Newsletter Technologie & Kommunikation Ausgabe 5 - 2024

Liebe Leser:innen,

Die letzten Monate waren im Tech & Comms-Bereich thematisch sehr gut durchmischt. Es hat sich Neues getan in den Gesetzgebungsprozessen zur Einwilligungsverwaltung, zum Glasfaserausbau sowie zu technischen Ermittlungsmöglichkeiten der Bundespolizei. Indessen hat sich der EuGH mit dem Ermessen von Datenschutzbehörden in Bezug auf Abhilfemaßnahmen beschäftigt. Das VG Köln wiederum hat die Entscheidung der BNetzA zur 5G-Versteigerung von 2019 für rechtswidrig erklärt. 

Diese und weitere News finden Sie im Folgenden. Wir wünschen Ihnen viel Spaß beim Lesen. 

Nachrichten

VG Köln erklärt 5G-Versteigerung für rechtswidrig

Mit Urteil vom 26.8.2024 hat das Verwaltungsgericht Köln entschieden, dass die Entscheidung der Bundesnetzagentur über die Vergabe- und Auktionsregeln der 5G-Versteigerung aus 2019 rechtswidrig war (Az. 1 K 1281/22; 1 K 8531/18). Streitpunkt ist eine Regelung zur Mitnutzung der Frequenzen von Anbietern ohne eigene Netzinfrastruktur. Diese Anbieter hatten eine Verpflichtung von Zuteilungsinhabern auf Ermöglichung einer solchen Mitnutzung gefordert, die Entscheidung der BNetzA sieht jedoch lediglich eine Verhandlungspflicht vor. Sollte das Urteil rechtskräftig werden, muss die Bundesnetzagentur neu bescheiden. Der Volltext der Entscheidung wurde noch nicht veröffentlicht.

Weitere Informationen finden Sie auf heise.de und auf der Website des VG Köln.

EuGH zur Abwägung des berechtigten Interesses nach der DSGVO 

Der EuGH hat sich in einem Urteil v. 4.10.2024 zu den Voraussetzungen für ein überwiegendes berechtigtes Interesse i.S.d. Art. 6 Abs. 1 lit. f DSGVO geäußert (Az. C-621/22). Mit dem Urteil bestätigt der EuGH seine ständige Rechtsprechung, nach der Art. 6 Abs. 1 lit f DSGVO an drei Vorgaben geknüpft ist: (1.) Ein berechtigtes Interesse, (2.) die Erforderlichkeit der Verarbeitung zur Erreichung des Interesses und (3.) eine zugunsten des Verantwortlichen ausfallende Interessenabwägung. Das berechtigte Interesse sei hierbei weit zu verstehen, werde aber wiederum durch die Erforderlichkeit und die Interessenabwägung eingeschränkt. Zudem müsse das berechtigte Interesse zwar nicht gesetzlich bestimmt, jedoch rechtmäßig sein.

Volltext der Entscheidung bei Curia.

EuGH lässt DSGVO-Klagen durch Mitbewerber zu und legt Gesundheitsdaten weit aus

Der EuGH hat im „Lindenapotheke“-Urteil v. 4.10.2024 zwei wichtige Grundsatzfragen entschieden. Erstens: Klagen wegen eines Datenschutzverstoßes auch durch einen Mitbewerber sind zulässig, soweit das UWG dies vorsieht (Az. C-21/23). Im konkreten Fall hatte ein Apotheker gegen einen Mitbewerber geklagt und Unterlassung von dessen datenschutzwidriger Praxis nach § 3 i.V.m. § 8 UWG verlangt. Der EuGH bestätigte dies aus europarechtlicher Sicht. Zweitens: Der EuGH legt den Begriff der ‚Gesundheitsdaten‘ gem. Art. 4 Nr. 15 DSGVO weit aus. Daten, die sich auf Bestellungen apothekenpflichtiger, aber nicht verschreibungspflichtiger Arzneimittel beziehen, sind nach Ansicht des EuGH Gesundheitsdaten. Dies gilt auch dann, wenn nicht sicher ist, ob der Apothekenkunde die Bestellung für sich selbst vornimmt oder das Arzneimittel aktuell benötigt. Es könne nicht ausgeschlossen werden, dass entsprechende Personen identifiziert und Rückschlüsse auf ihren Gesundheitszustand gezogen werden können.

Die Entscheidung hat potenziell große Auswirkungen auf andere Daten, die sich im „Grenzbereich“ zu Gesundheitsdaten bewegen, z.B. aus Wearables (Fitness-Tracker, etc.) und Health-Apps auf Mobiltelefonen.

Weitere Informationen bei beck-aktuell.

