Articles for tag: BKA, BKA-Gesetz, Bundeskriminalamt, Datenschutz, Datenschutzrecht, Gesichtserkennung, informationelle Selbstbestimmung, Informationssystem der Polizei, INPOL, Polizei

Und (fast) täglich grüßt das Murmeltier

Anfang Mai 2024 deckte eine Investigativrecherche des Bayerischen Rundfunks auf, dass das Bundeskriminalamt offenbar schon im Jahr 2019 heimlich rund fünf Millionen Gesichtsbilder aus dem zentralen polizeilichen Informationssystem INPOL-Z extrahiert und dem Fraunhofer-Institut für Graphische Datenverarbeitung zur Verfügung gestellt hat. Immer wieder verkennen die Sicherheitsbehörden die Reichweite der Datenschutz(grund-)rechte oder ignorieren geflissentlich Vorgaben der Rechtsprechung des Bundesverfassungsgerichts.

31. Mai 2024

BKA, BKA-Gesetz, Bundeskriminalamt, Datenschutz, Datenschutzrecht, Gesichtserkennung, informationelle Selbstbestimmung, Informationssystem der Polizei, INPOL, Polizei

The Unbearable Lightness of Interfering with the Right to Privacy

Marco Mauer

The European Court of Justice has once again ruled on national data retention laws. In La Quadrature du Net II, the full court allowed the indiscriminate retention of IP addresses for the purpose of fighting copyright infringement. It seems that the Court is slowly but surely abandoning its role as guardian of the right to privacy, as it now allows member states to collect vast amounts of data on their citizens in order to solve even the most minor of crimes.

28. Mai 2024

Datenschutz, Datenschutzrecht, EuGH, Quadratur du Net, Recht auf Privatsphäre, Sicherheit, Urheberrecht, Vorratsdatenspeicherung

„Mr. President, Does the TikTok ban conform with the Constitution?“

Urs Saxer

Der US-Kongress hat ein Verbot von TikTok beschlossen, dies im Rahmen von zwei Gesetzen, welche sich – aus Gründen der nationalen Sicherheit und des Datenschutzes – gegen von feindlichen ausländischen Staaten (Foreign Adversary Countries) beherrschten Unternehmungen richten. Damit soll es in den USA nunmehr zwei Standards bei Plattformregulierungen geben: Sehr liberale als Normalfall, und strenge in Zusammenhang mit sog. Foreign Adversary Countries.

21. Mai 2024

Datenschutz, Meinungsfreiheit, Nationale Sicherheit

Things That Are Different Are Not the Same

Lukas Martin Landerer

PimEyes ist zwar sicherheitsrechtlich bedenklich, stellt aber keine Form der Vorratsdatenspeicherung dar, wie es neulich auf dem Verfassungsblog hieß. Es handelt sich vielmehr um einen anlassbezogenen, strafprozessualen Zugriff auf private, unreguliert vorhandene Massendaten. Anhand der Rechtsprechung des Bundesverfassungsgerichts lässt sich allerdings schon jetzt in Grundzügen ableiten, welche Anforderungen der Gesetzgeber bei der noch zu schaffenden Ermächtigungsgrundlage für Software wie PimEyes wird beachten müssen.

3. Mai 2024

Datenschutz, PimEyes, Quick Freeze, Strafverfolgung, Vorratsdatenspeicherung, WebCrawler

GDPR Overreach?

Martin Nettesheim

After Meta introduced this model for its social networking services Facebook and Instagram in November 2023, several national data protection authorities called on the EDPB to clarify the compatibility of this model with the GDPR. Data protection law is to be used as a lever to prohibit media companies or online service providers from offering a service that is more data-minimalist than the traditional business model. Data protection authorities are therefore faced with the question of whether the GDPR should address "social justice" concerns.

15. April 2024

Datenschutz, DSGVO, EU

Enforcement of the Digital Markets Act

Daniel Zimmer

Since March 2024, the undertakings Alphabet/Google, Amazon, Apple, Byte-Dance/TikTok, Meta, and Microsoft must comply with the obligations of the Digital Markets Act (DMA). Within the first month after the 6-months implementation period has ended, the European Commission opened investigations against Alphabet/Google, Apple, and Meta for non-compliance with the obligations in the DMA. All proceedings can be traced back to related competition law cases. However, only two proceedings follow the same reasoning as their competition law role models, while the case against Meta reveals that the approaches under the DMA can and will deviate significantly to those under competition law and data protection law.

