15. Januar 2021
In seinem Urteil vom 11. Dezember 2020 entschied das Bundesverfassungsgericht, dass Sicherheitsbehörden das sogenannte „Data Mining“ zu Zwecken der Gefahrenabwehr und der Strafverfolgung nicht nutzen dürfen. Beim „Data-Mining“ geht es um eine erweiterte Datennutzung nach dem Antiterrordateigesetz (ATDG).
Bei der erweiterten Datennutzung handelt es sich um eine automatische Auswertung großer personenbezogener Datenmengen zur Feststellung bestimmter Hintergründe, Verknüpfungen und verborgener Zusammenhänge, auf deren Basis Polizei- und Verfassungsschutz zu ausgewählten Projekten gemeinsame Dateien hätten anlegen und auswerten können.
Diese sollte sich auf § 6a Absatz 2 Satz 1 des Antiterrordateigesetzes (ATDG) stützen:
“Eine [an der Antiterrordatei] beteiligte Behörde des Bundes darf zur Erfüllung ihrer gesetzlichen Aufgaben die in der Datei nach § 3 gespeicherten Datenarten mit Ausnahme der nach § 4 verdeckt gespeicherten Daten erweitert nutzen, soweit dies im Rahmen eines bestimmten einzelfallbezogenen Projekts für die Verfolgung qualifizierter Straftaten des internationalen Terrorismus im Einzelfall erforderlich ist, um weitere Zusammenhänge des Einzelfalls aufzuklären. “
Die Richter entschieden, dass dieser Teil des ATDG verfassungswidrig und damit unanwendbar ist. Diese Maßnahme stelle einen Eingriff in das Recht auf informationelle Selbstbestimmung dar und ist dementsprechend mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG unvereinbar.
„Die heutige Entscheidung stärkt den Datenschutz“ äußert auch Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) und sieht sich in seiner Rechtsauffassung bestätigt. „Solche Techniken bedürfen einer klaren Rechtsgrundlage mit eigenständigen Eingriffsschwellen.“
Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse begrüßt das Urteil: „Wiederum ein guter Tag für den Schutz der Privatsphäre sowie für die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten.“
Diese Entscheidung bestärkt die Linie der verfassungsrechtlichen Rechtsprechung der letzten Jahre. Ein Eingriff in die Datenschutzrechte einer betroffenen Person sind an ihrer Intensität zu messen und bedürfen klarer Rechtsgrundlagen.
Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.
Was ist ein Captcha und wofür wird es verwendet?
Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.
Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.
Google, „reCAPTCHA“ und ein Datenschutzproblem
Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.
Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:
„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“
Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.
14. Januar 2021
Ein Lottogewinner gewann nicht nur die Lotterie, sondern auch einen Rechtsstreit vor dem LG Köln. In diesem erwirkte er eine einstweilige Verfügung gegen den Lotterieveranstalter.
Gewinner einer hohen Lotteriesumme wollen nicht immer, dass ihr Bekanntenkreis von dem Gewinn in Kenntnis gesetzt wird. Zum Ärger des Gewinners einer sechsstelligen Summe veröffentlichte der Lotterieveranstalter allerdings unbefugt dessen Vor- und Nachnamen in verschiedenen Publikationen und online.
Nachdem der Veranstalter die Abgabe einer Unterlassenserklärung verweigert hatte, erwirkte der Gewinner vor dem LG Köln eine einstweilige Verfügung. In dieser stellte das Gericht fest, dass sich der Verfügungsanspruch aus §§ 823 Abs. 1 und 2 (i.V.m. Art. 6 DSGVO), 1004 BGB, Artt. 1 und 2 GG ergibt. Laut LG Köln verletzt die unzulässige Namensnennung rechtswidrig das Recht auf informationelle Selbstbestimmung und damit das allgemeine Persönlichkeitsrecht des Geschädigten. Auch eine Einwilligung oder sonstige Rechtsgrundlage gem. Art. 6 DSGVO als Basis für eine zulässige Datenverarbeitung lagen nicht vor.
Bevor es dann zu einem Urteil in der Hauptsache kam, einigten sich die Parteien durch einen Vergleich, der unter anderem die Zahlung eines Schmerzensgeldes in Höhe von 8000€ beinhaltete.
