Kategorie: Allgemein

Bundesnetzagentur verhängt Bußgeld gegen den Betreiber “Cell it!” GmbH&Co. KG wegen unerlaubter Telefonwerbung

3. Februar 2021

Das Call-Center “Cell it!” hatte im Auftrag des Mobilfunkanbieters Mobilcom-Debitel Abonnements für Hörbücher, Versicherungen, Sicherheitssoftwares und Zeitschriften verkauft und zuvor unerlaubt Telefonwerbung für diese Produkte betrieben. Die Betroffenen erhielten dabei im Nachgang des Telefonats Zusatzdienstleistungen in Rechnung gestellt, die sie nicht bestellt hatten. Auch für den Pay-TV Anbieter Sky Deutschland hatte “Cell it!” versucht, telefonisch Neukunden zu akquirieren, obwohl die Betroffenen zuvor keine Werbeeinwilligung abgegeben oder diese sogar ausdrücklich widerrufen hatten. “Cell it!” hatte dafür Adresskontingente bei Adresshändlern eingekauft. 

“Cell it!” verstößt demnach mehrfach gegen Art. 6 DSGVO sowie gegen § 7 Abs. 2 und 3 UWG. Auch wenn Direktwerbung von dem in Art. 6 Abs. 1 S. 1 lit. f DSGVO genannten berechtigen Interesse gedeckt sein kann, wird dies durch das Gesetz gegen den unlauteren Wettbewerb eingegrenzt. So liegt eine unzumutbare Belästigung gegenüber Verbrauchern nach § 7 Abs. 2 Nr. 2 UWG vor, wenn Werbung durch einen Telefonanruf ohne die vorherige ausdrückliche Einwilligung des Verbrauchers erfolgt. Aufgrund dessen verhängte die Bundesnetzagentur gegen “Cell it!” GmbH&Co. KG ein Bußgeld in Höhe von 145.000 Euro.

Auch gegen die beiden beteiligten Unternehmen Mobilcom-Debitel und Sky Deutschland verhängte die Bundesnetzagentur Bußgelder. “Wir ahnden unerlaubte Telefonwerbung und gehen konsequent gegen alle beteiligten Unternehmen vor“, so Jochen Hamann, Präsident der Bundesnetzagentur.

LG Lüneburg: Bank muss wegen Schufa-Eintrag Schadensersatz von 1.000 Euro zahlen

Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.

Sachverhalt:

Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.

Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.

Entscheidung:

Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.

Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.

Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.

Ausblick:

Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.

Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.

Vorlage zum Europäischen Gerichtshof: Einführung von Livestream-Unterricht an Schulen

31. Januar 2021

Das Verwaltungsgericht Wiesbaden hat mit Beschluss vom 21.12.2020 bezüglich der Einführung eines Livestream-Unterrichtes den Gerichtshof der Europäischen Union angerufen. Gegenstand des Verfahrens vor dem Verwaltungsgericht ist die Frage, ob es bei dieser Form des Unterrichtes neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf.

Die zuständige Fachkammer entschied (Az.: 23 K 1360/20.WI), dem Gerichtshof die Frage vorzulegen, ob eine Vorschrift bestimmte inhaltliche Anforderungen der DSGVO erfüllen müsse, um eine „spezifische Vorschrift“ im Sinne der DSGVO zu sein. Zudem sei zu klären, ob eine nationale Norm, wenn sie diese Anforderungen offensichtlich nicht erfülle, trotzdem noch anwendbar bleiben könne.