10. April 2024

Datenschutz, Digital Markets Act (DMA), Wettbewerbsrecht

Datenschutzgrundverordnung gilt für parlamentarische Untersuchungsausschüsse

Kevin Fredy Hinterberger

Der EuGH hat sich in einer lange erwarteten Entscheidung mit der Frage auseinandergesetzt, ob die DSGVO auf parlamentarische Untersuchungsausschüsse anwendbar ist. In der Rs C-33/22 (Österreichische Datenschutzbehörde) hat der EuGH am 16. Jänner 2024 in einem österreichischen Fall entschieden, dass die DSGVO auf parlamentarische Untersuchungsausschüsse grundsätzlich anwendbar ist. Dadurch haben Untersuchungsausschüsse in Ausübung ihrer parlamentarischen Kontrollrechte auch das Recht auf Datenschutz von Auskunftspersonen zu achten. Dies betrifft essenzielle verfassungsrechtliche Fragen zum Umgang mit diesem zentralen demokratischen Kontrollinstrument bzw Kontrollrechten allgemein und dem Verhältnis zum Datenschutz und geht weit über den Ausgangssachverhalt hinaus. Die österreichische Judikatur und Praxis, wonach die Gesetzgebung von der Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) ausgenommen ist, wird nach diesem EuGH-Urteil nicht aufrechterhalten werden können.

19. Januar 2024

Datenschutz, Untersuchungsausschuss

Trivialising Privacy through Tribunals in India

Niveditha Prasad

On 11th August 2023, India’s Digital Personal Data Protection Act, 2023 (‘DPDP Act’) has received Presidential assent. The Act’s passing is critical in light of increasing concerns about data security and surveillance in India, including allegations that the government has illegally been using spyware against activists. Moreover, the government and its agencies are major data fiduciaries, having access to various identification and biometric data that have in the past been breached on a large scale. Given this, it is vital that the DPDP Act is able to function effectively and independently against the government in cases of non-compliance. However, a novel provision bestowing appellate jurisdiction on a Tribunal that lacks both the necessary expertise and independence is likely to hinder this goal.

21. August 2023

Datenschutz, Indien, judicial independence, Privatsphäre

Rechtsgut Datenschutz?

Marco Blocher

Während materielle Schadensersatzansprüche für Datenschutzverletzungen in der Praxis eine untergeordnete Rolle zu spielen scheinen und verhältnismäßig einfach festzustellen und zu beziffern sind, bereitet die in Art. 82 DSGVO vorgesehene Ersatzfähigkeit immaterieller Schäden den Gerichten Kopfzerbrechen. Eine richtungsweise Entscheidung zu immateriellen Schadensersatzansprüchen für DSGVO-Verletzungen fällte der EuGH Anfang Mai 2023 in der Rechtssache C‑300/21. Es ist das erste Urteil aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art. 82 DSGVO. Nach wie vor interpretationsbedürftig bleibt jedoch, wie ein immaterieller Schaden nun konkret festzustellen und zu bemessen ist. Nach einer kurzen Zusammenfassung der Kernaussagen des EuGH befasst sich dieser Beitrag daher mit diesem praxisrelevanten Problem und möchte – insbesondere unter Berücksichtigung etablierter Instrumentarien der deutschen und österreichischen Rechtspraxis – Lösungswege für die mitgliedstaatlichen Gerichte aufzeigen.

21. Juli 2023

Datenschutz, DSGVO, EuGH

Competition law as a powerful tool for effective enforcement of the GDPR

Hannah Ruschemeier

It looks like a good week for data protection. On Tuesday, the Commission presented a new proposal for a Regulation on additional procedural rules for the GDPR, and a few hours later, the ECJ published its decision C-252/21 on Meta Platforms v Bundeskartellamt (Federal Cartel Office). While the Commission's proposal to improve enforcement in cross-border cases should probably be taken with a pinch of salt, the ECJ ruled on some things with remarkable clarity. The first reactions to the ruling were quite surprising; few had expected the ECJ to take such a clear stance against Meta's targeted advertising business model. It does however represent a consistent interpretation of the GDPR in the tradition and understanding of power-limiting data protection.

7. Juli 2023

consent, Datenschutz, DSGVO, EuGH, Facebook, Meta