Kategorie: Aufsichtsbehördliche Maßnahmen

Klarnas neue “Super-App” in der Kritik

6. Januar 2022

Der Online-Bezahldienstleister Klarna sieht sich einiger Kritik bezüglich des Datenschutzes in seiner “Super-App” ausgesetzt. In den vergangenen Wochen sind bei der Berliner Datenschutz-Aufsichtsbehörde einige Beschwerden von Nutzerinnen und Nutzern eingegangen.

Klarnas noch recht neue App vereint die bereits bekannte Zahlmöglichkeit direkt mit dem Online-Shopping. Viele Händler wurden bereits in die App integriert, sodass eine separate Anmeldung bei den einzelnen Online-Shops nicht mehr notwendig ist. Sogar der Versand und das Paket-Tracking sind in der App möglich. Dadurch erhält Klarna neben den Bezahldaten auch alle anderen Informationen zu Bestellungen und Kaufverhalten der Nutzer, anhand derer personalisierte Angebote und Werbung generiert und an die Nutzerinnen und Nutzer ausgespielt werden können.

Rund die Hälfte der Beschwerden bezieht sich auf die Rechte der Nutzerinnen und Nutzer auf Auskunft oder Löschung ihrer Daten. Ein weiteres großes Problem ist die Datenschutzerklärung, die etwa 14.000 Wörter lang ist. Art. 12 DSGVO verlangt jedoch, dass die Informationen in “präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache” zur Verfügung gestellt werden. Auch inhaltlich könne die Datenschutzerklärung nicht überzeugen, sondern sei vielmehr eine “grandiose Nebelmaschine”.

Clearview darf Gesichtsbilder von französischen Staatsbürgern nicht mehr verarbeiten

23. Dezember 2021

Neue Entwicklung in Sachen des kontroversen Dienstes Clearview: Wie berichtet, hatte die Gesichtserkennungsfirma Clearview bereits erhebliche Kritik für ihre Unvereinbarkeit mit datenschutzrechtlichen Grundsätzen insbesondere der DSGVO geerntet. Bereits im letzten Jahr wurde beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Johannes Casper eine Beschwerde gegen Clearview eingereicht; das Erstellen von biometrischen Profilen von EU-Bürgern wure vorläufig als rechtswidrig eingestuft und Clearview AI angewiesen, das Profil des Beschwerdeführers zu löschen. Auch in Kanada, Australien und dem Vereinigten Königreich (das die europäische DSGVO vorerst im nationalen Recht beibehält) wurde gegen Clearview vorgegangen.

Nun wird mit der französischen Datenschutzbehörde CNIL die erste europäische Behörde tätig und verlangt von dem Unternehmen, “die Sammlung und Nutzung von Daten von Personen einzustellen, die sich auf französischem Hoheitsgebiet befinden”.

Das umstrittene US-amerikanische Unternehmen Clearview trägt Fotos aus aus einer Vielzahl von sozialen Netzwerken, Webseiten und Videos zusammen, um auf diese Weise eine Datenbank mit Gesichtern mit weltweit über zehn Milliarden Bilder aufzubauen. Die Datenbank ist vor allem für Strafverfolger interessant, da in der App eine Person mithilfe eines Fotos gesucht werden kann. Währenddessen ahnt keiner der Betroffenen davon, dass das Bild vom letzten Urlaub potenziell “für polizeiliche Zwecke genutzt werden kann”.

In der Mitteilung über die Feststellung des Verstoßes fordert die CNIL Clearview auf, die unrechtmäßige Verarbeitung einzustellen und die Nutzerdaten innerhalb von zwei Monaten zu löschen. Die französische CNIL stellte fest, dass Clearview zwei Verstöße gegen die Datenschutz-Grundverordnung begangen hat: Die französische Datenschutzbehörde sieht für die kontroverse Praxis des Fotoabgleichs keine Rechtsgrundlage, insbesondere werde keine Einwilligung der Betroffenen eingeholt. Darin liege ein Verstoß gegen Artikel 6 (Rechtmäßigkeit der Verarbeitung). Zudem verstoße Clearview gegen eine Reihe von Datenzugangsrechten gemäß Artikel 12, 15 und 17.

