Kategorie: DSGVO

Dating-App Grindr erwartet Millionenbußgeld

8. Februar 2021

Die norwegische Datenschutzbehörde “Datatilsynet” hat die Dating-App Grindr frühzeitig über ein Bußgeld in Höhe von 100.000.000 NOK (ca. 9,6 Millionen Euro) informiert.

Vorangegangen war eine Beschwerde des Norwegischen Verbraucherrats “Forbrukerrådet” und dem Europäischen Zentrum für digitale Rechte (noyb). Die Beschwerde richtete sich gegen Grindr sowie fünf weitere Handelspartner der Dating-App.

Die Norwegische Datenschutzbehörde ist der Ansicht, dass Grindr ohne rechtliche Grundlage personenbezogene Daten mit zahlreichen Werbepartnern geteilt hat. Besonders schwerwiegend sei dabei die Tatsache, dass bereits die Nutzung von Grindr einen Einblick in die sexuelle Orientierung des Nutzers gewährleistet. Damit ergibt sich der Anwendungsbereich des Art. 9 DSGVO, welcher einen besonderen Schutz der sensiblen Daten durch den Verantwortlichen voraussetzt.

Den Usern wurde eine effektive Nutzung der App nur unter Zustimmung der Datenschutzbestimmungen gestattet. Auch hatten die Nutzer keine Möglichkeit eine Einwilligung bezüglich der Weitergabe der Daten an Dritte abzugeben. Dies verstößt gegen die Bestimmungen der Datenschutzgrundverordung. Zwar ist Norwegen als Nicht-EU-Mitglied nicht direkt von der DSGVO betroffen, als Mitglied des Europäischen Wirtschaftsraums (EWR) führte es die DSGVO aber trotzdem ein.

Das Bußgeld könnte das höchste in der Geschichte des norwegischen Datenschutzes werden. Zuvor hat Grindr jedoch die Möglichkeit sich zu den erhobenen Vorwürfen zu äußern.

Fahrtenbuchauflage zum Zwecke der Gefahrenprävention zulässig

4. Februar 2021

Im Rahmen eines Beschwerdeverfahrens lag dem OVG Hamburg (Az. 4 Bs 84/20) vor kurzem die Frage vor, ob die mit der Fahrtenbuchauflage (§ 31a StVZO) verfolgten Zwecke der Gefahrenprävention im öffentlichen Interesse im Sinne von Art. 6 Abs. 1 lit. d DSGVO liegen.

Der Sachverhalt

Die Antragsstellerin betreibt eine gewerbliche Autovermietung und verfügt dementsprechend über eine Vielzahl an Autos, die auf sie zugelassen sind. Mit einem dieser Autos wurde in der Vergangenheit die zulässige Höchstgeschwindigkeit von 30 km/h um 25 km/h überschritten. Als Folge dieses Geschwindigkeitsverstoßes erhielt die Antragsstellerin einen Zeugenfragebogen und ein, bei der automatischen Geschwindigkeitsmessung aufgenommenes, Frontfoto der Fahrerin. Hierzu gab die Antragsstellerin an, das Fahrzeug zum Tatzeitpunkt nicht vermietet zu haben und die Fahrerin auch nicht zu erkennen. Die zuständige Ordnungsbehörde ordnete der Antragsstellerin darauhin an, ein Fahrtenbuch für das verwendete Auto über einen Zeitraum von 6 Monaten zu führen.

Die Zulässigkeit der Fahrtenbuchauflage

Nach Auffassung der Antragstellerin ist die Auflage ein Fahrtenbuch zu führen unverhältnismäßig und rechtswidrig. Das Erheben von Nutzungsdaten über die Fahrzeuge stelle einen Verstoß gegen die DSGVO dar.

Anderer Ansicht ist jedoch das OVG Hamburg. Bei einem Sacherverhalt wie im vorliegenden Fall, kann eine Datenerhebung durch Art. 6 Abs. 1 lit. e) DSGVO legitimiert sein. Danach kann eine Datenverarbeitung rechtmäßig sein, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt.

