Die von den Medien erwartete Flut von DSGVO-Bußgeldern ist wohl nie eingetreten – aber vier Jahre nach dem Inkrafttreten der DSGVO nimmt die Durchsetzung zu. Von Luxemburgs 746-Millionen-Euro-Geldbuße gegen Amazon bis zu Irlands 225-Millionen-Euro-WhatsApp-Klage war 2021-2022 ein Rekordjahr für DSGVO-Strafen. In dieser Sitzung werden wir prüfen, was wir aus den jüngsten Trends bei der DSGVO-Durchsetzung lernen können.

 

Transkription  – 

Robert Bateman:

Hallo, vielen Dank, dass Sie sich uns wieder hier bei PrivSec Focus, GDPR Four Years On, angeschlossen haben. Wir hatten bisher einen großartigen Tag, einige wirklich großartige Interaktionen mit dem Publikum, also macht bitte weiter so. Ich werde jetzt direkt zu unserer nächsten Sitzung übergehen. GDPR Four Years on: Überprüfung der wichtigsten Durchsetzungsentscheidungen. Daher wurde die DSGVO sehr stark als eine Verordnung mit einer sehr starken Reihe von Sanktionen und Bußgeldern aufgebauscht, die den Datenschutzbehörden zur Verfügung stehen. Unser Panel wird einen Blick darauf werfen, welche davon wirklich Wirkung gezeigt haben. Und unser Gastgeber für diese Sitzung ist Peter Molduano, Leiter für Informationsmanagement und Governance beim Stadtrat von Leeds. Zu dir Peter.

Peter Molduano:

Vielen Dank für die Einführung, Robert, und willkommen an alle Teilnehmer dieses Aufrufs. Und gerade als ich mich darauf vorbereitete, dachte ich ein wenig nach, mein Gott, was habe ich vor genau vier Jahren gemacht? Und ich dachte, nun, eigentlich, wo hätte ich mir gewünscht, ich wäre? Und eigentlich, viel wichtiger, mit wem hätte ich mir gewünscht, dass ich hätte reden können? Ich sage Ihnen, ich hätte definitiv davon profitiert, die Anleitung und die Erkenntnisse der vier Anwälte, die wir bei diesem Anruf haben, so zu haben, wie sie uns durch die 78 Artikel der DSGVO führen könnten, um uns die Relevanz zu geben, um uns eine zu geben Vorstellung von den wichtigsten Punkten. Ich wünschte, ich hätte vielleicht vier Jahre in die Zukunft reisen und einige der Präzedenzfälle betrachten können, die damals aufgetreten sind, damit Sie tatsächlich aus einer Perspektive herausfinden können, was sinnvoll und relevant ist, basierend auf dem, was tatsächlich ist als Strafen, als Verwarnungen usw. ausgegeben.

Und zum Glück haben wir bei diesem Anruf die Einsichten so großer juristischer Köpfe. Sie werden also in der Lage sein, die Vorhänge zurückzuziehen, über die Schlagzeilen hinauszugehen und uns einige nützliche Einblicke zu geben. Und an diesem Punkt möchte ich Sie tatsächlich bitten, Sie beim eigentlichen Anruf, vielleicht den Hut von, nun, von Devil’s Advocates aufzusetzen und sich frei zu fühlen, irgendwelche Fragen zu stellen, nachdem unsere juristischen Gedanken ihre durchlaufen haben Perspektiven und durch ihre Präsentationen, damit Sie daraus mitnehmen können, was ich mir davon erhoffe, nämlich wie man die Compliance-Haltung, die Datenschutzrelevanz und die Arbeit, die ich gerade mache, anpasst.

So verblüfft ich auch bin, ich möchte auch sehr kritisch sein und auch so viel wie möglich daraus lernen, denn es kommt nicht oft vor, dass Sie die Gelegenheit haben, brillante Einblicke von den hervorragenden juristischen Köpfen zu erhalten, die wir zu diesem Thema haben Präsentation. Wir gehen durch Mr. Rhodes und dann Ms. Rzaca, Ms. Kagan, und wir werden mit Professor M enden, und ich werde ihn für diese Show einfach als Professor M belassen. Mr. Rhodes, zu Ihnen herüber.

Steven Marc Rhodes:

Vielen Dank dafür Peter. Ich hoffe, ihr könnt mich alle hören. Ich konzentriere mich in dieser Sitzung wirklich auf die Bußgelder gegen Google und Facebook, die von der CNIL in Frankreich verhängt wurden, und ich lebe in Großbritannien, warum sollte ich mir Sorgen um die französischen Aufsichtsbehörden machen? Warum sollten Sie sich Sorgen um die französischen Aufsichtsbehörden machen? Das werde ich mir heute anschauen. Ich werde mir die Fakten der Facebook-Bußgeldfälle ansehen, einige der rechtlichen Fragen untersuchen, den besonderen Status der ePrivacy- oder PECR-Regs, wie sie früher bekannt waren, betrachten und schließlich herausfinden, was es wirklich bedeutet Sie als Datenverantwortlicher, wie sich dies auf Sie auswirken wird, welche Art von Dingen Sie in Ihre Vereinbarungen aufnehmen sollten und Risiken, die Sie abschließen sollten.

Die tatsächlichen Fakten des Falls waren also ziemlich unauffällig, denke ich, können wir wahrscheinlich sagen. Jeder weiß, dass Cookies abgelegt werden, wenn Sie eine Website besuchen, und jeder kennt den Cookie-Hinweis, mit dem Sie diese Cookies kontrollieren können sollten. Die Feststellung sowohl bei Google als auch bei Facebook, oder Meta, wie sie jetzt sind, war im Wesentlichen, dass dies nicht befolgt wurde. Nicht unbedingt erforderliche Cookies, Marketing-Cookies, wurden automatisch abgelegt, also ohne die aktive Zustimmung der betroffenen Person, die die DSGVO erfordert. Cookie-Banner waren unwirksam. Es war nicht wirklich wichtig, worauf Sie geklickt haben, Sie würden trotzdem eine ganze Ladung Cookies auf sich fallen lassen. Und Cookie lehnt ab, wenn Sie sie aktiviert haben, nicht, also haben Sie den Hebel gezogen und nichts ist passiert. Es war ein ziemlich offensichtlicher Verstoß und die Geldbuße wurde von der französischen Datenregulierungsbehörde gegen sie erhoben.

Nun, Facebook und Meta haben Berufung eingelegt. Sie sagten: „Wir werden von der irischen Datenregulierungsbehörde regiert. Der One-Stop-Shop-Mechanismus im Rahmen der DSGVO zeigt, dass die irische Regulierungsbehörde dies berücksichtigen muss, und dies ist nicht Sache der CNIL.“ Und die Reaktion, die, wie ich annehme, wirklich neben einem anderen Fall kam, der letztes Jahr entschieden wurde, ein belgischer Fall gegen die belgische Datenschutzbehörde. Ich werde darauf kurz eingehen, weil wir uns mit diesem Thema des grenzüberschreitenden Austauschs befassen. Und in diesem Fall erreichte es den Europäischen Gerichtshof, und der Europäische Gerichtshof trat ein wenig von der sehr harten Darstellung zurück, dass es nur eine Anlaufstelle gibt, die Facebook und Meta in ihrem eigenen Fall vorgebracht haben. Sie sagten, dass der leitende Vorgesetzte oder die leitende Behörde immer noch der Chef ist, aber es gab einige Ausnahmen.

