15. Oktober 2020
Die Europäische Gesellschaft für Datenschutz (EuGD) plant laut Pressemitteilung eine Schadensersatzklage gegen Amazon aufgrund von Datenschutzverstößen. Konkret wirft die EuGD dem Unternehmen vor, rechtswidrig Daten in die USA zu transferieren und so gegen die DS-GVO zu verstoßen.
Dabei soll einerseits ein Antrag der EuGD auf ein Auskunftersuchen gemäß Art. 15 DS-GVO unbeantwortet geblieben sein. Andererseits soll Amazon weiterhin Daten in die USA übertragen. Dies ist seit der Aufhebung des Privacy Shields durch den EuGH nur noch unter Verwendung von geeigneten Garantien erlaubt. Das heißt, Amazon müsse garantieren, dass das in der Europäischen Union bestehende Datenschutzniveau auch in den USA eingehalten wird. Dies ist bei einer Übertragung von Daten in die USA nicht zu bewerkstelligen, da dort personenbezogene Daten von den Geheimdiensten eingesehen werden können.
Schon zuvor ist Amazon ins Visier der Non-Profit-Organisation noyb geraten. Diese hat festgestellt, dass Amazons Verschlüsselung nicht ausreichend ist. Ebenfalls bemängelt sie, dass Amazon nicht hinreichend seinen Informationspflichten aus Art. 13 DS-GVO nachkommt; konkret in Bezug auf dessen Streamingdienst AmazonPrime. Dies gilt genauso für Informationspflichten in Bezug auf Amazons Alexa – auch diesbezüglich wurden Nutzer nicht ausreichend informiert.
8. Oktober 2020
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.
Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, „Welcome Back Talks“ durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.
Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.
H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.“ Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.
Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.
Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.
Der Europäische Gerichtshof (EuGH) in Luxemburg entschied mit am 06.10.2020 veröffentlichten Urteil, dass eine flächendeckende und pauschale Speicherung von Kommunikations- und Standortdaten bei der Nutzung von Telekommunikationsdiensten unzulässig ist. Anlass hierzu war, dass der belgische Verfassungsgerichtshof, der französische Staatsrat und das britische Gericht für Ermittlungsbefugnisse anfragten, ob die europäische Datenschutzrichtlinie für elektronische Kommunikation auch auf Maßnahmen zur Terrorabwehr angewendet werden kann.
Eine Ausnahme des Verbotes der flächendeckenden und pauschalen Speicherung von Kommunikations- und Standortdaten soll in Fällen der Bekämpfung schwerer Kriminalität sowie bei konkreten Bedrohungen der nationalen Sicherheit gelten. Voraussetzung für einen solchen Ausnahmefall ist, dass sich ein EU-Mitgliedstaat in einer ernsten Bedrohungslage für die nationale Sicherheitslage befände, die allgemein, aktuell und vorhersehbar sei. Unklar bleibt, was genau als „ernsthafte Bedrohung“ definiert werden darf und was nicht. Auch hier gilt, dass die Datenspeicherung und -übermittlung streng zweckgebunden und zeitlich begrenzt sein muss. Eine Beschränkung auf das unbedingt notwendige Maß ist erforderlich. Eine Nachprüfung durch Gerichte oder unabhängige Behörden soll jederzeit möglich sein können.
Gleiches gilt bei Ermittlungen gegen schwere Straftaten und bei einer Bedrohung der öffentlichen Sicherheit.
Weiterhin hält der EuGH eine Vorratsdatenspeicherung für rechtmäßig, wenn sie sich auf bestimmte Personengruppen oder bestimmte Gebiete bezieht und auf einen bestimmten Zeitraum begrenzt ist. Hier sollen Behörden Provider überdies über diese bestimmten Zeiträume hinaus zur Datenspeicherung anhalten können. Hierbei ist wieder Voraussetzung, dass die Vorratsdatenspeicherung Maßnahmen zur Aufklärung von schweren Verbrechen oder von Angriffen auf die nationale Sicherheit dient, oder wenn solche konkreten Anlassfälle vermutet werden.
In Deutschland wird die Vorratsdatenspeicherung momentan ohnehin aufgrund eines früheren Urteils des EuGH ausgesetzt. Ein gesondertes Verfahren vor dem EuGH hierzu ist derzeit noch anhängig.