Die Voraussetzung des öffentlichen Interesses sieht das OVG Hamburg als erfüllt an, “weil die Fahrtenbuchauflage eine Maßnahme zur vorbeugenden Abwehr von Gefahren für die Sicherheit und Ordnung des Straßenverkehrs ist. Mit ihr soll dafür Sorge getragen werden, dass künftig die Feststellung des Fahrzeugführers nach einer Zuwiderhandlung gegen Verkehrsvorschriften ohne Schwierigkeiten möglich ist.”

Kategorien: Allgemein · DSGVO
Schlagwörter: ,

Bundesnetzagentur verhängt Bußgeld gegen den Betreiber “Cell it!” GmbH&Co. KG wegen unerlaubter Telefonwerbung

3. Februar 2021

Das Call-Center “Cell it!” hatte im Auftrag des Mobilfunkanbieters Mobilcom-Debitel Abonnements für Hörbücher, Versicherungen, Sicherheitssoftwares und Zeitschriften verkauft und zuvor unerlaubt Telefonwerbung für diese Produkte betrieben. Die Betroffenen erhielten dabei im Nachgang des Telefonats Zusatzdienstleistungen in Rechnung gestellt, die sie nicht bestellt hatten. Auch für den Pay-TV Anbieter Sky Deutschland hatte “Cell it!” versucht, telefonisch Neukunden zu akquirieren, obwohl die Betroffenen zuvor keine Werbeeinwilligung abgegeben oder diese sogar ausdrücklich widerrufen hatten. “Cell it!” hatte dafür Adresskontingente bei Adresshändlern eingekauft. 

“Cell it!” verstößt demnach mehrfach gegen Art. 6 DSGVO sowie gegen § 7 Abs. 2 und 3 UWG. Auch wenn Direktwerbung von dem in Art. 6 Abs. 1 S. 1 lit. f DSGVO genannten berechtigen Interesse gedeckt sein kann, wird dies durch das Gesetz gegen den unlauteren Wettbewerb eingegrenzt. So liegt eine unzumutbare Belästigung gegenüber Verbrauchern nach § 7 Abs. 2 Nr. 2 UWG vor, wenn Werbung durch einen Telefonanruf ohne die vorherige ausdrückliche Einwilligung des Verbrauchers erfolgt. Aufgrund dessen verhängte die Bundesnetzagentur gegen “Cell it!” GmbH&Co. KG ein Bußgeld in Höhe von 145.000 Euro.

Auch gegen die beiden beteiligten Unternehmen Mobilcom-Debitel und Sky Deutschland verhängte die Bundesnetzagentur Bußgelder. “Wir ahnden unerlaubte Telefonwerbung und gehen konsequent gegen alle beteiligten Unternehmen vor“, so Jochen Hamann, Präsident der Bundesnetzagentur.

LG Lüneburg: Bank muss wegen Schufa-Eintrag Schadensersatz von 1.000 Euro zahlen

Wie nun bekannt wurde, hat das Landgericht Lüneburg mit Urteil vom 14.07.2020, Az. 9 O 145/19 eine Bank zur Zahlung von Schadensersatz in Höhe von 1.000 EUR verurteilt. Für die Richter lag ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, weil die Bank eine Kontoüberziehung ihres Bankkunden in Höhe von 20 Euro zu Unrecht einer Kredit-Auskunftei, der Schufa Holding AG (nachfolgend Schufa) meldete.

Sachverhalt:

Der Kläger unterhielt bei der Beklagten, einer größeren Bank, ein Girokonto. Auf dem Konto wurde dem Kläger auch ein Dispositionskredit über 1.000 Euro zur Verfügung gestellt. Dieser Dispositionskredit wurde von der Bank unter Berufung auf die Allgemeinen Geschäftsbedingungen (AGB) aus wichtigem Grund gekündigt. Zu diesem Zeitpunkt überschritt der Kläger den ihm eingeräumten Dispokredit um 20 Euro, der Sollsaldo betrug mithin 1.020 Euro. Nach Erhalt der Kündigung glich der Kläger die überzogenen 20 Euro aus, so dass das Konto des Klägers einen Sollsaldo von 999,99 Euro auswies. Weitere Verfügungen über das Konto wurden nicht mehr zugelassen. Nachdem es in der Folge mehrere Lastschriftrückgaben gab, kündigte die Beklagte sodann auch die Kontoverbindung des Klägers aus wichtigem Grund und stütze sich dabei auf einen Kündigungsgrund innerhalb ihrer AGB. Dabei setzte sie dem Kläger eine Frist zur Rückzahlung des bestehenden Schuldsaldos inklusive Zinsen. Dieser Fristsetzung kam der Kläger nach und beglich den noch offenen Sollsaldo, vor Ablauf der Frist hatte die Bank aber bereits bei der Schufa eine Negativ-Einmeldung i.H.v. 1.020 Euro veranlasst.

