Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

NOYB: Beschwerde wegen Cookie-Banner

11. August 2022

Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.

Informelle Beschwerden an 500 Unternehmen

Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.

Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.

Wann ist der Cookie-Banner rechtswidrig?

Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.

Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.

Fazit

Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.

Risiken und Nutzen von biometrischen Daten – Teil 2

In Teil 2 unseres Beitrages über biometrische Daten beschäftigen wir uns damit, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. Um ein grundsätzliches Verständnis für biometrische Daten zu erhalten, verweisen wir auf Teil 1 dieses Beitrages.

Wo & wann werden biometrische Daten verwendet?

Biometrische Daten sind im Alltag vielfältig zu finden. Teilweise werden biometrische Daten auf amtlichen Ausweisen gespeichert, so muss der deutsche Personalausweis z.B. ein biometrisches Lichtbild und seit letztem Jahr auch Fingerabdrücke enthalten.

Auch kann man seinen Fingerabdruck oder seine Gesichtsgeometrie in seinem Smartphone speichern und dies zur Entsperrung nutzen.

Wie funktionieren Gesichtserkennungssoftwares?

Es gibt unterschiedliche Arten der Gesichtserkennung, die sich aber im Wesentlichen alle ähnlich sind.

Dabei lokalisiert die Kamera ein Gesicht. Die Software liest sodann das Gesicht und berechnet seine charakteristischen Eigenschaften, also seine Geometrie. Dafür herangezogen werden vor allem solche Merkmale des Gesichts, die sich aufgrund der Mimik nicht ständig verändern, z.B. die oberen Kanten der Augenhöhlen, die Gebiete um die Wangenknochen und die Seitenpartien des Mundes. Diese Informationen werden in Form eines Merkmalsdatensatzes gespeichert. Dieser Merkmaldatensatz kann dann in Datenbanken abgeglichen werden, sodass mehrere Bilder von einer Person dieser alle zugeordnet werden können.

Eines der bekanntesten Unternehmen, das Gesichtserkennungssoftware nutzt ist Clearview AI. Das US-amerikanische Unternehmen sammelt öffentlich zugängliche Bilder von Menschen, z.B. in sozialen Netzwerken oder in Videos. Mittlerweile hat das Unternehmen eine Datenbank von 10 Milliarden Bildern. Kunden können ein Foto von einem Gesicht machen und hochladen. Dieses Foto wird dann mit den Datenbanken abgeglichen.

Wofür werden sie genutzt?

Gesichtserkennungssoftwares können vielfältig genutzt werden. So können sie aus Sicherheitsgründen eingesetzt werden oder um vermisste Personen zu identifizieren. Ein aktuelles Beispiel dafür ist, dass die Ukraine offenbar Clearview AI nutzte, um im Krieg gefallene Soldaten zu identifizieren. Auch Strafverfolgungsbehörden in den USA nutzen Clearview.

Welche Kritik begegnet ihnen?

In Europa begegnet Clearview AI enorme Kritik von Datenschutzbehörden, die Rekordstrafen verhängen. So haben allein dieses Jahr die italienische und die griechische Datenschutzbehörde jeweils ein Bußgeld von 20 Mio. Dollar gegen das Unternehmen verhängt. Außerdem haben u.a. die französische Datenschutzbehörde Clerview AI aufgefordert, die Daten ihrer Bürger nicht länger zu sammeln.

Die Befürchtung bei solchen Gesichtserkennungssoftwares ist, dass eine illegale Massenüberwachung entsteht. Auch findet so ein immenser Eingriff in der Privatsphäre der Betroffenen statt. Dabei ist das Missbrauchspotential groß, potenzielle Straftäter können ihre Opfer auskundschaften. Vor allem Straftaten im Bereich des Stalkings können so vereinfacht werden. Aber auch in autoritären Regimen können solche Softwares eingesetzt werden, um bspw. Regimekritiker auf Demonstrationen zu identifizieren.

Dem Erfassen von biometrischen Daten kann man im Alltag nicht aus dem Weg gehen. Es ist aber auf jeden Fall sinnvoll, vernünftig über biometrische Daten informiert zu sein, um sie bestmöglich schützen zu können.