7. Oktober 2020
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink (LfDI) untersagte der Stadt Tübingen die Nutzung polizeilicher Daten für eine Liste mit „auffälligen“ Asylbewerbern.
Seit eineinhalb Jahren streiten der Oberbürgermeister der Stadt Tübingen Boris Palmer und der LfDI bezüglich der Rechtmäßigkeit einer von der Stadtverwaltung geführten „Gefährderliste“. Gespeist wird die Liste mit Daten die die Polizei aufgrund ausländerrechtlicher Vorgaben an die städtische Ausländerbehörde übermittelt und die auch an die städtische Verwaltung weitergegeben werden. Nach eigenen Angaben der Stadt dient die Liste dazu, die städtischen Bediensteten und die Bevölkerung vor Übergriffen dieses Personenkreises zu schützen.
Der LfDI bewertet diesen Datenaustausch als rechtswidrig. Die betroffenen Daten unterlägen einer Zweckbindung, die nur Maßnahmen für ausländerrechtliche Zwecke umfasse. Für eine Übermittlung zu anderen Zwecken der Verwaltung bestehe demnach keine Rechtsgrundlage. Die Eintragung der personenbezogenen Daten einer betroffenen Person in die Liste erfolge außerdem, ohne dass die Staatsanwaltschaft oder ein Gericht sich bereits mit dem Vorwurf befasst und diesen in einem rechtsstaatlichen Verfahren bestätigt hätten. Nach Einschätzung des LfDI würden solche „Gefährderlisten“ auf Grundlage eines bloßen Verdachts, der rechtsstaatlich nicht überprüft wurde, die Rechte ausländischer Mitbürger verletzen.
In seiner Pressemitteilung wies der LfDI außerdem darauf hin, wie mühsam sich die Klärung der gegenständlichen Frage mit der Stadt Tübingen darstellte. So würden bis heute zugesagte Akten noch fehlen. Mit der Untersagungsverfügung hat der LfDI erstmals eine Anordnung gegenüber einer Kommune erlassen.
30. September 2020
Laut Berichten hat Airbnb mit enormen Sicherheitsproblemen zu kämpfen. Viele Airbnb-Hosts melden, dass ihnen nachdem sie sich in ihr Airbnb Account eingeloggt hätten, Postfächer von anderen Hosts angezeigt worden seien. Die Airbnb-Hosts können die Gastgebernamen, Profilbilder, Buchungseinnahmen, Anzahl der Buchen von den letzten 30 Tagen und sogar die Codes, welche den Zugang zum gemieteten Objekt ermöglichen, sehen.
Nach einigen Berichten soll der Airbnb-Support empfohlen haben, sich neu einzuloggen, die Cookies zu löschen oder den Browser zu wechseln. In manchen Fällen wurde das Problem durch das Abmelden und erneute Anmelden verhindert, dies betrifft jedoch nicht alle Fälle.
Airbnb sagte: „Am Donnerstag führte ein technisches Problem dazu, dass eine kleine Gruppe von Benutzern versehentlich begrenzte Mengen an Informationen aus den Konten anderer Benutzer anzeigt“. „Wir haben das Problem schnell behoben und implementieren zusätzliche Kontrollen, um sicherzustellen, dass es nicht erneut auftritt. Wir gehen davon aus, dass persönliche Informationen nicht missbraucht wurden und Zahlungsinformationen zu keinem Zeitpunkt verfügbar waren.“
Der Digitalverband „Bitkom“ hat am gestrigen Dienstag (29.09.2020) die Ergebnisse einer repräsentativen Umfrage vorgestellt, die unter mehr als 500 deutschen Unternehmen durchgeführt wurde. Dabei wird deutlich, dass längst noch nicht alle Unternehmen die „neuen“ Datenschutzanforderungen umgesetzt haben. Gleichzeitig kritisieren die Teilnehmer die gesetzlichen Vorgaben sowie die Tätigkeit der Aufsichtsbehörden und monieren, die Datenschutz-Grundverordnung (DS-GVO) stelle ein Hindernis für technologische Innovationen dar.