Dagegen erhob der Kläger Klage vor dem Landgericht Lüneburg und beantrage unter anderem den Widerruf dieser Einmeldung sowie die Zahlung eines Schmerzensgeldes.

Entscheidung:

Das Gericht gab dem Kläger teilweise Recht und verurteilte die Beklagte zum Widerruf der von ihr veranlassten Datenübermittlung an die Schufa sowie zur Zahlung eines Schadensersatzes.

Dabei hielt es einen Anspruch auf Ersatz eines immateriellen Schadens in Gestalt eines Schmerzensgeldes nach Art. 82 Abs. 1 DSGVO in Höhe von 1.000 Euro für angemessen. Den immateriellen Schaden begründete es vorliegend mit dem Kontrollverlust des Klägers über seine personenbezogenen Daten. Durch die Übermittlung der Daten an die Schufa habe die Beklagte, so das Gericht, personenbezogene Daten an einen unbeteiligten und unberechtigten Dritten weitergegeben. Dadurch sei der Kläger bloß gestellt worden und es drohe zudem mittelbar eine potenzielle Stigmatisierung, die durch einen Eintrag bei der Schufa entstehen könne. Das Gericht führte weiter aus, dass es sich bei den an die Schufa übermittelten Daten um schützenswerte und sensible Daten des Klägers handle, die maßgeblichen negativen Einfluss auf seine Teilnahme am wirtschaftlichen Verkehr haben können, indem ihm Kredite oder Verträge aufgrund der Eintragung versagt werden können. Auch Grundrechte wie die Berufsfreiheit und die allgemeine Handlungsfreiheit können durch eine solche Eintragung beeinträchtigt werden.

Vorliegend sah das Gericht daher das Interesse des Klägers, dass seine Daten nicht an die Schufa gemeldet werden und gegebenenfalls durch unbekannte Dritte eingesehen werden können, als besonders schützenswert an. Ein berechtigtes Interesse der Beklagten an der Datenübermittlung an die Schufa, verneinte das Gericht. Im Rahmen der Interessenabwägung, stütze es seine Abwägungskriterien auf § 31 Abs. 2 Nr. 4 Bundesdatenschutzgesetz (BDSG). Die Voraussetzungen des § 31 Abs. 2 Nr. 4 BDSG, wonach der Schuldner nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein; die erste Mahnung mindestens vier Wochen zurückliegen; der Schuldner zuvor, jedoch frühestens bei der ersten Mahnung, über eine mögliche Berücksichtigung durch eine Auskunftei unterrichten worden sein muss und der Schuldner die Forderung nicht bestritten haben darf, lagen nach Ansicht des Gerichts nicht vor. Damit lag für das Gericht ein Indiz für die Rechtswidrigkeit der Datenübermittlung an die Schufa vor.

Ausblick:

Die Besonderheit dieses Falles liegt wohl darin, dass obwohl das Landgericht die Beeinträchtigung des Klägers als eher gering einschätzte und die Negativeintragung nur 14 Tage bestand, es dem Kläger einen Schadensersatz in Höhe von 1.000 Euro zusprach. Zudem hielt das Gericht vorliegend – anders als viele andere Gerichte – auch eine Erheblichkeitsschwelle bei einem immateriellen Schaden im Sinne des Art. 82 Abs. 1 DSGVO für nicht geboten, sondern wollte auch einen Bagatellschäden entschädigt sehen.

Es bleibt daher abzuwarten, welche Signalwirkung dieses Urteil auf andere Gerichte hat und wie die Gerichte bei einem länger andauernden Datenschutzverstoß entscheiden werden.

