24. April 2019
Spätestens seit das IOC den Beitrag der Whistleblowerin Julia Stepanowa zum Anti-Doping-Kampf offiziell begrüßt, ihr aber dennoch die Starterlaubnis verweigert hat, ist die Bedeutung von Datenschutz auch im Spitzensport omnipräsent. Dieser endet jedoch keinsefalls bei der Dopingprävention.
Herzfrequenz, Laufleistung (Umfang und Pace), maximale Sprintgeschwindigkeit, Laktatwerte und vieles mehr. Derartige Werte bestimmen mittlerweile den Trainingsalltag eines jeden (Spitzen-) Athleten. Korrelierend hierzu gibt es die Möglichkeit der Live-Analyse etwaiger Werte, Auswertung von Positionsdaten sowie sonstige Tools zur Erkennung sportlicher Leistungen und Förderung von Talenten.
In diesem Kontext wird dem Datenschutz bisweilen keinerlei, respektive wenig Bedeutung beigemessen oder aber man ist sich der Existenz einer Norm schlicht nicht bewusst.
Die datenschutzrechtlichen Anforderungen an die Verarbeitung personenbezogener Daten gelten jedoch auch im Rahmen des (Spitzen-) Sports. So sind beispielsweise gewerblich datenverarbeitende Fitnesscoaches, NADA, Sportvereine oder sonstige Stellen, soweit es sich um personenbezogene Daten handelt, Verantwortliche im Sinne der DSGVO.
Die Nichterfüllung datenschutzrechtlicher Normen birgt jedoch ein Haftungsrisiko für den Verantwortlichen. Basierend auf den vorangegangenen Gedanken gilt dies mithin auch für kleinere Sportvereine. Gerade diesen fehlt allerdings bisweilen das Personal zur Bewältigung der Implementierung datenschutzrechtlicher Anforderungen.
Dieses Problem sah ebenfalls exemplarisch das Bayrische Landesamt für Datenschutzaufsicht (sowie viele weitere Aufsichtsbehörden in den Bundesländern) und veröffentlichte ein Muster, in dem es die datenschutzrechtlichen Anforderungen an kleine Vereine aufzählte. Ob und welche Normen im Einzelfall einschlägig sind und wie sich diese auf den konkreten Fall auswirken, sollte im Rahmen einer Beratung eruiert werden.
Der Landesbeauftragte für Datenschutz in Baden-Württemberg hat für dieses Jahr 250 Kontrollen angekündigt. Vor allem Arztpraxen, Polizei, Apotheken, Versicherungen und Autohersteller stehen im Fokus der Prüfungen. Bereits im ersten Quartal 2019 haben die Summen der Bußgelder, die von 2018 erreicht.
Die Kontrollen sollen stichprobenartig und unangekündigt erfolgen. Jedoch werden Strafen nur bei gravierenden Verstößen gegen die DSGVO ausgesprochen. Von den Kontrollen sind ehrenamtlich tätige Vereine und kleine Firmen ohne umfassende Datenverarbeitungen ausgeschlossen.
Die Beratungsleistung muss runtergeschraubt werden, da die „Grenzen der Belastbarkeit erreicht wurden“, so Brink. Die 60 Mitarbeiter können eine so umfangreiche Beratung nicht mehr leisten.
Letztes Jahr wurden lediglich 13 Kontrollen durchgeführt. Diese werden jetzt drastisch verschärft.
Infolge des Art. 15 müssen Verleger von Presseveröffentlichungen zur Veröffentlichung einwilligen. Um Ausschnitte der Presseveröffentlichungen zu nutzen, müssen die Betreiber von Suchmaschinen Lizenzverträge mit den Verlagen abschließen.
Die Verwertungsgesellschaft VG Media verwaltet die Rechte von Presseverlagen, privaten Fernseh- und Rundfunksendern. Diese fordert nun von 1,24 Milliarden Euro von Google und stützt sich dabei auf das Presseleistungsschutzrecht der neuen Urheberrechtsrichtlinie. Die Summe ergebe sich aus der Nutzung von digitalen Presseerzeugnissen in den vergangenen Jahren. Ebenfalls wolle man einen Lizenzvertrag für die Zukunft abschließen.