Verordnung zu Cookie-Einwilligungen vorgelegt

Die Bundesregierung hat eine Verordnung zur Verwaltung von Cookie-Einwilligungen vorgelegt. Mit sog. „personal information management systems („PIMS“) sollen Internetnutzer ihre Einwilligungspräferenzen benutzerfreundlich verwalten können, als Alternative zu Einzelentscheidungen in Cookie-Bannern. Ziel ist es, das Vertrauen in solche Dienste durch ein Anerkennungsverfahren zu stärken. Die Verordnung sieht dazu insbesondere Vorschriften zur Nutzerfreundlichkeit und Wettbewerbskonformität vor.

Weitere Informationen finden Sie auf bundestag.de.

EU-Kommission erwägt Einführung neuer SCC

Die EU-Kommission hat eine Anhörung zur Einführung weiterer ‚Standard Contractual Clauses‘ (SCC) für Drittlandübermittlungen personenbezogener Daten gestartet. Die aktuell veröffentlichte und geltende Fassung der SCC ist nur für Varianten gedacht, in denen der Empfänger im Drittland nicht von der exterritorialen Wirkung der DSGVO erfasst wird. Nun erwägt die EU-Kommission eine weitere SCC-Fassung für Fälle, in denen die DSGVO auch für den Empfänger gilt. Die Anhörung soll im 4. Quartal 2024 durchgeführt werden.

Weitere Informationen auf der Webseite der Kommission.

EuGH: Was muss eine Datenschutzbehörde im Fall einer Beschwerde tun? 

Der EuGH hat mit Urteil vom 26.9.2024 entschieden, welche konkreten Pflichten eine Datenschutzbehörde gegenüber einer Person erfüllen muss, die gem. Art. 77 DSGVO eine Beschwerde eingereicht hat (Az. C-768/21). Laut dem EuGH muss eine Datenschutzbehörde auf Beschwerde eines Betroffenen nach Art. 77 DSGVO in geeigneter Weise reagieren, um einem festgestellten Datenschutzverstoß abzuhelfen. Das Ermessen über die Verhängung von Abhilfemaßnahmen sowie deren Auswahl liege aber bei der Behörde. Das Ermessen der Behörde ist aber dadurch begrenzt, dass sie Maßnahmen ergreifen muss, die geeignet, erforderlich oder verhältnismäßig sind, um einem festgestellten DSGVO-Verstoß abzuhelfen.

Weitere Informationen bei beck-aktuell. Eine Zusammenfassung der Aussagen des EuGH hat unser Partner Dr. Simon Assion auf LinkedIn veröffentlicht.

(Noch) amtierende EU-Kommission lehnt Änderung der DSGVO ab 

Die Europäische Kommission plant vorerst keine Überarbeitung der DSGVO. Ein Sprecher der Kommission erklärte, die EU-Exekutive beabsichtige keine Änderung der DSGVO vor dem nächsten Bericht, der für 2028 geplant ist. Stattdessen möchte sie sich auf die bessere Durchsetzung konzentrieren. Der jüngste Bericht über die Anwendung der DSGVO, der Ende Juli veröffentlicht wurde, wies auf Probleme in diesem Bereich hin. Derzeit läuft ein Gesetzgebungsverfahren für eine Verordnung zur besseren Durchsetzung der DSGVO. Die letzte Änderung hierzu wurde im April 2024 beschlossen.

Ob diese Auffassung sich so halten wird, ist indes noch offen. Die neue EU-Kommission wird derzeit erst noch gewählt. Ob die designierten Kandidat:innen bestätigt werden, ist in vielen Fällen noch offen.

Weitere Informationen auf euractiv.com.

BNetzA benennt erste Streitbeilegungsstelle nach dem DSA 

Die Bundesnetzagentur hat die Berliner User Rights GmbH als erste Streitbeilegungsstelle nach Art. 21 des Digital Services Act (DSA) benannt. Nutzer von Online-Plattformen können sich an die User Rights GmbH wegen unrichtiger Entscheidungen etwa über Account-Sperrungen oder Löschungen von Inhalten wenden, wenn das plattforminterne Beschwerdesystem keinen Erfolg verspricht. Daneben steht Nutzern der Rechtsweg gegen den Plattformbetreiber aber weiterhin offen.

Weitere Informationen finden Sie auf heise.de.

Gesetzesentwurf zur Beschleunigung des TK-Netzausbaus 

Die Bundesregierung hat am 23.7.2024 einen Gesetzesentwurf zur Förderung des Ausbaus von Mobilfunk- und Glasfasernetzen veröffentlicht. Hierfür sollen insbesondere die Informationsvorschriften aus §§ 78 ff. TKG angepasst und das „Gigabit-Grundbuch“ als Informationsportal im TKG verankert werden. Die BNetzA soll im Zuge dessen u.a. mit zusätzlichen Befugnissen zur Informationsbeschaffung und -weitergabe ausgestattet werden.