Landgericht Stuttgart: Voraussetzungen und Umfang eines Auskunftsersuchens gegen den Versicherer

31. Januar 2021

Vergangenen November urteilte das Langreicht Stuttgart über eine Klage gegen eine Versicherung (04.11.2020 – 18 O 333/19).

In dem Verfahren begehrte die Klägerin Auskunft gem. Art. 15 Absatz 1 DS-GVO über diverse Daten und Informationen bezüglich eines Versicherungsvertrags, um anhand dieser Informationen prüfen zu können, ob sie ein „ewiges Widerrufsrecht“ geltend machen könne. Dabei ging es um Auskünfte zu verschiedenen Daten, wie zum Beispiel sämtliche Gesundheitsdaten zu ihrer Person, das Datum, an dem sie bei der Beklagten den Antrag auf Versicherung gestellt hatte, Beitragsdynamikplan inkl. Rhythmus für sie, Höhe der ersten gezahlten Raten u.v.m. und beantragte Kopien dieser Informationen nebst weiterer Unterlagen.

Das Gericht stellte fest, dass die Geltendmachung des datenschutzrechtlichen Auskunftsanspruchs ausdrücklich der Prüfung diene, ob die Klägerin ein solches „ewiges Widerrufsrecht“ geltend machen könne und welche wirtschaftlichen Konsequenzen sich hieraus ergeben würden.

Für einen Anspruch sei es erforderlich, dass in den Informationen eine Aussage über die betroffene Person getroffen wird bzw. werden kann. Ein Anspruch auf allumfassende Auskunft und Kopie sämtlicher vorhandener Daten sei mit dem Sinn und Zweck des datenschutzrechtlichen Auskunftsanspruchs nicht vereinbar. Nach dem Erwägungsgrund EWG DS-GVO Nummer 63 DS-GVO, diene das Auskunftsrecht aus Art. 15 DS-GVO dem Betroffenen vielmehr dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So solle Art. 15 DS-GVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen und auf dieser Basis könne dann eine Entscheidung über die weitere Verwendung, d.h. das „Schicksal der Daten“, wie ihre Löschung oder Sperrung getroffen werden. Der Betroffene soll so den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen.

Somit sei der Auskunftsanspruch seiner Rechtsnatur nach ein Hilfsanspruch in Bezug auf einen Hauptanspruch, nämlich in Bezug auf die weiteren datenschutzrechtlichen Rechte.

Vorlage zum Europäischen Gerichtshof: Einführung von Livestream-Unterricht an Schulen

Das Verwaltungsgericht Wiesbaden hat mit Beschluss vom 21.12.2020 bezüglich der Einführung eines Livestream-Unterrichtes den Gerichtshof der Europäischen Union angerufen. Gegenstand des Verfahrens vor dem Verwaltungsgericht ist die Frage, ob es bei dieser Form des Unterrichtes neben der Einwilligung der Eltern für ihre Kinder oder der volljährigen Schüler auch der Einwilligung der jeweiligen Lehrkraft bedarf.

Die zuständige Fachkammer entschied (Az.: 23 K 1360/20.WI), dem Gerichtshof die Frage vorzulegen, ob eine Vorschrift bestimmte inhaltliche Anforderungen der DSGVO erfüllen müsse, um eine „spezifische Vorschrift“ im Sinne der DSGVO zu sein. Zudem sei zu klären, ob eine nationale Norm, wenn sie diese Anforderungen offensichtlich nicht erfülle, trotzdem noch anwendbar bleiben könne.

Von der Klärung dieser Frage hänge ab, ob die hessischen Vorschriften zum Datenschutz die Anforderungen der DSGVO erfüllten und ob diese Normen trotz eines möglichen Verstoßes anwendbar blieben, so das Gericht.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Der fragliche Datenschutz im Clubhouse

Clubhouse ging in den USA bereits im März 2020 an den Start und steckt aktuell noch im Beta-Stadium. Bereitgestellt wird die App von dem US-Unternehmen Alpha Exploration Co. Inzwischen hat sie einen Wert von schätzungsweise 100 Millionen US-Dollar. Die Idee stammt von dem Stanford-Absolventen und ehemaligen Pinterest-Mitarbeiter Paul Davison und dem ehemaligen Google-Mitarbeiter Rohan Seth. In Deutschland wurde die App bis Anfang Januar 2021 kaum genutzt, bis einige deutsche Influencer auf der Plattform aktiv wurden. Nach eigenen Angaben ist der Dienst so konzipiert, dass Benutzer audiobasierte Unterhaltungen mit Freunden und anderen Menschen auf der ganzen Welt führen können. Vor kurzem war die App die meist heruntergeladene iOS-Anwendung in Deutschland. In den Diskussionsräumen diskutieren zunehmend bekannte Persönlichkeiten aus Wirtschaft, Politik, Medien und Sport.