EuGH zur Auslegung von Art. 6 und 9 der DSGVO

10. August 2022

In seinem Urteil (EuGH, Urteil v. 01.08.2022 – EuGH AZ: C-184/20) hatte sich der Europäische Gerichtshof mit zwei Vorlagefragen bezüglich der Auslegung der DSGVO zu befassen.

Ausgangsrechtsstreit

Am 07. Februar 2018 entschied die Oberste Ethikkommission, dass ein Leiter einer Einrichtung litauischen Rechts aus dem Bereich des Umweltschutzes, die öffentliche Mittel erhält, gegen Art. 3 Abs. 2 und Art. 4 Abs. 1 des litauischen Gesetzes über den Interessenausgleich verstoßen habe, indem er keine Erklärung über private Interessen vorgelegt habe. Gegen diese Entscheidung erhob dieser Leiter beim litauischen Gericht Anfechtungsklage. Er war der Ansicht, ihn treffe keine Pflicht zur Erklärung privater Interessen. Jedenfalls verletze die Veröffentlichung dieser Erklärung sowohl sein eigenes Recht auf Achtung seines Privatlebens als auch das der anderen Personen, die er in seiner Erklärung angeben müsste. Das litauische Regionalverwaltungsgericht Vilnius hat sodann beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vorzulegen:

  • Ist die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO festgelegte Bedingung im Hinblick auf die in Art. 6 Abs. 3 der DSGVO festgelegten Anforderungen und ferner im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung der in Erklärungen über private Interessen enthaltenen Daten und deren Veröffentlichung auf der Website des Verantwortlichen verlangen darf, wodurch allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt wird?
  • Ist das in Art. 9 Abs. 1 der DSGVO normierte Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten unter Berücksichtigung der in Art. 9 Abs. 2 der DSGVO festgelegten Bedingungen, einschließlich der in Buchst. g genannten Bedingung, auch in Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart werden können, einschließlich solcher Daten, die Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen zulassen, und auch nicht ihre Veröffentlichung auf der Website des Verantwortlichen, wodurch allen Personen mit Zugang zum Internet Zugang zu diesen Daten gewährt wird?

Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 DSGVO

In dem vorgelegten Fall diente die Datenverarbeitung durch Veröffentlichung der Inhalte einer Erklärung über private Interessen auf der Website der Ethikkommission der Erfüllung einer rechtlichen Verpflichtung aus Art. 10 des litauischen Gesetzes über den Interessenausgleich. Somit fällt die Datenverarbeitung unter Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO. Dieser Art. 10 des Gesetzes über den Interessenausgleich muss als Rechtsgrundlage der Datenverarbeitung dann ebenfalls den Anforderungen aus Art. 52 Abs. 1 der Charta und Art. 6 Abs. 3 der DSGVO genügen.

Im Rahmen dieser Verhältnismäßigkeitsprüfung hatte der EuGH zum Schluss die Schwere des Eingriffs in die Grundrechte der Art. 7 und 8 der Charta gegen die Bedeutung der Ziele des Gesetzes über den Interessenausgleich, nämlich die Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor, abzuwägen. Hierbei seien die konkreten Ausprägungen und das Ausmaß der Korruption im öffentlichen Dienst des betreffenden Mitgliedstaats zu berücksichtigen, sodass das Ergebnis der Abwägung nicht unbedingt für alle Mitgliedstaaten gleich ausfallen würde. Zudem ist ebenfalls zu berücksichtigen, dass das Allgemeininteresse an der Veröffentlichung personenbezogener Daten aus einer Erklärung über private Interessen je nach Bedeutung der Aufgaben der erklärungspflichtigen Person variieren kann. Eine Online-Veröffentlichung von Daten, die geeignet sind, Informationen über bestimmte sensible Aspekte des Privatlebens der betroffenen Personen und ihm nahestehende Personen, wie z.B. ihre sexuelle Orientierung, zu offenbaren, sei als schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten anzusehen. Aber auch die Korruptionsbekämpfung sei in der Union von großer Bedeutung.