Mehraufwand, Kritikpunkte und Verbesserungsvorschläge
Die wohl wichtigste Erkenntnis stellt die Bitkom direkt vorweg: auch mehr als zwei Jahre nach dem Inkrafttreten der DS-GVO haben noch längst nicht alle befragten Unternehmen die „neuen“ datenschutzrechtlichen Vorgaben umgesetzt (nur 20% haben sie vollständig implementiert, 37% größtenteils, 35% teilweise und 6% beginnen erst mit der Umsetzung), und ganze 89% der Teilnehmer halten sie ohnehin für praktisch nicht vollständig umsetzbar. Zurecht bezeichnet Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, diese Zahlen als ernüchternd.
Wie kommt es zu diesen Zahlen und der scheinbar allgemeinen Unzufriedenheit mit dem geltenden datenschutzrechtlichen Regelwerk? Neben der bereits erwähnten Frage, ob die Vorgaben überhaupt praktisch vollständig umsetzbar sind, werden folgende Punkte moniert: anhaltende Rechtsunsicherheit durch die gesetzlichen Vorschriften (74%), zu viele Änderungen oder Anpassungen bei der Auslegung (68%), fehlende Umsetzungshilfen durch die Aufsichtsbehörden (59%), uneinheitliche Auslegungsergebnisse innerhalb der EU (45%) und fehlendes Fachpersonal (26%).
All diese Probleme führten laut 36% der Teilnehmer seit dem Inkrafttreten der DS-GVO zu einem Mehraufwand, und 35% erwarten künftig noch eine Zunahme. Auch wirke sich das neue Datenschutzrecht auf die Umsetzung verschiedenster technologischer Innovationen aus: Datenpools könnten nicht aufgebaut (41%), Big Data oder künstliche Intelligenz nicht genutzt (31%), Geschäftsprozesse nicht digitlalisiert (24%) und neue Datenanalysen nicht verwendet werden (20%). Insgesamt seien bei 56% der befragten Unternehmen „neue, innovative Projekte wegen der DS-GVO gescheitert“, für 71% mache die DS-GVO Geschäftsprozesse komplizierter.
So fällt dann auch die Bewertung des geltenden europäischen Datenschutzrechts erst einmal negativ aus. Für 92% der Teilnehmer sind Nachbesserung an den bestehenden Regeln erforderlich, beispielsweise eine „praxisnähere“ Gestaltung der Informationspflichten (91%), verständlichere Regelungen (85%) oder auch eine bessere Unterstützung durch die Aufsichtsbehörden (83%). Laut 12% der befragten Unternehmen führe die DS-GVO sogar zu einer Gefahr für die eigene Geschäftstätigkeit.
Datenschutz in der Pandemie
Auch in Zeiten der Covid-19-Pandemie erschwere das Datenschutzrecht die tägliche Arbeit bzw. die Umstellung insbesondere auf die Tätigkeit im Home Office. So würde wegen datenschutzrechtlicher Bedenken auf Kollaborationstools verzichtet (23%) bzw. diese nur eingeschränkt genutzt (17%), bei Cloud-Diensten würden 2% der Teilnehmer verzichten und 26% diese nicht vollumfänglich nutzen. Auch Videotelofonie werde eingeschränkt (10%) oder gar nicht genutzt (3%). Dasselbe gelte für Messanger-Dienste (4%). Um die Arbeit im Home Office dennoch besser koordinieren und kontrollieren zu können, haben 42% der befragten Unternehmen Leitlinien hierfür erstellt (20% hatten solche bereits vor der Pandemie implementiert) und bei 37% der Teilnehmer sind solche in Planung oder Diskussion. Nur 6% schließen solche Leitlinien grundsätzlich aus, in 13% der Unternehmen ist Home Office ohnehin untersagt.
Die teilnehmenden Unternehmen wurden aber nicht nur nach den unmittelbaren Auswirkungen der Pandemie gefragt, sondern auch danach, wie diese besser bewältigt werden könnte. So geben 62% der Teilnehmer an, mehr Möglichkeiten zur Datennutzung könnten helfen; Deutschland übertreibe es beim Datenschutz (40%). Aus diesem Grund könnten dann auch eigene Corona-Maßnahmen aus Datenschutzgründen nicht umgesetzt werden (10%). So sei in keinem der befragten Unternehmen eine eigene Corona-Tracing-App im Einsatz, in 22% der Unternehmen mit mehr als 500 Mitarbeiten sei dies aber geplant oder werde immerhin diskutiert.