Von der Klärung dieser Frage hänge ab, ob die hessischen Vorschriften zum Datenschutz die Anforderungen der DSGVO erfüllten und ob diese Normen trotz eines möglichen Verstoßes anwendbar blieben, so das Gericht.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Der fragliche Datenschutz im Clubhouse

Clubhouse ging in den USA bereits im März 2020 an den Start und steckt aktuell noch im Beta-Stadium. Bereitgestellt wird die App von dem US-Unternehmen Alpha Exploration Co. Inzwischen hat sie einen Wert von schätzungsweise 100 Millionen US-Dollar. Die Idee stammt von dem Stanford-Absolventen und ehemaligen Pinterest-Mitarbeiter Paul Davison und dem ehemaligen Google-Mitarbeiter Rohan Seth. In Deutschland wurde die App bis Anfang Januar 2021 kaum genutzt, bis einige deutsche Influencer auf der Plattform aktiv wurden. Nach eigenen Angaben ist der Dienst so konzipiert, dass Benutzer audiobasierte Unterhaltungen mit Freunden und anderen Menschen auf der ganzen Welt führen können. Vor kurzem war die App die meist heruntergeladene iOS-Anwendung in Deutschland. In den Diskussionsräumen diskutieren zunehmend bekannte Persönlichkeiten aus Wirtschaft, Politik, Medien und Sport.

Funktion

Clubhouse ist eine Anwendung, bei der sich die User Gespräche anhören und sich dabei auch aktiv an Diskussionen beteiligen können. Neben den öffentlichen Diskussionen bietet die App auch die Möglichkeit zur Diskussion in geschlossenen Gruppen. Die Diskussionsräume sind mit virtuell gestalteten Podiumsdiskussionen vergleichbar.

Die Moderatoren sprechen in den Räumen live über bestimmte Themen und die Zuhörer können dann dem virtuellen Raum beitreten. Die Teilnehmenden sind zunächst stumm geschaltet und können durch die Moderatoren zum Gespräch freigeschaltet werden. Darüber hinaus können die Moderatoren die Teilnehmer auch stumm schalten oder auch aus dem jeweiligen Raum auszuschließen.

Bisher kann die App nur auf iOS Geräten verwendet werden. Auch wenn sie schon im App Store zum Download bereitsteht, so wird für die Nutzung des erstellten Accounts eine Einladung von einem aktiven Anwender benötigt. Durch dieses Marketing-Konzept der künstlichen Verknappung sind Einladungen zurzeit noch sehr begehrt. Aktuell werden sie sogar zum Kauf auf Online-Auktionsplattformen angeboten.

Hinsichtlich des Datenschutzes ist die Nutzung der Anwendung nicht unbedenklich. Die Datenschutzkonferenz von Bund und Ländern (DSK) konnte sich mit dem Dienst bisher noch nicht detailliert befassen. Insofern steht eine Stellungnahme derzeit noch aus.

Zugriff auf Kontakte

Schon die Registrierung ist aus datenschutzrechtlicher Sicht bedenklich. Die dafür notwendige Einladung erfolgt über das Adressbuch des einladenden Nutzers. Das führt dazu, dass die eigenen Kontakte auf dem Smartphone mit Clubhouse geteilt werden müssen. Dabei ist es problematisch, dass die Kontaktdaten von Personen, die noch nicht bei Clubhouse registriert sind, ohne deren Einwilligung an das Unternehmen übermittelt werden. Diese Vorgehensweise wurde auch schon bei der Einführung von WhatsApp heftig kritisiert, da rechtlich gesehen jeder Kontakt zuvor um Erlaubnis gefragt werden müsste, bevor die personenbezogenen Daten verarbeitet werden können. Auf diese Weise kann Alpha Exploration persönliche Daten von Kontakten sammeln, die zuvor nicht in eine Verarbeitung einwilligten und auch die App nicht nutzen. Durch ein solches Auslesen von Kontakten ließe sich das soziale Umfeld von Nutzern weitgehend ausspionieren.