Das US-Unternehmen hat keinen Sitz in der EU, was bedeutet, dass seine Geschäfte in der gesamten EU von allen Datenschutzbehörden der EU überwacht werden können. Die Anordnung der CNIL gilt zunächst nur für Daten, die das Unternehmen über Personen aus dem französischen Hoheitsgebiet besitzt. Weitere derartige Anordnungen anderer EU-Behörden werden jedoch folgen und sind nur eine Frage der Zeit.

Es ist allerdings auch möglich, selbst tätig zu werden: Clearview hat hierzu auf seiner Website zwei Formulare für EU-Bürger eingerichtet. Mit der “Data Access Form” kann man feststellen, ob Clearview Daten über die eigene Person gespeichert hat. Mit dem “Data Processing Objection Form” kann man das Unternehmen daran hindern, Fotos der eigenen Person zu verarbeiten.

noyb zeigt irische Datenschutzkommission an

30. November 2021

Der Verein des österreichischen Juristen und Datenschützers Maximilian Schrems noyb (none of your business) hat die irische Datenschutzkommission (DPC) bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt. Dabei wirft man der Behörde intransparentes Verhalten vor. In dem Verfahren bei der irischen Behörde geht es um die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) durch Facebook.

Non-Disclosure-Agreement vorgelegt

Zuvor hatte die Behörde noyb aufgefordert, innerhalb eines Arbeitstages eine Verschwiegenheitsvereinbarung (Non-Disclosure-Agreement, NDA) zu unterzeichnen. Ohne eine solche Geheimhaltungsvereinbarung zugunsten der DPC und Facebook würde die DPC die Rechte der Beschwerdeführerin noyb in einem laufenden Verfahren aussetzen.

Hintergrund

Maximilian Schrems führte in der Vergangenheit schon einige erfolgreiche Verfahren gegen den Social-Media Konzern. In dem eigentlichen Rechtsstreit (wir berichteten) geht es unter anderem um die Frage, ob Nutzer:innen tatsächlich eine Einwilligung oder einen Vertrag mit Facebook schließen, da Facebook als angebliche „Leistung“ Werbung anbiete. Laut Schrems wären damit die Vorschriften, die vorgeben, wie eine eindeutige Zustimmung aussehen müsse (und auch jederzeit widerrufen werden könne), hinfällig. Dies sei eine rechtswidrige Umgehung der DSGVO.

Fehlende Rechtsgrundlage und Verzögerungen

Die DPC lässt sich mit diesem und anderen Verfahren gegen Techkonzerne nach Einschätzung von Schrems zu viel Zeit. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hatte seiner irischen Kollegin Helen Dixon vorgeworfen, die Verfahren zu verschleppen und ihr Zögern mit „falschen Aussagen“ zu verschleiern.

Aufgrund Facebooks Hauptsitz in Irland wurde die Beschwerde an die irische Datenschutzkommission weitergeleitet. Nach über drei Jahren erließ sie schließlich einen Entscheidungsentwurf. Nachdem noyb diese Entscheidung veröffentlicht hatte, forderte die DPC noyb auf, die Entscheidung der Datenschutzbehörde sowie noyb’s eigene Stellungnahmen zu löschen. Dies geschah ohne die Nennung einer Rechtsgrundlage, so der Datenschutzverein. Darüber hinaus sei die DPC außerhalb Irlands nicht zuständig. Aufgrund des Kooperationsmechanismus der DSGVO müssten die Dokumente über die österreichische Datenschutzbehörde zugestellt werden und unterlägen somit dem geltenden österreichischen Recht (§ 17 AVG). Wie die österreichische Datenschutzbehörde bestätigte, unterliegen derartige Verfahrensdokumente nicht der Geheimhaltung. Zum anderen gebe es auch nach irischem Recht keine gesetzliche Verpflichtung für die Parteien, Dokumente vertraulich zu behandeln, so noyb.

Maximilian Schrems: “Die irische Behörde hat die Verpflichtung uns zu hören, aber sie hat uns nun praktisch erpresst: Prozessrechte wurden davon abhängig gemacht, dass wir eine Verschwiegenheitsvereinbarung zu Gunsten der Behörde und Facebook unterzeichnen.”

