Das Datenschutzjahr 2023: die wichtigsten Ereignisse

Rückblich Datenschutz 2023

Das Datenschutzjahr 2023: die wichtigsten Ereignisse

Das Datenschutzjahr 2023 überraschte mit einigen relevanten Entscheidungen und Ereignissen. Auch hohe Bußgelder wegen DSGVO-Verstößen wurden fällig.

Zum Jahreswechsel ging ChatGPT an den Start. So sehr er unser Leben erleichtert, so gefährlich kann der Chatbot sein. Denn ob „echt“ oder „Fake“ lässt sich mittlerweile kaum mehr beurteilen. In Sachen Datenschutz macht ChatGTP immer wieder (Negativ-)Schlagzeilen. Denn ChatGPT greift auf Texte und (Bild-)Informationen aus dem Internet zu und nutzt zusätzlich die Benutzereingaben von mittlerweile mehr als 100 Millionen Privatpersonen und Unternehmen, um immer besser zu werden. Dabei ist nicht auszuschließen, dass auch persönliche und sensible Informationen verarbeitet werden. So passiert in Italien, wo aufgrund einer Datenpanne persönliche Daten in fremden Chats landete. Eine DSGVO-konforme Möglichkeit, ChatGPT zu nutzen, gibt es aktuell nicht, daher ist die Nutzung aus Datenschutzsicht kritisch zu sehen.

EuGH: Auskunftsrecht umfasst einzelne Empfänger

Im Januar entschied der EuGH, dass Betroffene ein Recht darauf haben, zu erfahren, wer konkret ihre personenbezogenen Daten erhält. Heißt, auch Dritte, soweit möglich, müssen dem Betroffenen genannt werden. Das Nennen der Empfängerkategorie, etwa „Versicherung“ oder „Krankenkasse“, reicht nicht mehr aus.

Im konkreten Fall wandte sich der spätere Kläger an die Österreichische Post. Er wollte gemäß Art. 15 DSGVO Auskunft , welche personenbezogenen Daten über ihn gespeichert sind. Zudem wollte er wissen, wer die Empfänger seiner Daten waren. Die Österreichische Post teilte zunächst mit, dass sie die Daten als Herausgeberin von Telefonbüchern Geschäftskunden für Marketingzwecken anbiete. Später ergänzten sie, dass die Daten zu den werbetreibenden Unternehmen im Versandhandel und stationären Handel, IT-Unternehmen, Adressverlage und Vereine wie Spenderorganisationen, Nichtregierungsorganisationen oder politische Parteien weitergegeben wurden.

Datentransfer dank EU-U.S. Data Privacy Framework

Im Juli trat der neue Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework in Kraft, der Nachfolger des „Privacy Shield“. Nun können personenbezogene Daten aus der EU wieder an die USA übermittelt werden. Dies gilt nur, wenn die Organisation, an welche die Daten fließen, auch unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen.

Einführung des Hinweisgeberschutzgesetzes

Mit dem Hinweisgeberschutzgesetz wurde die EU-Whistleblower-Richtlinie in deutsches Recht überführt. Es schützt Hinweisgeber, die Verstöße in ihren Unternehmen melden möchten. Außerdem schreibt es in Unternehmen mit mehr als 50 Mitarbeitenden einheitliche Standards für die Meldung von Missständen und den Schutz der Hinweisgeber vor.

Datenschutz 2023: 6-stellige Bußgelder wegen DSGVO-Verstößen

Auch im Jahr 2023 wurden zahlreiche Bußgelder aufgrund von Datenschutzverstößen verhängt. Die DKB Bank beispielsweise musste 300.000 Euro Strafe zahlen, weil die Kreditkartenanträge durch ein automatisiertes Verfahren bearbeitete und ablehnte. Über ein Online-Formular fragte die Bank verschiedene Daten über Einkommen, Beruf und Personalien des Antragstellers ab. Der Bank-Algorithmus lehnte den Antrag eines Kunden mit guter Bonität ohne besondere Begründung ab. Die Bank weigerte sich, dem Kunden nachvollziehbare Gründe über die Ablehnung zu erteilen. Wegen mangelnder Transparenz über eine automatisierte Einzelentscheidung verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) das Bußgeld.

Große Wellen schlug auch das nicht-datenschutzkonforme Vorgehen der Humboldt Forum Service GmbH. Wie ZDF und SPIEGEL aufdeckten, wurden in einer Übersicht alle Mitarbeitenden in der Probezeit aufgelistet. Der Vorgesetzte sollte deren Weiterbeschäftigung als »kritisch« oder »sehr kritisch« einstufen. In der Liste standen auch Angaben zu persönlichen Äußerungen, gesundheitlichen Belangen, Interesse an der Gründung eines Betriebsrates und die Teilnahme an einer Psychotherapie.

Close