Die Frage nach der Rechtmäßigkeit dieses Vorgehens liegt aktuell der irischen Datenschutzbehörde zur Entscheidung vor. Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink sieht dieses Vorgehen äußerst kritisch. Es sei nicht auszuschließen, dass Clubhouse neben den Telefonnummern auch E-Mail-Adressen und Wohnadressen der Kontakte auslesen würde, sofern diese hinterlegt wären. Des Weiteren habe es ein erhebliches Verführungspotenzial, wenn man die App im vollen Umfang nutzen wolle und dafür nur schnell die Kontakte freigeben müsse, so Stefan Brink. Nach seiner Auffassung könnten die Nutzer rechtswidrig handeln, wenn sie der App Zugriff auf ihre Kontakte geben.

Nach der Aktivierung fordert die App dann auch beim neuen Nutzer Zugriff auf sämtliche Einträge im Adressbuch des verwendeten Smartphones. Auch bei der Anmeldung über einen Social-Media-Account behält sich Clubhouse den Zugang für Follower und Freundeslisten vor. Es ist nicht ersichtlich, in welcher Form und für welche Zwecke die dabei erhobenen Kontakt- und Accountinformationen Dritter in den USA verarbeitet werden.

Audiomitschnitte

Nach eigenen Angaben werden Audiomitschnitte ausschließlich zur Unterstützung der Untersuchung von Vorfällen aufgezeichnet. Temporäre Audioaufzeichnungen werden dabei verschlüsselt. Sollten diese Angaben so zutreffen, könnte sich Clubhouse bei den Aufzeichnungen auf die “Wahrung berechtigter Interessen” gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Hierbei muss jedoch beachtet werden, dass auch temporäre Aufzeichnungen auf den US-Servern des Unternehmens gespeichert werden und somit ein Zugriff Dritter nicht ausgeschlossen werden kann. Darüber hinaus fehlen auch Angaben über die Existenz einer Transportverschlüsselung.

Schattenprofile

Es deutet einiges darauf hin, dass zusätzlich zum Abfragen der Kontaktdaten nichtbeteiligter Dritter, vom Anbieter für diese auch Schattenprofile angelegt werden, selbst wenn sie die Plattform bisher nicht nutzen. Dies dürfte im Widerspruch zu den Betroffenenrechten der DSGVO stehen.

Identifizierung

Das gesamte Netzwerk einer Person ist für alle Nutzer weitgehend einsehbar. Das gilt auch für die Mitglieder innerhalb der verschiedenen Räume. Das kann dann von Vorteil sein, wenn beispielsweise die Nutzer gegen die Nutzungsbedingungen oder auch allgemeinen Gesetze verstoßen, da das Gesprochene, über den Klartextnamen, so schnell einer Person zugeordnet werden kann. Dadurch findet auch eine gewisse Selbstkontrolle statt, da andere Nutzer Verstöße melden können. Es könnte jedoch problematisch sein, wenn Nutzer innerhalb des betroffenen Netzwerks fälschlicherweise mit Äußerungen anderer Nutzer assoziiert werden. Wie auch bei anderen Netzwerken gab es auch bei Clubhouse schon Fälle von Diskriminierung und Rassismus.

Transparenz

In den Terms of Service (AGB) und der Privacy Policy (Datenschutzerklärung) von Clubhouse wird die DSGVO nicht erwähnt. Auch eine Adresse für Datenschutzauskünfte in der EU existiert nicht. Diese ist jedoch zwingend erforderlich, da auch die personenbezogenen Daten von EU-Bürgern verarbeitet werden (Marktortprinzip).

Laut Datenschutzerklärung gibt es bei der Version für das Smartphone eventuell keine Möglichkeit, das Tracking zu unterbinden. Somit kann nicht völlig ausgeschlossen werden, dass eine Profilbildung der Nutzer stattfindet.

Auch die Empfänger der personenbezogenen Daten werden nicht transparent dargestellt. Zwar werden nach offiziellen Angaben keine Daten an Geschäftspartner verkauft, der folgende Absatz der Datenschutzerklärung deutet jedoch auf Gegenteiliges hin.

