Newsletter Technologie & Kommunikation Ausgabe 3 - 2024

Liebe Leser:innen,

Im vergangenen Monat hat sich insbesondere im Telekommunikationsbereich einiges getan. Der EuGH hat drei Entscheidungen zum Zugriff auf Telekommunikationsdaten veröffentlicht. Zuvor hat die deutsche Bundesregierung verkündet, eine Nachfolgelösung für die Vorratsdatenspeicherung gefunden zu haben. Außerdem sollen mit dem Gigabit-Infrastructure-Act Grundlagen für einen beschleunigten Glasfaserausbau in der EU geschaffen werden. Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen!

Nachrichten

Neuer Referentenentwurf zur Umsetzung der Nis2-Richtlinie

Das Bundesinnenministerium (BMI) hat am 7.5.2024 einen neuen Referentenentwurf für ein Gesetz zur Umsetzung der NIS2-Richtlinie veröffentlicht. Die Umsetzung soll im Wesentlichen durch Novellierung des BSI-Gesetzes erfolgen. Neu ist insbesondere der ganzheitliche Regulierungsansatz der NIS2-Richtlinie, die nicht nur auf kritische Infrastrukturen Anwendung findet, sondern auf alle natürlichen oder juristischen Personen, die als „wichtige“ oder „besonders wichtige Einrichtungen“ einzustufen sind (§ 28 BSIG-E). Das erfasst neben Anbietern besonderer Dienste, wie etwa öffentlich zugänglicher Telekommunikationsdienste, alle natürlichen oder juristischen Personen, die (i) in einem der in Anlage 1 BSIG-E aufgeführten Sektoren tätig sind und (ii) je nach Sektor bestimmte Größen- und Umsatzschwellen überschreiten. Nach Abschluss der nun eingeleiteten Anhörung von Verbänden und Bundesländern ist mit einem Regierungsentwurf des Gesetzes zu rechnen.

Weitere Informationen finden Sie auf heise.de.

DSA-Umsetzungsgesetz in Kraft getreten

Am 14.5.2024 ist das Digitale-Dienste-Gesetz zur Umsetzung des DSA in Kraft getreten. Das Gesetz bestimmt die Bundesnetzagentur als zuständige Stelle für die Überwachung und Durchsetzung der Pflichten aus dem DSA in Deutschland. Des Weiteren ersetzt es das Telemediengesetz, sowie den Begriff „Telemedien“, welcher nun durch „digitale Dienste“ ersetzt wird. Dies hat auch zur Folge, dass das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) fortan Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) heißt.

Weitere Informationen finden Sie auf heise.de.

EuGH: Vorratsdatenspeicherung von IP-Adressen grundsätzlich zulässig

Der EuGH hat am 30.4.2024 ein Urteil zur Zulässigkeit der Vorratsdatenspeicherung von zugeordneten IP-Adressen zum Zwecke der Bekämpfung von Urheberrechtsverstößen veröffentlicht (Az. C-470/21). Demnach sei eine allgemeine und unterschiedslose Vorratsspeicherung von IP-Adressen zulässig, wenn ausgeschlossen ist, dass diese mit anderen Verkehrs- oder Standortdaten kombiniert werden kann. Im Vergleich zur allgemeinen Vorratsdatenspeicherung von Telekommunikationsdaten sei die Speicherung von IP-Adressen weniger eingriffsintensiv, da IP-Adressen unabhängig von einer bestimmten Kommunikation erzeugt werden und z.B. keine Auskunft über einen Kommunikationspartner geben. Voraussetzung sei jedoch, dass die verschiedenen Datenkategorien völlig separiert gespeichert und verarbeitet werden, dass die Zuordnung von IP-Adresse und Identität des Betroffenen nur unter Beachtung des Art. 15 ePrivacy-RL und der einschlägigen Grundrechte erfolge und dass die Speicherung und Verarbeitung von einer Behörde kontrolliert werde, die nicht den Zugang zu diesen Daten verlange.

