Daten & Datenschutz: Gespräche und Trends aus dem 3. Quartal 2015

Das dritte Quartal ist typischerweise eines der ruhigeren und umfasst die letzten beiden Sommermonate und dann die unveränderliche Rückkehr zur Arbeit und zur Schule.

Aber in Bezug auf den Datenschutz war das dritte Quartal 2015 tatsächlich eines der aktivsten Quartale des Jahres mit Entwicklungen, die sich sowohl auf das Werbeökosystem im Allgemeinen als auch auf den Datenschutz im Besonderen auswirkten.

Hier ist ein Schlaglicht auf drei der wichtigsten Entwicklungen, die wir genau verfolgt haben.

FTC-Ereignisse

Die FTC hatte einen bedeutenden Sieg, als der Third Circuit sein Recht bekräftigte, die „Datensicherheit“ im langjährigen Fall der Agentur gegen Wyndham Hotels zu regulieren. Jetzt wurde der Fall zurückverwiesen, um zu sehen, ob Wyndham „angemessene“ Datensicherheitspraktiken eingeführt hat, nachdem er wiederholt von russischen Hackern verletzt wurde. Weitere Informationen finden Sie in meinem letzten Blog-Beitrag .

Die FTC setzte auch ihre Untersuchung von Unternehmen fort, die behaupten, Teil der US-EU- oder US-Schweiz-Safe-Harbor-Rahmenwerke für die Übermittlung personenbezogener Daten aus der EU in die USA zu sein. Die Behörde reichte Zustimmungserlasse gegen dreizehn Unternehmen ein, die entweder ihre Safe-Harbor-Zertifizierungen verfallen ließen oder ihren Safe-Harbor-Status insgesamt falsch darstellten.

Nach Maßnahmen im Januar und April dieses Jahres liegt die Gesamtzahl der von der FTC eingereichten Safe-Harbor-Fälle nun bei 27 (für insgesamt 39 Durchsetzungsmaßnahmen insgesamt). Wie viele Safe-Harbor-Fälle wurden von EU-Aufsichtsbehörden eingereicht? Null. Und dennoch haben EU-Regulierungsbehörden die Gültigkeit von Safe Harbor in Frage gestellt. Tatsächlich hat erst letzte Woche ein Generalanwalt des EU-Gerichtshofs die Safe-Harbor-Regelung für die Übermittlung personenbezogener Daten aus der EU in die USA für ungültig erklärt. Mehr dazu in unserer Safe-Harbor-Zusammenfassung später in diesem Update.

FCC taucht als weiterer Enforcer auf, den es zu beobachten gilt

Unter der Führung des Vorsitzenden Tom Wheeler hat sich die FCC zu einer dynamischen (und manchmal gefürchteten) Regulierungsbehörde entwickelt – eine Regulierungsbehörde, die in mehreren Fragen des Verbraucherschutzes und der Durchsetzung des Datenschutzes eindeutig mit der FTC konkurriert. Ein typisches Beispiel: Travis LeBlanc , Leiter der Strafverfolgung der FCC (ehemals Leiter der Verbraucherschutzabteilung der kalifornischen Staatsanwaltschaft), hat allein in diesem Jahr Geldstrafen in Höhe von fast 500 Millionen US-Dollar verhängt, darunter eine Geldstrafe von 100 Millionen US-Dollar gegen AT&T wegen falscher Darstellung der „unbegrenzten ” Natur seiner Datenpläne.

In den vergangenen Monaten haben wir auch Diskussionen über die Versuche der FCC zur Neuklassifizierung gesehen „Edge“-Anbieter als gemeinsame Netzbetreiber unterliegen den FCC-Regeln, einschließlich der Datenschutzbestimmungen der Agentur. Zu den Edge-Anbietern gehören Unternehmen, die Online-Dienste und -Inhalte anbieten, Benutzeraktivitäten verfolgen und personenbezogene Daten sammeln. Zu dieser Gruppe könnten vor allem die Unternehmen Apple, Google und Facebook gehören; Es könnte möglicherweise auch SAAS-basierte B2B-Anbieter wie TUNE umfassen. Dies sollte für ein paar interessante Monate sorgen, während die FCC versucht, ihre regulatorische Agenda bis in diesen Herbst voranzutreiben. Einige der vermeintlichen Edge-Provider sind bereits mit ihren Einwänden aktenkundig – werfen Sie einen Blick auf Googles FCC-Einreichung vom Februar 2015 , in der unter anderem argumentiert wird, dass Edge-Provider nicht als Common Carrier oder ISPs eingestuft werden sollten, weil sie sich genau wie Endbenutzer darauf verlassen auf ISPs für „Zusammenschaltung“.