Da war Artikel 56 Absatz 2, das waren Angelegenheiten, die ausschließlich das eigene Hoheitsgebiet betrafen, auf die sie sich aber wirklich nur dann berufen konnten, wenn sie ein Gespräch mit der federführenden Aufsichtsbehörde geführt hatten und die federführende Aufsichtsbehörde nicht tätig geworden war. Wenn wir uns also zum Beispiel den Facebook-Fall ansehen und wir diese Regeln im belgischen Fall angewendet hätten, wäre es die Verantwortung der CNIL gewesen, sich an die irischen Behörden zu wenden, um ihnen klar zu machen, dass dies der Fall war eine Angelegenheit, die nur französische Bürger betrifft, sich, wenn Sie so wollen, über die Probleme zwischen diesen Stellen verständigen und dann von der irischen Regulierungsbehörde erfahren, dass sie nicht handeln würden. Und nur in diesem Stadium würden sie in der Lage sein, voranzukommen.

Der Europäische Gerichtshof hat in diesem Fall auch gesagt, dass es ein Dringlichkeitsverfahren gibt, und sie haben sich mit ein paar anderen Fragen befasst, die leicht besorgniserregend sind, nehme ich an, als Informationsanfragen an eine Regulierungsbehörde gingen und die Regulierungsbehörde ihnen nicht nachgekommen war, oder wenn die Angelegenheit an den Europäischen Datenschutzausschuss verwiesen wurde. One-Stop-Shop schien also ziemlich robust zu sein, wenn Sie zum Europäischen Gerichtshof gehen. Warum wird diese umfassende Entscheidung, warum wird sie in irgendeiner Weise durch die französische Entscheidung kompromittiert? Ich habe die französische Entscheidung beschrieben, dass die Aktion der CNIL in dieser Hinsicht global denken, lokal handeln ist.

In ihrer Erklärung im Januar 2022, als diese Bußgelder bestätigt wurden, gibt es also ein paar kleine interessante Aussagen. Und die erste ist von der CNIL, die über ihre eigene Durchsetzungspraxis spricht. Darin heißt es: „Diese beiden Entscheidungen sind Teil der globalen Compliance-Strategie, die von der CNIL in den letzten zwei Jahren mit französischen und ausländischen Akteuren initiiert wurde, die Websites mit vielen Besuchen veröffentlichen und Praktiken anwenden, die gegen die Gesetzgebung zu Cookies verstoßen.“ Sie sagen also: “Wir suchen außerhalb Frankreichs, wir suchen international, wir kooperieren mit anderen Gremien, aber das betrifft die Franzosen.” Der Ansatz der CNIL ist also, ja, die DSGVO regelt Daten im Allgemeinen und sie regelt die Verteilung der Regulierung in ganz Europa, und es gibt einen One-Stop-Shop-Mechanismus, sagten sie. Aber die PECR, die damalige ePrivacy-Verordnung, sie handeln speziell und sie handeln besonders in Frankreich. Dies ist ein Verstoß gegen französisches Recht, der die französischen Kunden Vive la France betrifft.

Bei dieser Vorstellung, dass es sich hier um ein lokales Gesetz für Einheimische handelt, lohnt sich also auch ein Blick auf die französischen Justizbehörden. Daher gab der Conseil d’État, das letzte Gremium in Frankreich, das diese Entscheidungen trifft, eine Erklärung heraus, in der er sagte, der Staatsrat urteile, dass der Ausschluss von One-Stop-Shop-Mechanismen in Bezug auf Cookies ausreichend klar sei, sodass er sich nicht darauf beziehen müsse die Angelegenheit dem Gerichtshof der Europäischen Union zur Vorabentscheidung vorzulegen, wie von den Unternehmen gefordert. Die französischen Gerichte haben also gesagt: “Dies ist französisches Recht und es gibt kein Berufungsrecht.” Nun, dies ist eine mutige Entscheidung der CNIL, da Rechtsstreitigkeiten für sie Risiken bergen. Sie birgt politische Risiken und sie birgt Kostenrisiken. Wenn sich die CNIL zu diesem Schritt entschließt, nimmt sie ihn also nicht auf die leichte Schulter, sie geht finanzielle Risiken auf sich, die sie beispielsweise nicht durch eine Gewinnmarge abdecken kann. Es ist also eine ziemlich ehrgeizige Angriffslinie der CNIL. Warum sollte es uns stören? Nun, weil es um ePrivacy geht.

Und ich denke, in diesem letzten Abschnitt möchte ich mich auf das Internet der Dinge konzentrieren und darauf, wie wichtig das ist. Die ePrivacy-Vorschriften decken also das Internet der Dinge ab, und das kann eine ganze Reihe von Geräten sein, die Sie in Ihrem Büro haben. Sicherlich Laptops und Handys, aber es könnten auch tragbare Geräte für die Gebäudeinstandhaltung und digitale Preisauszeichnungspistolen sein. Und auf die ich mich in diesem letzten Abschnitt konzentrieren möchte, sind Fotokopierer, da die neuesten Fotokopierer eine beträchtliche Menge an Informationen sammeln können, einschließlich sehr sensibler Informationen, und sie können mit anderen Geräten in Ihrem Büro kommunizieren, es sei denn, Ihre Cloud-Einstellungen sind extrem restriktiv. Das bedeutet, dass Cookies oder das Äquivalent von Cookies, Skripten auf anderen Geräten, möglicherweise die Daten von betroffenen Personen sammeln können, ohne dass sie irgendeine Form von echter Zustimmung geben, und was daher insbesondere in Frankreich gegen die französische Datenschutzverordnung verstoßen würde , die sie selbst erlassen haben. Aber nach der französischen Entscheidung könnte dies in jedem Land gelten, das innerstaatliche Rechtsvorschriften im Zusammenhang mit Fragen der DSGVO eingeführt hat.

Was sollten Sie als Anwalt tun, um damit umzugehen? Ich denke, Sie müssen sehr genau auf die Vertragsformulierung achten, die Sie erhalten, wenn Sie neue Technologie kaufen. Wenn Sie sich zum Beispiel diese Fotokopierer ansehen würden, sollten Sie sicherstellen, dass die Cloud-Service-Anbieter vollständig End-to-End sind, dass Sie eine Zertifizierung haben, dass die Datenerfassungsfunktionen Ihrer Geräte auf restriktiven Einstellungen basieren. Und Sie möchten sicherstellen, dass Ihre Vertragssprache diese Einstellungen an den Vertrag angehängt und zum Vertragsbestandteil gemacht hat.

Ich habe kürzlich einen Vertrag über den Kauf neuer Fotokopierer in unseren Büros ausgehandelt. Die Lieferung war äußerst resistent gegen jegliche Form von spezifischen Formulierungen, wenn es um technische Spezifikationen ging, und sehr resistent gegen deren Aufnahme in den Vertrag. Mein Rat an Sie ist, hier eine klare Linie zu halten und sicherzustellen, dass diese Details festgeschrieben sind, denn wie wir gesehen haben, können die ePrivacy-Vorschriften nach den französischen Entscheidungen Sie immer noch belasten, auch wenn Sie damit vollkommen zufrieden sind Ihre Aufsichtsbehörde hat ihren Sitz in Irland oder anderswo und ist nicht in der Lage, sie durchzusetzen. Wir haben es jetzt mit Vorschriften mit direkter Wirkung zu tun, die Ihr Geschäft beeinträchtigen und Ihr digitales Risiko erheblich erhöhen können.