Weitere Informationen finden sie auf heise.de.

Bundeskabinett einigt sich auf „Quick-Freeze“-Lösung 

Das Bundeskabinett hat sich Anfang April auf eine Einführung des „Quick-Freeze“-Verfahrens anstelle einer Vorratsdatenspeicherung geeinigt. Ein konkreter Gesetzesentwurf soll folgen, wurde bislang jedoch noch nicht veröffentlicht. Es bleibt abzuwarten, ob das kürzlich ergangene Urteil des EuGH zur Vorratsdatenspeicherung von IP-Adressen (Az. C-470/21) sich darauf auswirken wird.

Weitere Informationen finden Sie bei lto.de.

EuGH: Auslesen von internetbasierter Kommunikation ist Telekommunikationsüberwachung – Encrochat

Der EuGH hat mit Urteil v. 30.4.2024 entschieden, dass das Abschöpfen von Daten aus internetbasierten Kommunikationsdiensten mittels einer Trojaner-Software eine „Überwachung des Telekommunikationsverkehrs“ ist (Az. C‑670/22). Zur Bekämpfung von Rauschgifthandel installierte die französische Polizei in den Jahren 2018/2019 heimlich eine Trojaner-Software auf „Encrochat“-Handys, um Zugriff auf deren verschlüsselte Kommunikation zu erhalten. Dabei wurden auch Daten von Geräten in Deutschland erhoben. Der EuGH hat entschieden, dass eine Infiltration von Endgeräten zur Abschöpfung von Verkehrs‑, Standort- und Kommunikationsdaten eines internetbasierten Kommunikationsdiensts eine Überwachung der Telekommunikation i.S.d. Richtlinie 2014/41/EU darstelle. Das hat zur Folge, dass wenn eine solche Maßnahme in einem EU-Drittstaat erfolgt, die dort zuständige Behörde über die Maßnahme in Kenntnis gesetzt werden muss. Damit soll auch gewährleistet werden, dass die inländische Behörde die Rechtmäßigkeit der Maßnahme auf nationaler Ebene prüfen kann. 

Weitere Informationen finden Sie auf tagesschau.de und heise.de.

EuGH: Abfrage von Verkehrs- und Standortdaten gestohlener Handys zulässig

Der EuGH hat am 30.4.2024 ein Urteil zu den Voraussetzungen der Abfrage von Verkehrs- und Standortdaten veröffentlicht (Az. C‑178/22). Die italienische Polizei verlangte auf Vorrat gespeicherte Verkehrs- und Standortdaten von gestohlenen Mobilfunkgeräten heraus, um die Diebe ebendieser Geräte ausfindig zu machen. Der EuGH entschied, dass die Abfrage von Verkehrs- und Standortdaten nach nationalem Recht zur Verfolgung von nach nationalem Recht „schweren Straftaten“ auch dann zulässig sein könne, wenn die Straftat im Höchstmaß mindestens mit Freiheitsstrafe von 3 Jahren bedroht ist, sofern das anordnende Gericht befugt sei, den Zugang zu verweigern, wenn es sich objektiv nicht um eine schwere Straftat handelt.

Weitere Informationen finden Sie auf der Webseite des EuGH.

EuGH: Datenschutzbehörden dürfen eigenständig Löschung anordnen

Am 14.3.2024 hat der EuGH entschieden, dass eine Datenschutzbehörde von Amts wegen die Löschung unrechtmäßig verarbeiteter personenbezogener Daten anordnen darf (Az. C-46/23). Die Verwaltung der Stadt Budapest erhob im Rahmen eines Corona-Hilfsprogramms Daten anspruchsberechtigter Personen. Die zuständige Datenschutzbehörde verlangte im Nachgang die Löschung der Daten der Personen, die von diesem Hilfsprogramm keinen Gebrauch gemacht haben. Nach Ansicht des EuGH kann die Datenschutzbehörde die Löschung dieser Daten auch dann verlangen, wenn die betroffenen Personen keinen Antrag auf Löschung gestellt haben.

