Kategorie: Allgemein
16. März 2023
Im Rahmen eines Beschwerdeverfahrens gegen den US-Konzern „Meta“ stellte die österreichische Datenschutzbehörde (DSB) die Rechtswidrigkeit der durch Meta zur Verfügung gestellten Tools „Facebook Logins“ und „Meta Pixel“ fest. Grund für diese Entscheidung sei der rechtswidrige Drittlandstransfer personenbezogener Daten in die USA.
Hintergründe
Zu der Entscheidung der DSB kam es aufgrund einer durch die Datenschutzorganisation „none of your business“ (noyb) angestrengten Beschwerde. Diese strengte noyb zusammen mit weiteren 100 Beschwerden gegen verschiedene Webseitenbetreiber an, die auf ihren Seiten Anwendungen von Meta und Google implementiert hatten (wir berichteten).
Im konkreten Fall ging noyb gegen den Betreiber eines Online-Nachrichtenportals vor. Dieser hatte u.a. die von Meta zur Verfügung gestellten Tools Facebook Logins und Meta Pixel auf seiner Webseite implementiert. Insoweit sei es fraglich gewesen, ob die aufgrund der Implementierung erfolgte Datenübermittlung in die USA durch eine geeignete Garantie nach Art. 45 DSGVO oder eine Ausnahme nach Art. 49 DSGVO erlaubt sei.
Facebook Logins und Meta Pixel
Facebook Login sei, laut Meta eine Anwendung, die die Nutzererfahrung verbessere. Der Nutzer einer Webseite müsse sich kein neues Benutzerkonto anlegen, sondern könne sein Facebook-Profil zur Anmeldung verwenden. Die DSB stellte allerdings fest, dass aufgrund der Implementierung von Facebook Logins eine Vielzahl personenbezogener Daten der Nutzer in die USA übermittelt werden. Dazu zählen u.a. die IP-Adresse, Ort und Datum des Webseitenbesuches und die Nutzer-ID.
Meta Pixel sei, wie der Konzern erklärt, eine Anwendung, die es Webseitenbetreibern ermögliche, das Verhalten ihrer Nutzer nachzuvollziehen. Alle Handlungen, die ein Nutzer auf der Webseite vornehme, wie beispielweise das Hinzufügen eines Artikels in den Warenkorb, könne die Anwendung dokumentieren. Wie auch bei Facebook-Logins, komme es bei Meta Pixel zu einer Datenübermittlung in die USA. Zu diesen personenbezogenen Daten zählen u.a. die IP-Adresse und die Klickdaten für Buttons des Endgerätes.
Feststellung der DSB
Hinsichtlich der Datenübermittlung in die USA stellt die DSB einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art. 44 ff. DSGVO fest. Obwohl zu dem fraglichen Zeitpunkt der EuGH den „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, bereits für unwirksam erklärt habe, sollte auf seiner Grundlage eine Datenübermittlung erfolgen. Demnach reichten später eingeführte Standardvertragsklauseln aus Sicht der DSB nicht zur rechtwirksamen Datenübermittlung. Die untersuchte Datenübermittlung sei vor Einführung der Vertragsklauseln erfolgt. Eine Ausnahme iSd Art. 49 DSGVO habe die Webseite nicht für die Datenübermittlung vorgesehen.
Fazit
Vorsitzender der Organisation noyb, Max Schrems, betonte, dass erstmalig eine Aufsichtsbehörde einem Webseitenbetreiber die Illegalität der Facebook-Tracking-Technologie aufgezeigt habe.
Abschließend bleibt fraglich, wann und ob mehr Rechtssicherheit in Bezug auf die Datenübermittlung in die USA einkehren wird.
15. März 2023
Nachdem sich Cloud-Dienste über Jahre in zahlreichen Bereichen zur Datenspeicherung etabliert haben, arbeitet die US-Regierung an einem Plan zur Regulierung der Sicherheitspraktiken der Anbieter wie Amazon, Microsoft, Google oder Oracle. Diese Dienste stellen von Privatpersonen und kleinen Unternehmen bis hin zu Behörden und Geheimdiensten Datenspeicherung und Rechenleistung zur Verfügung.