Ausgangspunkt ist eine Klage der VG Media vor dem Berliner Landgericht aus dem Jahr 2016. Sie verlangt dort Schadenersatz, weil sich Google weigert, für die Darstellung von Textausrissen und Vorschaubildern in eigenen Suchangeboten zu zahlen. Darin ist noch völlig offen, ob die seit 2013 geltenden deutschen Vorschriften für das Leistungsschutzrecht überhaupt angewendet werden dürfen und Google lizenz- oder schadenersatzpflichtig sein kann. Das Landgericht hatte in der mündlichen Verhandlung im Februar 2017 zunächst eine Wortgrenze für Google ins Spiel gebracht, den Fall dann aber dem Europäischen Gerichtshof (EuGH) vorgelegt.
Auch wenn die Entscheidung des vom Berliner Landgericht angerufenen Europäischen Gerichtshofs über das nationale deutsche Presseleistungsschutzrecht noch aussteht und die Richtlinie noch nicht ins nationale Recht umgesetzt worden ist, sieht sich VG Media bereits durch den Beschluss der EU-Urheberrechtsrichtlinie in ihren Forderungen bestärkt. So kam es zu der an Google gerichteten milliardenschweren Lizenzofferte um den Rechtsstreit mit einem Vergleich abschließen zu können.
23. April 2019
Bis zuletzt herrschte in den deutschen Gremien Uneinigkeit über eine mögliche Zustimmung zur Urheberrechtsrichtlinie.
Hauptdiskussionspunkt war der viel betitelte Upload-Filter. Die Justizministerin Katarina Barley (SPD) empfahl, für die Urheberrechtsreform zu stimmen und eine Protokollnotiz hinzuzufügen: „Die Bundesregierung wird sich bei der Umsetzung des Artikels 17 […] von dem Ziel leiten lassen, ohne das Instrument ‚Upload-Filter‘ auszukommen.“
In den Erläuterungen zur Geschäftsordnung des Europäischen Rates heißt es jedoch: solche Erklärungen könnten „(…) die Wirkung eines Rechtsakts, die ausschließlich durch den Inhalt des Rechtsakts selbst bestimmt werden, nicht einschränken; Protokollerklärungen können nur dazu dienen, eine Auslegung zu bestätigen, die sich aus dem Wortlaut des Rechtsakts selbst ergibt. Eine Protokollerklärung kann daher, wenn sie in einer Vorschrift des abgeleiteten Rechts keinen Ausdruck gefunden hat, zur Auslegung dieser Vorschrift nicht herangezogen werden.“
Am 15. April 2019 einigte sich die Große Koalition auf eine Änderung von Barleys Protokollnotiz-Entwurf und entschied sich für die Zustimmung zur Urheberrechtsrichtlinie. In der Protokolländerung spricht sich die Regierung zwar weiter gegen den Einsatz automatisierter Löschungen durch sogenannte Upload-Filter aus. Ausgeschlossen wird deren Einsatz aber nicht: “Ziel muss es sein, das Instrument Upload-Filter weitgehend unnötig zu machen.” Gegen die “voraussichtlich dabei auch zur Anwendung kommenden algorithmenbasierten Lösungen (Upload-Filter)” gebe es ernsthafte Bedenken.
Mit Hilfe des sogenannten Upload-Filters kann den Anforderungen des Art. 17 Abs. 4 lit. b entsprochen werden. Andernfalls können Diensteanbieter wie bspw. Facebook und Youtube für die Urheberrechtsverstöße ihrer Nutzer haftbar gemacht werden. Die genannten Online-Plattformen müssen jeden einzelnen Upload ihrer Nutzer vor der Veröffentlichung filtern und auf Urheberrechte überprüfen.
18. April 2019
Sofern keine gesetzliche Regelung die Verarbeitung von personenbezogenen Daten ausdrücklich erlaubt, bedarf es einer Einwilligung des Betroffenen in die Verarbeitung der personenbezogenen Daten. Damit diese rechtskonform erteilt werden kann, müssen verschiedene Voraussetzungen erfüllt sein.
Eine Einwilligung ist nur dann rechtmäßig erteilt, wenn sie freiwillig (ohne Druck oder Zwang), spezifiziert (für eine bestimmte Verarbeitung), informiert (durch transparente Aufklärung) und ausdrücklich (also unmissverständlich) erfolgt. Im Zusammenhang mit der Einwilligung fallen häufig die Begriffe Opt-In, Opt-Out und Double-Opt-In. Nachfolgend werden diese Begrifflichkeiten erläutert.
Mit der Voraussetzung, dass die Einwilligung „ausdrücklich“ abgegeben werden muss, ist der sogenannte Opt-Out unvereinbar. Bei einem Opt-Out gilt die Einwilligung als erteilt, wenn der Einwilligende dem nicht widerspricht. Die Einwilligung wird also vorausgesetzt/fingiert, ohne dass der Einwilligende diese tatsächlich aktiv erteilt hat. Ein solches Vorgehen ist nicht datenschutzkonform und die darauf gestützte Verarbeitung personenbezogener Daten rechtswidrig.