12. Januar 2021
Datenschutz und IT-Sicherheit stehen für Zoom-Nutzer an oberster Stelle. In den letzten Monaten hat Zoom seine Anwendungen durch zahlreiche Funktionen erweitert, mit denen Kunden die Nutzung der Möglichkeit von Videokonferenzen individuell anpassen können. Besonders sachdienlich ist hierfür die von der Konferenz der Datenschutzaufsichtsbehörden (DSK) im Oktober 2020 veröffentlichte Orientierungshilfe und die zugehörige Checkliste zu Videokonferenzsystemen. Beide Dokumente geben umfassende Empfehlungen zu Datenschutz-Einstellungen ab, die bei der Installation sowie der Nutzung von Videokonferenzsystemen berücksichtigt werden sollten.
Zoom hat nun eine eigene Checkliste veröffentlicht, die auf einer Zusammenfassung der DSK-Checkliste basiert und die wichtigsten Datenschutzeinstellungen enthält. Hiermit will das Unternehmen die existierenden Zoom-Funktionalitäten und -Einstellungsmöglichkeiten näher erläutern.
“Damit erlauben wir es unseren Kunden, einfacher die volle Kontrolle über ihre Daten zu wahren und Zoom an ihre Bedürfnisse anzupassen”, so Ansgar Baums, Government Relations von Zoom. “Die DSK-Orientierungshilfe zu Videokonferenzen ist extrem hilfreich – wir bedanken uns ausdrücklich bei den Datenschutzbehörden für ihre Arbeit”.
Zoom präsentierte jüngst eine Reihe von neuen Sicherheitsfunktionen und Datenschutzmaßnahmen, darunter auch die Ende-zu-Ende-Verschlüsselung (E2EE) sowie eine Möglichkeit zur Datenlokalisierung für den EU-Raum.
“Die Übereinstimmung mit der DSK-Checkliste zeigt, dass wir auf dem richtigen Weg sind”, äußerte sich Ansgar Baums.
Internationalen Nutzern steht die Zoom-Checkliste auch auf Englisch zur Verfügung.
Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.
Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente
Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.
Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.
Besondere Schwere des Grundrechtseingriffs betont
Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.
notebooksbilliger.de kündigt Einspruch an
Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.
11. Januar 2021
Die Überwachung von Angestellten ist für manche Arbeitgeber nicht nur per Videoüberwachung eine Option (wir berichteten), sondern auch direkt am Arbeitsrechner. Aufgrund der Zunahme der Home-Office-Tätigkeit weltweit, haben sich manche Arbeitgeber, getreu dem Motto „Vertrauen ist gut, Kontrolle ist besser“, auch intensiver mit dem Thema auseinandergesetzt, als zuvor.
Dabei ist aber zu beachten, dass – genau wie bei einer Videoüberwachung – eine anlasslose Überwachung ohne konkrete Verdachtsmomente rechtlich nicht zulässig ist. Der Vorgesetzte darf solche Kontrollen nur einführen, wenn er einen konkreten Verdacht auf ein pflichtwidriges oder strafbares Handeln zu seinen Lasten hegt.
Eine Überwachung am Arbeitsplatz ist technisch unkompliziert über Logfiles möglich, wenn der Angestellte einen Laptop vom Arbeitgeber erhält oder die gesamte Arbeitsumgebung auf einem Terminalserver des Arbeitgebers liegt.
Daneben gibt es die Option, dass auch eine Überwachung der Arbeitsweise und -Intensität der Angestellten direkt durch das genutzte Programm möglich ist. Beispielsweise bieten die Microsoft Office-Programme die Möglichkeit an, eine Produktivitätsbewertung vorzunehmen. Damit ist es möglich Daten darüber zu sammeln, wie viele Dateien der Angestellte aufruft, mit Kollegen teilt oder als Anhang verschickt. Gesammelt werden Kennzahlen wie: Kommunikation, Besprechungen, Zusammenarbeit an Inhalten, Teamarbeit, Mobilität, Endpunktanalyse, Netzwerkverbindungen und Microsoft 365 Apps-Integrität.
Microsoft weist darauf hin, dass die Informationen nur zur Weiterentwicklung der digitalen Transformationen mit Microsoft 365 vorgesehen sind. Allerdings können besonders neugierige Arbeitgeber anhand dieser Daten eine Produktivitätsbewertung auslesen und mit anderen Mitarbeitern vergleichen.
Diese Produktivitätsbewertung ist standardmäßig deaktiviert. Arbeitgeber sollten sich auch gut überlegen, ob sie diese Option aktivieren möchten. Denn wenn Angestellte mitbekommen, dass sie untereinander verglichen werden, führt das zu einer größeren Stressbelastung und kann letztlich die Produktivität verringern.
Eine solche systematische personenbezogene Überwachung darf außerdem rechtlich nicht ohne Einwilligung des Mitarbeiters erfolgen. Eine Ausnahme stellt der oben erwähnte konkrete Verdachtsmoment dar.