Störungen in der Cloud werden zu Störungen in Wirtschaft und Regierung
Die amtierende nationale Cyber-Direktorin, Kemba Walden, hält die Cloud für unseren Alltag für unverzichtbar. Störungen der Cloud könnten katastrophale Auswirkungen auf Wirtschaft und Regierung haben. Die Cloud sei schlicht „too big to fail“. Für Hacker seien Cloud-Dienste konzentrierte Angriffsziele, die eine Vielzahl von Opfern gleichzeitig beträfen. Kritische Infrastruktur wie Krankenhäuser oder Häfen könnten lahmgelegt werden und selbst Datenbanken in Behörden könnten ausgelöscht werden. So hätten Hacker bereits Cloud-Server von Unternehmen wie Amazon und Microsoft für ihre Angriffe auf andere Ziele genutzt. Zudem mieteten cyberkriminelle Gruppen regelmäßig Infrastruktur von US-amerikanischen Cloud-Anbietern, um Unternehmen zu erpressen oder Daten zu stehlen.
Identitätsüberprüfung und neue Regulierung
Als erste Maßnahme kündigte die US-Regierung an, zukünftig von Cloud-Anbietern eine Identitätsprüfung ihrer Nutzer vorzunehmen. Damit solle verhindert werden, dass ausländische Hacker Speicherplatz auf US-Cloud-Servern mieten. Zudem sollen weitere Cloud-Vorschriften im Rahmen der nationalen Cybersicherheitsstrategie kommen, um Regulierungslücken zu schließen. Als Vorschläge stehen derzeit auch eine Haftung für Softwarehersteller von unsicherem Code und strengere Sicherheitsvorschriften für kritische Infrastrukturunternehmen im Raum. Allerdings gibt es in den USA keine nationale Behörde, die für die Cloud zuständig wäre.
Cloud-Anbieter zeigen sich bisher nicht so ablehnend wie von den US-Behörden erwartet. Microsoft beispielsweise begrüßte die nationale Cybersicherheitsstrategie und betonte, dass Cybersicherheit Teamsport sei.
Auswirkungen auf Europa
Aus europäischer Perspektive ist eine Regulierung der US-Cloud-Dienste ebenfalls relevant. Auch den europäischen Cloud-Markt führen US-Anbieter weitestgehend an. Angesichts der immer wieder auftretenden Bedenken hinsichtlich des Datenschutzes in den USA könnten strengere Regeln für die Cloud auch die Sicherheit der Daten verbessern.
9. März 2023
Handelt es sich bei der Erstellung eines Scoring-Wertes durch die deutsche Wirtschaftsauskunftei „Schufa“ um eine automatisierte Entscheidung nach Art. 22 Abs. 1 Datenschutz-Grundverordnung (DSGVO)? Unter anderem diese Frage möchte das VG Wiesbaden im Rahmen des Vorabentscheidungsersuchens (Rs. C-634/21) vom Europäischen Gerichtshof (EuGH) beantworten lassen. Zu diesem Zweck verhandelt der EuGH derzeit und wird voraussichtlich in diesem Jahr eine Entscheidung erlassen.
Scoring
Hintergrund der Entscheidung ist das Scoring der Klägerin, das Anlass für ein Kreditinstitut gewesen sei, die Vergabe eines Kredites zu untersagen. Mit Hilfe des Scorings legt die Schufa einen Wahrscheinlichkeitswert fest. Dieser bestimmt die Fähigkeit einer Person, künftige Kredite oder Verträge einzuhalten und zurückzuzahlen. Hierzu verwendet die Schufa ein mathematisch-statistisches Verfahren. Die betroffene Person wird dabei auf Grund verschiedener Merkmale einer Personengruppe zugeordnet. Aufgrund von Erfahrungswerten ordnet die Schufa den entsprechenden Personengruppen ein erwartbares Verhalten zu. Die Kreditwürdigkeit der betroffenen Person richtet sich folglich nach der Personengruppe, der sie zugeordnet wird.
Dabei ist allerdings unklar, welche Merkmale die Schufa zur Berechnung der Bonität und welches mathematisch-statistische Verfahren sie verwendet.