Peter Molduano:

Vielen Dank. Das ist wirklich sowohl umfassend, als auch wirklich sehr aufschlussreich. Als Programmmanager habe ich Ihnen einfach zugehört und dachte: Moment mal, muss ich das in einer separaten Datenschutz-Folgenabschätzung festhalten? Natürlich muss ich dies jedes Mal berücksichtigen, wenn ich mich an einen potenziellen Lieferanten wende, aber bei einer Whistle-Stop-Tour, die Sie uns gegeben haben, gibt es auch eine Art Top-3-Punkte, die ich in meine Kette aufnehmen könnte of command and go, ja, darauf müssen wir bei der Beschaffung achten?

Steven Marc Rhodes:

Ich würde sagen, bedenken Sie, dass die Beschaffung ohne Ihr Wissen erfolgt, sodass Sie oft als Software as a Service oder Platform as a Service bezeichnet werden.

Peter Molduano:

Das stimmt.

Steven Marc Rhodes:

Und Sie werden gebeten, eine DPIA darüber zu machen, und jeder versteht, dass es so läuft und diese Informationen und Anfragen vom IS kommen. Aber tatsächlich sind es Ihre Facility Manager, die die Produkte des Internets der Dinge an Ihren Arbeitsplatz importieren, also nicht die IS-Abteilung. Und in vielen Fällen importieren sie einen Dienst von einem Drittanbieter, der mit ihrer eigenen Technologie in Ihren Arbeitsplatz kommt. Und daher ist es nicht offensichtlich, dass Sie das Risiko nicht unbedingt mit einer DSFA bewertet haben, weil Sie denken, nun, wir haben keine Kontrolle darüber, wir kaufen diese Produkte nicht, wir verwenden sie nicht.

Aber Daten können dennoch abstrahiert werden, und wenn die Einstellungen und die Cloud-Service-Protokolle nicht sehr streng angewendet werden und Sie sie durchsetzen können und sie sich nicht ändern, gehen Sie dieses Risiko ein. Und wie gesagt, die Anbieter dieser Produkte haben kein Interesse daran, die Einstellungen ihrer Geräte streng zu kontrollieren, weil sie ihre eigene kommerzielle Freiheit haben und die Fähigkeiten dieser Geräte so weit wie möglich für ihre eigenen Zwecke ausschöpfen wollen. Hier geht es nicht darum, dass Menschen absichtlich Ärger machen, sondern einfach um den natürlichen Wunsch der Menschen, die von ihnen entwickelte Technologie kommerziell zu nutzen. Aber wenn es keine Beschränkungen gibt, können Sie nicht nur in Ihrem eigenen Gebiet, sondern auch in Büros in ganz Europa gegen Vorschriften verstoßen.

Peter Molduano:

Recht. Das ist sehr nützlich. Das ist definitiv ein Mitbringsel für mich, wo ich derzeit auch arbeite. Floor steht jedem in unserem Panel für Fragen offen, denn ich bin sicher, dass sie es von hier aus auch in andere Richtungen lenken könnten. Wenn wir jetzt zu diesem Punkt schweigen und Sie offensichtlich alles wie nötig beantwortet haben, vielen Dank, Herr Rhodes, und rüber zu Frau Rzaca, die uns eine etwas andere Perspektive aus einer etwas anderen Perspektive geben wird anderen Bereich, aber ich bin sicher, genauso wertvoll und aufschlussreich. Der Boden gehört Ihnen.

Magdalena Rzaca:

Vielen Dank Peter. Daher möchte ich mich auf eine der größten DSGVO-Bußgelder konzentrieren, die im August 2021 von der irischen Datenschutzbehörde verhängt wurde. WhatsApp wurden mehr als 225 Millionen Euro auferlegt, im Grunde weil nicht klar angegeben wurde, warum und wie Daten von WhatsApp verarbeitet werden . Und ich denke, es ist aus so vielen verschiedenen Gründen wichtig. Ich persönlich habe wirklich lange darauf gewartet, dass die irische Datenschutzbehörde ein Bußgeld verhängt. Es geschah im Dezember 2020, aber es war keine sehr bedeutende Menge, es waren nur 500.000, die Twitter auferlegt wurden, weil sie nicht über die Datenschutzverletzung informiert wurden. Wenn es um WhatsApp geht, geht es um eine wirklich riesige Menge Geld. Und ich denke auch, dass für viele Unternehmen der letzte Grund, sich um den Datenschutz zu kümmern, das Risiko einer Geldstrafe war. Und ich denke, wir können auch durch die Analyse verschiedener Datenschutzbehörden in verschiedenen Ländern klar erkennen, dass es in jedem Land wirklich sehr unterschiedliche Ansätze gibt. Also, das ist definitiv eines der größten und wichtigsten in Bezug auf die Menge.

Das andere, was ich erwähnen wollte, ist das Bußgeld der Hamburger Datenschutzbehörde, mehr als 35 Millionen Euro, im Grunde wegen der Verarbeitung zu vieler Daten von Mitarbeitern. Was Manager also in den einzelnen H&M-Läden in Hamburg taten, sammelten im Grunde genommen viele verschiedene Informationen über Mitarbeiter, die definitiv nicht benötigt werden, wie zum Beispiel religiöse Überzeugungen, ethnische Herkunft und so weiter. Dass es sich um eine sensible Datenkategorie handelt und darüber hinaus für das Arbeitsverhältnis nicht wirklich notwendig ist. Das ist also eine weitere wichtige Entscheidung, weil sie nur hervorhebt, dass sich Unternehmen meiner Meinung nach hauptsächlich auf diesen externen Datenschutz konzentrieren, dh wie wir unsere Kunden und Kunden darüber informieren, wie wir ihre Daten verarbeiten, aber auch dieser interne Aspekt der Einhaltung des Datenschutzes wichtig.

Und erst letzte Woche wurde Google von der Agencia Española de Protección de Datos in Spanien erneut mit einer Geldbuße belegt. Und im Grunde war der Grund für die Verhängung dieses Bußgelds, die Daten von Google an Dritte weiterzugeben und die Ausübung des Rechts auf Vergessenwerden nicht zu ermöglichen. Das bringt mich zu dem Punkt, dass die am 12. Mai herausgegebenen Leitlinien des Europäischen Datenschutzausschusses zur Harmonisierung der Berechnung von Bußgeldern dringend benötigt werden. Und bringt mich auch zu einem weiteren Punkt, dass es auf europäischer Ebene einen Vorschlag für eine Verordnung über künstliche Intelligenz gibt und die Grenze noch höher liegt, weil die KI-Verordnung Bußgelder von bis zu 30 Millionen Euro oder sogar 6 % des weltweiten Umsatzes vorschlägt. Also, und natürlich schlägt diese KI-Verordnung auch die Schaffung von KI-Behörden vor, etwas in Übereinstimmung mit den Datenschutzbehörden in jedem Land, also wird es auch sehr interessant sein zu sehen.