Arbeitgeber sollten also entweder ganz auf eine Überwachung verzichten oder die Ergebnisse anonymisiert bzw. in übergeordneten systematisch angelegten Zahlengruppen anzeigen lassen. So sind keine Rückschlüsse auf den einzelnen Mitarbeiter möglich, aber es ist trotzdem ersichtlich, bei welchen Punkten Verbesserungsbedarf besteht.
7. Januar 2021
Die Gerüchte, dass Google die Aktualisierung hauseigener iOS-Apps vermeidet, um Datenzugriffe nicht offenlegen zu müssen, hat Google nun dementiert.
Wie bereits darüber berichtet wurde, hat Apple die Datenschutz-Anforderungen von iOS-Apps im App Store verschärft. Nachdem nun Apple die Entwickler zu mehr Datenschutz-Transparenz verpflichtet hat, wurde es ruhig um die iOS-Apps von Gmail, Google Drive & Co. Dies erweckte den Eindruck, das Unternehmen wolle App-Updates bewusst zurückhalten, um Apples neue Datenschutz-Kennzeichnung nicht erfüllen zu müssen. Nach Apples Deadline erschienen zwar noch zwei Google-App-Updates im App Store, darunter „Google Präsentationen“ – jedoch ohne die zu diesem Zeitpunkt eigentlich vorgeschriebene Kennzeichnung. Möglicherweise hatte Google die Updates schon vor der Deadline eingereicht.
Dem Portal „Techcrunch“ bestätigte nun ein Google-Sprecher, dass noch in dieser oder nächster Woche Updates im App Store erscheinen werden. Google werde die Privacy Labels dem gesamten, eigenen iOS-App-Katalog hinzufügen. Grund für die Verzögerung könnten unter anderem die Weihnachtsfeiertage gewesen sein, im Vorfeld derer nur selten Updates veröffentlich werden.
Die Apps von Google werden dann auch mit den entsprechenden Datenschutz-Hinweisen versehen. Zu den bekanntesten Anwendungen gehören Dienste wie YouTube, Chrome, Gmail, Maps und Google Drive. Auch andere große App-Anbieter wie Pinterest haben bisher noch keine Details für die Datenschutz-Kennzeichnung übermittelt. Von den meisten Entwicklern wird erwartet, dass sie passende Updates im Laufe des Januars veröffentlichen.
5. Januar 2021
Zum 01.01.2021 wurde der Brexit nun “endlich” offiziell vollzogen, und noch rechtzeitig vor Ablauf der Übergangsfrist konnten sich die EU und das Vereinigte Königreich (UK) auf ein Handels- und Kooperationsabkommen einigen. Dieses ist zwar bisher lediglich provisorisch in Kraft – es fehlt noch die Bestätigung der verschiedenen Institutionen und Mitgliedsstaaten – jedoch dürfte es sich dabei nur noch um eine Formalie handeln.
Vereinigte Königreich nun ein “Drittstaat”
Mit dem Austritt aus der EU ist das Vereinigte Königreich aus datenschutzrechtlicher Sicht nun ein sog. Drittstaat. Dies bedeutet, dass Datentransfers ins Vereinigte Königreich besonders gerechtfertigt werden müssen. Zu diesem Zweck kommt ein Angemessenheitsbeschluss der Kommission in Betracht (Art. 45 DS-GVO), durch welchen bestätigt wird, dass die Datenschutzbestimmungen des Vereinigten Königreichs ein angemessenes Schutzniveau für die übermittelten Daten gewährleisten. Fehlt es an einem solchen Beschluss, kommen die in Art. 46 Abs. 2 DS-GVO genannten Möglichkeiten zur Rechtfertigung in Betracht. Hier würde wie bei Datentransfers in die USA wohl überwiegend auf die sog. Standardvertragsklauseln zurückgegriffen werden, wobei angesichts der Schrems-II-Entscheidung (wir berichteten) fraglich sein könnte, ob diese allein ausreichend sind.
Angemessenheitsbeschluss in Arbeit
Für Rechtssicherheit auf Seiten der betroffenen Unternehmen – und auch für bürokratische Entlastung – würde demnach ein Angemessenheitsbeschluss sorgen. Bereits seit März 2020 arbeitet die Kommission nach eigenen Angaben an einem solchen Beschluss, bisher wurde dieser jedoch noch nicht erlassen. Selbst wenn die Kommission den Beschluss zeitnah erlässt, würde für zusätzliche Verzögerung sorgen, dass dieser auch noch durch den Europäischen Datenschutzausschuss (EDSA) sowie durch die 27 Mitgliedsstaaten bestätigt werden muss.