Automatisierte Entscheidung
Aus Sicht des VG Wiesbaden ist fraglich, ob die Feststellung des Wahrscheinlichkeitswertes, eine automatisierte Entscheidung, bzw. sog. Profiling iSd Art. 22 Abs. 1 DSGVO darstellt. In diesem Fall sei das Scoring an den Voraussetzungen der Art. 22 Abs. 2 lit. b DSGVO iVm § 31 BDSG zu messen.
Das Gericht stellte zunächst fest, dass mit der Feststellung des Wahrscheinlichkeitswertes die Schufa eine eigenständige Entscheidung treffe. Diese beschließe die Schufa als Verantwortlicher iSd Art. 4 Abs. 7 DSGVO. Insoweit bereite die Schufa nicht lediglich die Entscheidung eines Dritten durch vorbereitendes Profiling vor. Stattdessen diene die Entscheidung der Schufa als Grundlage der Entscheidung eines Dritten. Dabei gebe die Schufa den Scoring-Wert ohne Handlungsempfehlung weiter, sodass Kreditinstitute oder andere Einrichtungen über die Begründung, Durchführung und Beendigung eines Vertragsverhältnisses entscheiden könnten.
Darüber hinaus verarbeite die Schufa die personenbezogenen Daten der betroffenen Person so, dass „diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten“ iSd Art. 4 Nr. 4 DSGVO. Folglich liege hier das sog. Profiling und somit eine automatisierte Entscheidung iSd Art. 22 DSGVO vor. Insoweit sei es ausschlaggebend, dass unter dem Profiling nach Erw.Gr. 71 S. 2 DSGVO auch „die Analyse oder Prognose von Aspekten bezüglich der wirtschaftlichen Lage, der Zuverlässigkeit oder des Verhaltens einer Person zu verstehen seien.“ (VG Wiesbaden, Vorabentscheidungsersuchen, Rs. C-634/21, Rn.19).
Fazit
Demnach sei nach Ansicht des Gerichts, soweit das Scoring unter Art. 22 DSGVO falle, eine eigenständige Rechtsgrundlage nach 22 Abs. 2 lit. b DSGVO erforderlich. Aus Sicht des Gerichts komme grundsätzlich § 31 BDSG hierfür in Betracht.
7. März 2023
Nach Gesprächen mit dem Consumer Protection Cooperation Network (CPC) der Europäischen Union (EU) hat sich WhatsApp bereiterklärt, in Zukunft die Änderungen seiner Nutzungsbedingungen transparenter zu gestalten. Zudem bestätigte WhatsApp, „dass personenbezogene Daten der Nutzerinnen und Nutzer nicht zu Werbezwecken an Dritte oder andere Meta-Unternehmen – einschließlich Facebook – weitergegeben werden“.
Intensiver Dialog mit Verbraucherschutzbehörden und Kommission
Das CPC besteht neben der Europäischen Kommission aus EU-Verbraucherschutzbehörden. Den Dialog führten federführend die schwedische Verbraucheragentur und die irische Kommission für Wettbewerb und Verbraucherschutz. Anstoß für die Untersuchung hatte eine Beschwerde der Europäischen Verbraucherverbands (BEUC) und acht seiner nationalen Mitgliedsverbände im Juli 2021 gegeben. Diese hatten Bedenken wegen „mutmaßlicher unlauterer Praktiken des Unternehmens bei der Aktualisierung seiner Nutzungsbedingungen und Datenschutzbestimmungen“ geäußert. Das CPC hatte WhatsApp daraufhin im Januar 2022 und erneut im Juni 2022 angeschrieben.
Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“
Ergebnis des Dialogs ist eine Liste von Zusagen, die laut CPC WhatsApps Bereitschaft „zu uneingeschränkter Einhaltung von EU-Vorschriften, besserer Information für Nutzer und Respektierung ihrer Entscheidungen bei Vertragsanpassungen“ zeigen. WhatsApp wolle bei künftigen Änderungen seiner Geschäftspolitik geplante Änderungen an den Verträgen und deren Auswirkungen auf die Nutzerschaft erklären, „die Option zur Ablehnung aktualisierter Nutzungsbedingungen so deutlich anbieten wie die Möglichkeit, diese zu akzeptieren“ sowie „gewährleisten, dass Benachrichtigungen mit Update-Informationen ausgeblendet oder die Überprüfungen auf Updates aufgeschoben werden können, die Entscheidungen der Nutzerinnen und Nutzer respektieren und Benachrichtigungen nicht wiederholt versenden.“
Die Umsetzung dieser Zusagen will das CPC aktiv überwachen und falls erforderlich auch mit Bußgeldern durchsetzen.