Peter Molduano:

Vielen Dank. Das ist wirklich aufschlussreich und eine großartige Zusammenfassung von allem, was dazu kommt. Also, mit meiner Art von Devil’s Advocate-Hut, werde ich einfach gehen, na und? Sobald diese Behörden … Die irische Datenschutzbehörde war nicht gerade sehr effizient darin, Bußgelder zu erwirken, und sie haben nur eine begrenzte Anzahl von Mitarbeitern, sodass sie nicht alle bestrafen können, insbesondere wenn sie ihre Ressourcen nach oben richten Spieler, also, ja, was würden Sie mir sagen, der bereit ist zu wetten, dass mein Unternehmen, meine Organisation nicht bestraft wird, und als Folge davon werde ich irgendwie bestraft ein höheres Risikoprofil für meine Organisation annehmen? Spielt es immer noch eine Rolle, dass es diese hohen Strafen gibt, auf die diese Datenschutzbehörden im Wesentlichen alle ihre Ressourcen konzentrieren?

Magdalena Rzaca:

Vielen Dank Peter. Ich denke also, dass das Lernen von jemand anderem eine sehr, meiner Meinung nach, sehr billige Art des Lernens ist. Und ich würde wirklich jeder Organisation empfehlen, selbst wenn sie eine Datenschutzerklärung hat, sie einfach regelmäßig zu überarbeiten, weil … Und auch eine Plausibilitätsprüfung durchführen lassen, weil diese meistens von Datenschutzexperten oder Anwälten geschrieben wurden, aber nur dazu Führen Sie eine Plausibilitätsprüfung durch und geben Sie sie jedem anderen in der Organisation und stellen Sie im Grunde die Frage: „Verstehen Sie das? Was können Sie daraus verstehen?“ Und natürlich gibt es, wie bei der irischen Datenschutzbehörde, viel Kritik, dass sie unterbesetzt ist und nicht über ein angemessenes Budget verfügt, um wirklich mit all den Untersuchungen beschäftigt zu sein. Und im Grunde war das Bußgeld auf WhatsApp das Ergebnis einer dreijährigen Untersuchung, und dennoch wird kritisiert, dass sich die Untersuchung nur auf sehr begrenzte Aspekte konzentriert habe und es noch viel mehr zu entdecken gäbe.

Aber ich denke, für globale Unternehmen mit wirklich sehr hohem Gesamtumsatz würde ich wirklich überlegen, ob Sie diese Art von Risiko wirklich akzeptieren wollen, weil Sie diese Art von Geld in Schulungen oder sogar in die Überarbeitung Ihres Datenschutzprogramms investieren können, und ich glauben, dass Sie viel mehr Wert erhalten werden, denn wenn wir über Datenschutz sprechen, sprechen wir am anderen Ende über Reputation und Vertrauen, was für jedes Unternehmen wirklich wichtig ist. Und ich denke, auch bei diesen Entscheidungen, die ich kommentiert habe, ist es wichtig, dass WhatsApp behauptet hat, oh, sie haben dieses Datenschutzprogramm, sie haben eine Datenschutzerklärung, aber es ist nur die Geldstrafe, die verhängt wurde, es hebt nur hervor, dass nur der Datenschutz eine Reise ist , kein Ziel. Diese ständige Überarbeitung zu haben, ist also wirklich ein Weg zu gehen.

Peter Molduano:

Stimmt, danke. Das ist wirklich wertschätzend. Nun, ich weiß es zu schätzen, sollte ich sagen. Wir hatten eine Frage von einem unserer Zuschauer und da Sie die größten Strafen da draußen verfolgen, war die Frage, was war die höchste Strafe, die gegen eine US-Organisation verhängt wurde? Ich meine, WhatsApp kommt mir in den Sinn, ich glaube, es gab auch etwas von Facebook und von Google, aber ich habe sie nicht explizit verfolgt, also rüber zu Ihnen.

Odia Kagan:

Für dich, mich?

Peter Molduano:

Sie könnten Frau Kagan sein, ja.

Odia Kagan:

Also, ich denke, was ich zu dieser Frage sagen wollte, ich denke, Sie haben Recht mit den Zahlen, aber ich denke, das Interessante ist, dass diese Entscheidungen, die Sie zitieren, sich auf lokale Aktivitäten, lokale Waffen beziehen , denke ich, der US-Anbieter, während wir von reiner grenzüberschreitender Durchsetzung noch nicht viel gesehen haben. Wie wir gesehen haben, gibt es eine niederländische Entscheidung über ein kanadisches Unternehmen, es waren ungefähr 500.000 Dollar, wegen Versäumnisses, einen Vertreter nach Artikel 27 zu ernennen. Es gibt eine Entscheidung in Italien im Zusammenhang mit der Gesichtserkennung, die ziemlich hoch war. Und ich weiß, dass Entscheidungen von Luxemburg anhängig sind, und ich weiß das, weil ich gelesen habe, dass NOYB mit Luxemburg in Kontakt steht, weil Luxemburg gesagt hat: „Was wollen Sie von uns? Wir können sie nicht durchsetzen, sie sind nicht dabei Europa.”

Diese Frage der grenzüberschreitenden Durchsetzung ist also offensichtlich eine, die bei in den USA ansässigen Organisationen häufig auftaucht, mit der Art der Aussage: „Wer kommt nach mir? Ich bin hier, ich habe keine Präsenz in der EU. Was willst du von mir?“ Und die Antwort darauf, denke ich, ist zweigeteilt. Ich denke, Nummer eins, und das sagen wir unseren Kunden seit vier Jahren, alles Gute zum Geburtstag, ist das seit vier Jahren, dass es nicht… Okay, nehmen wir an, die Aufsichtsbehörde verfolgt Sie nicht, richtig? Das sind sie nicht, okay? Sie sind nicht. Du bist in den USA, sie sind nicht hinter dir her. Aber wenn Sie in den USA sind, sind Sie oft B2B, Sie werden das Geschäft nicht bekommen, Sie werden nicht die Kunden bekommen. Und das sehen wir in den Fällen der Datenübertragung viel, oder? Ich werde sie in meinem Vortrag ein wenig erwähnen, Google Analytics und so.

Das Problem ist also, dass Ihre B2B-Kunden vorsichtig sein werden, wenn sie mit Ihnen Geschäfte machen. Und dann, und das, denke ich, ist der geschäftliche Aspekt meiner Meinung nach immer unmittelbarer als die potenzielle hypothetische regulatorische Durchsetzung. Und dann werden wir sehen, wie sich diese Fälle entwickeln, ich weiß es eigentlich nicht, und vielleicht weiß Marco, was Garante im Zusammenhang mit der grenzüberschreitenden Vollstreckung plant, weil wir gesehen haben, dass ein paar Urteile herausgekommen sind, aber ich weiß es nicht Ich weiß nicht, wo sie bei der tatsächlichen Durchsetzung gelandet sind, also wäre es interessant, dem zu folgen.

Peter Molduano:

Magda, möchtest du antworten? Tue es.

