Kategorie: EU-Datenschutzgrundverordnung

DS-GVO in Drittstaaten nicht durchsetzbar? noyb klagt gegen Aufsichtsbehörde aus Luxemburg

27. Januar 2021

Die Datenschutz-Grundverordnung (DS-GVO) findet unter bestimmten Bedingungen auch auf Unternehmen Anwendung, die ihren Sitz außerhalb der EU bzw. des EWR, also in sog. Drittstaaten haben. Insbesondere wenn diese ihre Waren oder Dienstleistungen auch gegenüber Kunden anbieten, die sich innerhalb der EU bzw. des EWR aufhalten, unterliegen diese Unternehmen den europäischen Datenschutzbestimmungen (Art. 3 Abs. 2 DS-GVO). Insbesondere um solche Unternehmen effektiv kontrollieren zu können, müssen diese nach Art. 27 DS-GVO einen Vertreter in der Union benennen.

Keine wirksamen Durchsetzungsmöglichkeiten gegen Unternehmen aus Drittstaaten?

Adressat von zwei Beschwerden vor der luxemburgischen Datenschutzbehörde CNPD waren zwei solcher Unternehmen, die zwar personenbezogene Daten des Beschwerdeführers aus Luxemburg verarbeiteten, auf die Geltendmachung der Betroffenenrechte (Art. 15 sowie Art. 17 DS-GVO) jedoch nicht reagierten. Dennoch wies die CNPD – trotz Bestätigung der Anwendbarkeit der DS-GVO – die Beschwerde ab, mit der Begründung, wegen der fehlenden Vertretung in der Union seien keine wirksamen Durchsetzungsmaßnahmen zu erwarten.

noyb: Sehr wohl Durchsetzungsmöglichkeiten vorhanden

Gegen diese Entscheidung hat der Beschwerdeführer in Zusammenarbeit mit der NGO noyb – vor allem bekannt durch Mitgründer Max Schrems – Berufung eingelegt. Würde sich die luxemburgische Datenschutzbehörde weigern, Verstöße gegen die DS-GVO durch Unternehmen aus Drittstaaten zu verfolgen, würde dies die vorgesehene internationale Anwendung der Verordnung untergraben, so noyb in der Stellungnahme. Außerdem würde dies zu einem Wettbewerbsvorteil nicht-europäischer Unternehmen führen, welche sich nicht um die Einhaltung von europäischen Datenschutzvorschriften bemühen müssten. Auch wird verneint, dass keine effektiven Durchsetzungsmaßnahmen gegen Unternehmen aus Drittstaaten bestünden. So sei es durchaus möglich, Vermögenswerte in der Union – auch bei Dritten – einzufrieren oder gar Webseiten sperren zu lassen. Klagen von Betroffenen nur deswegen abzuweisen, weil die Durchsetzung von Maßnahmen aufwändig oder mit Hindernissen verbunden ist, sei nicht hinnehmbar.

noyb pocht auf effektive Durchsetzung der DS-GVO

Gleichzeitig kündigte noyb an, dass dieser Berufung noch weitere Klagen folgen könnten, die sich gegen untätige Aufsichtsbehörden richten. Es sei wichtig sicherzustellen, dass die DS-GVO durch die zuständigen Aufsichtsbehörden effektiv durchgesetzt wird, auch gegenüber Unternehmen aus Drittstaaten. Andernfalls bestünden die Grundrechte von betroffenen Personen, die durch die DS-GVO geschützt werden sollen, nur noch auf dem Papier.

Der fragliche Datenschutz im Clubhouse

Clubhouse ging in den USA bereits im März 2020 an den Start und steckt aktuell noch im Beta-Stadium. Bereitgestellt wird die App von dem US-Unternehmen Alpha Exploration Co. Inzwischen hat sie einen Wert von schätzungsweise 100 Millionen US-Dollar. Die Idee stammt von dem Stanford-Absolventen und ehemaligen Pinterest-Mitarbeiter Paul Davison und dem ehemaligen Google-Mitarbeiter Rohan Seth. In Deutschland wurde die App bis Anfang Januar 2021 kaum genutzt, bis einige deutsche Influencer auf der Plattform aktiv wurden. Nach eigenen Angaben ist der Dienst so konzipiert, dass Benutzer audiobasierte Unterhaltungen mit Freunden und anderen Menschen auf der ganzen Welt führen können. Vor kurzem war die App die meist heruntergeladene iOS-Anwendung in Deutschland. In den Diskussionsräumen diskutieren zunehmend bekannte Persönlichkeiten aus Wirtschaft, Politik, Medien und Sport.