Weitere Informationen finden Sie auf der Website des BMDV.

BVerfG: BKA-Gesetz teilweise verfassungswidrig 

Das Bundesverfassungsgericht hat mit Urteil v. 1.10.2024 Teile des BKA-Gesetzes für verfassungswidrig erklärt (Az. 1 BvR 1160/19). Konkret geht es um eine Bestimmung über die Befugnis des BKA zur heimlichen Überwachung von Kontaktpersonen sowie die Vorschriften zu den Datenplattformen des BKA und des polizeilichen Informationsverbunds. Die Vorschriften wurden 2017 mit dem Gesetz zur Neustrukturierung des BKAG novelliert. Der Gesetzgeber hat nun bis zum 31. Juli 2025 Zeit, die Bestimmungen anzupassen. Solange gelten die bisherigen Bestimmungen unter Einschränkungen weiter.

Weitere Informationen finden Sie auf heise.de.

Gesetzesentwurf: Gesichtserkennung für die Bundespolizei 

Die Regierungsfraktionen des Bundestages haben am 10.9.2024 einen Gesetzesentwurf zur Anpassung des BKA-Gesetzes und des BPol-Gesetzes eingebracht. Das Bundeskriminalamt und die Bundespolizei sollen künftig in bestimmten Fällen biometrische Daten von Gesichtern und Stimmen mit öffentlich zugänglichen Daten zu Ermittlungszwecken abgleichen, zusammenführen und weiterverarbeiten dürfen. So sollen Personen leichter identifiziert und der Aufenthaltsort leichter bestimmt werden. Unter die öffentlich zugänglichen Daten fallen grundsätzlich auch solche aus sozialen Medien. Aktuell ist es der Polizei lediglich gestattet Informationen mit Daten aus der internen Polizeidatenbank abzugleichen.

Im Februar 2023 hatte das Bundesverfassungsgericht die Ermächtigungen der hessischen und hamburgischen Polizei zur Datenanalyse für verfassungswidrig erklärt, insbesondere weil sie keine angemessene Eingriffsschwelle vorsahen (Az. 1 BvR 1547/19; 2634/20).

Weitere Informationen finden Sie bei KriPoZ.

Bundesnetzagentur veröffentlicht Entscheidung zu Leerrohrentgelten

Die Bundesnetzagentur hat Entgelte für die Nutzung von Leerrohren der Telekom festgelegt (BK3-23-079). Dabei wurden die beantragten Entgelte gekürzt, um sowohl die Kosten der Telekom als auch die Auswirkungen auf deren Geschäftsplan zu berücksichtigen. Die Festsetzung soll den Glasfaserausbau fördern. Die Genehmigung ist zunächst auf zwei Jahre befristet, um die Marktentwicklung zu beobachten.

Weitere Informationen finden Sie auf der Website der BNetzA.

EuGH: Zugriff auf Mobiltelefone nicht nur bei schweren Straftaten 

Der EuGH hat mit Urteil v. 4.10.2024 entschieden, dass der Zugriff auf Daten, die auf einem Mobiltelefon gespeichert sind, nicht nur ausschließlich zur Aufklärung schwerer Straftaten zulässig ist (Az. C-548/21). Ein pauschaler Ausschluss dieser Ermittlungsmaßnahme bei milderen Straftaten würde die Ermittlungsbefugnisse der Polizei unverhältnismäßig einschränken. Gleichwohl betont der EuGH, dass der Zugriff auf in Endgeräten gespeicherten Daten einen schwerwiegenden Eingriff in die Grundrechte des Betroffenen darstelle und nur nach sorgfältiger Abwägung anzuwenden sei.

Weitere Informationen finden Sie auf heise.de.

Events

Understanding the nuances of the Digital Operational Resilience Act (DORA)  

The use of information and communication technology (ICT) in the financial services (FS) sector has become widespread. This ranges from the digitisation of payments driven by open banking reforms to the digital transformation of back-office and critical functions, as more FS regulated entities increasingly adopt cloud services.

As part of the broader Digital Finance Package introduced by the European Commission in September 2020, DORA aims to harmonise and strengthen the sector's defences against ICT incidents such as cyber-attacks and downtime disruption.

Join us for an in-depth exploration of DORA, where we will focus on how DORA impacts various financial entities and ICT third-party providers.

Wann?          30.10.2024, 8:30 – 9:30 Uhr oder 17:30 – 18:30 Uhr (MEZ)

Wo?              Online

Weitere Informationen und die Links zur Anmeldung finden Sie auf Twobirds.com.