Zur Abwägung führte der EuGH aus: „Im Vergleich zu einer Erklärungspflicht in Verbindung mit einer von der Obersten Ethikkommission ausgeübten Inhaltskontrolle, deren Wirksamkeit der betreffende Mitgliedstaat zu gewährleisten hat, indem er diese Behörde mit den dafür erforderlichen Mitteln ausstattet, stellt eine solche Veröffentlichung einen erheblich schwereren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte dar, ohne dass diese zusätzliche Schwere durch etwaige Vorteile kompensiert werden könnte, die sich hinsichtlich der Verhütung von Interessenkonflikten und der Bekämpfung von Korruption aus der Veröffentlichung aller dieser Daten ergeben könnten.“ (EuGH, Urt. v. 1.8.22, AZ: C-184/20, Rn. 112).

Zu Art. 9 Abs. 1 der DSGVO

Der EuGH wurde des Weiteren vor die Frage gestellt, ob auch Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer Person geschlossen werden kann, ebenfalls unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO fallen, obwohl die verarbeiteten Daten ihrer Natur nach nicht direkt sensible Daten darstellen. Der EuGH führt dazu aus, dass eine Auslegung des Wortlauts des Art. 9 Abs. 1 DSGVO („zu“, „über“) dahingehend, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten bestehen muss und nicht bereits ein indirektes Schließen auf sensible Informationen ausreicht, nicht im Einklang mit einer kontextbezogenen Analyse der Vorschriften stehen würde. Insbesondere der Normzweck der Gewährleistung eines erhöhten Schutzes vor Datenverarbeitungen, die aufgrund besonderer Sensibilität einen besonders schweren Eingriff in die Grundrechte aus Art. 7 und 8 der Charta darstellen können, spreche für eine weite Auslegung der Begriffe des Art. 9 Abs. 1 DSGVO.

Die Entscheidung zeigt, dass sich der EuGH für den Datenschutz ausspricht und dieser auch im Rahmen wichtiger Themen wie Korruption im öffentlichen Sektor noch großen Einfluss hat und im Einzelfall überwiegen kann. Auch zeigt die weite Auslegung des Begriffs der sensiblen Daten, dass diese auch vorliegen, obwohl es auf den ersten Blick nicht danach aussieht.

Risiken und Nutzen von biometrischen Daten – Teil 1 

5. August 2022

Die USA plant, ab dem Jahr 2027 ihre Visa-Bedingungen zu ändern. Sie möchte mit anderen Ländern eine „Partnerschaft zur Verbesserung des Grenzschutzes“ („Enhanced Border Security Partnership“, EBSP) abschließen. Im Rahmen dessen sollen u.a. biometrische Daten zwischen den Ländern ausgetauscht werden, um Einreisende identifizieren zu können. Dies ergibt sich aus der schriftlichen Anfrage eines Abgeordneten. 

Ob es dazu kommt, gilt abzuwarten, denn die Verwendung biometrischer Daten ist sehr umstritten. Da der Begriff der „biometrischen Daten“ oft gar nicht richtig eingeordnet werden kann, werden wir in einem zweiteiligen Beitrag Fragen dazu beantworten.  

In diesem ersten Teil möchten wir Ihnen ein grundsätzliches Verständnis für biometrische Daten vermitteln.  

Was sind biometrische Daten? 

Die europäische Datenschutzgrundverordnung (DSGVO) definiert biometrische Daten in Art. 4 Nr. 14 als: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“ 

Biometrische Daten sind also biologische bzw. körperliche Merkmale, die so eindeutig sind, dass eine Person durch diese identifiziert werden kann. 

Beispiele für solche Daten sind u.a. Fingerabdrücke, Gesichtsgeometrie, das Muster der Iris, Stimmerkennung und die eigene DNA. 

Welche Verwendung gibt es für biometrische Daten? 

Biometrische Daten können zur Verifikation oder zur Identifikation einzelner Personen genutzt werden. 

Verifikation / Authentifikation: dabei wird die Identität einer Person bestätigt, also geprüft, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Ein Beispiel dafür ist das Entsperren des Smartphones über den Fingerabdruck-Sensor des Geräts, bei dem der Fingerabdruck, mit dem im Gerät gespeicherten abgeglichen wird.