Nicht nur Kritik, sondern auch positive Aspekte
Immerhin sehen die befragten Unternehmen auch positive Eigenschaften an der Datenschutz-Grundverordnung. So setze sie weltweit Maßstäbe für den Umgang mit Personendaten (69%), schaffe einheitliche Wettbewerbsbedingungen innerhalb der EU (66%) und führe gar zu einem Wettbewerbsvorteil für europäische Unternehmen (62%). So sehen dann auch 20% der Unternehmen insgesamt Vorteile für die eigene Geschäftstätigkeit.
Dass die durch die Bitkom befragten Unternehmen ganz überwiegend erheblichen Mehraufwand durch die Vorgaben der DS-GVO verzeichnen, überrascht nicht. Über Jahrzehnte hat das Thema „Datenschutz“ in deutschen Unternehmen ein Schattendasein gefristet, nicht unbedingt wegen fehlender gesetzlicher Regelungen, sondern auch bedingt durch eine lasche Kontrolle seitens der Aufsichtsbehörden bzw. eines geringen Risikos durch Bußgelder. Dies ist unter Wirkung der DS-GVO nun anders. Betrachtet man auch die dargestellten positiven Effekte, so scheint es nicht ausgeschlossen, dass deutsche und europäische Unternehmen – nach einem durchaus verständlichen Stotterstart – langfristig durch das neue Datenschutzrecht profitieren könnten. Sicherlich muss aber auch immer wieder evaluiert werden, welche Regelungen des Datenschutzrechts Sinn ergeben, und welche eher „gut gemeint“ waren, in der Praxis aber ihren Schutzauftrag nicht erfüllen.
Die Irische Datenschutzbehörde (DPC), die in den vergangenen Jahren besonders durch ihre Untätigkeit aufgefallen ist, hat sich im Zuge des EuGH-Urteils Schrems ./. Facebook Ireland, Az.: C-311/18 „Schrems II“ (wir berichteten) zu einer Untersuchung der transatlantischen Datenübertragungen seitens Facebooks durchgerungen.
Dagegen wollte Facebook, gegen das der Datenaktivist Max Schrems im Rahmen des EuGH-Urteils Schrems II Beschwerde eingelegt hat und letztlich zum Urteil Schrems II geführt hat, Rechtsmittel einlegen.
Dem hat der irische High Court nun stattgegeben. Facebook hat moniert, dass die Irische Datenschutzbehörde in ihrem Untersuchungsentwurf von vorneherein von einer Unwirksamkeit der von Facebook verwendeten Standardvertragsklauseln ausgeht. Außerdem sei nicht nachvollziehbar, warum nur gegen Facebook vorgegangen würde und nicht ebenso gegen andere US-IT-Unternehmen.
Außerdem stellte Facebook klar, dass es weiterhin Daten in die USA übermitteln würde. Dies begründete es mit einer Notwendigkeit gemäß Art. 49 Abs. 1 Satz. 1 lit. b) DS-GVO. Auf diese Weise versucht Facebook der vom EuGH im Rahmen des Urteils Schrems II in Bezug auf die Standardvertragsklauseln geäußerten Sicherheitsbedenken aus dem Weg zu räumen.
Facebook hat schon eine Zeit lang vor dem EuGH-Urteil Schrems II C-311/18 seine Datenübertragung auf Standardvertragsklauseln und nicht mehr auf das Privacy-Shield-Abkommen gestützt. Da der EuGH im Rahmen des Urteils Schrems II jedoch auch die Standardvertragsklauseln allein als nicht mehr ausreichend ansieht, stützt Facebook seine Übertragung nun auf Art. 49 Abs. 1 Satz. 1 lit. b) DS-GVO.
Damit geht die unendliche Geschichte der Irischen Datenschutzaufsicht und Facebook in die nächste Runde.