Funktion

Clubhouse ist eine Anwendung, bei der sich die User Gespräche anhören und sich dabei auch aktiv an Diskussionen beteiligen können. Neben den öffentlichen Diskussionen bietet die App auch die Möglichkeit zur Diskussion in geschlossenen Gruppen. Die Diskussionsräume sind mit virtuell gestalteten Podiumsdiskussionen vergleichbar.

Die Moderatoren sprechen in den Räumen live über bestimmte Themen und die Zuhörer können dann dem virtuellen Raum beitreten. Die Teilnehmenden sind zunächst stumm geschaltet und können durch die Moderatoren zum Gespräch freigeschaltet werden. Darüber hinaus können die Moderatoren die Teilnehmer auch stumm schalten oder auch aus dem jeweiligen Raum auszuschließen.

Bisher kann die App nur auf iOS Geräten verwendet werden. Auch wenn sie schon im App Store zum Download bereitsteht, so wird für die Nutzung des erstellten Accounts eine Einladung von einem aktiven Anwender benötigt. Durch dieses Marketing-Konzept der künstlichen Verknappung sind Einladungen zurzeit noch sehr begehrt. Aktuell werden sie sogar zum Kauf auf Online-Auktionsplattformen angeboten.

Hinsichtlich des Datenschutzes ist die Nutzung der Anwendung nicht unbedenklich. Die Datenschutzkonferenz von Bund und Ländern (DSK) konnte sich mit dem Dienst bisher noch nicht detailliert befassen. Insofern steht eine Stellungnahme derzeit noch aus.

Zugriff auf Kontakte

Schon die Registrierung ist aus datenschutzrechtlicher Sicht bedenklich. Die dafür notwendige Einladung erfolgt über das Adressbuch des einladenden Nutzers. Das führt dazu, dass die eigenen Kontakte auf dem Smartphone mit Clubhouse geteilt werden müssen. Dabei ist es problematisch, dass die Kontaktdaten von Personen, die noch nicht bei Clubhouse registriert sind, ohne deren Einwilligung an das Unternehmen übermittelt werden. Diese Vorgehensweise wurde auch schon bei der Einführung von WhatsApp heftig kritisiert, da rechtlich gesehen jeder Kontakt zuvor um Erlaubnis gefragt werden müsste, bevor die personenbezogenen Daten verarbeitet werden können. Auf diese Weise kann Alpha Exploration persönliche Daten von Kontakten sammeln, die zuvor nicht in eine Verarbeitung einwilligten und auch die App nicht nutzen. Durch ein solches Auslesen von Kontakten ließe sich das soziale Umfeld von Nutzern weitgehend ausspionieren.

Die Frage nach der Rechtmäßigkeit dieses Vorgehens liegt aktuell der irischen Datenschutzbehörde zur Entscheidung vor. Baden-Württembergs Landesdatenschutzbeauftragter Stefan Brink sieht dieses Vorgehen äußerst kritisch. Es sei nicht auszuschließen, dass Clubhouse neben den Telefonnummern auch E-Mail-Adressen und Wohnadressen der Kontakte auslesen würde, sofern diese hinterlegt wären. Des Weiteren habe es ein erhebliches Verführungspotenzial, wenn man die App im vollen Umfang nutzen wolle und dafür nur schnell die Kontakte freigeben müsse, so Stefan Brink. Nach seiner Auffassung könnten die Nutzer rechtswidrig handeln, wenn sie der App Zugriff auf ihre Kontakte geben.

Nach der Aktivierung fordert die App dann auch beim neuen Nutzer Zugriff auf sämtliche Einträge im Adressbuch des verwendeten Smartphones. Auch bei der Anmeldung über einen Social-Media-Account behält sich Clubhouse den Zugang für Follower und Freundeslisten vor. Es ist nicht ersichtlich, in welcher Form und für welche Zwecke die dabei erhobenen Kontakt- und Accountinformationen Dritter in den USA verarbeitet werden.

