Seit der Gründung der Datenschutz-GrundverordnungDie EU-Gerichte haben weiterhin bahnbrechende Standards für den Datenschutz gesetzt. Am 1. August 2022 veröffentlichte der Gerichtshof der EU (EuGH) einen wichtigen Fall im Zusammenhang mit der litauischen Antikorruptionsgesetzgebung. Diese Entscheidung verschärft den Begriff „sensible Daten“, Dies wird wiederum direkte Auswirkungen auf die Werbebranche, Online-Plattformen und die Nutzung von Targeting zur Personalisierung haben.
Lassen Sie uns die Auswirkungen dieses Urteils und die umfassenderen Auswirkungen, die es auf das gesamte Datenschutz-Ökosystem haben wird, näher betrachten.
Artikel 9: Die besonderen Kategorien sensibler Daten
Die DSGVO legt den rechtlichen Rahmen für die Erhebung, Verwaltung und Weitergabe von Daten in der EU und für alle Unternehmen fest, die EU-Daten verarbeiten. Artikel 9 beschreibt das generelle Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten. Dies können alle Daten sein, die weit ausgelegt werden können, oder sensible Informationen, die sich aus der Erhebung ableiten lassen. Zu den Kategorien gehören Daten, die politische Präferenzen, ethnische Zugehörigkeit, religiöse Zugehörigkeit, sexuelle Orientierung oder den Sexuallebensstil offenbaren, genetische Daten und biometrische Daten, die eine Person eindeutig identifizieren.
Diese neue Regelung könnte weitreichende Auswirkungen darauf haben, was als „besondere Kategorien“ von Daten gilt und wie diese im Zusammenhang mit Online-Werbung, Dating-Apps, Essensvorlieben, Hobbys, Lebensstil und Standortdaten im Zusammenhang mit Orten wie Kliniken und Kirchen verwendet werden.
Können die Daten abgeleitet werden?
Im litauischen Fall prüfte der EuGH, ob Daten, die indirekt die sexuelle Orientierung einer Person offenbaren, unter den Schutz des Datenschutzes fallen sollten. Ein Teil des Falls befasste sich mit der Frage, ob die Veröffentlichung des Namens des Ehepartners unter die Kategorie besonderer Daten gemäß Artikel 9 fällt. Infolgedessen stellten die Gerichte in ihrem Urteil fest, dass personenbezogene Daten, die indirekt die sexuelle Orientierung einer Person offenbaren können, gemäß der DSGVO als besondere Kategorie besonderer Daten gelten.
Und in einem aktuellen TechCrunch-Artikel erklärte Dr. Lukasz Olejnik, Datenschutzforscher und -berater, gegenüber TechCrunch, dass das Urteil „die bislang wichtigste und eindeutigste Auslegung der DSGVO“ sei. Damit ist nun klar, dass abgeleitete Daten offiziell als personenbezogene Daten gelten.
Als Reaktion auf das Urteil erklärt Dr. Gabriela Zanfir-Fortuna, Vizepräsidentin für globalen Datenschutz beim Future of Privacy Forum: „Es bringt auch enorme Komplexitäten und praktische Schwierigkeiten mit sich, wenn es darum geht, Daten zu katalogisieren und verschiedene Compliance-Verfahren aufzubauen.“
Wenn diese Identitätskorrelationen so stark mit sensiblen Daten verwoben sind, müssen Unternehmen einen Schritt zurücktreten und beurteilen, inwiefern Kennungen möglicherweise ein Datenschutzrisiko darstellen.
Anzeigenverfolgung und -personalisierung
Dieses Urteil wird wahrscheinlich die digitale Werbelandschaft hinsichtlich der Erfassung von Verhaltensdaten einzelner Personen weiterentwickeln. Vor dem Urteil konsolidierten die meisten Unternehmen die Informationen zu einem Profil; abgeleitete Daten galten nicht als personenbezogene Daten.
Die Auswirkungen sind weitreichend, da die meisten Organisationen irgendeine Form von Ad-Tracking nutzen. Unternehmen würden verschiedene Schlussfolgerungen ziehen und dann basierend auf diesen Datensätzen die Personalisierung der Anzeigenausrichtung entwickeln. Diese Datensätze fielen nicht unter Artikel 9 und die DSGVO – nur Daten, die direkt von einer Person bereitgestellt wurden.
Beispiele für mögliche Schlussfolgerungen: Aus dem Liken der BBC-Seite kann auf liberale politische Ansichten geschlossen werden. Die Verknüpfung einer Fitnessstudio-Mitgliedschaft mit der Werbung für Gesundheits- und Wellnessprodukte oder der Kauf eines Kinderbetts oder Kinderwagens deuten darauf hin, dass die Person als werdende Eltern eingestuft wird. Ähnlich verhält es sich mit der Bewertung von T-Mobile-Handys auf YouTube, die wahrscheinlich gezielt mit Werbung für T-Mobile-Zubehör wie Hüllen, Kopfhörern, Displayschutzfolien usw. angezeigt wird.
Es ist klar, dass Schlussfolgerungen einfach durch Korrelation gezogen werden können, was die Komplexität der Datenermittlung, -klassifizierung und der gesamten Datenschutzstrategie erhöht.
Ausdrückliche Zustimmung ist noch notwendiger
Anstatt gezielter Werbung zu widersprechen, wie es seit Jahren üblich ist, wird das EuGH-Urteil angesichts der aus diesen Daten gewonnenen Erkenntnisse wahrscheinlich eine ausdrückliche Zustimmung für personalisierte Empfehlungen erfordern. Unternehmen müssen nachweisen, dass eine ausdrückliche Zustimmung eingeholt wurde, damit verhaltensbezogene Daten nicht in sensible Daten einfließen oder unüberwindbare Bußgelder drohen.
Wie sich Unternehmen im Einklang mit Artikel 9 weiterentwickeln können
Alle Branchen, die große Datenmengen verarbeiten, müssen aufmerksam werden. Dieses Urteil stellt strenge Anforderungen an die Rechtsgrundlage der Datenverarbeitung, die ausdrückliche Einwilligung und die Einsicht in den Datenbestand, um verwandte und korrelierte personenbezogene Daten zu finden.
Wo soll man anfangen? Mit BigID können Unternehmen:
- Automatisch finden., einordnen. und Inventar persönliche Informationen basierend auf Beziehung, Kontext und ML-Fähigkeiten
- Identifizieren Sie betroffene Personen, deren Einwilligung nicht gültig, aktuell oder mit dem Verwendungszweck und den zugehörigen Datenschutzrichtlinien vereinbar ist.
- Einhaltung gesetzlicher Vorschriften, einschließlich Richtlinien, Klassifikatorenund Workflows für Artikel 9 der DSGVO
- Identifizieren und reduzieren Sie Risiken im Zusammenhang mit der Datenverarbeitung basierend auf Risikoniveau und Aktivität
- Einfaches Erstellen regulatorisches Berichtswesen zur Einhaltung der Datenschutzbestimmungen
Für Datenschutz- und Risikoexperten ist es von entscheidender Bedeutung, diese EU-Gesetzgebung genau zu verfolgen und über Datenschutzaktualisierungen auf dem Laufenden zu bleiben, um sicherzustellen, dass Ihr Unternehmen eine einheitliches Datenschutzprogramm und erfüllt die Anforderungen neuer Compliance-Anforderungen. Holen Sie sich ein 1:1-Demo um BigID in Aktion zu sehen.
Autor