24. September 2020
Die norwegische Datenschutzbehörde hat gegen die norwegische öffentliche Straßenverwaltung eine Geldbuße in Höhe von 37.400 EUR verhängt, da personenbezogene Daten für Zwecke verarbeitet wurden, die nicht mit den ursprünglich angegebenen Zwecken vereinbar waren.
Die norwegische öffentliche Straßenverwaltung nutzte das durch Verkehrskameras gewonnene Videomaterial zur Überwachung von Vertragspartnern, Mitarbeitern und Subunternehmen. Die Behörde stellt klar, dass der eigentliche Zweck der Verarbeitung personenbezogener Daten durch die Verkehrskameras die Gewährleistung der Verkehrssicherheit und des optimalen Verkehrsflusses den Straßen entlang ist. In diesem Fall wurden die Videoaufnahmen jedoch zur Dokumentation von Vertragsverletzungen verwendet. Die norwegische Datenschutzbehörde hat hervorgehoben, dass diese Datenverarbeitung für die Betroffenen erhebliche Nachteile mit sich bringe und im Widerspruch zu den Erwartungen der Betroffenen an die Verarbeitung ihrer personenbezogenen Daten stehe.
Die elektronische Patientenakte kommt 2021 und soll einen erheblichen Beitrag zur Digitalisierung des Gesundheitswesens leisten. Doch die vorgesehenen Regelungen stoßen auf starke Kritik von datenschutzrechtlicher Seite. So hat Ulrich Kelber, Bundesdatenschutzbeauftragter und zuständig für die Kontrolle der Datenverarbeitungen durch die gesetzlichen Krankenkassen, die unbeschränkte Zugriffsmöglichkeit von Ärzten auf die verarbeiteten Gesundheitsdaten gerügt (wir berichteten) und entsprechende aufsichtsbehördliche Maßnahmen angekündigt. Zudem wurde die Datensicherheit als unzureichend kritisiert, insbesondere hinsichtlich des vorgesehenen Authentifizierungsverfahrens.
Im Blickpunkt: Werbung für „Versorgungsinnovationen“
Dies sind jedoch nicht die einzigen Punkte, die im Zusammenhang mit dem sog. „Patientendaten-Schutz-Gesetz“ (PDSG) für eine gewisse Aufregung sorgen. Das Netzmagazin „Telepolis“ hatte bereits Anfang August über eine Änderung des § 68b Abs. 3 SGB V berichtet, die auch Ulrich Kelber sauer aufgestoßen ist. § 68b Abs. 2 S. 1 SGB V erlaubt den gesetzlichen Krankenversicherungen, „ihren Versicherten insbesondere Informationen zu individuell geeigneten Versorgungmaßnahmen zur Verfügung (zu) stellen und individuell geeignete Versorgungsmaßnahmen an(zu)bieten.“ Um solche Angebote überhaupt vorbereiten zu können, dürfen die Krankenkassen gem. § 68b Abs. 1 S. 4 SGB V „die versichertenbezogenen Daten, die sie nach § 284 Abs. 1 (SGB V) rechtmäßig erhoben und gespeichert haben, im erforderlichen Umfang auswerten.“ Zwar muss zumindest eine Pseudonymisierung der Daten, ggf. sogar eine Anonymisierung stattfinden. Weil hier jedoch u.a. auch Informationen über ärztliche Leistungen enthalten sind, erscheint es nicht ausgeschlossen, dass auch besonders zu schützende, weil sensible Gesundheitsdaten verarbeitet werden. Im Ergebnis kann hier eine Profilbildung der Versicherten stattfinden, um diesen „Versorgungsinnovationen“, das heißt zusätzliche Gesundheitsmaßnahmen über die bereits bezogenen ärztlichen Leistungen hinaus, anbieten zu können. Wohlwollend betrachtet geht es also um die Verbesserung der medizinischen Versorgung. Man kann darin aber auch eine exzellente Werbemöglichkeit für die Krankenkassen und deren Partner sehen.