Audiomitschnitte

Nach eigenen Angaben werden Audiomitschnitte ausschließlich zur Unterstützung der Untersuchung von Vorfällen aufgezeichnet. Temporäre Audioaufzeichnungen werden dabei verschlüsselt. Sollten diese Angaben so zutreffen, könnte sich Clubhouse bei den Aufzeichnungen auf die “Wahrung berechtigter Interessen” gemäß Art. 6 Abs. 1 lit. f DSGVO berufen. Hierbei muss jedoch beachtet werden, dass auch temporäre Aufzeichnungen auf den US-Servern des Unternehmens gespeichert werden und somit ein Zugriff Dritter nicht ausgeschlossen werden kann. Darüber hinaus fehlen auch Angaben über die Existenz einer Transportverschlüsselung.

Schattenprofile

Es deutet einiges darauf hin, dass zusätzlich zum Abfragen der Kontaktdaten nichtbeteiligter Dritter, vom Anbieter für diese auch Schattenprofile angelegt werden, selbst wenn sie die Plattform bisher nicht nutzen. Dies dürfte im Widerspruch zu den Betroffenenrechten der DSGVO stehen.

Identifizierung

Das gesamte Netzwerk einer Person ist für alle Nutzer weitgehend einsehbar. Das gilt auch für die Mitglieder innerhalb der verschiedenen Räume. Das kann dann von Vorteil sein, wenn beispielsweise die Nutzer gegen die Nutzungsbedingungen oder auch allgemeinen Gesetze verstoßen, da das Gesprochene, über den Klartextnamen, so schnell einer Person zugeordnet werden kann. Dadurch findet auch eine gewisse Selbstkontrolle statt, da andere Nutzer Verstöße melden können. Es könnte jedoch problematisch sein, wenn Nutzer innerhalb des betroffenen Netzwerks fälschlicherweise mit Äußerungen anderer Nutzer assoziiert werden. Wie auch bei anderen Netzwerken gab es auch bei Clubhouse schon Fälle von Diskriminierung und Rassismus.

Transparenz

In den Terms of Service (AGB) und der Privacy Policy (Datenschutzerklärung) von Clubhouse wird die DSGVO nicht erwähnt. Auch eine Adresse für Datenschutzauskünfte in der EU existiert nicht. Diese ist jedoch zwingend erforderlich, da auch die personenbezogenen Daten von EU-Bürgern verarbeitet werden (Marktortprinzip).

Laut Datenschutzerklärung gibt es bei der Version für das Smartphone eventuell keine Möglichkeit, das Tracking zu unterbinden. Somit kann nicht völlig ausgeschlossen werden, dass eine Profilbildung der Nutzer stattfindet.

Auch die Empfänger der personenbezogenen Daten werden nicht transparent dargestellt. Zwar werden nach offiziellen Angaben keine Daten an Geschäftspartner verkauft, der folgende Absatz der Datenschutzerklärung deutet jedoch auf Gegenteiliges hin.

    „We may share Identification Data and Internet Activity Data with social media platforms and other advertising partners that will use that information to serve you targeted advertisements on social media platforms and other third party websites – under certain regulations such sharing may be considered a “sale” of Personal Data“

Fazit

Zu diesem Zeitpunkt ist es trotz des schnellen Wachstums nur schwer zu prognostizieren, wie sich Clubhouse innerhalb der EU in Zukunft entwickeln wird. Es scheint, als würde man die Datenschutzerklärung bewusst vage halten. Schon jetzt liegen wohl Verstöße gegen die DSGVO vor. Es bleibt somit abzuwarten, wie die europäischen Datenschutzbehörden darauf reagieren werden.

Gesundheitskarte kann nicht durch Papieralternative ersetzt werden

25. Januar 2021

Das Bundessozialgericht hat festgestellt, dass gesetzlich Versicherte keinen papiergebundenen Berechtigungsnachweis verlangen können.

Nachdem die Kläger bereits erfolglos die unteren Instanzen durchlaufen hatten, entschied auch das BSG zu deren Ungunsten. Den Klägern ging es dabei um die Sicherheit der elektronisch gespeicherten Daten, welche nach ihrer Ansicht nicht ausreichend gewährleistet wird. Auf dem Chip der Geundheitskarte werden Versichertendaten wie Name und Versichertenstatus gespeichert. Als Alternative wollten sich die Kläger mit einem papiergebundenen Berechtigungsnachweis ausweisen.

Entgegen der Auffassung der Kläger entschieden die Kassler Richter, dass die Vorschiften über die elektronische Gesundheitskarte im Einklang mit den Vorgaben des europäischen Datenschutzrechts stehen. Auch der Eingriff in die Grundrechte der Kläger ist nach Ansicht des BSG gerechtfertigt. Insbesondere verhindere die Karte den Missbrauch von Sozialleistungen und diene der Abrechnung. Beides diene der finanziellen Stabilität der Kassen, welche ein überragend wichtiges Gemeinschaftsgut darstelle.