Magdalena Rzaca:

Was die Verhängung von Bußgeldern gegen in den USA ansässige Organisationen anbelangt, denke ich, dass die meisten von ihnen auch in Europa präsent sind und die meisten von ihnen im Grunde genommen ihren Hauptsitz in Irland haben. Und ich finde es interessant, dass ich denke, dass von allen Datenschutzbehörden die irische die am meisten kritisierte und am wenigsten besetzte ist und am meisten mit dem Budget zu kämpfen hat, also denke ich, dass ich wahrscheinlich erwarten würde, dass sich dies bald als irische Datenschutzbehörde ändern wird Auch die Behörden werden immer aktiver. Aber auch nur revidiert zum Beispiel die niederländische Datenschutzbehörde die Bußgelder, die verhängt wurden, es gibt keine so hohen Bußgelder. Die höchste Geldbuße, die bisher von der niederländischen Datenschutzbehörde verhängt wurde, betrug dreieinhalb Millionen Euro, und sie wurde von der niederländischen Steuerbehörde verhängt, was ebenfalls interessant ist, und im Grunde für die Erstellung einer schwarzen Liste von Betrügern, was ebenfalls interessant ist.

Und das bringt mich zu einem weiteren Punkt, an dem Sie sich immer zuerst fragen sollten, wann immer Sie personenbezogene Daten verarbeiten, muss ich diese personenbezogenen Daten wirklich verarbeiten? Und dann ist die zweite Frage, wenn ich verarbeiten muss, was ist die Rechtsgrundlage? Und nur um zu überprüfen, ob Sie eine Rechtsgrundlage haben.

Peter Molduano:

Gut. Danke, das weiß ich sehr zu schätzen. Und bevor wir zu Ms. Kagan und ihrer Präsentation übergehen, Steve hat tatsächlich, nun ja, freiwillig eine Antwort auf eine Frage zu Brave und eine Beschwerde herausgesucht, die es bei einer Kommission gegen 27 EU-Mitgliedstaaten eingereicht hat. Ich bin damit nicht vertraut, also zeig uns das Licht.

Steven Marc Rhodes:

Ich denke, es ist sehr schwierig, sich auf eine einzige Zahl festzulegen und zu sagen, das ist es, was ein guter Regler braucht. Wenn es in diesem Fall eine Grundlage für eine Art Best Practice gibt, wäre ich daran interessiert, sie zu sehen. Was ich sagen würde ist, dass man immer Geld in eine Regulierungsbehörde stecken kann und sie wird einfach mehr Dinge zu tun finden. Regulierungsbehörden müssen intelligent sein und über angemessene Ressourcen verfügen, und sie sollten über angemessene Ressourcen verfügen. Ich müsste die Details sehen. Was ich mir aber wahrscheinlich wünschen würde, wäre eine viel stärkere Spezialisierung innerhalb der einzelnen Aufsichtsbehörden in Europa, so dass sie, wenn sie für eine Angelegenheit ein Kompetenzzentrum in Italien, für eine andere ein Kompetenzzentrum in Belgien und noch ein weiteres in Österreich bilden können, und Ressourcen in Bezug auf die Forschung konzentrieren, indem sie lokale akademische und Forschungsbeiträge zu ihrem Spezialgebiet sponsern. Anstatt zu erwarten, dass sich jede Datenregulierungsbehörde auf jeden Tätigkeitsbereich konzentriert, wäre dies eine bessere Verwendung der Mittel. Es ist immer schwierig, genau zu wissen, wie viel Geld daher eine Regulierungsbehörde benötigt.

Aber was ich sagen würde, wie ich bereits sagte, der springende Punkt bei der CNIL ist, dass sie ein Risiko eingegangen ist, als sie die Sache vor den Conseil d’État, den französischen Staatsrat, gebracht hat. Eine sehr gute Möglichkeit, eine wirksame Regulierung sicherzustellen, besteht darin, diese Regulierungsbehörden von Rechtskosten zu entschädigen. Sie müssen ihnen also nicht unbedingt eine Vorabfinanzierung gewähren, aber wenn sie das Gefühl haben, dass sie einen Fall haben, den sie bekämpfen und gewinnen müssen, um die Regulierung wirksam zu machen, indem Sie der Regulierungsbehörde eine Kreditlinie gewähren, wenn Sie möchten, um diesen bestimmten Rechtsfall voranzubringen, ist ein guter Weg. Und um dies festzustellen, können Sie verschiedene Spezialisierungen bei verschiedenen Aufsichtsbehörden in verschiedenen Ländern haben, um dies zu tun. Es geht also nicht nur ums Geld, man muss auch schlau damit umgehen.

Peter Molduano:

Mir war nicht klar, dass eigentlich öffentliche Stellen innerhalb der, nun ja, insbesondere der Datenschutzbehörden entschädigt werden können. Danke, das ist sehr aufschlussreich, das weiß ich zu schätzen. Das wäre für mich fast wie eine Einsicht, dass wenn es einen Fall gibt und die Behörde öffentlich entschädigt wird, das höchste Priorität hat. Und jeder in dieser Sphäre sollte diese spezielle Domäne beobachten. Also, ich schätze, rüber zu Ms. Kagan, der Boden gehört Ihnen.

Odia Kagan:

Vielen Dank. Und vielen Dank an alle, die an dieser Geburtstagsfeier teilgenommen haben. Ich werde versuchen, es etwas festlicher zu gestalten. Was ist festlicher, als über Bußgelder zu sprechen? Offensichtlich. Ich nehme hier also an, wir haben über die wichtigsten Durchsetzungsentscheidungen gesprochen, und ich denke, ich nehme an, dass Durchsetzungsentscheidungen der DSGVO auch ohne eine große Euro-Zahl von Bedeutung sind. Und die zwei Punkte, die ich machen möchte. Erstens, ich denke, dass sogar die Entscheidungen, die keine hochkarätige Euro-Nummer sind, wirksam sind, und es gibt andere Dinge, es gibt andere Instrumente im Instrumentengürtel der Durchsetzung, die wirksam sind, und ich werde zeigen, warum. Und ich denke, die andere ist die Durchsetzung der DSGVO, eine der anderen Auswirkungen, die sie hat, ist eine Art Welleneffekt oder etwas, bei dem sie als Maßstab für die Einhaltung anderer Datenschutzbestimmungen und speziell anderer Gesetze dient. Wenn ich hier mit meinem amerikanischen Akzent bereits alle Akzente herunterstufte, werde ich darüber sprechen, wie sich das auf die USA auswirkt.

Der erste Punkt sind also diese nicht hohen Bußgeldentscheidungen und warum sie effektiv sind. Ich denke, ein klassisches Beispiel sind die Cookie-Sweeps, die wir gesehen haben, und wir haben gesehen, wie CNIL eine Reihe von Cookie-Sweeps durchgeführt hat, wir haben gesehen, dass die griechische Datenschutzbehörde gerade einen Bericht über den Cookie-Sweep herausgegeben hat, den sie 30 Jahre lang durchgeführt hat Firmen. CNIL war mehr, ich glaube, es war … Sie machen es in Tranchen, aber ich denke, es sind zu diesem Zeitpunkt 90. Auch NOYB, die Non-of-Your-Business, die Max-Schrems-NGO, macht ebenfalls einen Cookie-Sweep. Und in allen drei Fällen, so der Bericht, kam die Mehrheit der Unternehmen den Vorschriften nach, ohne dass weitere Verfahren eingeleitet werden mussten. Ich denke, die NOYB- und CMIL-Berichte waren 80 % und dann weitere Verfahren für die verbleibenden 20. Und dann sagte die griechische Datenschutzbehörde, dass 29 von 30 Unternehmen die Vorschriften einhielten, ohne dass weitere Schritte erforderlich waren.