Funktion

Clubhouse ist eine Anwendung, bei der sich die User Gespräche anhören und sich dabei auch aktiv an Diskussionen beteiligen können. Neben den öffentlichen Diskussionen bietet die App auch die Möglichkeit zur Diskussion in geschlossenen Gruppen. Die Diskussionsräume sind mit virtuell gestalteten Podiumsdiskussionen vergleichbar.

Die Moderatoren sprechen in den Räumen live über bestimmte Themen und die Zuhörer können dann dem virtuellen Raum beitreten. Die Teilnehmenden sind zunächst stumm geschaltet und können durch die Moderatoren zum Gespräch freigeschaltet werden. Darüber hinaus können die Moderatoren die Teilnehmer auch stumm schalten oder auch aus dem jeweiligen Raum auszuschließen.

Bisher kann die App nur auf iOS Geräten verwendet werden. Auch wenn sie schon im App Store zum Download bereitsteht, so wird für die Nutzung des erstellten Accounts eine Einladung von einem aktiven Anwender benötigt. Durch dieses Marketing-Konzept der künstlichen Verknappung sind Einladungen zurzeit noch sehr begehrt. Aktuell werden sie sogar zum Kauf auf Online-Auktionsplattformen angeboten.

Hinsichtlich des Datenschutzes ist die Nutzung der Anwendung nicht unbedenklich. Die Datenschutzkonferenz von Bund und Ländern (DSK) konnte sich mit dem Dienst bisher noch nicht detailliert befassen. Insofern steht eine Stellungnahme derzeit noch aus.

Zugriff auf Kontakte

Schon die Registrierung ist aus datenschutzrechtlicher Sicht bedenklich. Die dafür notwendige Einladung erfolgt über das Adressbuch des einladenden Nutzers. Das führt dazu, dass die eigenen Kontakte auf dem Smartphone mit Clubhouse geteilt werden müssen. Dabei ist es problematisch, dass die Kontaktdaten von Personen, die noch nicht bei Clubhouse registriert sind, ohne deren Einwilligung an das Unternehmen übermittelt werden. Diese Vorgehensweise wurde auch schon bei der Einführung von WhatsApp heftig kritisiert, da rechtlich gesehen jeder Kontakt zuvor um Erlaubnis gefragt werden müsste, bevor die personenbezogenen Daten verarbeitet werden können. Auf diese Weise kann Alpha Exploration persönliche Daten von Kontakten sammeln, die zuvor nicht in eine Verarbeitung einwilligten und auch die App nicht nutzen. Durch ein solches Auslesen von Kontakten ließe sich das soziale Umfeld von Nutzern weitgehend ausspionieren.

Die Frage nach der Rechtmäßigkeit dieses Vorgehens liegt aktuell der irischen Datenschutzbehörde zur Entscheidung vor. Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink sieht dieses Vorgehen äußerst kritisch. Es sei nicht auszuschließen, dass Clubhouse neben den Telefonnummern auch E-Mail-Adressen und Wohnadressen der Kontakte auslesen würde, sofern diese hinterlegt wären. Des Weiteren habe es ein erhebliches Verführungspotenzial, wenn man die App im vollen Umfang nutzen wolle und dafür nur schnell die Kontakte freigeben müsse, so Stefan Brink. Nach seiner Auffassung könnten die Nutzer rechtswidrig handeln, wenn sie der App Zugriff auf ihre Kontakte geben.

Nach der Aktivierung fordert die App dann auch beim neuen Nutzer Zugriff auf sämtliche Einträge im Adressbuch des verwendeten Smartphones. Auch bei der Anmeldung über einen Social-Media-Account behält sich Clubhouse den Zugang für Follower und Freundeslisten vor. Es ist nicht ersichtlich, in welcher Form und für welche Zwecke die dabei erhobenen Kontakt- und Accountinformationen Dritter in den USA verarbeitet werden.