Zeichen stehen auf Konfrontation

Für die Adventszeit hatte Schrems öffentliche Lesungen aus Dokumenten von Facebook und der irischen Datenschutzbehörde angekündigt. Inzwischen meldete sich auch der Datenschützer Johnny Ryan vom Irish Council for Civil Liberties zu Wort. Auch er habe in seiner Beschwerde gegen Google eine Verschwiegenheitserklärung von der irischen Behörde vorgelegt bekommen.

Die irische Behörde reagierte bisher nicht öffentlich auf die Vorwürfe.

Versandapotheke darf das Geburtsdatum nicht immer abfragen

11. November 2021

Das Verwaltungsgericht Hannover hat sich mit der Frage befasst, welche Daten eine Versandapotheke im Rahmen des Bestellvorgangs erheben darf (Verwaltungsgericht Hannover, Urteil vom 09. November 2021, Az.: 10 A 502/19). Den Stein ins Rollen gebracht hat die Landesbeauftragte für den Datenschutz in Niedersachsen. Sie war der Meinung, die Versandapotheke erhebe zu viele Daten im Bestellvorgang und untersagte ihr im Januar 2019, unabhängig vom bestellten Medikament das Geburtsdatum abzufragen. Auch die Angabe einer Anrede sei, jedenfalls bei nicht geschlechtsspezifisch zu dosierenden Medikamenten, nicht erforderlich.

Die Betreiberin der Versandapotheke berief sich auf ihre Beratungspflicht, die aus der Apothekenbetriebsordnung folge. Dies umfasse die geschlechtsspezifische und altersgerechte Beratung. Zudem müsse sie wissen, ob die Bestellerinnen und Besteller volljährig seien. Sie klagte gegen den behördlichen Bescheid, die Klage wurde gestern nach mündlicher Verhandlung vor dem VG Hannover abgewiesen.

Vor dem Verhandlungstermin hat die Versandapotheke die Option hinzugefügt, bei der Anrede keine Angaben zu machen, sodass darüber nicht verhandelt wurde. Die Verarbeitung des Geburtsdatums beim Erwerb rezeptfreier Produkte ist nach Ansicht des Gerichts für solche Produkte unzulässig, die keine altersgerechte Beratung erfordern. Dies gilt u.a. für Drogerieartikel. Um die Geschäftsfähigkeit der Kunden zu prüfen, reicht es, abzufragen, ob die bestellende Person volljährig ist oder nicht. Dies folgt aus dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c) DSGVO.

Die Versandapotheke hat die Möglichkeit, die Zulassung der Berufung zum OVG Lüneburg zu beantragen.

Eingabe von falscher E-Mail-Adresse stellt keinen Datenschutzverstoß dar

13. Oktober 2021

Die norwegische Datenschutzbehörde äußerte sich vor kurzem, dass ein Unternehmen, das eine Email mit persönlichen Daten an eine falsche Email Adresse geschickt hatte, keinen Datenschutzverstoß begangen hatte.

Was war passiert?

Der Betroffene hatte sich bei der norwegischen Behörde gemeldet, nachdem seine Kaufbestätigung und Rechnung an eine andere Email-Adresse als die seine versandt wurden. Die Email-Adresse des tatsächlichen Empfängers gehörte einem anderen Kunden des Unternehmens und war bis zum “@” identisch mit der des Betroffenen. Der Betroffene ging deshalb von einer unternehmensinternen Verwechslung aus und machte diese als Verstoß gegen die DSGVO geltend. Weiterhin kontaktierte er wiederholt das Unternehmen, um die Verwechslung anzuzeigen und seine Daten korrigieren zu lassen.

Wie äußerte sich die Datenschutzbehörde?

Die Datenschutzbehörde geht davon aus, dass in dem ursprünglichen Versand der Email kein Verstoß gegen die DSGVO zu sehen ist. Vielmehr schien der Betroffene selbst seine Email-Adresse falsch eingegeben zu haben. Jedoch kritisierte die Behörde, dass das Unternehmen auf die wiederholten Versuche zur Kontaktaufnahme durch den Betroffenen nicht reagierte. So dauerte es mehr als 6 Monate, bis eine Korrektur der Email-Adresse vorgenommen wurde. Dies kritisierte die Behörde vor allem mit Blick auf die einmonatige Frist, die sich aus Art. 12 Abs. 3 DSGVO ergibt und sah hierin einen Verstoß gegen die DSGVO. Maßnahmen ergreift die Behörde keine, sie weist aber auf ihre Protokollierung solcher Fälle hin.