Enttäuschung vonseiten des Verbraucherschutzverbands
BEUC zeigte sich enttäuscht von den Ergebnissen der Dialoge und bezeichnete sie als „Gelbe Karte“ für WhatsApp. Während EU-Justizkommissar Didier Reynders die Zusagen begrüßte, bedauerte BEUC-Vizedirektorin Ursula Pachl die „schwache Reaktion“ des CIC. Es sei nicht ausreichend, einfach mehr Transparenz und die Möglichkeit, Änderungen der Richtlinien in Zukunft leichter abzulehnen, zu versprechen. Millionen von Nutzerinnen und Nutzern seien aufgrund des aggressiven Verhaltens von WhatsApp 2021 gezwungen worden, die Änderungen zu akzeptieren. Diesen Menschen werde keine Abhilfe verschafft. Die Verbraucherschutzbehörden senden laut Pachl ein „sehr besorgniserregendes Signal aus, indem sie akzeptieren, dass ein Tech-Gigant wie WhatsApp Verbraucherrechte verletzen kann und dann mit dem Versprechen davonkommt, sich in Zukunft zu bessern. Dies zeigt, dass die derzeitige Art und Weise der Durchsetzung des Verbraucherrechts nicht abschreckend genug ist und dass eine dringende Reform erforderlich ist, um eine wirksamere Durchsetzung insbesondere bei EU-weiten Verstößen zu gewährleisten.“
28. Februar 2023
Wie der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski bekanntgab, hat seine Behörde einen Rahmenvertrag mit einem in der EU ansässigen Dienstleister der Open Source-Software Nextcloud und LibreOffice geschlossen.
Datenschutzkonforme Gesamtlösung für EU-Einrichtungen
Mit Nextcloud und LibreOffice können in einer gesicherten Cloud-Umgebung beispielsweise Dateien ausgetauscht, Nachrichten versendet oder auch Videoanrufe getätigt werden. Der gewählte Dienstleister ist in der EU ansässig und nach Aussage des EDSB für alle Organe, Einrichtungen, Ämter und Agenturen der EU zugänglich. Dabei sei die Einhaltung des Datenschutzrechts sowie weiterer spezieller Vorschriften gewährleistet.
Vermeidung von Drittlandstransfers und Unterauftragsverarbeitern
Anders als bei anderen Anbietern sei hier gewährleistet, dass keine Datenübertragung in Nicht-EU-Länder stattfinde. Zudem werde der Einsatz von Unterauftragsverarbeitern vermieden. Der Rahmenvertrag soll damit eine bessere Kontrolle über personenbezogene Daten ermöglichen. Dabei möchten die EU-Institutionen mit gutem Beispiel vorangehen, um digitale Rechte zu schützen und Daten verantwortungsvoll zu verarbeiten.
Alternative zu Microsoft und co.
Bisher bestanden und bestehen vor allem Verträge mit Microsoft für die Office-Produkte in den EU-Institutionen. Bereits 2020 hatte der EDSB deren Einsatz als problematisch eingeordnet. Auch in Deutschland haben die Datenschutzbehörden erhebliche Bedenken gegenüber dem Einsatz der cloudbasierten Microsoft-Produkte geäußert und zuletzt im Rahmen der Datenschutzkonferenz einen datenschutzkonformen Einsatz von Microsoft 365 in öffentlichen Stellen für nicht möglich erachtet. Problematisch ist hier insbesondere, dass Verantwortliche unter Umständen keine Kontrolle über Datentransfers haben.
Vorbild für den nichtöffentlichen Bereich?
Auch im nichtöffentlichen Bereich stellt sich oft die Frage nach datenschutzkonformen Cloud-Lösungen. Hier könnte der Rahmenvertrag des EDSB ein Vorbild sein. Jeder nach dem Datenschutzrecht Verantwortliche muss sich schließlich damit auseinandersetzen, ob die von ihm gewählten Programme datenschutzkonform nutzbar sind. Dabei kann es helfen, solche zu nutzen, die vom EDSB als datenschutzkonform eingeordnet werden. Allerdings ist in jedem Fall eine Einzelfallabwägung erforderlich, die die eigenen Bedürfnisse und Risiken für die Daten berücksichtigt.