    „We may share Identification Data and Internet Activity Data with social media platforms and other advertising partners that will use that information to serve you targeted advertisements on social media platforms and other third party websites – under certain regulations such sharing may be considered a “sale” of Personal Data“

Fazit

Zu diesem Zeitpunkt ist es trotz des schnellen Wachstums nur schwer zu prognostizieren, wie sich Clubhouse innerhalb der EU in Zukunft entwickeln wird. Es scheint, als würde man die Datenschutzerklärung bewusst vage halten. Schon jetzt liegen wohl Verstöße gegen die DSGVO vor. Es bleibt somit abzuwarten, wie die europäischen Datenschutzbehörden darauf reagieren werden.

Bundeskabinett setzt sich für die automatisierte Erfassung von Kfz-Kennzeichen ein

Die Bundesregierung will nun die erforderliche Rechtsgrundlage schaffen, die es erlaubt, automatisierte Kennzeichenlesesysteme (AKLS) im öffentlichen Verkehrsraum zu Fahndungszwecken zu nutzen. Doch welchen datenschutzrechtlichen Bedenken begegnet der vom Bundeskabinett bereits gebilligte Gesetzentwurf?

Automatisierte Kennzeichenerfassung: Die Ausgangslage

Das Thema einer massenhaften und undifferenzierten Erfassung von Kfz-Kennzeichen ist schon lange im Gespräch. Das Bundesverfassungsgericht (BVerfG) hatte sich Ende 2018 erneut mit der Verfassungsmäßigkeit von automatisierten Kfz-Kennzeichenkontrollen beschäftigt (Beschl. v. 18.12.2018, Az. 1 BvR 142/15 und Beschl. v. 18.12.2018, Az. 1 BvR 3187/10).

Hierbei ging es jedoch um Rechtsgrundlagen aus drei Landesgesetzen (Bayern, Hessen und Baden-Württemberg).

In Abweichung seiner bisherigen Rechtsprechung stellte das BVerfG damals letztlich fest, dass die automatisierte Kennzeichenerfassung einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung begründe. Dieser gelte für alle Personen, deren Kennzeichen in die Kontrolle einbezogen werden. Zuvor hatte das Gericht einen Eingriff lediglich im Falle eines Treffers angenommen.

Da ein solcher Eingriff nur durch ein verhältnismäßiges Gesetz gerechtfertigt werden könne, sei zwingende Voraussetzung für polizeiliche Kontrollen grundsätzlich „ein objektiv bestimmter und begrenzter Anlass“. Um engmaschige Grenzen für die Kennzeichenkontrolle sicherzustellen, müssten die Regelungen eine Beschränkung auf den Schutz von Rechtsgütern von zumindest erheblichem Gewicht oder einem vergleichbar gewichtigen öffentlichen Interesse aufweisen.

Das Problem ist bis heute: Es gibt keine verhältnismäßige Rechtsgrundlage für eine Kennzeichenkontrolle zu Strafverfolgungszwecken. Dies soll der Gesetzesentwurf des Bundeskabinetts ändern.

Was besagt das neue Gesetz?

Der Gesetzentwurf sieht im neuen § 163g StPO zunächst eine „im öffentlichen Verkehrsraum örtlich begrenzte“ Erhebung des „Kennzeichen von Kraftfahrzeugen sowie Ort, Datum, Uhrzeit und Fahrtrichtung“ vor.

Die Erhebung darf „durch den Einsatz technischer Mittel automatisch“ erfolgen, „wenn zureichende tatsächliche Anhaltspunkte“ für die Begehung einer „Straftat von erheblicher Bedeutung“ vorliegen und angenommen werden kann, „dass diese Maßnahmen zur Ermittlung der Identität oder des Aufenthaltsorts des Beschuldigten führen“. Hierzu „darf die Datenerhebung nur vorübergehend und nicht flächendeckend erfolgen“.