Vorheriges Einwilligungserfordernis gestrichen
Die dargestellte Profilbildung und die Information der Versicherten über zusätzliche Maßnahmen darf aber, so die bisherige Rechtslage, nur erfolgen, wenn die Versicherten „zuvor schriftlich oder elektronisch eingewilligt“ haben (§ 68b Abs. 3 S. 1 SGB V). Dieses vorherige Einwilligungserfordernis entspricht den Anforderungen der Datenschutz-Grundverordnung (DS-GVO) an eine wirksame datenschutzrechtliche Einwilligung. Gleichzeitig ist sie den Krankenkassen jedoch ein Dorn im Auge, insbesondere stoße dies an „Praktikabilitätsgrenzen“ (so der GKV-Spitzenverband bereits in einer Stellungnahme vom 11.10.2019). Aus diesem Grunde wurde von dieser Seite eine Änderung des § 68b Abs. 3 S. 1 SGB V dahingehend gefordert, dass nur noch die Teilnahme an den Angeboten und die dafür erforderlichen Verarbeitungen der vorherigen Einwilligung bedürfen – nicht aber die vorbereitenden Maßnahmen, also die Profilbildung. Dieser Änderungsvorschlag wurde in ähnlicher Form in das Gesetz aufgenommen und der neue § 68b Abs. 3 SGB V laut Gesetzesbegründung darauf gestützt, dass sich „das vormals bestehende Einwilligungserfordernis (…) als nicht praktikabel erwiesen hat.“ So lautet der neue § 68b Abs. 3 SGB V – die Gesetzesänderung wurde durch den Bundesrat am 18.09.2020 angenommen – nun wie folgt: „Die Teilnahme an Maßnahmen nach Absatz 2 ist freiwillig. Die Versicherten können der ge-zielten Information oder der Unterbreitung von Angeboten nach Absatz 2 durch die Krankenkassen jederzeit schriftlich oder elektronisch widersprechen. Die Krankenkassen informieren die Versicherten bei der ersten Kontaktaufnahme zum Zwecke der Information oder des Unterbreitens von Angeboten nach Absatz 2 über die Möglichkeit des Widerspruchs.“
Statt auf eine vorherige ausdrückliche Einwilligung, setzt das Gesetz also auf eine Widerspruchsmöglichkeit. Diese bezieht sich jedoch, folgt man dem Wortlaut der Norm, nur auf die gezielte Information sowie die Unterbreitung von Angeboten, nicht aber darauf, dass die personenbezogenen Daten nach § 68b Abs. 1 SGB V zur Angebotsvorbereitung verarbeitet werden. Auf diesen Verarbeitungsvorgang haben die Versicherten demnach keinen Einfluss mehr. Sie werden erst über die Datenverarbeitung informiert, wenn die Profilbildung bereits stattgefunden hat, und können lediglich die weiteren Werbemaßnahmen seitens der Versicherungen verhindern.
Wurde der BfDI getäuscht?
Pikant ist an dieser Änderung auch der Umstand, dass dem BfDI zur vorherigen Stellungnahme, die vor Verabschiedung des Gesetzes erfolgt ist, laut Aussage von Ulrich Kelber eine anderslautende Formulierungshilfe vorgelegt wurde. In dieser lautete die fragliche Bestimmung noch: „Die Teilnahme an Angeboten nach Absatz 2 und die dazu erforderliche Verarbeitung personenbezogener Daten dürfen nur nach schriftlicher oder elektronischer Einwilligung der Versicherten erfolgen. Die Einwilligung kann jederzeit schriftlich oder elektronisch widerrufen werden.“ Weil hier noch eine vorherige Einwilligung vorgesehen war, habe seine Behörde zu diesem Punkt keine Stellungnahme abgegeben, so Kelber. Es sehe deswegen danach aus – so die Einschätzung von „Telepolis“ – als sei der Aufsichtsbehörde absichtlich eine anderslautende Formulierungshilfe vorgelegt worden, um wegen eines Verstoßes der Norm gegen die DS-GVO einen Widerspruch durch den Bundesbeauftragten zu verhindern.