23. Februar 2023
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Prof. Ulrich Kelber veröffentlichte eine Pressemitteilung, der zufolge er der Bundesregierung den Betrieb ihrer Facebookseite untersagt habe. Für die Abschaltung der Facebookseite habe das zuständige Bundespresseamt (BPA) vier Wochen Zeit.
Fehlende Rechtsgrundlage und Cookies
Der Auslöser für die Untersagung sei, neben verschiedener datenschutzrechtlicher Bedenken, ein Gutachten einer Taskforce, die die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) eingesetzt habe. In ihrem Gutachten habe sich die Taskforce mit dem Betrieb von sog. Facebook-Fanpages auseinandergesetzt (wir berichteten). Im Ergebnis habe die Taskforce festgestellt, dass keine wirksame Rechtsgrundlage zum Betrieb einer Facebook-Fanpage bestehe und dass der Betreiber der Seite seinen Informationspflichten nach Art. 12 ff. DSGVO nicht nachkommen könne.
Dementsprechend betonte der BfDI zunächst, dass bei der Erstellung einer Facebookseite eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bestehe. Der Betreiber einer Fanpage und das Facebook-Mutterunternehmen Meta haben im Hinblick auf die Facebook-Fanpage sich ergänzende Interessen.
Aus der gemeinsamen Verantwortlichkeit folge für das BPA die Pflicht, den datenschutzkonformen Betrieb nachzuweisen. In einem zuvor erfolgten Verfahren sei es dem BPA allerdings nicht gelungen, den BfDI von der Datenschutzkonformität der Facebook-Fanpage zu überzeugen.
Konkret kritisierte der BfDI, dass es an einer für die Datenverarbeitung erforderlichen Rechtsgrundlage fehle. Auch die von der DSK eingesetzte Taskforce habe diesen Umstand in ihrem Gutachten vergangen Jahres bemängelt.
Zusätzliche monierte der BfDI den Einsatz von Cookies auf der Facebookseite. Den Einsatz von Cookies regele das TTDSG. Nach § 25 Abs. 1 TTDSG sei für die Speicherung von Informationen in der Einrichtung des Nutzer oder das Auslesen dieser Informationen, d.h. für den Einsatz von Cookies eine Einwilligung erforderlich. Einer solchen Einwilligung bedürfe es unter anderem nicht, wenn die Speicherung oder das Auslesen von Informationen nach § 25 Abs. 2 Nr. 2 TTDSG „unbedingt erforderlich“ sei. Aus Sicht des BfDI sei im Falle der Facebookseite allerdings problematisch, dass Meta nicht unbedingt erforderlich Cookies einsetzte. Für diese Verwendung werde indes keine, mangels Ausnahme erforderliche Einwilligung eingeholt.
Fazit
Die im Ergebnis bestehenden Bedenken der Datenschutzkonformität führen folglich zur Pflicht des BPA, die Facebookseite der Bundesregierung abzuschalten. Gegen die Entscheidung des BfDI könne das BPA Klage erheben.
Bereits vor einem Jahr hatte die DSK, im Zusammenhang mit dem veröffentlichten Gutachten öffentliche Stellen zur Überprüfung und zur eventuell erforderlichen Abschaltung ihrer Facebookseiten aufgerufen. Ob mit der Entscheidung des BfDI die Datenschutzkonformität von Facebookseiten privater Unternehmen vermehrt Aufmerksam erhalten wird, bleibt abzuwarten.
22. Februar 2023
Brüssel. Die EU-Kommission klagt vor dem EuGH wegen unzureichendem Schutz für Hinweisgeber. Dieses Vorgehen gegen Deutschland lässt sich auf eine fehlende Umsetzung einer im Jahr 2019 geschaffenen Richtlinie rückführen. In deutsches Recht hätte die Richtline bereits im Dezember 2021 umgesetzt werden sollen. Sogenannten Whistleblowern sollten damit das Aufdecken und Weitergeben von Missständen oder kriminellen Machenschaften in Unternehmen erleichtert werden.