Weitere Informationen finden Sie auf gdprhub.eu.

Gigabit Infrastructure Act im EU-Parlament verabschiedet

Das EU-Parlament hat am 23.4.2024 den Entwurf des Gigabit Infrastructure Act (GIA) angenommen. Er dient der Förderung des Ausbaus von Glasfasernetzen, indem er Mindeststandards für den Ausbau sowie Zugangs- und Transparenzpflichten definiert. Der GIA gilt im Wesentlichen nach 18 Monaten ab dem Zeitpunkt des Inkrafttretens.

Weitere Informationen finden Sie auf heise.de und euractiv.com.

Neuer Entwurf zur CSAM-Verordnung geleakt

Die belgische EU-Ratspräsidentschaft hat einen neuen Entwurf der CSAM-Verordnung v. 9. April 2024 vorgelegt. Diese Verordnung soll der Bekämpfung von Kindesmissbrauchsdarstellungen (CSAM) und Cybergrooming im Internet dienen. Dabei sollen nach dem neuen Entwurf Anbieter von Messenger- und Hostingdiensten, App-Stores, Internetdiensten und Online-Suchmaschinen zur Mitwirkung verpflichtet werden können.

Weitere Informationen finden Sie auf heise.de.

Prof. Dr. Louisa Specht-Riemenschneider wird neue BfDI

Am 16.5.2024 hat der Bundestag Prof. Dr. Louisa Specht-Riemenschneider zur neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) gewählt. Die Wahl erfolgte gemäß § 11 Abs. 1 BDSG auf Vorschlag der Bundesregierung. Für Specht-Riemenschneider votierten 476 Abgeordnete. Es gab 100 Nein-Stimmen, 70 Enthaltungen und eine ungültige Stimme. Sie wird ihr Amt nach der offiziellen Ernennung durch den Bundespräsidenten antreten.

EuGH: Verantwortliche haften für ihre unterstellten Personen

Der EuGH hat sich am 11.4.2024 in einem Urteil mit der Zurechnung von Verhalten unterstellter Personen und der Bemessung der Schadensersatzhöhe nach Art. 82 DSGVO auseinandergesetzt (Az. C-741/21). Zum einen entschied der EuGH, dass ein Verantwortlicher auch dann nach Art. 82 DSGVO für das Verhalten einer unterstellten Person haftet, wenn diese entgegen erteilter Weisungen gehandelt hat. Enthaften könne sich ein Verantwortlicher nur, wenn er nachweisen könne, dass es keinen Kausalzusammenhang zwischen der Pflichtverletzung und dem Schaden der betroffenen Person gibt. Außerdem entschied der EuGH, dass Art. 83 DSGVO bei der Bemessung der Schadensersatzhöhe nicht entsprechend anwendbar sei.

Weitere Informationen finden Sie auf beck.de.

EDSA veröffentlicht Stellungnahme zu „Consent or Pay“-Modellen

Der Europäische Datenschutzausschuss (EDSA) hat am 17.4.2024 eine Stellungnahme zu „Consent or Pay“-Modellen auf großen Online-Plattformen veröffentlicht. Diese Modelle, auch bekannt unter „Pay or OK“ oder „Pur-Modell“, geben dem Besucher einer Webseite die Möglichkeit, zwischen einer Webseitennutzung gegen Geld oder gegen Verwertung personenbezogener Daten zu wählen. Der EDSA geht in seiner Stellungnahme davon aus, dass ein „Consent or Pay“-Modell bei großen Onlineplattformen nicht zulässig sei, wenn die Zahlung eines Geldbetrags die einzige Alternative zur Verwertung personenbezogener Daten sei. Er empfiehlt daneben etwa die Schaltung nicht-personenbezogener Werbung als weitere Wahlmöglichkeit einzurichten.

Weitere Informationen finden Sie auf der Webseite des EDSA.