Und ich denke, das ist interessant, weil ich denke, dass es eine Art vielleicht unbeabsichtigte Konsequenz gibt, wenn Unternehmen, die Bußgelder tolerieren können, weniger gestresst sind, die Vorschriften einzuhalten, während Unternehmen, die sich wirklich bemühen, eine unverhältnismäßige Belastung haben. Also, diese Situation, wo, hey, wenn du es wirklich versuchst und du kein schlechter Kerl bist und du einen Fehler gemacht hast und wir darauf hingewiesen haben und du hingegangen bist und es behoben hast, das ist eine Möglichkeit, ich denke, das ist wirklich wichtig , ich denke, das ist sehr sig… Ich meine, die Tatsache, dass aus, wenn wir nur Mathematik der zweiten Klasse machen, was wir Anwälte sind und wir nicht können, also 90 plus 30 plus was auch immer, das heißt, ich ziehe es an Ich weiß nicht, 150. Und wenn davon 130 konform sind, ist das ein großer Effekt, oder? Also ich denke, das ist eine Sache, die man im Hinterkopf behalten sollte.

Die zweite Sache ist, dass ich denke, dass Entscheidungen auch ohne eine hohe Geldstrafe getroffen wurden, aber es gab eine Entscheidung von IMY in Schweden und eine Entscheidung von Datatilsynet in Norwegen in Bezug auf Datenschutzhinweise. Ich denke also, dass wir in vielen Fällen alle EDPB-Leitlinien jagen und versuchen, Dinge zu bekommen, die unsere Praxis informieren, aber in manchen Situationen einige dieser Entscheidungen, richtig? Das Datatilsynet, ich bin ein großer Fan von Datatilsynet in Norwegen, und sie schreiben gute Entscheidungen. Und es ist sehr spezifisch, wie die Entscheidung zu MOI, ich spreche es wahrscheinlich falsch aus, aber es war sehr spezifisch, wie man eine Datenschutzerklärung verfasst oder nicht, dasselbe gilt für die schwedische Entscheidung zu Klarna.

Und das hat viele Dinge geklärt, die mir ehrlich gesagt nicht zu 100 % klar waren, dass ich bei der Beratung von Kunden Urteile fällen wollte, und gibt mir auch die Kraft, Kunden zu sagen, denn die Entscheidung im MOI, einer der Punkte, war, Sie können Mach keine Liste von Zwecken und eine Liste von Rechtsgrundlagen und hoffe das Beste, dass die Leute den Zusammenhang herausfinden können. Nein, du musst sie selbst anschließen. Ich habe das den Klienten die ganze Zeit gesagt, und da war nichts, nein … Ich sagte: „Nun, die Artikel-40-, Artikel-29-Arbeitsgruppe hat das vor sechs Jahren gesagt“, und die Klienten sagten: „Ja, okay, aber das ist optional.” Jetzt denke ich, dass diese Entscheidungen in dieser Hinsicht hilfreich sind.

Und das andere ist, dass es andere Mittel gibt, die verwendet werden. Wir haben dies beispielsweise in den Google Analytics-Fällen, DSB Österreich, EDSB, CNIL gesehen, diese Fälle waren nicht mit einer hohen Geldbuße verbunden, sondern mit einer einstweiligen Verfügung. Sie sagten: „Hey, beheben Sie Ihre Datenverarbeitung innerhalb von X-Zeiten oder Sie verstoßen gegen sie.“ Und das ist kein hohes Bußgeld, aber es ist super effektiv, weil Unternehmen die Daten mehr brauchen, als sie sich um das Bußgeld kümmern.

Und dann endlich die Entscheidung, wir haben das gesehen, die FTC hat das getan, und ich habe es in Europa nicht gesehen, über die Forderung nach Löschung von Algorithmen, aber die Entscheidung aus Großbritannien im Zusammenhang mit der Gesichtserkennung gerade jetzt Ich glaube, vor zwei Tagen, richtig, wurden die Daten gelöscht, die unrechtmäßig erworbenen Daten. Also das Heilmittel, richtig, das Löschen von Daten, die Sie verwendet haben, das Löschen von Daten, die Sie in Ihre Trainingsalgorithmen eingebunden haben, richtig? Das ist viel wichtiger als eine Geldstrafe, weil es sehr schwierig/unmöglich ist, und jetzt müssen Sie die Daten neu erstellen.

Ich denke, mein erster Punkt ist, dass es andere Dinge gibt als eine große Euro-Ticket-Strafe, und sie haben Konsequenzen. Und der zweite Punkt ist, dass die DSGVO nicht nur eine Sache der EU ist, abgesehen davon, dass Unternehmen offensichtlich grenzüberschreitend Geschäfte machen, aber auch ohne sie. In den USA haben wir also jetzt die neuen US-Datenschutzgesetze, von denen wir jetzt fünf haben, einige davon buchstäblich die Sprache der DSGVO kopieren und einfügen. Es gibt ein Copy-Paste von Artikel 7, die Definition der Zustimmung, es gibt andere Teile, wo buchstäblich … Automatisierte Verarbeitung, Profilerstellung, es gibt viel Sprache, Controller-Prozessor in einigen der Gesetze, wir verwenden tatsächlich diesen Begriff. Wir haben also DSGVO-Konzepte und -Standards, die verwendet werden, wir haben in der Präambel, in den Erläuterungen zum CPRA, dem neuen kalifornischen Gesetz, das im Januar in Kraft tritt, es gibt alle möglichen Erläuterungen zu: „So sehen sie aus Tun Sie es unter der DSGVO und dies war die DSGVO-Erfahrung.” Das ist also wichtig.

Und dann die CPPA, die neue kalifornische Aufsichtsbehörde, sowohl in Informationssitzungen, die sie in Vorbereitung auf die kommenden Vorschriften abhielt, als auch in Sitzungen mit Interessenvertretern, die zu den Vorschriften Stellung nehmen, sowie mit Kommentaren von Interessenvertretern, jeder, nicht jeder , aber eine Menge Anspielungen und Berufungen auf die DSGVO für, okay, hier ist, wie wir Profiling machen, hier ist automatisierte Verarbeitung, hier ist, was rechtliche oder andere signifikante Auswirkungen bedeutet, hier ist, wie Sie DPIAs machen. In der DSFA-Sitzung erklärte Gwendal Le Grand von der CNIL uns Amerikanern die DPIAs. Und so denke ich, dass dies der zweite Punkt ist, nämlich die Bedeutung der DSGVO für die vierjährige Durchsetzung der DSGVO, nicht nur für die Durchsetzung der DSGVO, sondern auch für die Festlegung eines Bezugsrahmens für andere Gesetze, insbesondere in den USA.