Hinweisgeberschutzgesetz auf der Zielgeraden blockiert
Der Bundesregierung ist grundsätzlich kein Untätig werden vorzuwerfen. Vielmehr ist das entworfene neue Gesetz zum Schutz von Hinweisgebern auf den letzten Metern der Gesetzgebung gescheitert. Durch das Gegenstimmen der Bundesländer, in denen die Union regiert, wurde das Gesetz nun doch noch gekippt. Mit 38 von 69 Stimmen hat die Union mit einer Blockademehrheit dafür gesorgt, dass ein Schutz von Whistleblowern weiterhin nur wünschenswert bleibt. Dieses Vorgehen wird auf das Argument einer möglichen Regulierung über die von der Kommission geforderten Standards bezogen. Die Union wünschte sich aus Angst vor Missbrauch von Meldungen eine Nachbesserung des Gesetzes.
Ampel über die Blockade empört
SPD und Grüne beharren auf dem Gesetzesentwurf und wollen keine Änderungen. SPD-Innenpolitiker Sebastian Fiedler erklärt in einem Interview einen möglichen Plan B. Demnach könnte ein inhaltlich gleicher Gesetzesentwurf in den Bundestag eingebracht werden. Einziger Unterschied wäre eine nicht zustimmungsbedürftige Form.
Fazit
Der Pyrrhussieg der Union durch die Blockade des Gesetzes könnte für die Bundesrepublik nun eine Strafe nach sich ziehen. Durch das Kippen des Gesetzesentwurfes gehen leider mehrere Parteien als Verlierer heraus. Doch neben einer möglichen Sanktionierung des Staates sind die wahren Opfer Hinweisgeber, welche dennoch mit großem Mut auf Missstände aufmerksam machen.
Mit Urteil vom 16. Februar 2023 hat das Bundesverfassungsgericht (BVerfG) automatisierte Datenanalysen der Polizei in Hessen und Hamburg für verfassungswidrig erklärt. Die beiden angegriffenen Landesgesetze erlaubten der Polizei demnach „automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden“.
Schwere Grundrechtseingriffe durch Profiling-ähnliche Analysen
Das BVerfG erkannte in den angegriffenen Vorschriften (§ 25a Abs. 1 Alt. 1 des Hessischen Gesetzes über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Alt. 1 des Hamburgischen Gesetzes über die Datenverarbeitung der Polizei (HmbPolDVG)) Verstöße gegen das Recht auf informationelle Selbstbestimmung. Die Polizeien der Länder dürfen auf deren Grundlage „bisher unverbundene, automatisierte Dateien und Datenquellen in Analyseplattformen […] vernetzen und die vorhandenen Datenbestände durch Suchfunktionen systematisch […] erschließen“ (Rn. 2). Laut BVerfG enthalten die Normen jedoch keine „ausreichende Eingriffsschwelle“. Angesichts des Eingriffsgewichts seien die Befugnisse zu offen formuliert.
Es sei zwar nicht ungewöhnlich, dass die Polizei ihre Erkenntnisse auch in Verknüpfung mit anderen Informationen zum Anstoß weiterer Ermittlungen nutze. Allerdings gehe die Analyse nach den angegriffenen Normen viel weiter. Sie nähere sich bei entsprechendem Einsatz sogenanntem „Profiling“ an, mit dem „sich softwaregestützt neue Möglichkeiten einer Vervollständigung des Bildes von einer Person ergeben, wenn Daten und algorithmisch errechnete Annahmen über Beziehungen und Zusammenhänge aus dem Umfeld der Betroffenen einbezogen werden“ (Rn. 69).
Rechtlich unbegrenzte Methoden
Angesichts der hohen Eingriffsintensität der Analysemöglichkeiten müssten laut BVerfG strenge Eingriffsvoraussetzungen erfüllt werden. Hier bemängelte das BVerfG, dass die Befugnisse der Polizei hinsichtlich der Methoden praktisch unbegrenzt sei: „In ihrer daten- und methodenoffenen Unbegrenztheit erlauben die Regelungen der Polizei, mit einem Klick umfassende Profile von Personen, Gruppen und Milieus zu erstellen und auch zahlreiche rechtlich unbeteiligte Personen weiteren polizeilichen Maßnahmen zu unterziehen, die in irgendeinem Zusammenhang Daten hinterlassen haben, deren automatisierte Auswertung die Polizei auf die falsche Spur zu ihnen gebracht hat“ (Rn. 150).