Weil zwischen dem Ausstritt des Vereinigten Königreichs und dem (möglichen) Erlass des Angemessenheitsbeschlusses eine Lücke entstanden ist, wurde in das Handels- und Kooperationsabkommen eine Übergangsregelung aufgenommen. Diese ermöglicht für die kommenden vier Monate, dass personenbezogene Daten auch ohne ein in den Art. 45 ff. DS-GVO genanntes Instrument übermittelt werden können. Sofern erforderlich und falls keine der beiden Parteien widerspricht, kann sich die Übergangsfrist um weitere zwei Monate – also bis zum 01.07.2021 – verlängern. Bis zu diesem Zeitpunkt ist also für Rechtssicherheit gesorgt.
Und nach Ablauf der Übergangsregelungen?
Was aber passiert, wenn bis zu diesem Datum kein Angemessenheitsbeschluss erlassen wurde? Unmöglich erscheint dies nicht, berücksichtigt man die durch den EuGH gestellten Anforderungen an die Wirksamkeit eines solchen Beschlusses. Auch scheint fraglich, ob die Kommission ein erneutes Szenario wie beim Privacy-Shield riskieren will, also das Abkommen durch den EuGH gekippt wird und dies für erhöhte Rechtsunsicherheit sorgt. Insofern sollten sich die betroffenen Unternehmen auch auf den Worst Case vorbereiten: Dass ab dem 01.07.2021 Instrumente wie die Standardvertragsklauseln herangezogen werden müssen, um Datentransfers in das Vereinigte Königreich rechtfertigen zu können.
22. Dezember 2020
Nicht selten steht der unterschiedliche Umgang der zuständigen nationalen Aufsichtsbehörden mit Datenschutzverstößen in der Kritik. Insbesondere der irischen Aufsichtsbehörde – welche u.a. für die Big-Tech-Konzerne Facebook und Twitter zuständig ist – wird regelmäßig ein zu lasches Vorgehen gegen die ihr unterstellten Konzerne vorgeworfen, selbst von anderen Behörden. Hintergrund der Kritik ist auch, dass Datenschutzverstöße solcher Big-Player regelmäßig die Bürger aller EU-Staaten betreffen, es aber grundsätzlich in der Hand einer Behörde liegt, die Verstöße zu ahnden. Um hier ein einheitliches Vorgehen der nationalen Behörden zu gewährleisten, wurde in der Datenschutz-Grundverordnung das sog. Kohärenzverfahren geregelt (Art. 63 ff. DS-GVO). In diesem Verfahren tauschen sich die Aufsichtsbehörden – ggf. unter Einbindung der Kommission – untereinander aus, um eine einheitliche Rechtsanwendung sicherzustellen. Besteht diesbezüglich Uneinigkeit, ist es Aufgabe des Europäischen Datenschutzausschusses (EDSA), die Streitigkeiten zwischen den nationalen Behörden über den Umgang mit Datenschutzverstößen beizulegen. Zum ersten Mal hat der EDSA nun einen solchen Beschluss erlassen und sich dabei auch zur Berechnung von Bußgeldern geäußert.
Datenpanne durch Veröffentlichung geschützter Tweets
Grundlage des Kohärenzverfahrens war eine Datenpanne bei Twitter, welche durch eine fehlerhafte Programmierung ausgelöst wurde. Änderten Nutzer auf Android-Geräten ihre zum Account gehörende E-Mail-Adresse, wurden alle geschützten Tweets der Nutzer öffentlich (über die Follower hinaus), ohne dass dies für den Nutzer ersichtlich war. Die Datenpanne wurde im Dezember 2018 bekannt. Insgesamt waren wohl 88.726 Nutzer innerhalb der EU/des EWR von der Datenpanne betroffen. Bei der Überprüfung der Datenpanne durch die zuständige irische Aufsichtsbehörde stellte diese Verstöße gegen Art. 33 Abs. 1 DS-GVO (Verletzung der Mitteilungspflicht gegenüber der Aufsichtsbehörde) und Art. 33 Abs. 5 DS-GVO (Verletzung der entsprechenden Dokumentationspflicht) fest und schlug ein Bußgeld in Höhe von 135.000 bis 275.000 Euro in Bezug auf die Verletzung dieser Kooperationspflichten vor.