Audiomitschnitte

Nach eigenen Angaben werden Audiomitschnitte ausschließlich zur Unterstützung der Untersuchung von Vorfällen aufgezeichnet. Temporäre Audioaufzeichnungen werden dabei verschlüsselt. Sollten diese Angaben so zutreffen, könnte sich Clubhouse bei den Aufzeichnungen auf die “Wahrung berechtigter Interessen” gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Hierbei muss jedoch beachtet werden, dass auch temporäre Aufzeichnungen auf den US-Servern des Unternehmens gespeichert werden und somit ein Zugriff Dritter nicht ausgeschlossen werden kann. Darüber hinaus fehlen auch Angaben über die Existenz einer Transportverschlüsselung.

Schattenprofile

Es deutet einiges darauf hin, dass zusätzlich zum Abfragen der Kontaktdaten nichtbeteiligter Dritter, vom Anbieter für diese auch Schattenprofile angelegt werden, selbst wenn sie die Plattform bisher nicht nutzen. Dies dürfte im Widerspruch zu den Betroffenenrechten der DSGVO stehen.

Identifizierung

Das gesamte Netzwerk einer Person ist für alle Nutzer weitgehend einsehbar. Das gilt auch für die Mitglieder innerhalb der verschiedenen Räume. Das kann dann von Vorteil sein, wenn beispielsweise die Nutzer gegen die Nutzungsbedingungen oder auch allgemeinen Gesetze verstoßen, da das Gesprochene, über den Klartextnamen, so schnell einer Person zugeordnet werden kann. Dadurch findet auch eine gewisse Selbstkontrolle statt, da andere Nutzer Verstöße melden können. Es könnte jedoch problematisch sein, wenn Nutzer innerhalb des betroffenen Netzwerks fälschlicherweise mit Äußerungen anderer Nutzer assoziiert werden. Wie auch bei anderen Netzwerken gab es auch bei Clubhouse schon Fälle von Diskriminierung und Rassismus.

Transparenz

In den Terms of Service (AGB) und der Privacy Policy (Datenschutzerklärung) von Clubhouse wird die DSGVO nicht erwähnt. Auch eine Adresse für Datenschutzauskünfte in der EU existiert nicht. Diese ist jedoch zwingend erforderlich, da auch die personenbezogenen Daten von EU-Bürgern verarbeitet werden (Marktortprinzip).

Laut Datenschutzerklärung gibt es bei der Version für das Smartphone eventuell keine Möglichkeit, das Tracking zu unterbinden. Somit kann nicht völlig ausgeschlossen werden, dass eine Profilbildung der Nutzer stattfindet.

Auch die Empfänger der personenbezogenen Daten werden nicht transparent dargestellt. Zwar werden nach offiziellen Angaben keine Daten an Geschäftspartner verkauft, der folgende Absatz der Datenschutzerklärung deutet jedoch auf Gegenteiliges hin.

    „We may share Identification Data and Internet Activity Data with social media platforms and other advertising partners that will use that information to serve you targeted advertisements on social media platforms and other third party websites – under certain regulations such sharing may be considered a “sale” of Personal Data“

Fazit

Zu diesem Zeitpunkt ist es trotz des schnellen Wachstums nur schwer zu prognostizieren, wie sich Clubhouse innerhalb der EU in Zukunft entwickeln wird. Es scheint, als würde man die Datenschutzerklärung bewusst vage halten. Schon jetzt liegen wohl Verstöße gegen die DSGVO vor. Es bleibt somit abzuwarten, wie die europäischen Datenschutzbehörden darauf reagieren werden.

Bundeskabinett setzt sich für die automatisierte Erfassung von Kfz-Kennzeichen ein

Die Bundesregierung will nun die erforderliche Rechtsgrundlage schaffen, die es erlaubt, automatisierte Kennzeichenlesesysteme (AKLS) im öffentlichen Verkehrsraum zu Fahndungszwecken zu nutzen. Doch welchen datenschutzrechtlichen Bedenken begegnet der vom Bundeskabinett bereits gebilligte Gesetzentwurf?