Identifikation: dabei wird die Frage geklärt, um welche Person es sich handelt. Die errechneten Daten werden dabei mit im System gespeicherten Merkmalen abgeglichen. Stimmen Merkmale überein, kann die überprüfte Person als eine bestimmte Person identifiziert werden. Dieses Verfahren findet u.a. in der Kriminalistik und Strafverfolgung Anwendung. 

Warum sind sie so schützenswert und welche Risiken gibt es? 

Biometrische Daten sind von der DSGVO in Art. 9 als sensible Daten aufgeführt. Sensible Daten sind solche, bei deren Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen auftreten können. Aus diesem Grund dürfen solche Daten grundsätzlich nicht verarbeitet werden. In Art. 9 DSGVO sind jedoch Ausnahmen definiert, z.B. die ausdrückliche Einwilligung der betroffenen Person. 

Sie sind sensibel, weil die Verarbeitung solcher personenbezogener Daten erheblich in die Privatsphäre der betroffenen Personen eingreift. So können z.B. bestimmte Daten Hinweise auf Erkrankungen geben (bei Diabeteserkrankungen kann die Erkrankung im Augenhintergrund erkennbar sein). Auch bleiben biometrische Daten ihrer Natur nach meist lebenslang bestehen. Sollte ein Passwort an Dritte geraten, kann es geändert werden. Bei biometrischen Daten ist dies nicht möglich, so können bspw. Fingerabdrücke und DNA nicht geändert werden.  

Gleichzeitig können Messfehler nie ganz ausgeschlossen werden. Diese können z.B. bei altersbedingter Veränderung der körperlichen Merkmale oder Verletzungen und Krankheiten auftreten. Dann kann es zu Falschidentifikationen kommen. 

Besonders gefährlich sind biometrische Daten, wenn sie an Dritte gelangen, die den betroffenen Personen schaden wollen, wie z.B. im vorigen Jahr in Afghanistan geschehen. Dort waren den Taliban nach deren Machtübernahme Geräte von Hilfsorganisationen in die Hände gefallen, auf denen biometrische Daten gespeichert waren.

Nächste Woche werden wir uns in Teil 2 intensiv mit der Frage beschäftigen, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. 

Neue Verordnung zur Bekämpfung sexuellen Missbrauchs von Kindern sorgt für Kritik

3. August 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber kritisierte in einer Stellungnahme einen neuen Verordnungsentwurf der Europäischen Kommission zur Prävention und Bekämpfung sexuellen Missbrauchs von Kindern. Aus seiner Sicht biete die Verordnung keinen wirklichen Schutz für Kinder und ermögliche zugleich die anlasslose und flächendeckende Überwachung der privaten Kommunikation.  

Die neue Verordnung

Anlass der neuen Verordnung ist die hohe Anzahl an verschicktem Bildmaterial, das sexuellen Missbrauch von Kindern beinhaltet. Bisher müssen Online-Dienste, nicht melden, wenn ihre Nutzer entsprechendes Bildmaterial verbreiten. Die neue Verordnung soll sie jetzt stattdessen zum Löschen und Melden von einschlägigem Bildmaterial verpflichten. Außerdem sollen künftig die Chats der Online-Dienste besser kontrolliert werden. Die Dienste sollen dafür neue Technologien einsetzen, um den Missbrauch von Kindern aufdecken zu können. Insbesondere könnte es, mit Einführung der neuen Verordnung, dazu kommen, dass die verschlüsselte Kommunikation in Chats aufgehebelt wird.

Scharfe Kritik

In seiner Stellungnahme empfahl der BfDI, dass die Europäische Kommission den Verordnungsentwurf noch einmal überarbeiten solle. Mit der jetzigen Version der Verordnung bestehe ein Risiko für den Schutz der in der EU-Grundrechte Charta garantierten Freiheitsrechte. Der Gesetzgeber müsse insbesondere den Schutz des Fernmeldegeheimnisses und ebenso des Datenschutzrechts wahren. Dabei kritisierte der BfDI ausdrücklich die geplanten Chatkontrollen. Außerdem seien die einzusetzenden Technologien anfällig für Fehler und bieten keine angemessene Bekämpfungsmaßnahme. Stattdessen können diese selbst eine Sicherheitslücke darstellen, wenn beispielswiese Kriminelle sie missbräuchlich nutzen.