Veröffentlichungen und Vorträge

Dr. Simon Assion: Überblicksaufsatz zum Datenschutz in der NJW

Unser Partner Dr. Simon Assion hat in NJW (2024, 2590) eine neue Ausgabe seines halbjährlichen Aufsatzes „Die Entwicklung des Datenschutzrechts“ veröffentlicht.

Dr. Martin Nebeling: Neuauflage des „Personal-Lexikon“

Unser Partner Dr. Martin Nebeling war als Autor an der Neuauflage des „Personal-Lexikon“ beteiligt. Das Standardwerk erscheint mittlerweile in der 42. Edition. Martin Nebeling bearbeitete u.a. die Begriffe „Zulage“ und „Vorschlagsrecht“ (in Bezug auf die Befassung des Betriebsrats mit bestimmten Themen).

Neu auf unserer Website

DORA-Vertragskonformität: Auswirkungen der finalen RTS Untervergabe auf bestehende und zukünftige IKT-Vereinbarungen 

Am 17. und 26. Juli 2024 haben die Europäischen Aufsichtsbehörden (EBA, EIOPA und ESMA) den zweiten Teil der finalen Entwürfe der Technischen Regulierungsstandards (engl. Regulatory Technical Standards, „RTS“) zum Digital Operational Resilience Act (Verordnung (EU) 2022/2554, „DORA“) veröffentlicht.

In diesem Beitrag werden wir uns gezielt auf eine dieser RTS konzentrieren – den finalen Entwurf der RTS „zur Spezifizierung von Elementen bei der Untervergabe von kritischen oder wichtigen Funktionen“ („RTS Untervergabe“), veröffentlicht am 26. Juli 2024 und basierend auf Artikel 30(5) DORA.

Weiterlesen

Finalised Online Safety Code to be adopted and applied in Ireland from Autumn 2024 

Ireland recently introduced a statutory online safety regime for the first time with a landmark piece of legislation, the Online Safety and Media Regulation Act 2022, which amends the Broadcasting Act 2009 (the “OSMRA”).

Weiterlesen

China Cybersecurity and Data Protection - Monthly Update - September 2024 Issue 

This newsletter summarises the latest developments in cybersecurity and data protection in China with a focus on the legislative, enforcement and industry developments in this area. In August 2024, China continued its efforts in the fields of data security, data flow, and digital transformation, aiming to enhance overall levels through strengthened management and international cooperation, ensuring personal information security, promoting orderly data flow, and efficient utilisation of data.

Weiterlesen

EU tech law files for the new Commission’s mandate: what’s hot? 

The new European Commission, chaired by re-elected president Ursula von der Leyen, will have a big pile of tech law files on its desk. In the so-called briefing book, dating from January 2024, the Commission’s services are proposing that ‘the Commission should focus on ensuring the achievement of Digital Decade’s objectives and targets and a full implementation of these new regulatory tools and assessing the impact of their enforcement. With the objective of reducing regulatory burden and uncertainty, the Commission should commit itself for the mid-term to carry out an analysis of the digital rulebook, in alignment with the legal obligations for review in the different legislative instruments and without jeopardising the existing European Digital Rulebook.

Weiterlesen

Guide to the EU AI Act 

One of the most significant pieces of legislation to be adopted by the outgoing EU mandate, the Artificial Intelligence Act (AI Act) was finally published in the Official Journal and is due to come into force on 1 August 2024 and will become applicable in a phased manner from between six and 36 months thereafter, with most provisions applying after 24 months.

As the world’s most comprehensive legislative framework for AI developers, deployers and importers, the new Regulation seeks to guarantee that AI systems placed on the European Union internal market are secure, uphold current laws regarding fundamental rights and adhere to EU values.

Weiterlesen

How to prepare for the European Artificial Intelligence Act: A 12-commandments guide for Manufacturers of Automated and Autonomous Vehicles and In-Vehicle Software Suppliers 

The European Union’s Artificial Intelligence (“AI”) Act came into force on 1 August 2024 and will become applicable in a phased manner from between 6 and 36 months thereafter, with most provisions applying after 24 months. It aims to ensure that AI developed and used in the EU is transparent, secure and accountable with safeguards to protect people's fundamental rights.

Weiterlesen

Challenges to the development of new data centres in Germany 

Finding of suitable locations for the development of new data centres in or around the metropolitan areas of Germany is becoming increasingly challenging for data centre developers, due to two main reasons: a shortage of available electrical energy and hurdles in obtaining relevant permits.

Weiterlesen

Neu auf unserem YouTube-Kanal

Bird & Bird Podcast: Women in Tech – At the forefront of innovation: Andrea Wu, Urban-Air Port 

Anschauen