Automatisierte Kennzeichenerfassung: Die Ausgangslage

Das Thema einer massenhaften und undifferenzierten Erfassung von Kfz-Kennzeichen ist schon lange im Gespräch. Das Bundesverfassungsgericht (BVerfG) hatte sich Ende 2018 erneut mit der Verfassungsmäßigkeit von automatisierten Kfz-Kennzeichenkontrollen beschäftigt (Beschl. v. 18.12.2018, Az. 1 BvR 142/15 und Beschl. v. 18.12.2018, Az. 1 BvR 3187/10).

Hierbei ging es jedoch um Rechtsgrundlagen aus drei Landesgesetzen (Bayern, Hessen und Baden-Württemberg).

In Abweichung seiner bisherigen Rechtsprechung stellte das BVerfG damals letztlich fest, dass die automatisierte Kennzeichenerfassung einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung begründe. Dieser gelte für alle Personen, deren Kennzeichen in die Kontrolle einbezogen werden. Zuvor hatte das Gericht einen Eingriff lediglich im Falle eines Treffers angenommen.

Da ein solcher Eingriff nur durch ein verhältnismäßiges Gesetz gerechtfertigt werden könne, sei zwingende Voraussetzung für polizeiliche Kontrollen grundsätzlich „ein objektiv bestimmter und begrenzter Anlass“. Um engmaschige Grenzen für die Kennzeichenkontrolle sicherzustellen, müssten die Regelungen eine Beschränkung auf den Schutz von Rechtsgütern von zumindest erheblichem Gewicht oder einem vergleichbar gewichtigen öffentlichen Interesse aufweisen.

Das Problem ist bis heute: Es gibt keine verhältnismäßige Rechtsgrundlage für eine Kennzeichenkontrolle zu Strafverfolgungszwecken. Dies soll der Gesetzesentwurf des Bundeskabinetts ändern.

Was besagt das neue Gesetz?

Der Gesetzentwurf sieht im neuen § 163g StPO zunächst eine „im öffentlichen Verkehrsraum örtlich begrenzte“ Erhebung des „Kennzeichen von Kraftfahrzeugen sowie Ort, Datum, Uhrzeit und Fahrtrichtung“ vor.

Die Erhebung darf „durch den Einsatz technischer Mittel automatisch“ erfolgen, „wenn zureichende tatsächliche Anhaltspunkte“ für die Begehung einer „Straftat von erheblicher Bedeutung“ vorliegen und angenommen werden kann, „dass diese Maßnahmen zur Ermittlung der Identität oder des Aufenthaltsorts des Beschuldigten führen“. Hierzu „darf die Datenerhebung nur vorübergehend und nicht flächendeckend erfolgen“.

Die so erhobenen Daten dürfen mit Kennzeichen von Kraftfahrzeugen automatisch abgeglichen werden, die auf den Beschuldigten oder auf mit ihm in Verbindung stehende Personen zugelassen sind oder genutzt werden. Letzteres ist jedoch nur zulässig, wenn der Aufenthaltsort des Beschuldigten nicht auf andere Weise oder nur schwierig zu ermitteln ist.

Die automatische Erfassung der Kennzeichen muss – vorbehaltlich des Vorliegens von Gefahr im Verzug – schriftlich begründet von der Staatsanwaltschaft angeordnet werden. Außerdem ist die Erfassung unverzüglich zu beenden, wenn die Voraussetzungen des § 163g StPO nicht mehr erfüllt sind.

Was bedeutet das datenschutzrechtlich?

Zunächst müssten die Anforderungen DSGVO-konform sein. Insbesondere der Art. 5 DSGVO ist entscheidend. Demnach muss ein rechtmäßiger Zweck gegeben sein (“Zweckbindung”) und die zu erhebenden personenbezogenen Daten müssen auf das notwendige Maß beschränkt werden („Datenminimierung“). Zuletzt darf eine Speicherung der Daten nur so lange erfolgen, wie dies für den verfolgten Zweck erforderlich ist (“Speicherbegrenzung”). Die Daten müssen auch ausreichend geschützt sein.