Die so erhobenen Daten dürfen mit Kennzeichen von Kraftfahrzeugen automatisch abgeglichen werden, die auf den Beschuldigten oder auf mit ihm in Verbindung stehende Personen zugelassen sind oder genutzt werden. Letzteres ist jedoch nur zulässig, wenn der Aufenthaltsort des Beschuldigten nicht auf andere Weise oder nur schwierig zu ermitteln ist.

Die automatische Erfassung der Kennzeichen muss – vorbehaltlich des Vorliegens von Gefahr im Verzug – schriftlich begründet von der Staatsanwaltschaft angeordnet werden. Außerdem ist die Erfassung unverzüglich zu beenden, wenn die Voraussetzungen des § 163g StPO nicht mehr erfüllt sind.

Was bedeutet das datenschutzrechtlich?

Zunächst müssten die Anforderungen DSGVO-konform sein. Insbesondere der Art. 5 DSGVO ist entscheidend. Demnach muss ein rechtmäßiger Zweck gegeben sein (“Zweckbindung”) und die zu erhebenden personenbezogenen Daten müssen auf das notwendige Maß beschränkt werden („Datenminimierung“). Zuletzt darf eine Speicherung der Daten nur so lange erfolgen, wie dies für den verfolgten Zweck erforderlich ist (“Speicherbegrenzung”). Die Daten müssen auch ausreichend geschützt sein.

Bedeutung für den Beschuldigten:

Für eine Einschätzung sollte zwischen den von der Erfassung der Kennzeichen betroffenen Personen unterschieden werden. Hierbei handelt es sich zunächst um einen Beschuldigten, nach dem gefahndet wird.

Datenschutzrechtlich wird für eine Datenerhebung im neuen § 163g StPO ein rechtmäßiger Zweck festgelegt, nämlich die Strafverfolgung. Der Zweck ist nach den Maßgaben des BVerfG wohl auch als objektiv bestimmter und begrenzter Anlass zu bewerten, vor allem, wenn die Erhebung von Kennzeichen zur Aufklärung von Straftaten nur dann erfolgen darf, wenn der Verdacht einer Straftat von erheblicher Bedeutung gegeben ist.

Hierunter sind Straftaten zu verstehen, die mindestens im Bereich der mittleren Kriminalität liegen. Diese stören den Rechtsfrieden drastisch und sind dazu geeignet, das Gefühl der Rechtssicherheit der Bevölkerung erheblich zu beeinträchtigen.

Die Regelung, die Erhebung unverzüglich zu beenden, wenn die Voraussetzungen nicht mehr erfüllt sind, ist direkter Ausfluss des Art. 5 DSGVO: Ohne rechtmäßigen Zweck darf eine Verarbeitung von personenbezogenen Daten nicht erfolgen.

Bedeutung für alle anderen:

Neben dem (strafrechtlich) Beschuldigten, sofern er dann auch unter den (datenschutzrechtlich) Betroffenen fällt, sind jedoch alle anderen Verkehrsteilnehmer nicht aus den Augen zu verlieren. Diese sind primär gerade keine Beschuldigten in einem Strafverfahren. Ihre personenbezogenen Daten werden aber „trotzdem“ erfasst. Die neue Regelung stellt auch für die Datenverarbeitung der übrigen Verkehrsteilnehmer eine datenschutzrechtliche Rechtsgrundlage dar. Zum Zweck der Strafverfolgung werden auch diese personenbezogenen Daten erhoben. Fraglich bleibt, ob der neue § 163g StPO auch den verfassungsrechtlichen Vorgaben genügt und eine Rechtfertigung für die vielen Eingriffe in das Grundrecht der informationellen Selbstbestimmung darstellt, gerade im Hinblick auf die hohe Fehlerquote beim Kennzeichenabgleich.