In einer gemeinsamen Stellungnahme hatten zuvor der Europäische Datenschutzbeauftragte (EDSB) und der Europäische Datenschutzausschuss (EDSA) bereits die Wichtigkeit des Rechts auf Privatleben und des Datenschutzes hervorgehoben. Zugleich betonten EDSB und EDSA, dass sexueller Missbrauch an Kinder ein schwerwiegendes und abscheuliches Verbrechen sei. Jegliche Maßnahmen zur Bekämpfung dieses Verbrechens müssen allerdings erforderlich und angemessen sein. Die neue Verordnung bringe die Gefahr eines allgemeinen und wahllosen Scannens von Inhalten auf Online-Plattformen mit sich. 

Hierzu sagte der BfDI, dass man die anlasslose Massenüberwachung „(…) ansonsten nur aus autoritären Staaten (…)“ kenne.

Die LDI NRW veröffentlicht Handreichung zu Online-Prüfungen an Hochschulen

2. August 2022

Seit der Covid-19 Pandemie legen Studierende ihre Prüfungsleistungen vermehrt online ab. Dabei werden personenbezogene Daten der Prüflinge verarbeitet. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) veröffentlichte am 28. Juli 2022 eine Handreichung für eine DSGVO-konforme Durchführung solcher Prüfungen unter videobasierter Aufsicht.

Eine geeignete Rechtsgrundlage

Das Erfassen der Ausweisdaten und die Videoüberwachung der Prüflinge während einer Online-Klausur erfordert eine adäquate Rechtsgrundlage. Laut der LDI könne diese in Art. 6 Absatz 1 lit. c) oder e) DSGVO gefunden werden. Demnach müssten Maßnahmen erforderlich sein, um einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse nachzukommen. Voraussetzung sei eine solche Rechtsgrundlage im materiellen Recht (Art. 6 Absatz 3 DSGVO). Diese sei mit § 64 Abs. 2 Satz 2 Hochschulgesetz NRW (HG NRW) gegeben. Hier ist festgelegt, dass Hochschulen in ihren Prüfungsordnungen entscheiden können, dass Prüfungen im elektronischen Format abgelegt werden. Dafür müssten ausreichende datenschutzrechtliche Regelungen hinsichtlich der Durchführung der Prüfung erlassen worden und die Durchführung auch im Einzelfall angemessen und erforderlich sein.

Bewertung einzelner Aufsichtsmaßnahmen der Hochschulen

Obwohl es immer einer Einzelfall-Überprüfung bedürfe, hat die LDI einige, von Hochschulen häufig zur videobasierten Aufsicht verwendeten Maßnahmen, bewertet. Maßnahmen seien immer mit der Eingriffsintensität ähnlicher Regelungen in Präsenzklausuren zu vergleichen. So sollten Prüflinge, wenn möglich, entscheiden dürfen, ob sie die Online-Prüfung in den Räumlichkeiten der Hochschule oder zu Hause absolvieren. Zudem seien Prüfungsformate ohne Aufsicht zu bevorzugen. Sofern notwendig, sei es jedoch zulässig, Prüflinge durch einen Abgleich von Lichtbildausweis und Gesicht zu authentifizieren. Die Aufzeichnung des Ausweises oder das Einsetzen von automatischen Gesichtserkennungssoftware sei jedoch unzulässig. Prüflingen dürfe die Nutzung von spezifischen Funktionen, die Betrugsversuche begünstigen, untersagt werden. Auch die ständige visuelle und akustische Sichtbarkeit des Gesichts, Oberkörpers und des Arbeitsplatzes könne gefordert werden. Die dauerhafte Aufzeichnung und Speicherung von Bild- und Tondateien sei jedoch unzulässig und könne nur ausnahmsweise durch einen konkreten Verdacht auf einen Täuschungsversuch gerechtfertigt werden. In jedem Fall unzulässig sei der Einsatz von mehreren Kameras in verschiedenen Winkeln oder die Sichtbarkeit der Aufnahmen für die Prüflinge untereinander.