Es ist erforderlich, dass der Einwilligende selbst aktiv in die Verarbeitung von personenbezogener Daten einwilligt (Opt-In). Beispielsweise darf eine Checkbox daher niemals vorausgefüllt sein (Opt-Out). Der Betroffene muss die Checkbox selbst aktiv anklicken.
Hiervon zu unterscheiden ist der Double-Opt-In. Bei diesem wird an die E-Mail-Adresse des Betroffenen ein Bestätigungslink versendet. Der Double-Opt-In dient damit der Verifizierung einer Person, so dass sich die verarbeitende Stelle sicher sein kann, dass die Daten nicht missbräuchlich verwendet wurden, sondern tatsächlich von der angegebenen Person stammen.
Firefox verbessert seinen Datenschutz fortwährend. So ist seit einiger Zeit bereits ein Tracking-Filter eingebaut worden. (wir berichteten)
In der noch aktuellen Version finden die Nutzer in der Rubrik „Browser-Datenschutz“ verschiedene Elemente, die die Aktivitätenverfolgung mindern sollen. Zum Zwecke des Privatsphärenschutz und schnellerer Ladezeiten können bekannte Tracker und auch Drittanbieter-Cookies blockiert werden. Diesen Schutz kann man derzeit nur im Privatmodus genießen.
Zeitnah bekommt Firefox zwei weitere Schutzfunktionen implementiert. Einerseits gegen Cryptomining und die andere Maßnahme soll gegen Browser-Fingerprinting schützen.
Beim Cryptomining klinken sich Skripte auf dem System ein, die dann lokale Ressourcen für Berechnungen anzapfen. Genau hier setzen einige Benutzer an und stellen die Rechnerleistung ihrer Computer zur Verfügung und „schürfen“ so Kryptowährung. Die Browser werden dann langsamer, der Verbrauch an CPU steigt, was dann wiederum den Akku eines Notebooks schneller leert und Stromkosten hochtreibt. Im Bereich „Benutzerdefiniert“ kann ein expliziter Schutz vor Cryptominern aktiviert werden. Bei dem Schutz vor Cryptominern arbeitet Firefox mit einer Block-Liste. Damit können bekannte Cryptominer-Domains erkannt und blockiert werden.
Beim Browser-Fingerprinting geht es darum, dass man Nutzer anhand von Browser- und Systemmerkmalen recht genau wiedererkennen kann. Dadurch können auch die Nutzer verfolgt werden, die sich einer gezielten Überwachung entziehen wollen, indem sie zum Beispiel Cookies löschen und Skripte blockieren. Ein neues Modul blockiert auch Domains, die für Fingerprinting bekannt sind. Beide Schutzmechanismen müssen explizit aktivieren werden.
17. April 2019
Im Europäischen Parlament wurde am Dienstag der Weg für eine zentrale Suchmaschine eröffnet, mithilfe in Zukunft jeder Polizeibeamte und Fahnder feststellen kann, ob sich eine zu überprüfende Person legal oder illegal in der EU aufhält. Dieses Vorhaben ist datenschutzrechtlich nicht ganz unproblematisch.
Es soll keine neue Informationssammlung erstellt werden, sondern eine Art Suchmaschine, mit der die Sicherheitsbehörden alle vorhandenen Informationen schneller abrufen können. Bislang waren die Speicher strikt voneinander getrennt.
Es handelt sich vor allem um folgende Datenbanken: Visa-Informationssystem VIS, Schengen-Staaten Angaben über Kurzzeit-Visa, Eurodac (Datei, in der Fingerabdrücke und Daten von Asylsuchenden erfasst werden), Schengen-Informationssystem (SIS) und das Europäische Strafregisterinformationssystem ECRIS. 2021 kommt noch das Europäische Reiseinfomrationssystem- und -genehmigungssystem ETIAS und das Ausreisesystem EES hinzu.
Der Bundesbeauftragte für den Datenschutz, Ulrich Kelber, sieht die Datenbank äußerst kritisch. Es entstehen erhebliche Risiken für die Betroffenen, denn nach der DSGVO müssen Betroffene im Zeitpunkt der Datenerhebung über die Verarbeitung informiert werden. Dies würde jedoch nicht geschehen. Auch Unbeteiligte werden erfasst, die beispielsweise auf Einladung eines EU-Bürgers ein Kurzzeit-Visum benötigen. Der frühere Bundesdatenschutzbeauftragte Peter Schaar spricht deshalb sogar von einer „umfassenden Massenüberwachung, die sich nicht auf diejenigen beschränkt, die über die EU-Außengrenze einreisen“.