Peter Molduano:

Frau Kagan, vielen Dank. Diese beiden Schlüsselpunkte sind ein Imbiss von mir. Ich würde gerne mehr Fragen stellen, aber eigentlich müssen wir Professor M die Chance geben, alles für uns abzuschließen. Übrigens schätze ich Ihren amerikanischen Akzent, er tröstet mich. Weiter so bitte.

Prof. Avv. Marco Martorana:

Zunächst einmal muss ich mich entschuldigen, aber mein Englisch ist nicht so fließend, ich habe einen sehr starken italienischen Akzent, also muss ich mich dafür entschuldigen. Und ich möchte Ihnen für das GRC World Forum für die Gelegenheit danken, an solch einer interessanten und prestigeträchtigen Veranstaltung teilzunehmen. Und ich danke auch meiner Kollegin Roberta Savella, die mir geholfen hat, meine heutige Rede zu übersetzen. Ich möchte auch einige der Fragen beantworten, die hier in unmittelbarer Nähe sind. Ich glaube nicht, dass es sehr bald einige Änderungen am One-Stop-Mechanismus der EU geben wird.

Heute möchte ich meinen Beitrag zu diesem Gremium auf die Durchsetzungstätigkeit der italienischen Datenschutzbehörde konzentrieren, und das war eine sehr wichtige Entscheidung in den letzten vier Jahren. November 2021 war unsere DPA die zweite europäische DPA für die Anzahl der ausgestellten Sanktionen, 75 für insgesamt 84 Millionen Euro. Ich glaube also nicht, dass es in unserer DPA ein Budgetproblem gibt. Das Problem hier ist über den Mitarbeiter. Es gibt ein Gesetz, das die Anzahl der Mitarbeiter festlegt, die die DPA maximal haben darf, also ist das Problem hier vielleicht anders. Einer der Bereiche, in denen unsere Datenschutzbehörde bei der Durchsetzung der DSGVO viel strenger vorgegangen ist, ist das Telemarketing. Nachdem die DSGVO in Kraft getreten ist, gab es in Italien viele Sanktionen gegen große Unternehmen im Telekommunikationssektor wegen ihres unerbetenen Marketinganrufs an Verbraucher ohne vorherige Zustimmung und wegen anderer verschiedener Probleme in Bezug auf Datenspeicherung, Rechenschaftspflicht und Datenschutz durch Design, Transparenz und Fairness der Verarbeitung. Der Telekommunikationssektor ist einer, in dem unsere DPA die höchste Sanktion verhängt hat, mit entweder oder mehr als 27 Millionen Euro.

Als Antwort auf eine andere Frage, was wir mit der Firma machen, die unser Gesetz nicht respektieren will, können wir sehen, was mit der beliebten chinesischen App TikTok ist, denn in diesem Fall gab es eine unangemessene Nutzung durch Kinder unter dem für die Erstellung erforderlichen Mindestalter ein Konto in der App, und deshalb, weil sie die Verarbeitung von Kinderdaten durch den Entwickler der App ermöglichen. Im Jahr 2020 hat die italienische Datenschutzbehörde darum gebeten, eine spezielle Task Force im Europäischen Datenschutzausschuss einzurichten, um die von der App ausgehenden Datenschutzrisiken zu untersuchen.

Im Februar 2021 erließ die italienische Datenschutzbehörde nach dem Tod eines 10-Jährigen, der angeblich mit einer sozialen Herausforderung verbunden war, eine Einschränkung der Verarbeitung durch TikTok in Bezug auf die betroffene Person, deren Alter nicht mit voller Sicherheit festgestellt werden konnte, um die Einhaltung zu gewährleisten altersbedingte Anforderungen. Das Unternehmen versichert uns dann, dass es spezifische Maßnahmen ergriffen hätte, um der Aufforderung unserer DPA zur Altersüberprüfung nachzukommen, einschließlich eines Systems mit künstlicher Intelligenz, einer Informationskampagne für seine Benutzer, eines spezifischen Banners auf der Plattform mit Informationen zu Sicherheitsmaßnahmen und Datenschutzfunktionen , spezifische Informationen für Eltern und eine Datenschutzrichtlinie für Kinder.

Nach einigen Monaten, im Mai 2021, forderte die italienische Datenschutzbehörde TikTok auf, zusätzliche Maßnahmen zu ergreifen, um Kinder unter 13 Jahren von der Plattform und dem Unternehmen fernzuhalten, und sie veranlassten, innerhalb von 48 Stunden die gemeldeten Konten zu entfernen, die dem Benutzer gehören unter 13 Jahren nach den entsprechenden Kontrollen. TikTok hat seinen Sitz jetzt in Irland, in Dublin, wie die anderen großen Technologieunternehmen, die wir gerade gesagt haben.

Ebenfalls in Bezug auf den Bereich der neuen Technologien verhängte unsere Datenschutzbehörde im vergangenen Februar eine Geldstrafe von 20 Millionen gegen das US-Unternehmen Clearview, wie Odia zuvor sagte. Es verarbeitet biometrische Daten während Gesichtserkennungsaktivitäten unter Verwendung von Open-Source-Intelligence-Software und Web-Scraping-Techniken. Das Unternehmen zieht die öffentlich zugänglichen Bilder von Personen zurück und verarbeitet sie, um biometrische Informationen zu erhalten, die in der Datenbank des Unternehmens gespeichert wurden. Die Zuständigkeit der italienischen Datenschutzbehörde ergibt sich unter anderem aus der Verarbeitung von Daten italienischer Bürger durch Clearview. Unsere Behörde hat den [unverständlich 00:47:48] erlassen, der durch die Verletzung der folgenden DSGVO-Artikel verursacht wurde. Artikel 5 wegen Verstoßes gegen den Grundsatz der Rechtmäßigkeit und Fairness der Transparenz, den Grundsatz der Zweckbindung und den Grundsatz der Speicherbegrenzung. Artikel 60 wegen Verletzung der Rechtsgrundlage für die Verarbeitung der Daten. Artikel 9 wegen Verletzung der Verarbeitung biometrischer Daten. Artikel 12, 13, 14 und 15 wegen Verletzung der Rechte der betroffenen Personen. Artikel 27, weil Clearview AI keinen Vertreter auf dem europäischen Gebiet benannt hat.

Eine weitere wichtige Sanktion wurde von der italienischen Datenschutzbehörde gegen Foodinho von Glovo verhängt, was die Verwendung neuer Technologien und Algorithmen betrifft. Ich denke, dass ich nicht viel Zeit habe, deshalb möchte ich diese Rede schließen und sagen, dass es klar ist, dass das Ziel der Sanktionierung der DSGVO darin besteht, die effektive Umsetzung aller Anforderungen und den Datenschutz zu gewährleisten Verordnung. Daher ist die Durchsetzungsentscheidung für verschiedene Datenschutzbehörden eine der wichtigsten Triebkräfte, um Unternehmen dazu zu bringen, die Vorschriften einzuhalten. In Italien sind wir sehr stolz auf unsere DPA, die sie in den letzten vier Jahren erreicht hat, und wir sind zuversichtlich, dass diese Maßnahmen fortgesetzt werden und einen besseren Datenschutz in unserem Land und hoffentlich auch in ganz Europa garantieren werden.