Aber auch bei geringerer Fehlerquote sucht die Polizei aufgrund der hohen Diskrepanz zwischen Anzahl der Beschuldigten und anderen Autofahrern sprichwörtlich die Nadel im Heuhaufen. Man könnte sich die Frage stellen, wie die geplante Einführung einer weiteren Maßnahme zur „Massenüberwachung“ zu der vom BVerfG diesbezüglich einst angedachten „Überwachungsgesamtrechnung“ passt. Es bleibt also abzuwarten, ob diese praktischen Probleme bei der Abwägung zwischen einer effektiven Strafverfolgung und dem Recht auf informationelle Selbstbestimmung Eingang finden.

Neue WhatsApp-Datenschutzrichtlinien – Update verschoben

21. Januar 2021

Nachdem der zu Facebook gehörende Instant-Messenger-Dienst WhatsApp viel Kritik für die Einführung der neuen Datenschutzregeln erhalten hat, sogar Jan Böhmermann zum Boykott aufrief und viele Nutzer zu WhatsApp Rivalen wie Threema, Signal oder Telegram wechselten, verschiebt WhatsApp die Einführung der neuen Datenschutzrichtlinie.

Ursprünglich sollten die Nutzer bis zum 8. Februar den neuen Bedingungen zustimmen, wenn sie den Chatdienst weiter nutzen wollten.

Laut WhatsApp sollte durch die Änderung der aktualisierten Nutzungsbedingungen und Datenschutzrichtlinie vor allem die Kommunikation mit Unternehmen, die WhatsApp als Kommunikationstool mit ihren Kunden verwenden, verbessert werden. Nachdem einige Medien jedoch darüber berichteten, dass die Änderung dazu führe, dass WhatsApp nun auch die Daten deutscher Nutzer mit Facebook austauschen und zu Werbezwecken nutzen dürfte, hagelte es Kritik.

WhatsApp selbst teilte nach der Kritik nun mit, dass die geplante Aktualisierung erst ab dem 15. Mai gelten soll. Kein Account solle demnach am 8. Februar gesperrt oder gelöscht werden. An der Ende-zu-Ende Verschlüsselung, mit der weder WhatsApp noch Facebook die privaten Nachrichten seiner Nutzer lesen könne, solle nichts geändert werden. Ebenso wenig daran, dass WhatsApp keine Protokolle seiner Nutzer aufbewahrt oder Standortdaten speichert.

Eine Verschiebung des Datums soll WhatsApp nun dabei helfen, Fehlinformationen darüber, wie Datenschutz und Sicherheit bei WhatsApp funktionieren, auszuräumen.

Tatsächlich ist es so, dass WhatsApp, wenn auch der erfolgreichste Messenger-Dienst weltweit, in Sachen Datenschutz in Deutschland immer wieder in Kritik gerät. Dies vor allem deshalb, da der Austausch von Nutzerdaten mit anderen Unternehmen des Facebook-Konzerns als problematisch eingestuft wird und Facebook dadurch beispielsweise neben den jeweiligen WhatsApp Nutzerdaten auch Zugriff auf die Telefonnummern und sonstigen Informationen aus dem Adressbuch des jeweiligen WhatsApp Nutzers bekommt.

Zulässigkeit der Nennung von Klarnamen in Bewertungsportalen

19. Januar 2021

Mit der Frage, ob eine Kundin ihre persönliche Bewertung einer Bäckereimitarbeiterin in einer Online-Rezension teilen durfte, musste sich vor kurzem das LG Essen (Az.: 4 O 9/20) beschäftigen.

Der Sachverhalt

Auf dem Bewertungsportal einer großen Suchmaschinenbetreiberin hinterließ die Kundin einer Bäckerei nach ihrem Besuch die folgende Bewertung:
“Ich bin hier immer zum Frühstücken und sonst auch immer zufrieden und finde das Team sehr sehr nett aber wurde heute so unfreundlich “bedient” von Frau (T…?)! Nicht schön in einer Bäckerei zu arbeiten aber Menschen derart unfreundlich zu behandeln.”
Die Bäckereiangestellte Frau T. verlangte daraufhin von der Suchmaschinenbetreiberin die Löschung der Rezension, mit Verweis auf das in der DSGVO bestehende Recht auf Löschung – in diesem Fall konkret Art. 17 Abs. 1 lit. d DSGVO.