Nachdem die irische Behörde diese Informationen entsprechend Art. 60 Abs. 3 DS-GVO an die anderen europäischen Aufsichtsbehörden übermittelte, erhoben einige Behörden – insbesondere aus Deutschland – Einspruch gegen diese Entscheidung. Gerügt wurde u.a. die Berechnung der Bußgeldhöhe. Der EDSA befasste sich eingehend mit den erhobenen Rügen, wies aber eine Vielzahl davon als unzulässig ab. Geprüft wurde aber insbesondere, ob die Berechnung der Bußgeldhöhe korrekt erfolgte. Dabei stellte der EDSA ausdrücklich fest, dass das Kohärenzverfahren auch dazu dienen soll, die Höhe der Bußgelder in den Mitgliedsstaaten zu vereinheitlichen.
EDSA zur Bußgeldberechnung
Der EDSA weist in seiner Entscheidung ausdrücklich und wiederholt darauf hin, dass es sich um eine Einzelfallentscheidung handelt. Dadurch soll verhindert werden, dass sie in anderen Fällen als Präzedenzfall herangezogen werden kann. Nichtsdestotrotz können aus der Entscheidung Rückschlüsse gezogen werden, insbesondere was die Berechnung der Bußgeldhöhe anbelangt. Wichtig ist aber die Feststellung, dass sich die Aussagen auf die Verletzung der Pflichten aus Art. 33 Abs. 1 und Abs. 5 DS-GVO beziehen, also auf Pflichten im Rahmen der Kooperation mit der Aufsichtsbehörde. Dabei sind insbesondere folgende Feststellungen interessant:
- Werden Kooperationspflichten verletzt, seien diese Verstöße der Höhe des Bußgeldes zugrunde zu legen, nicht die eigentliche Datenpanne (Veröffentlichung der Tweets).
- Es müsse berücksichtigt werden, ob die Betroffenen die Absicht hatten, den Personenkreis einzuschränken, welcher von den Daten (Tweets) Kenntnis erlangen soll.
- Hinsichtllich “Art” und “Umfang” der Verarbeitung sei auf die ursprüngliche Verarbeitung abzustellen, nicht auf die konkrete Datenpanne oder den Datenschutzverstoß (hier also auf die Kommunikation per Tweet).
- Kenntnis von der Datenpanne (im Sinne des Art. 33 Abs. 1 DS-GVO) habe der Verantwortliche erst, wenn dieser “einen gewissen Grad an Gewissheit” darüber besitze, dass eine Datenpanne aufgetreten ist.
- Gehört die Verarbeitung personenbezogener Daten zum Kern der Tätigkeiten des Verantwortlichen, müsse man erwarten können, dass dieser geeignete Maßnahmen implementiert hat, um Datenpannen und Abhilfemaßnahmen dokumentieren und somit seinen Pflichten nachkommen zu können. Werden die Kooperationspflichten dennoch verletzt, sei dies nachteilig zu bewerten.
- Die Aufsichtsbehörde müsse konkret darlegen, aufgrund welcher Kriterien die vorgeschlagene Bandbreite des Bußgeldes (0.25% bis 0.5% des maximalen Bußgeldes) ermittelt wurde.
Letztendlich rügte der EDSA vor allem die Berechnung des Bußgeldes und verwies die Sache zurück an die irische Datenschutzbehörde. Diese müsse die Höhe des Bußgeldes neu berechnen. Darauf hin hat die irische Behörde nun das Bußgeld auf 450.000 Euro erhöht.
Nach einer Entscheidung der Europäischen Bürgerbeauftragten Emely O’Reilly müssen EU-Institutionen künftig auch interne Direktnachrichten archivieren und zugänglich machen.
Regieren via SMS & Co. ist längst Alltag in der Politik des 21. Jahrhunderts. Dies zeigte nicht zuletzt die Kommunikation über den EU-Rettungsschirm im Jahre 2015. Dennoch fiel diese Form der Verständigung nie unter die europäische Verordnung über den Zugang der Öffentlichkeit zu Dokumenten der Europäischen Institutionen. Dies wird sich nun ändern.
Zunächst lehnte der Rat das Auskunftsbegehren des Antragstellers FragDenStaat, welcher Direktnachrichten des ehemaligen EU-Ratspräsidenten Donald Tusk einsehen wollte, ab. Dementgegen stellte die Bürgerbeauftragte O’Reilly in ihrer Entscheidung jedoch grundlegend fest, dass sich die Verordnung auf alle Inhalte, unabhängig von der Form des Datenträgers bezieht.
Diese Entscheidung steht auch im Einklang mit einem vom VG Berlin verkündeten Urteil, nach welchem private Twitter-Direktnachrichten des Bundesinnenministers durch das Ministerium zugänglich gemacht werden müssen. Dagegen hat das Innenmisisterium jedoch eine Sprungrevision beantragt, deren Entscheidung noch aussteht.