Hinweise zur Verwendung von Videokonferenzanbietern

Die LDI weist darauf hin, dass sie seit den neuen Regelungen des Telekommunikationsgesetztes (TKG) und des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) Videokonferenzdienste als Telekommunikationsdienste einordne und diese somit unter Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stehen. Die Anbieter seien selbst für die Datenverarbeitung im Rahmen ihrer Dienste verantwortlich. Die Hochschulen seien jedoch verpflichtet, solche Anbieter auszuwählen, die ein ausreichendes Datenschutzniveau gewährleisten können. Sofern die Anbieter weitere Dienste anbieten, z.B. zur Dokumenten-Bearbeitung, seien die Hochschulen für die Verarbeitung der Inhaltsdaten verantwortlich. Hier müssten dann geeignete Auftragsverarbeitungsverträge mit den Anbietern abgeschlossen werden.

Die Handreichung der LDI fügt sich in die generelle Diskussion zur Datenschutzkonformität vieler Videokonferenzanbieter ein. Auch der BfDi wies darauf hin, dass die Nutzung solcher Systeme mit Risiken für personenbezogene Daten einhergehe und dass angemessene Schutzmaßnahmen benötigt seien. In einer Untersuchung hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit einige datenschutzrechtliche Mängel bei gängigen Anbietern festgestellt.

LfDI BaWü Dr. Stefan Brink lässt seinen Vertrag auslaufen

29. Juli 2022

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BaWü), Dr. Stefan Brink (FDP), wird seinen Vertrag zum Ende des Jahres nicht verlängern und sein Amt somit aufgeben. Dr. Brink hatte die Position des LfDI BaWü sechs Jahre inne. Somit wird spätestens zum Beginn des Jahres 2023 das Land Baden-Württemberg einen neuen LfDI BaWü benötigen.

Sechs prägende Jahre für den Datenschutz in Baden-Württemberg

„Das waren sechs großartige Jahre in Baden-Württemberg, wir haben eine Menge aufgebaut, das Bild und Ansehen des Datenschutzes weiterentwickelt“, so Brink.  

Im Laufe seiner Amtszeit ist die Dienststelle des Datenschutzbeauftragten zu einer Behörde mit mehr als 70 Planstellen gewachsen. Die wohl anspruchsvollste Aufgabe war die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) seit Mai 2018. Zusätzlich brachte Brink auch viele andere Themen voran. Darüber hinaus waren auch einige seine hochdatierten Bußgelder wie beispielsweise gegen die AOK Baden-Württemberg aus dem Jahre 2020 (wir berichteten) aufgrund unzureichender Umsetzung von technischen und organisatorischen Maßnahmen von großem medialem Interesse. Aber auch vor der eigenen Landesregierung machte seine Behörde nicht halt. Erst kürzlich eröffnete er ein Verfahren gegen den baden-württembergischen Innenminister und Vize-Regierungschef. Darüber hinaus gründete die Behörde unter seiner Leitung ein Bildungszentrum für Bürger:innen und richtete eine Kulturstelle ein. Des Weiteren veröffentlichte er umfangreiche Arbeitshilfen, die Unternehmen und Vereinen bei der Umsetzung der DSGVO unterstützen sollen.

Dem Datenschutz auch weiterhin verpflichtet

Bevor Stefan Brink die Stelle des Landesbeauftragten für Datenschutz 2017 antrat, war er unter anderem als wissenschaftlicher Mitarbeiter beim Bundesverfassungsgericht und in leitender Funktion beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Rheinland-Pfalz tätig.

Nun aber suche er eine neue Herausforderung. Dennoch werde er dem Thema Datenschutz auch weiterhin treu bleiben und ab dem kommenden Jahr von Berlin aus in einer privaten Tätigkeit das „Megathema Digitalisierung“ betreuen.

Der neue LfDI BaWü wird nun auf Vorschlag der Landesregierung vom Landtag neu gewählt.  

Kategorien: Allgemein
Schlagwörter: ,

LG Ravensburg legt Frage zum Schadensbegriff in Art. 82 DSGVO dem EuGH vor

Das Landgericht Ravensburg hat mit Beschluss vom 30.06.2022 dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob für einen Schadensersatzanspruch aus Art. 82 DSGVO ein spürbarer Nachteil und eine objektiv nachvollziehbare Beeinträchtigung erforderlich ist. 