Schmerzhafter Lottogewinn

14. Januar 2021

Ein Lottogewinner gewann nicht nur die Lotterie, sondern auch einen Rechtsstreit vor dem LG Köln. In diesem erwirkte er eine einstweilige Verfügung gegen den Lotterieveranstalter.

Gewinner einer hohen Lotteriesumme wollen nicht immer, dass ihr Bekanntenkreis von dem Gewinn in Kenntnis gesetzt wird. Zum Ärger des Gewinners einer sechsstelligen Summe veröffentlichte der Lotterieveranstalter allerdings unbefugt dessen Vor- und Nachnamen in verschiedenen Publikationen und online.

Nachdem der Veranstalter die Abgabe einer Unterlassenserklärung verweigert hatte, erwirkte der Gewinner vor dem LG Köln eine einstweilige Verfügung. In dieser stellte das Gericht fest, dass sich der Verfügungsanspruch aus §§ 823 Abs. 1 und 2 (i.V.m. Art. 6 DSGVO), 1004 BGB, Artt. 1 und 2 GG ergibt. Laut LG Köln verletzt die unzulässige Namensnennung rechtswidrig das Recht auf informationelle Selbstbestimmung und damit das allgemeine Persönlichkeitsrecht des Geschädigten. Auch eine Einwilligung oder sonstige Rechtsgrundlage gem. Art. 6 DSGVO als Basis für eine zulässige Datenverarbeitung lagen nicht vor.

Bevor es dann zu einem Urteil in der Hauptsache kam, einigten sich die Parteien durch einen Vergleich, der unter anderem die Zahlung eines Schmerzensgeldes in Höhe von 8000€ beinhaltete.

Datenschutz-Lehrstunde für die AfD

9. Dezember 2020

Das AfD-Meldeportal “Neutrale Schule” bleibt weiterhin ohne Anwendung. Nach einer Verbotsverfügung und einem gescheiterten Eilantrag des Landesverbandes Mecklenburg-Vorpommern wies das VG Schwerin in der Hauptsache die Klage gegen das Verbot der Platform ab.

Die Alternative für Deutschland hatte bereits im letzten Jahr in Mecklenburg-Vorpommern ein Portal ins Leben gerufen, in welchem Schüler ihre Lehrer melden konnten, wenn diese durch politische Aussagen gegen das Neutralitätsgebot verstoßen. Laut AfD soll dies “die Indoktrinierung unserer Kinder verhindern und damit eine unbeeinflusste politische Meinungsbildung ermöglichen”.

Das VG Schwerin bestätigte nun die Entscheidung des Landesdatenschutzbeauftragten des Landes Mecklenburg-Vorpommern. Das Online-Portal “Neutrale Schule” verstoße gegen Art. 9 Abs. 1 DS-GVO. Nach dieser Vorschrift ist unter anderem die Verarbeitung personenbezogener Daten untersagt, aus denen politische Meinungen oder weltanschauliche Überzeugungen hervorgehen. Mangels einer ausdrücklichen Einwilligungen seitens der betroffenen Personen oder eines offensichtlichen Öffentlichmachens dieser Daten sei eine Ausnahme gemäß Art. 9 Abs. 2 DS-GVO unbegründet. Auch sei die Verarbeitung nicht zur Geltendmachung von Rechtsansprüchen oder aus Gründen eines erheblichen öffentlichen Interesses erforderlich.

Gegen das Urteil vom 26. November 2020 (Az. 1 A 1598/19 SN) kann die AfD vor der Oberverwaltungsgericht Mecklenburg-Vorpommern in Berufung gehen.

Anders als im Falle der “Neutralen Schule” wurde im Bezug auf die App “Lernsieg” entschieden. Diese bietet die Möglichkeit eine generelle Evaluation von Lehrern abzugeben. Im wesentliche Unterschied zur “Neutralen Schule” bestätigte die zuständige Datenschutzbehörde hier ein legitimes Informationsinteresse der Öffentlichkeit an der Bewertung.