Events

Dark Patterns: Recent trends and legislative developments – what do they mean for your business? Webinar 

Since the regulation directly prohibiting dark patterns – the Digital Services Act – came into force in November 2022 (and has applied in full across the EU from 17 February 2024), regulatory authorities have come out strongly against such behaviour and will continue to be active in the months ahead.
Businesses using online platforms and other digital interfaces must be more careful not to use dark patterns to deceive or manipulate consumers. In this webinar, we will explore:

• The concept of dark patterns under the recent EU legislation, including the Digital Services Act.
• Recent trends in dark pattern enforcement in: Germany, Ireland, France, the Netherlands, Poland and the UK.

This will be followed by a Q&A session to ensure that we have covered all matters relevant to your business.

Wann?          21.05.2024, 17:00-18:30 

Wo?               Online

Weitere Informationen finden sie auf Twobirds.com.

Zur Anmeldung

IT Law Camp 2024 – Das Barcamp zu IT & Recht 

Wir laden Sie herzlich zum 13. IT LawCamp ein!

Nach einem erfolgreichen Neustart als Präsenzveranstaltung im letzten Jahr kommen wir auch 2024 in Frankfurt am Main zusammen, um direkt, kreativ und offen über aktuelle Themen des IT-Rechts zu sprechen. „Barcamp“, das heißt immer auch Kreativität, offener Austausch und Platz für spontane Ideen. Wir wollen in diesem Jahr deshalb auch wieder Raum für spontane Entwicklungen lassen: Das Programm wird erst zu Beginn des Tages in einem morgendlichen Kick-Off-Meeting mit allen Teilnehmenden finalisiert. Jede:r LawCamper:in hat die Möglichkeit, einen eigenen Vortrag oder Workshop anzubieten. Das kann vorab geplant und abgesprochen sein, aber auch ganz spontan vor Ort erfolgen. Das Publikum stimmt über die Themen ab, die von Interesse sind, und wir teilen dann entsprechende Räume und Zeitslots zu. 

Wann?          08.11.2024, 9:00-17:30

Wo?               Memox.World, Taunusanlage 9-10, 60329 Frankfurt a.M.

Weitere Informationen finden sie auf Twobirds.com.

Zur Anmeldung

Neu auf unserer Website

Update zur EU-Plattformrichtlinie 

Nach langem hin und her haben die seit Januar 2024 unter belgischem Ratsvorsitz geführten Verhandlungen doch noch zu einem Kompromiss geführt, der von den nationalen Arbeitsministern angenommen wurde. Der nächste Schritt ist die förmliche Annahme des Entwurfs durch den EU-Rat und anschließend seine Verkündung und Veröffentlichung im Amtsblatt. Nach der Veröffentlichung haben die Mitgliedstaaten zwei Jahre Zeit, um die Bestimmungen der Richtlinie in nationales Recht umzusetzen. In diesem Newsletter werden wir uns im Wesentlichen auf den ersten (am stärksten mediatisierten) Teil des Richtlinienentwurfs konzentrieren, den Status von Plattformbeschäftigten.

Weiterlesen

FTTH/FTTB: Wie steht es um die Finanzierung des Glasfaserausbaus in Deutschland? 

Um wettbewerbsfähig zu bleiben, braucht es in Deutschland eine zukunftsfähige Technologie wie Glasfaser, aber der flächendeckende Ausbau stellt weiterhin eine der großen Herausforderungen für Netzbetreiber in Deutschland dar. Die flächendeckende Versorgung mit hochleistungsfähigen Netzen ist eine Grundvoraussetzung einer erfolgreichen digitalen Transformation von Wirtschaft und Gesellschaft. Trotzdem belegt Deutschland beim flächendeckenden Glasfaserausbau im internationalen Vergleich weiterhin einen der hinteren Plätze. Aktuell strebt die Bundesregierung durch die Gigabitstrategie eine flächendeckende Versorgung mit Glasfaseranschlüssen bis 2030 an.