Der Gesetzgeber habe zudem den Wortlaut der Normen sehr weit gefasst, sodass diese auch Data-Mining und den Einsatz selbstlernender Systeme (Künstliche Intelligenz) erlaubten.
Hamburger Gesetz nichtig, Übergangsfrist für Hessen
Das BVerfG hält eine automatisierte Datenanalyse oder -auswertung grundsätzlich für möglich. Diese muss jedoch eine verfassungsrechtliche Rechtfertigung bieten. Für Hessen gilt daher nun eine Übergangsfrist für eine Neuregelung bis zum 30. September 2023. Das Programm „HessenData“, welches auf dem Programm „Gotham“ vom US-Software-Unternehmen Palantir beruht, wird dort bereits seit 2017 eingesetzt.
§ 49 Abs. 1 Alt. 1 HmbPolDVG wurde dagegen direkt für nichtig erklärt. Die Norm wurde mit kleinen Änderungen der hessischen Norm nachgebildet, aber bisher noch nicht angewendet.
Bundesweite Auswirkungen des Urteils
Auch Bayern hat Interesse an dem Analyseprogramm bekundet und prüft derzeit den Einsatz. Nordrhein-Westfalen nutzt bereits Palantir-Dienste. Es bleibt abzuwarten, inwieweit die anderen Länder das Urteil in ihre Gesetzgebung einfließen lassen werden. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit zweifelte im Verfahren vor dem BVerfG die Rechtmäßigkeit der fraglichen Normen an. Er bemängelte, dass „falsche Entwicklungen immer erst von den Gerichten gestoppt werden“ müssten, anstatt auf die Proteste aus der Zivilgesellschaft und die Datenschutzbeauftragten einzugehen.
21. Februar 2023
Am 20. Januar 2023 erließ das Oberlandesgericht Hamm ein Urteil zugunsten eines Klägers über 100 Euro Schadensersatz i.S.v. Art. 82 Abs. 1 Alt. 2 DSGVO.
Sachverhalt
Im August 2021 kam es im Impfzentrum der Stadt Essen zu einem menschlichen Fehler, von jedoch großem datenschutzrechtlichem Ausmaß. Anstelle einer E-Mail zur Terminverschiebung der Impfung wurden Excel-Tabellen mit Daten der besonderen Kategorien von mehr als 13.000 Essener Bürgerinnen und Bürgern verschickt. Rund 1.200 Essener sollen auf diesem Weg statt eines neuen Termins sensible Gesundheitsinformationen von ihren Mitbürgern erhalten haben. Neben der Information, wann wer mit welchem Impfstoff geimpft werden sollte, wurden auch Adressen und Telefonnummern preisgegeben.
Die Berufung des Klägers gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen wies das Oberlandesgericht Essen zurück. Das Gericht kam in seinem Urteil zu dem Ergebnis, dass der Fehlversand der Excel-Tabellen einen Verstoß gegen datenschutzrechtliche Vorgaben darstelle. Neben einem Verstoß gegen die Grundsätze der Datenverarbeitung i.S.v. Art. 5 DSGVO liege auch ein Verstoß gegen den Schutz von besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO vor. Die Stiftung Datenschutz berichtet, dass das Oberlandesgericht Hamm einen Verstoß gegen die Verpflichtung zu technischen und organisatorischen Maßnahmen zur Datensicherheit offenließe. Dies hatte die Vorinstanz allerdings bejaht. Das OLG Hamm lehnt eine Bagatellgrenze beim Schmerzensgeld ab und betont die Genugtuungsfunktion des Schmerzensgeldanspruchs sowie dessen generalpräventive Wirkung zur Rechtfertigung der Höhe des Schmerzensgeldes.