Hamburger Datenschutzbehörde verhängt Bußgeld gegen Vattenfall in Höhe von knapp 900.000 Euro

27. September 2021

Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.

Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte “Bonusshopper” als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.

Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.

Aufsichtsbehörde: Faxversand ist unsicheres Kommunikationsmittel

17. September 2021

Der hessische Datenschutzbeauftragte hat sich in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt er sich der Meinung anderer Aufsichtsbehörden an, die das Fax ebenfalls als nicht mehr zeitgemäß und nicht datenschutzkonform einstufen.

Als Begründung führte er an, dass es mittlerweile eine Vielzahl an sichereren Methoden gebe, um Nachrichten auszutauschen wie z.B. der verschlüsselte E-Mail-Versand. Derzeit gleiche eine Übermittlung per Fax aber vielmehr einer unverschlüsselten E-Mail. Daran problematisch sei insbesondere, dass durch die Eingabe einer falschen Faxnummer personenbezogene Daten Unbefugten gegenüber offenbart werden. Aber auch bei der Eingabe einer korrekten Faxnummer könne nicht sichergestellt werden, wer das Fax am anderen Ende in Empfang nehme. Dadurch ergeben sich Risiken für die Rechte und Freiheiten natürlicher Personen, die mit der DSGVO nicht in Einklang stehen.

Die DSGVO schreibt bestimmte Anforderungen vor, die es bei der Verarbeitung personenbezogener Daten zu berücksichten gilt. Dazu gehört gem. Art. 5 Abs. 1 lit. f DSGVO auch, dass die Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit einschließlich dem Schutz vor unbefugter Verarbeitung und unbeabsichtigtem Verlust gewährleistet. Die Einhaltung geeigneter technischer und organisatorischer Maßnahmen (vgl. Art. 32 DSGVO) spiele dabei eine zentrale Rolle. Diese könnten bei dem Faxversand nicht eingehalten werden.

Daher empfiehlt der hessische Datenschutzberauftragte grundsätzlich keine personenbezogenen Daten per Fax zu übermitteln und auf digitale Lösungen umzustellen. Nur in Ausnahmefällen z.B. aufgrund einer besonderen Eilbedürftigkeit und wenn zusätzliche Schutzmaßnahmen bei den Versendern und Empfängern getroffen worden sind, sollte auf das Faxgerät zurückgegriffen werden. Personenbezogene Daten, die besonders sensibel sind und damit einen hohen Schutzbedarf aufweisen, sollten gar nicht per Fax übermittelt werden.

Auf alternative Kommunikationsmittel verweist der Landesdatenschutzbeauftragte in seiner Stellungnahme. Um mit gutem Vorbild voranzugehen, führt seine Behörde keine Faxnummern mehr auf der Homepage.

TikTok im Fokus der irischen Datenschutzbehörde

16. September 2021

Die umstrittene chinesische App steht schon lange wegen ihrer datenschutzrechtlichen Praktiken in der Kritik. In den USA erhielt TikTok bereits Millionenstrafen für die Datenschutzrechtsverletzungen von Kindern und Jugendlichen. Nun hat auch die irische Datenschutzbehörde DPC Ermittlungen in zwei Fällen aufgenommen. Zum einen gehe es um die Verarbeitung von persönlichen Daten von Kindern und Jugendlichen und zum anderen um die Weitergabe von Daten nach China, ließ die DPC verlautbaren.

Gegenstand der Untersuchungen

Im Fokus der Untersuchungen steht, ob TikTok die Privatsphäre seine jugendlichen Nutzer:innen ausreichend schützt. Datenschützer:innen kritisieren unter Anderem, dass TikTok seine Nutzer nicht eindeutig und vor allem nicht in einer für Kinder und Jugendliche verständlichen Weise darüber informiere, welche personenbezogenen Daten zu welchem Zweck und aus welchem Rechtsgrund erhoben werden. Außerdem untersuchen die Behörden mögliche Datenabflüsse aus Europa in Drittstaaten wie China. Denn TikTok gehört zum chinesischen Konzern ByteDance mit Sitz in Peking- und in China müsse man mit einem unbeschränktem und anlasslosen Zugriff der Behörden auf die Daten rechnen, so Datenschutzrechtler.