Peter Molduano:

Nun, das sagt alles. Ich meine, die Erfolgsbilanz, die Strafen, die Vollständigkeit. Und ich denke auch, wenn ich mich auf die Verwendung der Gesichtserkennung freue, die sich natürlich an die künstliche Intelligenz anpasst, dass sie uns den Weg zeigt, den sie gehen wird. Danke, das war sowohl pauschal als auch umfassend und Hut ab vor der italienischen Behörde, das gibt es also. Wir hatten eine Reihe von Fragen, die durchkamen, aber ich denke, wahrscheinlich, weil wir ein bisschen … Nun, wir müssen das alles zusammenfassen, vielleicht können wir eine 360-Art von Eins-zu-Eins haben Antwort für alle in der gleichen Reihenfolge, in der wir begonnen haben. Beginnen Sie also mit Mr. Rhodes, fahren Sie mit Ms. Rzaca und Ms. Kagan fort und schließen Sie mit Professor M. Wenn es eine Sache gibt, die ich als ignoranter Programmmanager Ihnen mitnehmen könnte, was wäre das ? Vielleicht mit Blick auf die nächsten Aspekte der, nun ja, vielleicht der nächsten vier Jahre der DSGVO. Steve, du bist stumm geschaltet.

Steven Marc Rhodes:

Gut. Nun, um in meine Kristallkugel zu blicken.

Peter Molduano:

Bitte.

Steven Marc Rhodes:

Ich denke, dass die Regulierungsbehörden in ihrem Handeln konzentrierter sein müssen. Ich war besonders beeindruckt von ein paar Punkten, die Odia anführte. Einer über Cookie-Sweeps und wie Antworten nicht unbedingt zu Geldstrafen führen. Ich denke, das geht so weit, ich finde es zunächst sehr effektiv, aber natürlich, wenn Unternehmen wissen, dass sie nur bestraft werden, wenn sie erwischt werden, dann ist es sehr schwer, das generell durchzusetzen. Ich denke also, Sie brauchen eine Kombination dieser Art von Aktivität, vielleicht zum ersten Mal eine Verwarnung, kombiniert mit einigen Geldstrafen, um die anderen zu ermutigen. Und es kann gut sein, ich denke, das ist die Richtung, in die wir gehen werden. Vielleicht einige gezieltere hohe Geldstrafen für ungeheuerlichere Aktivitäten, kombiniert mit mehr Empfehlungen auf niedriger Ebene und um die Leute auf Linie zu bringen.

Peter Molduano:

Alles klar. Danke.

Steven Marc Rhodes:

Ja.

Peter Molduano:

Es tut mir Leid.

Steven Marc Rhodes:

Okay.

Peter Molduano:

Ich muss langsam zu Frau Rzaca übergehen. Fortfahren.

Magdalena Rzaca:

Vielen Dank, wir haben wirklich keine Zeit mehr. Ich denke also, dass aus meiner Sicht all die hohen und kleinen Bußgelder nur hervorheben, dass die Belastung als Datenverantwortlicher so neu ist, nachzuweisen, dass Sie rechenschaftspflichtig sind und zu zeigen, dass Sie die Maßnahmen des Datenschutzprogramms und andere Maßnahmen ergriffen haben Platz. Also, das ist meine Meinung. Versuchen Sie auch, sich wirklich auf Privacy by Design zu konzentrieren, und wählen Sie auch Anbieter aus. Und das ist meine Meinung, danke.

Peter Molduano:

Vielen Dank. Frau Kagan?

Odia Kagan:

Ich meine, meine Empfehlung wäre, sich auf die wichtigen Stücke zu konzentrieren, auf die Bedeutung und nicht auf die Substanz. Es wird viel darüber geredet, dass die DSGVO nicht effektiv oder formalistisch ist und so weiter. Ich denke, wenn Sie es ernst meinen mit echter Offenlegung und echter Wahl und echt, wie Magdalena sagte, Privacy by Design, dann müssen wir meiner Meinung nach dorthin gehen, müssen wir die Substanz über die Form bringen, und das wird Sie auch tragen für Ihr grenzüberschreitendes Geschäft, oder? Wenn Sie das richtig machen, bedeutet dies 80 % dessen, was Sie nach einem Datenschutzgesetz tun müssen. Ich denke, das ist eine gute Wette, auf die Sie sich konzentrieren sollten.

Peter Molduano:

Grosses Dankeschön. Und wir haben einige zusätzliche Fragen, auf die wir nicht das Vertrauen bekommen werden, sie zu beantworten. Vielleicht können wir das in den Kommentaren für die Teilnehmer tun. Allerdings kann Professor M das letzte Wort haben. Feuer weg, Sir.

Prof. Avv. Marco Martorana:

Ja. Sehr, sehr schnell, ich denke, dass wir in Europa nicht nur unsere Datenschutzbehörde sehen können, sondern wir müssen uns auch den Europäischen Datenschutzausschuss ansehen, denn nach ein paar Monaten oder ein paar Jahren kommen alle auch in unserem Land an, genau wie Kekse , also studieren und schauen Sie sich den Europäischen Datenschutzausschuss an, weil er auch für uns sehr wichtig ist.

Peter Molduano:

Genial, vielen Dank. Vielen Dank für die Ausbildung, ich bin sicher, dass ich nicht der einzige bin, der von dem, was ich gelernt habe, begeistert ist. Und hoffentlich bekommen wir die Chance, auf einige der Fragen zu antworten, zu denen wir nicht sprechen konnten, aber einige der Kommentare dazu könnten durchkommen. Das war’s.

Robert Bateman:

Vielen Dank an Peter und das Podium, eine großartige Diskussion. Ich denke, dass es so wichtig ist, sich daran zu erinnern, dass die bedeutendsten Durchsetzungsmaßnahmen möglicherweise nicht die größten Geldbußen in Euro sind, aber solche, die die Bearbeitung von Anordnungen einstellen, und Löschungsanordnungen manchmal größere Auswirkungen haben können. Ich schreibe gerade über die Clearview-Strafe, die auch Großbritannien gerade angekündigt hat. Es ist schwer zu sagen, wie dies trotz des sehr breiten territorialen Geltungsbereichs der DSGVO durchgesetzt werden soll. In Wirklichkeit, wenn es keinen EU-Vertreter gibt, würde mich interessieren, was -

PrivSec-Weltforum
Park Plaza Westminster Bridge, London: 7.-8. Juni 2022

Das PrivSec World Forum ist eine zweitägige, persönliche Veranstaltung, die im Rahmen der Reihe Digital Trust Europe   stattfindet.

Das PrivSec World Forum wird eine Reihe von Rednern aus weltbekannten Unternehmen und Branchen zusammenbringen – plus Vordenker und Experten, die Fallstudien und ihre Erfahrungen austauschen – damit Fachleute aus allen Bereichen zuhören, lernen und diskutieren können.

Die Veranstaltung ist ein Muss für Datenschutz-, Datenschutz- und Sicherheitsexperten, die daran interessiert sind, sich zu vernetzen, mehr zu erfahren, zu diskutieren und Fachwissen dazu hinzuzufügen, wie diese Sektoren miteinander verbunden sind. 

ERFAHREN SIE MEHR & REGISTRIEREN SIE SICH HEUTE!

PrivSec World Forum

Topics

GDPR Four Years On: Reviewing the Most Significant Enforcement Decisions