Europäische Kommission arbeitet weiter an einem Daten-Binnenmarkt

26. November 2020

Erst kürzlich wurde GAIA-X, ein Projekt zum Aufbau einer europäischen Dateninfrastruktur, weiter vorangetrieben (wir berichteten). Das Projekt wird auch von der EU unterstützt und fokussiert sich auf die technische Entwicklung eines gemeinsam genutzten Daten-Binnemarktes innerhalb der Union. Die Europäische Kommission hat nun deutlich gemacht, dass diese technische Komponente durch einen rechtlichen Rahmen begleitet werden soll. Am gestrigen Mittwoch (25.11.2020) stellte die Kommission in Person von Margrethe Vestager (Exekutiv-Vizepräsidentin für ein Europa für das digitale Zeitalter) und Thierry Breton (Kommissar für Binnenmarkt) einen Entwurf für eine Verordnung über europäische Daten-Governance (“Daten-Governance-Gesetz”) vor.

Vermehrt Datenverarbeitungen, aber Abhängigkeit von großen Tech-Unternehmen

Hintergrund des Gesetzgebungsvorschlags ist die in den letzten Jahrzehnten beständig gewachsene Datenverarbeitung, insbesondere im privatwirtschaftlichem Bereich. Die Kommission rechtnet allein für die Zeit zwischen 2018 und 2025 mit einen Anstieg um das Fünffache. Anknüpfend an die im Februar 2020 veröffentliche Europäische Datenstrategie soll durch die neuen Regelungen ein Daten-Binnenmarkt geschaffen werden, der durch die Gewährleistung hoher Datenschutzstandards das Vertrauen der Bürger in die Sicherheit ihrer Daten erhöht, gleichzeitig aber auch die wirtschaftliche Nutzung personenbezogener Daten optimieren soll. Weil insbesondere bei der Datenübermittlung oftmals eine Abhängigkeit von amerikanischen und asiatischen Technologieplattformen bestehe, solle diesen mit sog. Datenmittlern ein europäisches Pendant entgegengestellt werden. Diese Daten-Treuhänder sollen die dort verarbeiteten Daten nicht kommerziell nutzen können und größtmögliche Transparenz ermöglichen.

Ziele: gleichzeitig Vertrauen, Sicherheit und Wirtschaftlichkeit verbessern

Vestager betonte in der Pressemitteilung insbesondere den Aspekt des Vertrauens der Bürger in eine sichere Verarbeitung ihrer Daten. Dazu gehöre die Kontrolle über die Datenverarbeitung, aber auch die Gewissheit, dass diese im Einklang mit den europäischen Werten und Grundrechten erfolge. Die vorgeschlagene Verordnung soll sicherstellen, dass die Werte und Grundsätze der EU, das Daten- und Verbraucherschutzrecht sowie Wettbewerbsvorschriften gewahrt werden. Breton, in seiner Eigenschaft als Binnenmarkt-Kommisar wenig verwunderlich, ging insbesondere auf die wirtschaftlichen Vorteile eines gemeinsamen Daten-Binnenmarktes ein. Datentransfers, auch branchenübergreifend, sollen durch die neuen Regelungen vereinfacht werden. Dieser Binnenmarkt müsse aber nicht nur offen, sondern auch souverän sein. Ziel sei es, Europa zum weltweit führenden Datenkontinent zu machen.

Dem vorgelegten Verordnungs-Entwurf wird sich nun das weitere Gesetzgebungsverfahren anschließen. Mit einer Verabschiedung der neuen Regelungen ist wohl erst 2022 zu rechnen.

EuGH-Urteil: Pauschale Vorratsdatenspeicherung unzulässig

8. Oktober 2020

Der Europäische Gerichtshof (EuGH) in Luxemburg entschied mit am 06.10.2020 veröffentlichten Urteil, dass eine flächendeckende und pauschale Speicherung von Kommunikations- und Standortdaten bei der Nutzung von Telekommunikationsdiensten unzulässig ist. Anlass hierzu war, dass der belgische Verfassungsgerichtshof, der französische Staatsrat und das britische Gericht für Ermittlungsbefugnisse anfragten, ob die europäische Datenschutzrichtlinie für elektronische Kommunikation auch auf Maßnahmen zur Terrorabwehr angewendet werden kann.

Eine Ausnahme des Verbotes der flächendeckenden und pauschalen Speicherung von Kommunikations- und Standortdaten soll in Fällen der Bekämpfung schwerer Kriminalität sowie bei konkreten Bedrohungen der nationalen Sicherheit gelten. Voraussetzung für einen solchen Ausnahmefall ist, dass sich ein EU-Mitgliedstaat in einer ernsten Bedrohungslage für die nationale Sicherheitslage befände, die allgemein, aktuell und vorhersehbar sei. Unklar bleibt, was genau als „ernsthafte Bedrohung“ definiert werden darf und was nicht. Auch hier gilt, dass die Datenspeicherung und -übermittlung streng zweckgebunden und zeitlich begrenzt sein muss. Eine Beschränkung auf das unbedingt notwendige Maß ist erforderlich. Eine Nachprüfung durch Gerichte oder unabhängige Behörden soll jederzeit möglich sein können.
Gleiches gilt bei Ermittlungen gegen schwere Straftaten und bei einer Bedrohung der öffentlichen Sicherheit.