Streit um die Zuständigkeit

Dass die irische Datenschutzbehörde nun ermittelt, ist keinesfalls selbstverständlich, hatte sie doch noch im letzten Jahr vehement ihre Zuständigkeit abgestritten. Im letzten Jahr hatten Dänemark, die Niederlande und Frankreich Untersuchungen gegen TikTok wegen möglicher Datenschutzverletzungen eingeleitet. Gibt es keinen zentralen EU-Sitz, können schließlich Datenschutzbehörden in jedem EU-Land eigenständig ermitteln. Dann hatte TikTok jedoch einen zentralen europäischen Sitz in Datenschutzangelegenheiten in Irland angekündigt. Gegen die Niederlassung von TikTok in Irland hatte sich die DPC lange Zeit gewehrt und bezweifelt, dass sich TikTok wirklich dauerhaft in Dublin niederlassen würde- während TikTok andere Datenschutzbehörden bereits auf die Hauptniederlassung in Irland verwiesen hatte. Für TikTok war dies zweifelsohne eine begrüßenswerte Situation.

Nun besteht Klarheit bezüglich der Zuständigkeit der irischen Datenschutzbehörde. Sie hat damit ein weiteres Verfahren von immenser Tragweite und Bedeutung neben denen gegen Facebook, Google und Twitter zu bewältigen. Viele befürchten aufgrund mangelnder Ressourcen und Personal, dass auch im Verfahren gegen TikTok die Untersuchung und Ahndung von etwaigen Datenschutzverletzungen nur schleppend vorangehen wird.

225 Millionen Euro Strafe gegen WhatsApp

3. September 2021

WhatsApp wurde von der irischen Datenschutzbehörde zu einer Rekordstrafe von 225 Millionen Euro verurteilt. Da WhatsApp zu Facebook gehört und der EU-Hauptsitz der Social-Media-Plattform in Irland liegt, ist die irische Aufsichtsbehörde für WhatsApp zuständig.

Die Strafe ist die Folge einer seit drei Jahren laufenden Untersuchung. Zu dem Zeitpunkt wurde in der EU eine neue DSGVO (Datenschutzgrundverordnung) aktiv, bei der es um personenbezogenen Datenaustausch zwischen Firmen und Nutzern geht. Gerügt wurde, dass das Unternehmen gegen die Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen verstoßen habe. Auch habe es die Nutzer nicht ausreichend über die Verarbeitung ihrer Daten informiert. WhatsApp hat bereits angekündigt Berufung einzulegen.  


Die irische Datenschutzbehörde teilte mit, dass sie ihre Entscheidung, wie in der DSGVO vorgeschrieben, “nach einer langwierigen und umfassenden Untersuchung” anderen nationalen Datenschutzbehörden vorgelegen und Einwände aus acht Ländern, darunter Deutschland, Frankreich und Italien, erhalten habe. Dabei stimmten einige Länder in gewissen Punkten nicht mit der irischen Aufsichtsbehörde überein; u.a. was die Höhe der Geldstrafe angehe oder auch gegen welche spezifischen Artikel der DSGVO vorliegend verstoßen werde.  Ende Juli forderte der Europäische Datenschutzausschuss die irische Datenschutzbehörde dann dazu auf, ihre Feststellungen zu überarbeiten und die vorgeschlagene Geldbuße neu zu bewerten.
Eine höhere Strafe gab es bisher nur bei Amazon, die im Juli von der luxemburgischen Datenschutzbehörde eine Strafe in Höhe von 886,6 Millionen Euro auferlegt bekommen haben.