Weiterlesen

Missed opportunity: The first GenAI guidance from German data protection authorities 

On 6 May 2024, the German Data Protection Conference (“DSK”), the collective body of all 17 data protection authorities (“DPA’s”) in Germany, published its long-awaited guidance on GenAI and data protection. These guidelines are the first comprehensive recommendations by German DPA’s specifically for generative AI ("GenAI"), following earlier guidelines issued by the Bavarian and Baden-Württemberg state data protection authorities for their respective regions. 

Weiterlesen

Privacy Commissioner indicates imminent changes to enforcement focus in Australia  

Australian Privacy Commissioner Carly Kind has kicked off Privacy Awareness Week by signalling a shift in the regulator’s focus to facilitate more “outcome-based enforcement” in her keynote address at the IAPP Sydney KnowledgeNet event. 

Weiterlesen

Australia to fast-track some privacy & e-safety reforms to bolster individual rights and combat doxing 

On 1 May 2024, the Australian Government announced that some of the (agreed in-principle) proposed changes to the Privacy Act 1988 (Cth) (‘Privacy Act’) will be fast-tracked to be put to Parliament in August 2024. A brief summary of each of the proposals (as set out in the Privacy Act Review) is set out below.

Weiterlesen

The Rise of Generative AI in Gaming and Its Legal Challenges (Part 3) 

In the third part of the series we provide some insights into Consumer Protection Law, Advertising, and Data Protection - three partially overlapping key legal areas affected by the integration of GenAI into games.

Weiterlesen

The EDPB’s focus on GDPR data subject access rights in 2024 

The European Data Protection Board (“EDPB”) has chosen data subject access rights as its topic for “coordinated enforcement action” in 2024 and announced the launch of its activities on 28 February 2024.

Weiterlesen

China Cybersecurity and Data Protection: Monthly Update - April 2024 Issue 

This newsletter summarises the latest developments in cybersecurity and data protection in China with a focus on the legislative, enforcement and industry developments in this area.

Weiterlesen

Digital Identities in the UK 

Millions of transactions are conducted at a distance every day, and the use of digital identity verification technologies have emerged as a means of combatting the risk of fraud associated with these transactions and allowing people to access certain good and services by proving their age and identity. Here we examine the progress of digital identities in the UK to date and consider what regulatory milestones lie ahead.

Weiterlesen

Women in Tech: At the forefront of innovation – Key takeaways from Dr. Sonja Stuchtey, The Landbanking Group 

We are delighted to launch our new Women in Tech series, where we will hear interesting stories from inspirational people leading the charge at the forefront of innovation. In episode 4, we hear from Dr. Sonja Stuchtey, Co-Founder and Managing Director at impact-driven startup The Landbanking Group. Listen to the podcast here and read the key takeaways below. These themes encompass the core aspects discussed in the podcast, ranging from impact-driven entrepreneurship challenges to measurement methodologies and the broader context of diversity and inclusion in the tech industry.

Weiterlesen

Finnish Data Protection Ombudsman imposes penalty payment on major Finnish retailer 

On 6 March 2024, the Office of the Finnish Data Protection Ombudsman (“DPA”) imposed an administrative penalty payment of EUR 856.000 on Verkkokauppa.com Plc, a major Finnish retailer with a focus on e-commerce. The penalty comes in response to the retailer’s failure to define data retention times, i.e. the time for which it would retain customer account data. Additionally, the DPA found that the company’s practice of requiring the creation of a customer account to make online purchases was in breach of data protection rules.

Weiterlesen

Singapore Plans to Introduce New Digital Infrastructure Act 

Singapore’s highly digitalised economy and society places heavy reliance on digital infrastructure and services. A recent spate of cyber outages and incidents in the banking and healthcare sectors has caused disruptions in the delivery of digital services and negatively affected public confidence. The Taskforce was therefore formed on 4 January 2024 with the aim of maintaining public faith and assurance in digital infrastructure and services in Singapore, by proposing measures and guidelines to mitigate cybersecurity risks and enhance resiliency standards. 

Weiterlesen