Sicherer Hafen

Und zurück zu Safe Harbor – das nach wie vor die wichtigste Methode ist, mit der viele US-Unternehmen (einschließlich TUNE) personenbezogene Daten vorschriftsmäßig zwischen der EU und den USA übertragen.

In der vergangenen Woche hat der Generalanwalt des Europäischen Gerichtshofs („EuGH“) in einem Gutachten festgestellt, dass Safe Harbor bei der Übermittlung von Daten aus den USA in die EU „ungültig“ sei – vor allem wegen der „ massenhafte und willkürliche Überwachung und Abhörung“ personenbezogener Daten von EU-Bürgern. In der Stellungnahme wurde die Überwachung durch die EU und andere ausländische Regierungen nicht erwähnt – was Snowden ebenfalls enthüllt hat.

Als Antwort gab Tony Gardner (US-Botschafter bei der EU) diese Erklärung ab, in der er die Stellungnahme des Generalanwalts in Frage stellte und betonte:

„Die Vereinigten Staaten haben und haben sich nicht an der wahllosen Überwachung von irgendjemandem beteiligt, einschließlich gewöhnlicher europäischer Bürger.“

Gardner erinnerte den Generalanwalt und andere Safe-Harbor-Kritiker auch daran, dass PRISM tatsächlich gegen ausländische Geheimdienstziele gerichtet sei und Gegenstand irgendeiner Form von Verfahren sei. Er verwies auch auf jüngste positive Entwicklungen wie den Judicial Redress Act von 2015, der sich derzeit im Kongress befindet und EU-Bürgern ein privates Klagerecht einräumen würde, um Schadensersatz gegen US-Unternehmen vor US-Gerichten wegen Datenschutzverletzungen zu verlangen.

Es ist unklar, inwieweit die Stellungnahme des Generalanwalts den EuGH beeinflussen wird, der derzeit den Fall Schrems gegen Facebook prüft. Der österreichische Staatsbürger Max Schrems verklagt Facebook wegen seiner Datenschutzpraktiken – einschließlich des Vertrauens von Facebook auf Safe Harbor für die Übertragung von Daten aus der EU in die USA. Diese Entscheidung wird am 6. Oktober erwartet. In diesem Artikel erfahren Sie mehr über die Einzelheiten der Schlussanträge des Generalanwalts und ihre potenziellen Auswirkungen auf den Fall Schrems gegen Facebook .

Vorerst hat die Stellungnahme des Generalanwalts den laufenden Verhandlungen zwischen der EU und den USA über Safe Harbor eindeutig einen Strich durch die Rechnung gemacht (zu Beginn dieses Monats prognostizierten beide Parteien, dass eine Lösung unmittelbar bevorstehe). Am besorgniserregendsten ist die Begründung der Stellungnahme, dass einzelne EU-Datenschutzbehörden „befugt sind, die Aussetzung der Übermittlung von Daten anzuordnen, wenn eine nachgewiesene Verletzung oder die Gefahr einer Verletzung von Grundrechten vorliegt“. Dies bedeutet, dass einzelne EU-Datenschutzbehörden in bestimmten Fällen die Übertragung von Daten aus der EU in die USA blockieren können. Es ist unklar, wie sich das entwickeln wird; Vor der Stellungnahme gab es für ein einzelnes EU-Land keine Grundlage, einseitig aus einem im Wesentlichen internationalen Vertrag zwischen der EU und den USA auszusteigen.

Angesichts dieser Entwicklungen entwickelt sich das 4. Quartal zu einem besonders entscheidenden für den Schutz der Privatsphäre und der Daten auf beiden Seiten des Atlantiks. Die Entscheidung des EuGH zu Schrems gegen Facebook wird für den 6. Oktober erwartet (und damit das Schicksal von Safe Harbor). Es wird Anhörungen zu den Versuchen der FCC geben, Edge-Provider als „Common Carrier“ neu zu klassifizieren. Eine Abstimmung über den Cybersecurity Information Sharing Act (CISA) wird irgendwann im Oktober erwartet. Und am 16. November wird die FTC in Washington DC einen wichtigen Workshop zum Cross-Device-Tracking veranstalten .

Wir werden diese Entwicklungen genau beobachten und freuen uns darauf, sie in unserem Q4-Update und den nachfolgenden Newslettern zusammenzufassen und aufzuwärmen.

Gefällt Ihnen dieser Artikel? Melden Sie sich für unsere Blog-Digest-E-Mails an.