Meinungsfreiheit und Betroffenrechte in Einklang bringen

Damit Frau T. tatsächlich ein Recht zur Löschung zusteht, müssen ihre personenbezogenen Daten unrechtmäßig verarbeitet worden sein. Entscheidend ist dabei eine Abwägung zwischen dem Recht der Freien Meinungsäußerung der Kundin und den Betroffenrechten von Frau T. Für eine solche Abwägung muss immer eine Abwägung im konkreten Einzelfall vorgenommen werden. Mit Art. 17 Abs. 3 bietet die DSGVO jedoch bereits selbst Anknüpfungspunkte dafür, wann Betroffenen kein Recht auf Löschung zusteht. Im vorliegenden Fall hat das LG Essen für seine Entscheidung Art. 17 Abs. 3 lit. a DSGVO herangezogen, wonach personenbezogene Daten nicht gelöscht werden müssen, wenn sie “zur Ausübung des Rechts auf freie Meinungsäußerung und Information” verarbeitet werden.

Ergebnis

Das LG Essen verneint damit ein Löschrecht von Frau T. Im Ergebnis muss die Suchmaschinenbetreiberin damit die in Frage stehene Rezension nicht löschen. Um sich nicht in die Gefahr eines Datenschutzverstoßes zu begeben, sollten Nutzer nichtsdestotrotz Vorsicht walten lassen. Im besten Fall sollte auf die Veröffentlichung von personenbezogenen Daten verzichtet werden.

BVerfG: Erweiterte Datennutzung (“Data-Mining”) nach dem Antiterrordateigesetz teilweise verfassungswidrig

15. Januar 2021

In seinem Urteil vom 11. Dezember 2020 entschied das Bundesverfassungsgericht, dass Sicherheitsbehörden das sogenannte „Data Mining“ zu Zwecken der Gefahrenabwehr und der Strafverfolgung nicht nutzen dürfen. Beim „Data-Mining“ geht es um eine erweiterte Datennutzung nach dem Antiterrordateigesetz (ATDG).

Bei der erweiterten Datennutzung handelt es sich um eine automatische Auswertung großer personenbezogener Datenmengen zur Feststellung bestimmter Hintergründe, Verknüpfungen und verborgener Zusammenhänge, auf deren Basis Polizei- und Verfassungsschutz zu ausgewählten Projekten gemeinsame Dateien hätten anlegen und auswerten können.

Diese sollte sich auf § 6a Absatz 2 Satz 1 des Antiterrordateigesetzes (ATDG) stützen:

Eine [an der Antiterrordatei] beteiligte Behörde des Bundes darf zur Erfüllung ihrer gesetzlichen Aufgaben die in der Datei nach § 3 gespeicherten Datenarten mit Ausnahme der nach § 4 verdeckt gespeicherten Daten erweitert nutzen, soweit dies im Rahmen eines bestimmten einzelfallbezogenen Projekts für die Verfolgung qualifizierter Straftaten des internationalen Terrorismus im Einzelfall erforderlich ist, um weitere Zusammenhänge des Einzelfalls aufzuklären. “

Die Richter entschieden, dass dieser Teil des ATDG verfassungswidrig und damit unanwendbar ist. Diese Maßnahme stelle einen Eingriff in das Recht auf informationelle Selbstbestimmung dar und ist dementsprechend mit Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG unvereinbar. 