Bedeutung für den Beschuldigten:

Für eine Einschätzung sollte zwischen den von der Erfassung der Kennzeichen betroffenen Personen unterschieden werden. Hierbei handelt es sich zunächst um einen Beschuldigten, nach dem gefahndet wird.

Datenschutzrechtlich wird für eine Datenerhebung im neuen § 163g StPO ein rechtmäßiger Zweck festgelegt, nämlich die Strafverfolgung. Der Zweck ist nach den Maßgaben des BVerfG wohl auch als objektiv bestimmter und begrenzter Anlass zu bewerten, vor allem, wenn die Erhebung von Kennzeichen zur Aufklärung von Straftaten nur dann erfolgen darf, wenn der Verdacht einer Straftat von erheblicher Bedeutung gegeben ist.

Hierunter sind Straftaten zu verstehen, die mindestens im Bereich der mittleren Kriminalität liegen. Diese stören den Rechtsfrieden drastisch und sind dazu geeignet, das Gefühl der Rechtssicherheit der Bevölkerung erheblich zu beeinträchtigen.

Die Regelung, die Erhebung unverzüglich zu beenden, wenn die Voraussetzungen nicht mehr erfüllt sind, ist direkter Ausfluss des Art. 5 DSGVO: Ohne rechtmäßigen Zweck darf eine Verarbeitung von personenbezogenen Daten nicht erfolgen.

Bedeutung für alle anderen:

Neben dem (strafrechtlich) Beschuldigten, sofern er dann auch unter den (datenschutzrechtlich) Betroffenen fällt, sind jedoch alle anderen Verkehrsteilnehmer nicht aus den Augen zu verlieren. Diese sind primär gerade keine Beschuldigten in einem Strafverfahren. Ihre personenbezogenen Daten werden aber „trotzdem“ erfasst. Die neue Regelung stellt auch für die Datenverarbeitung der übrigen Verkehrsteilnehmer eine datenschutzrechtliche Rechtsgrundlage dar. Zum Zweck der Strafverfolgung werden auch diese personenbezogenen Daten erhoben. Fraglich bleibt, ob der neue § 163g StPO auch den verfassungsrechtlichen Vorgaben genügt und eine Rechtfertigung für die vielen Eingriffe in das Grundrecht der informationellen Selbstbestimmung darstellt, gerade im Hinblick auf die hohe Fehlerquote beim Kennzeichenabgleich.

Aber auch bei geringerer Fehlerquote sucht die Polizei aufgrund der hohen Diskrepanz zwischen Anzahl der Beschuldigten und anderen Autofahrern sprichwörtlich die Nadel im Heuhaufen. Man könnte sich die Frage stellen, wie die geplante Einführung einer weiteren Maßnahme zur „Massenüberwachung“ zu der vom BVerfG diesbezüglich einst angedachten „Überwachungsgesamtrechnung“ passt. Es bleibt also abzuwarten, ob diese praktischen Probleme bei der Abwägung zwischen einer effektiven Strafverfolgung und dem Recht auf informationelle Selbstbestimmung Eingang finden.

Gesundheitskarte kann nicht durch Papieralternative ersetzt werden

25. Januar 2021

Das Bundessozialgericht hat festgestellt, dass gesetzlich Versicherte keinen papiergebundenen Berechtigungsnachweis verlangen können.

Nachdem die Kläger bereits erfolglos die unteren Instanzen durchlaufen hatten, entschied auch das BSG zu deren Ungunsten. Den Klägern ging es dabei um die Sicherheit der elektronisch gespeicherten Daten, welche nach ihrer Ansicht nicht ausreichend gewährleistet wird. Auf dem Chip der Geundheitskarte werden Versichertendaten wie Name und Versichertenstatus gespeichert. Als Alternative wollten sich die Kläger mit einem papiergebundenen Berechtigungsnachweis ausweisen.

Entgegen der Auffassung der Kläger entschieden die Kassler Richter, dass die Vorschiften über die elektronische Gesundheitskarte im Einklang mit den Vorgaben des europäischen Datenschutzrechts stehen. Auch der Eingriff in die Grundrechte der Kläger ist nach Ansicht des BSG gerechtfertigt. Insbesondere verhindere die Karte den Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, welche ein überragend wichtiges Gemeinschaftsgut darstelle.

1 25 26 27 28 29 39