Fazit
Selbst das höchste Maß technisch-organisatorischer Maßnahmen kann Bedienfehler menschlicher Natur nicht immer ausschließen. Obwohl es sich im beschriebenen Sachverhalt um einen Verstoß gegen die Grundsätze der Verarbeitung personenbezogener Daten handelt und auch Gesundheitsdaten betroffen sind, lässt das Oberlandesgericht Hamm das Bußgeld durchaus milde, aber verhältnismäßig sowie abschreckend ausfallen. Dennoch sollten Verantwortliche sowie Auftragsverarbeiter die Mitarbeitenden , welche sich mit personenbezogenen Daten auseinandersetzen, umfangreich schulen. Ein gut geschultes Bewusstsein für Fehlerquellen kann langfristig die Häufigkeit von Datenschutzvorfällen schmälern.
16. Februar 2023
Mit seinem Urteil vom 09. Februar 2023 (Rs. C-453/21) entschied der Gerichtshof der Europäischen Union (EuGH), dass die deutsche Regelung zur Abberufung des Datenschutzbeauftragten europarechtskonform sei. Demnach sei eine Abberufung aus wichtigem Grund iSd § 626 BGB möglich.
Sachverhalt
Hintergrund der Entscheidung war die Klage eines Datenschutzbeauftragten. Er sei aufgrund der Gefahr eines Interessenkonfliktes abberufen worden. Der Datenschutzbeauftragte habe nämlich neben der datenschutzrechtlichen Funktion das Amt des Betriebsratsvorsitzenden bekleidet. Sein Arbeitgeber sei allerdings der Auffassung gewesen, dass nicht dieselbe Person die Ämter des Betriebsratsvorsitzenden und Datenschutzbeauftragten zeitgleich ausüben könne.
Das vorlegende Gericht stellte fest, dass die Abberufung eines Datenschutzbeauftragten nach § 6 Abs. 4 S. 1 BDSG das Vorliegen eines wichtigen Grundes voraussetze. Insoweit stelle sich die Frage, ob die Abberufung des Datenschutzbeauftragten nach nationalen Vorgaben strengeren Voraussetzungen unterstellt werden könne, als sie das Unionsrecht vorsehe.
Entscheidung
Nach Art. 38 Abs. 3 S. 2 DSGVO dürfe der Verantwortliche oder Auftragsverarbeiter den Datenschutzbeauftragte nicht „wegen der Erfüllung seiner Aufgabe abberufen oder benachteilig[en]“. Demnach habe, so der EuGH, der europäische Gesetzgeber eine Grenze zur Abberufung des Datenschutzbeauftragten festgelegt. Es bestehe ein Verbot, den Datenschutzbeauftragten aus Gründen abzuberufen, die sich aus seinen Aufgaben ergeben. Zu diesen Aufgaben zähle nach Art. 39 Abs. 1 lit. b DSGVO unter anderem, die Einhaltung der datenschutzrechtlichen Regelungen zu überwachen. Diese Regelung gelte für den externen Datenschutzbeauftragten, der auf Grundlage eines Dienstvertrages tätig werde. Daneben gelte die Regelung auch für einen beim Verantwortlichen oder Auftragsverarbeiter angestellten Datenschutzbeauftragten.
Laut EuGH sei das Ziel des Abberufungsverbotes, die Unabhängigkeit jedes Datenschutzbeauftragten zu wahren. Insoweit sei diese Unabhängigkeit notwendig, damit der Datenschutzbeauftragte seine „Aufgaben im Einklang mit dem Ziel der DSGVO“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) ausüben könne.
Demnach könne die nationale Norm grundsätzlich strengere Voraussetzungen an die Abberufung stellen. Allerdings dürfe „ein strengerer Schutz die Verwirklichung der Ziele der DSGVO nicht beeinträchtigen.“ (EuGH, Urteil vom 9.2.2023, C-453/21, Rn. 25) Insbesondere die Unabhängigkeit des Datenschutzbeauftragten dürfe die strengere Norm nicht tangieren.
Fazit
Im Ergebnis stellte der EuGH folglich fest, dass eine nationale Norm festlegen könne, dass der Datenschutzbeauftragte nur aus wichtigem Grund abberufen werden kann. Allerdings dürfe die nationale Regelung die Umsetzung der DSGVO nicht beeinträchtigen.
Pages: 1 2 3 4 5 6 7 ... 198 199