 „Die heutige Entscheidung stärkt den Datenschutz“ äußert auch Professor Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI) und sieht sich in seiner Rechtsauffassung bestätigt. „Solche Techniken bedürfen einer klaren Rechtsgrundlage mit eigenständigen Eingriffsschwellen.“

Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) Dr. Lutz Hasse begrüßt das Urteil: „Wiederum ein guter Tag für den Schutz der Privatsphäre sowie für die verfassungsrechtlich gebotene Trennung zwischen Polizei und Nachrichtendiensten.“

Diese Entscheidung bestärkt die Linie der verfassungsrechtlichen Rechtsprechung der letzten Jahre. Ein Eingriff in die Datenschutzrechte einer betroffenen Person sind an ihrer Intensität zu messen und bedürfen klarer Rechtsgrundlagen.

Datenschutzproblem mit “reCAPTCHA”- Dienst von Google

Nicht selten werden Webseiten heutzutage Opfer von massiven Spamangriffen oder anderweitigen Manipulationsversuchen. Um sich davor zu schützen setzt eine Vielzahl dieser Seiten auf sogenannte “Captchas”.

Was ist ein Captcha und wofür wird es verwendet?

Grundsätzlich handelt es sich bei einem Captcha („completely automated public Turing test to tell computers and humans apart“) um ein Tool, das auf Webseiten eingesetzt wird, um Menschen und maschinelle Programme („Bots“) auseinanderzuhalten. Sinn und Zweck dieser Tools ist es die eigene Webseite vor Bot-Angriffen zu schützen, indem man ihnen von vornherein die Zugriffmöglichkeit auf bestimmte Teile der Webseite, oder aber der gesamten Webseite vorenthält. So sollen etwa Manipulationen von Umfragen, übermäßige Serveranfragen oder aber Fake-User aufgehalten werden.

Die gängigsten Erscheinungsformen eines Captchas sind in Form von verschwommenen Buchstaben, einer einfachen Matheaufgabe oder auch einer Bilderreihenfolge. Zumindest in der Theorie sollen diese Aufgaben nur von Menschen gelöst werden können.

Google, „reCAPTCHA“ und ein Datenschutzproblem

Ganz vorne bei Entwicklung und Einsatz dieser Tools ist der Internetriese Google, dessen eigener Captcha-Dienst „reCAPTCHA“ auf über 6 Millionen Webseiten benutzt wird und mittlerweile bereits in seiner dritten Version vorliegt. Doch was in der Theorie wie eine sorgfältige Schutzvorrichtung wirkt, kann für normale Nutzer ein Datenschutzrisiko darstellen. Denn verborgen im Hintergrund von reCAPTCHA läuft ein JavaScript-Element. Ein solches ist in der Lage Benutzerverhalten auszuwerten. So werden neben IP-Adresse auch Daten wie Mausbewegungen und Tastaturanschläge, Infos über das Betriebssystem und Verweildauer an Google weitergeleitet, ohne dass der Benutzer davon etwas mitbekommt. In den seltensten Fällen wird der Nutzer auf eine solche Analyse hingewiesen. Auch die allgemeine Datenschutzerklärung von Google bietet keine spezifischen Informationen zu reCAPTCHA.

Ein Problem, dass auch das Landesamt für Datenschutzaufsicht Bayern (BayLDA) sieht und in seinen FAQ zutreffend einen Hinweis in Bezug auf reCAPTCHA gibt:

„Website-Betreiber sollten unbedingt Alternativen prüfen. Wird dennoch Google reCAPTCHA eingebunden, muss sich der Verantwortliche im Klaren sein, dass er den rechtmäßigen Einsatz gem. Art. 5 Abs. 1, 2 DS-GVO nachweisen können muss. Wer nicht darlegen kann, wie Google die Nutzerdaten verarbeitet, kann den Nutzer nicht transparent informieren und den rechtmäßigen Einsatz nicht nachweisen.“

Betreiber von Webseiten sollten daher im besten Fall auf die Nutzung von reCAPTCHA und anderen Analysetools verzichten, um sich keinem rechtlichen Risiko auszusetzen.

1 2 3 4 166