Whistleblower haben in den letzten Jahren immer wieder u.a. Steuerdeals und -hinterziehung im großen Stil sowie den NSA-Skandal aufgedeckt.
Zum Wochenbeginn verabschiedete das EU-Parlament den Entwurf einer Whistleblower-Richtlinie. Damit soll ein deckungsgleicher Mindestschutz für Personen hergestellt werden, die Verstöße gegen das Unionsrecht melden.
Oftmals wurden sie dafür von der Justiz wie Kriminelle verfolgt. Mit Hilfe des Beschlusses sollen sie nun besser geschützt werden. Vorgesehen sind zunächst für die meisten Fälle interne Meldewege in Betrieben oder Ämtern sowie Hinweise an Aufsichtsbehörden. Erfolgen daraufhin innerhalb von drei beziehungsweise sechs Monaten keine Reaktionen, ist der Schritt an die Öffentlichkeit möglich.
In Notfällen, in denen eine unmittelbare Gefahr für die Öffentlichkeit besteht, können die Informationen über Verstöße auch direkt offengelegt werden. Gleiches gilt, wenn bei einer Meldung an Aufsichtsbehörden Repressalien zu befürchten sind, ein Fall vertuscht werden könnte oder ein Amt selbst in eine Rechtsverletzung verstrickt ist.
16. April 2019
Bundesjustizministerin Katarina Barley misst automatisierten Entscheidungsfindungen ein hohes Potenzial bei. Algorithmen können objektiver sein als menschliche Verfahren, so die SPD-Spitzenkandidatin auf der Hub-Konferenz. Dies ließe sich beispielsweise bei der Bewerberauswahl feststellen. Dabei seien manche Arbeitgeber vorurteilsbehaftet, sodass sich bereits die Hautfarbe oder ein Name negativ auswirken könne.
„Automated Decision-Making“ (ADM) könne in diesem Falle für ein faires Verfahren sorgen. Jedoch müsse dafür sichergestellt werden, dass die Programmierweise nicht selbst wieder Vorurteile in sich trüge.
Die Bundesjustizministerin plädiert daher für Prüfverfahren der Algorithmen und andere Spielarten der Künstlichen Intelligenz (KI), die zumindest teilweise durch eine öffentliche Einrichtung kontrolliert werden sollten. Dabei müsse gelten: Je größer der Grundrechtseingriff und die Auswirkungen seien, desto höher müssten auch die Standards für Fairness gesetzt werden.
Zudem müsse man wissen wann ein Algorithmus eine Entscheidung fälle. „Deshalb muss Transparenz hergestellt werden, zum Beispiel über ein Icon.“
15. April 2019
Mit dem Beschluss vom 11. April 2019 – I ZR 186/17 setzt der BGH das Verfahren zunächst aus und wartet auf eine Entscheidung des EuGH.
In dem Verfahren vor dem BGH klagt der Dachverband der Verbraucherzentralen der Bundesländer gegen Facebook. Der Verband ist der Ansicht, Facebook habe mit seinem „App-Zentrum“ gegen das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) alter Fassung verstoßen. In der Version aus dem Jahr 2012 stimmten Nutzer mit ihrem Klick auf „Sofort spielen“ automatisch der Übermittlung ihrer Daten an den Spielebetreiber zu. Parallel berechtigten die Anwendungen dazu, im eigenen Namen Statusmeldungen und Fotos zu veröffentlichen. Weiterhin wirft der Verband Facebook vor, die Nutzer somit nicht ausreichend über die Erhebung und Verwendung der Daten aufgeklärt zu haben, sodass auch die notwendige Einwilligung nicht erfolgen könnte.
War der Verband in den ersten beiden Instanzen noch erfolgreich, soll nun vorab die Frage geklärt werden, ob die Verfolgung von Verstößen überhaupt durch Verbände oder ausschließlich durch die Datenschutzbehörden und die Betroffenen selbst erfolgen darf. Der Bundesgerichtshof (BGH) zieht die Möglichkeit in Betracht, dass dies den Datenschutzbeauftragten vorbehalten sein könnte.
Dazu will der BGH eine Entscheidung des EuGH abwarten. Auch in diesem Verfahren geht es um eine Klage der Verbraucherzentrale NRW gegen Facebook. Gestritten wird um die Einbindung des Like-Buttons in einem Online-Shop.