Im Interview mit „Telepolis“ machte Kelber jedoch deutlich, dass durchaus noch Handlungsmöglichkeiten seiner Behörde bestünden. Werde hier ein Verstoß gegen die DS-GVO festgestellt, könnten entsprechende Datenverarbeitungen durch die Krankenkassen mit entsprechenden Anordnungen unterbunden und Veränderungen der Datenverarbeitung angewiesen werden. Im Zweifel würde dir Frage der Rechtmäßigkeit der Norm durch den EuGH geklärt werden. Dabei verweist Kelber auch auf die Möglichkeiten, die den Versicherten selbst zur Verfügung stehen: Beschwerden über die Verarbeitungen bei der für ihre Krankenkasse zuständige Aufsichtsbehörde sowie Bestreitung des Rechtswegs, notfalls bis zum Bundesverfassungsgericht.
22. September 2020
Der Big Brother Award, ein Datenschutz-Negativpreis, ging dieses Jahr unter anderem an Tesla und das Land Brandenburg. Der Award wird seit dem Jahr 2000 vom Datenschutzverein „Digitalcourage“ und anderen Bürgerrechtsorganisationen verliehen. „Ausgezeichnet“ werden Behörden oder Unternehmen, die gegen einschlägige Datenschutzbestimmungen verstoßen oder Personen überwachen und analysieren.
Brandenburg erhielt in der Kategorie „Behörden und Verwaltung“ den Award wegen der dauerhaften Speicherung von Autokennzeichen. Auf Brandenburgs Autobahnen findet eine automatische Kennzeichenerfassung statt. Entgegen des Brandenburgischen Polizeigesetzes findet diese Erfassung ohne konkreten Anlass statt. Die erhobenen Daten werden im Computersystem für die automatische Kennzeichenerfassung („KESY“) gespeichert. Die Behörden des Landes speichern in über 40 Millionen Datensätzen dauerhaft Informationen zu Fahrzeugen. Zugriff auf diese gespeicherten Daten hat wohl eine unüberschaubare Anzahl von Behördenmitarbeitern. Kritisiert wurde dieses Vorgehen bereits 2015 von der damals zuständigen Landesdatenschutzbeauftragten Barbara Hartge.
Die Auszeichnung an Tesla erging in der Kategorie „Mobilität“ . In den Fahrzeugen werden systematisch die Innenräume und die Umgebung im Umkreis bis zu 250 Meter durch Außenkameras der Fahrzeuge aufgezeichnet, sowie Navigationsdaten erhoben. Zwar ist es dem Fahrer grundsätzlich möglich, diese Aufzeichnungsfunktion teilweise zu deaktivieren, welche personenbezogenen Daten gespeichert und auf Teslas US-Server übertragen werden, kann allerdings nicht kontrolliert werden. Nach Angaben von Tesla werden die erhobenen personenbezogenen Daten sowohl zur Verbesserung der autonomen Fahrsysteme als auch zu Marketingzwecken verwendet.
In der Kategorie „Arbeitswelt“ erhielt H&M eine Auszeichnung. Beanstandet wurde, dass im H&M Kundencenter in Nürnberg jahrelang Beschäftigtendaten rechtswidrig verarbeitet wurden. So gab es einen für Führungskräfte und Teamleiter zugänglichen Computer-Ordner, in dem detailliert persönliche Informationen über die Mitarbeiter gespeichert wurden. Erhoben wurden beispielweise Informationen zu Beziehungen der Beschäftigten untereinander oder zu bevorstehenden Scheidungen. Ebenso wurden Angaben zu familiären Todes- oder Streitfällen festgehalten. Auch Krankheitsdaten von Mitarbeitern, die teilweise durch Teamleiter in Privatgesprächen erhoben wurden, wurden hier gespeichert.
Weiterhin wurden die Firma BrainCo und der Leibniz-Wissenschaftscampus Tübingen in der Kategorie „Bildung“ ausgezeichnet. Sie entwickelten EEG-Stirnbänder, die über Gehirnstrommessung angeblich die Konzentration von Schülerinnen und Schülern messen können. Dabei wird der Konzentrationsgrad mittels LED auf dem Stirnband angezeigt und per Funk an die jeweilige Lehrkraft übertragen. Diese Technik wird wohl bereits vereinzelt in amerikanischen oder chinesischen Klassenzimmern eingesetzt. Der Leibniz-Wissenschaftscampus Tübingen kombinierte die EEG-Stirnbänder mit dem sogenannten Eyetracking. Hierdurch kann beispielsweise festgestellt werden, was ein Schüler gelesen hat und was nicht.
