws. In La Quadrature du Net II, the full court allowed the indiscriminate retention of IP addresses for the purpose of fighting copyright infringement. It seems that the Court is slowly but surely abandoning its role as guardian of the right to privacy, as it now allows member states to collect vast amounts of data on their citizens in order to solve even the most minor of crimes.
Continue reading >>
Enforcement of the Digital Markets Act
Since March 2024, the undertakings Alphabet/Google, Amazon, Apple, Byte-Dance/TikTok, Meta, and Microsoft must comply with the obligations of the Digital Markets Act (DMA). Within the first month after the 6-months implementation period has ended, the European Commission opened investigations against Alphabet/Google, Apple, and Meta for non-compliance with the obligations in the DMA. All proceedings can be traced back to related competition law cases. However, only two proceedings follow the same reasoning as their competition law role models, while the case against Meta reveals that the approaches under the DMA can and will deviate significantly to those under competition law and data protection law.
Continue reading >>
Daniela Klette und die Frucht der vergifteten Maschine
Am 26. Februar 2024 hat die Polizei die mutmaßliche Terroristin Daniela Klette festgenommen. PimEyes, eine KI-basierte, biometrische Gesichtserkennungssoftware, hatte Klette im Netz gefunden. Dieser Beitrag plädiert aus verfassungs- und unionsrechtlicher Perspektive dafür, dass der Einsatz von offensichtlich rechtswidriger Software wie PimEyes im Strafprozess ein Beweisverwertungsverbot begründet, das auch eine Fernwirkung entfaltet.
Continue reading >>Datenschutzgrundverordnung gilt für parlamentarische Untersuchungsausschüsse
Der EuGH hat sich in einer lange erwarteten Entscheidung mit der Frage auseinandergesetzt, ob die DSGVO auf parlamentarische Untersuchungsausschüsse anwendbar ist. In der Rs C-33/22 (Österreichische Datenschutzbehörde) hat der EuGH am 16. Jänner 2024 in einem österreichischen Fall entschieden, dass die DSGVO auf parlamentarische Untersuchungsausschüsse grundsätzlich anwendbar ist. Dadurch haben Untersuchungsausschüsse in Ausübung ihrer parlamentarischen Kontrollrechte auch das Recht auf Datenschutz von Auskunftspersonen zu achten. Dies betrifft essenzielle verfassungsrechtliche Fragen zum Umgang mit diesem zentralen demokratischen Kontrollinstrument bzw Kontrollrechten allgemein und dem Verhältnis zum Datenschutz und geht weit über den Ausgangssachverhalt hinaus. Die österreichische Judikatur und Praxis, wonach die Gesetzgebung von der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) ausgenommen ist, wird nach diesem EuGH-Urteil nicht aufrechterhalten werden können.
Continue reading >>