Der Sachverhalt 

Die Beklagte hatte auf ihrer Website ohne das Einverständnis der Kläger eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden. Ebenfalls auf ihrer Webseite veröffentlichte sie ein verwaltungsgerichtliches Urteil, in dem die Kläger ungeschwärzt mit Vor- und Nachnamen sowie Anschrift aufgeführt waren. Die Kläger sehen darin ihre Rechte aus der DSGVO verletzt und begehren Schadensersatz von der Beklagten. 

Die Frage 

Das LG Ravensburg hatte bereits zuvor die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Insbesondere bei Bagatellverstößen ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten käme ein Schadensersatzanspruch nicht in Betracht. Für das Zusprechen von Schadensersatz nach Art. 82 DSGVO setzt das LG Ravensburg einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange bei den betroffenen Personen voraus. 

Dies sieht das Gericht im vorliegenden Sachverhalt als nicht gegeben an, es läge nur ein Verlust der Datenhoheit vor. Danach wäre die Klage abzuweisen. Die Auslegung des Schadensbegriffes steht aber letztlich nur dem EuGH zu. Diesem liegt nun folgende Frage vor: „Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“ 

Das Verfahren wird erst nach einer Entscheidung des EuGH fortgesetzt. 

Bewertungsportale: datenschutzrechtliche Risiken

28. Juli 2022

Ob für den Besuch beim Arzt oder im Restaurant: häufig nutzen Kunden Bewertungsportale, um sich beispielsweise vorab über eine Dienstleistung zu informieren oder um ihre Meinung über die Dienstleistung öffentlich kundzutun. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) veröffentlichte diese Woche eine Stellungnahme zu den Nutzen und Risiken von online abrufbaren Bewertungsportalen.

Die Grenzen einer Bewertung

Sie betonte dabei, dass bei dem Verfassen einer Bewertung die Grenzen der Meinungsfreiheit, sowie die Grenzen des Datenschutzes zu berücksichtigen seien. Hinsichtlich der Meinungsfreiheit stellte sie fest, dass die öffentlich kundgegebene Äußerung mit dem allgemeinen Persönlichkeitsrecht der sie betreffenden Person abzuwägen sei. Die Grenze dessen, was geäußert werden darf, seien dabei Beleidigungen oder Schmähungen.

Hilfe bei Veröffentlichung von personenbezogenen Daten

Hinsichtlich des Datenschutzes stellte die LDI NRW fest, dass niemand die Veröffentlichung personenbezogener Daten in einem Bewertungsportal hinnehmen müsse. Insbesondere bei Bekanntgabe der privaten Adresse oder Telefonnummer eines Dienstleisters könne ein Verstoß gegen das Datenschutzrecht vorliegen. So könne der Dienstleister sich zur Wehr setzen, wenn ein Kunde diese Daten veröffentliche.

Als betroffene Person stellt sich die Frage, wie man gegen die Veröffentlichung der personenbezogenen Daten vorgehen kann. Die LDI NRW betonte, das insbesondere zu beachten sei, dass sich die Bewertungsportale an Datenschutzregelungen halten müssen. Insbesondere seien Kommentare in Bewertungsportalen häufig anonym. Demnach könne es schwierig sein direkt gegen den Verfasser vorzugehen. Die betroffene Person könne sich zwar an das Bewertungsportal wenden, um die Daten des Verfassers zu erfahren. Allerdings könne, bzw. müsse das Portal die Anfrage aufgrund der datenschutzrechtlichen Bestimmungen ablehnen.

Wenn der Kommentar jedoch eine falsche Tatsachenbehauptung oder Beleidigung beinhalte, könne die betroffene Person ggf. zivilrechtliche Ansprüche geltend machen. Dieser Weg sei aber oft langwierig. Ein leichterer Weg sei die Beschwerde bei dem Bewertungsportal mit der Bitte auf Löschung des Kommentars.

Eine Alternative biete die Beschwerde bei einer Datenschutzaufsichtsbehörde. Auf diese Weise könne die betroffene Person gegen eine unrechtmäßige Verarbeitung personenbezogener Daten vorgehen. Allerdings verlangen Aufsichtsbehörden häufig, dass die betroffene Person zuvor schon andere Schritte eingeleitet hat. 

1 2 3 246