Ein Firmensprecher erklärte, WhatsApp sei bestrebt, einen sicheren und privaten Dienst anzubieten. „Wir haben uns dafür eingesetzt, dass die von uns bereitgestellten Informationen transparent und umfassend sind, und werden dies auch weiterhin tun.“ WhatsApp sei mit der aktuellen Entscheidung der irischen Datenschutzkommission in Bezug auf die Transparenz, die man den Menschen im Jahr 2018 geboten haben, nicht einverstanden. Die Strafe sei völlig unverhältnismäßig. „Wir werden gegen diese Entscheidung Rechtsmittel einlegen“, erklärte der WhatsApp-Sprecher.

Hamburger Aufsichtsbehörde warnt formal vor dem Einsatz von Zoom

16. August 2021

Der Hamburgische Beauftagte für Datenschutz und Informationsfreiheit (HmbBfDI) hat heute in einer Pressemitteilung bekannt gegeben, dass er die Hamburger Senatskanzlei vor dem Einsatz der Videokonferenzlösung von Zoom Inc. in der sog. “on-demand-Variante” offiziell gewarnt habe.

Hintergrund

Zoom ist ein US-amerikanisches Softwareunternehmen für Videokonferenzen. Dessen Einsatz seit dem sog. “Schrems-II-Urteil” des EuGH und dem damit verbundenen Wegfall des Privacy Shields nur unter Einhaltung sehr strenger Voraussetzungen möglich ist. Problematisch an einem Einsatz von Zoom ist insbesondere der Datentransfer in die USA, dessen Rechtsgrundlage durch das Schrems-II-Urteil gekippt wurde, da US-Geheimdienste umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben und damit eine Massenüberwachung befürchtet wird. Daher ist der Einsatz von US-Konferenzdiensten wie Zoom nur in Ausnahmefällen möglich und bedarf einer genauen Prüfung, deren Vorgaben der europäische Datenschutzausschuss in seinen Empfehlungen formuliert hat.

Sachverhalt

Diese strengen Voraussetzungen liegen bei der Senatskanzlei und dem geplanten Einsatz von Zoom nicht vor.

Nachdem die Senatskanzlei die Hamburger Aufsichtsbehörde zwar frühzeitig über entsprechende Pläne zum Einsatz von Zoom informiert habe, sei die Senatskanzlei in der Folge den Aufforderungen der Aufischtsbehörde entsprechende Unterlagen oder Argumente vorzulegen, die eine andere rechtliche Bewertung zuließen, nicht nachgekommen. Deshalb sei nach Einleitung eines formalen Verfahrens durch Anhörung der Senatskanzlei Mitte Juni 2021 nun die formale Warnung nach Art. 58 Abs. 2 lit. a DSGVO der erforderliche nächste Schritt gewesen.

Befugnisse der Aufsichtsbehörden

Nach Art. 58 DSGVO verfügt jede Aufsichtsbehörde über vielfältige Untersuchungs-, Abhilfe- oder Genehmigungsbefugnisse. Dazu gehört gem. Art 58 Abs. 2 lit. a DSGVO u.a. auch die Befugnis, einen Verantwortlichen oder Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen die DSGVO verstoßen. Dies ist hier geschehen. Der HmbBfDI begründet dies damit, dass neben der Wirtschaft auch die öffentliche Verwaltung die strengen Anforderungen erfüllen müssen, die an einen Drittstaatentransfer gestellt werden. Zudem gebe es auch europäische Dienstleister, die Videokonferenzsysteme in den eigenen Rechenzentren anbieten und die erfolgreich genutzt werden könnten. Daher sei für den HmbBfDI unverständlich, weshalb auf einen US-Anbieter zurückgegriffen werden müsse, dessen Einsatz rechtlich hoch problematisch sei.

Ausblick

Die von dem HmbBfDI ergriffenen Maßnahmen zeigen einmal mehr, dass der Einsatz von US-amerikanischen Tools rechtlich sehr schwierig ist und eine Nutzung von den Aufsichtsbehörden genau geprüft wird.

Folgt die Senatskanzlei der offiziellen Warnung nicht und führt Zoom dennoch ein, so kann der Hamburger Datenschutzbeauftragte nach Art. 58 Abs. 5 DSGVO diesen Verstoß den Justizbehörden zur Kenntnis bringen und ggf. die Einleitung eines gerichtlichen Verfahrens betreiben oder sonstige Maßnahmen ergeifen.

1 6 7 8 9 10 33