Weiterhin hält der EuGH eine Vorratsdatenspeicherung für rechtmäßig, wenn sie sich auf bestimmte Personengruppen oder bestimmte Gebiete bezieht und auf einen bestimmten Zeitraum begrenzt ist. Hier sollen Behörden Provider überdies über diese bestimmten Zeiträume hinaus zur Datenspeicherung anhalten können. Hierbei ist wieder Voraussetzung, dass die Vorratsdatenspeicherung Maßnahmen zur Aufklärung von schweren Verbrechen oder von Angriffen auf die nationale Sicherheit dient, oder wenn solche konkreten Anlassfälle vermutet werden.

In Deutschland wird die Vorratsdatenspeicherung momentan ohnehin aufgrund eines früheren Urteils des EuGH ausgesetzt. Ein gesondertes Verfahren vor dem EuGH hierzu ist derzeit noch anhängig.

Verleihung des “Big Brother Award 2020” an Tesla und das Land Brandenburg

22. September 2020

Der Big Brother Award, ein Datenschutz-Negativpreis, ging dieses Jahr unter anderem an Tesla und das Land Brandenburg. Der Award wird seit dem Jahr 2000 vom Datenschutzverein “Digitalcourage” und anderen Bürgerrechtsorganisationen verliehen. “Ausgezeichnet” werden Behörden oder Unternehmen, die gegen einschlägige Datenschutzbestimmungen verstoßen oder Personen überwachen und analysieren.

Brandenburg erhielt in der Kategorie “Behörden und Verwaltung” den Award wegen der dauerhaften Speicherung von Autokennzeichen. Auf Brandenburgs Autobahnen findet eine automatische Kennzeichenerfassung statt. Entgegen des Brandenburgischen Polizeigesetzes findet diese Erfassung ohne konkreten Anlass statt. Die erhobenen Daten werden im Computersystem für die automatische Kennzeichenerfassung (“KESY”) gespeichert. Die Behörden des Landes speichern in über 40 Millionen Datensätzen dauerhaft Informationen zu Fahrzeugen. Zugriff auf diese gespeicherten Daten hat wohl eine unüberschaubare Anzahl von Behördenmitarbeitern. Kritisiert wurde dieses Vorgehen bereits 2015 von der damals zuständigen Landesdatenschutzbeauftragten Barbara Hartge.

Die Auszeichnung an Tesla erging in der Kategorie “Mobilität” . In den Fahrzeugen werden systematisch die Innenräume und die Umgebung im Umkreis bis zu 250 Meter durch Außenkameras der Fahrzeuge aufgezeichnet, sowie Navigationsdaten erhoben. Zwar ist es dem Fahrer grundsätzlich möglich, diese Aufzeichnungsfunktion teilweise zu deaktivieren, welche personenbezogenen Daten gespeichert und auf Teslas US-Server übertragen werden, kann allerdings nicht kontrolliert werden. Nach Angaben von Tesla werden die erhobenen personenbezogenen Daten sowohl zur Verbesserung der autonomen Fahrsysteme als auch zu Marketingzwecken verwendet.

In der Kategorie “Arbeitswelt” erhielt H&M eine Auszeichnung. Beanstandet wurde, dass im H&M Kundencenter in Nürnberg jahrelang Beschäftigtendaten rechtswidrig verarbeitet wurden. So gab es einen für Führungskräfte und Teamleiter zugänglichen Computer-Ordner, in dem detailliert persönliche Informationen über die Mitarbeiter gespeichert wurden. Erhoben wurden beispielweise Informationen zu Beziehungen der Beschäftigten untereinander oder zu bevorstehenden Scheidungen. Ebenso wurden Angaben zu familiären Todes- oder Streitfällen festgehalten. Auch Krankheitsdaten von Mitarbeitern, die teilweise durch Teamleiter in Privatgesprächen erhoben wurden, wurden hier gespeichert.

Weiterhin wurden die Firma BrainCo und der Leibniz-Wissenschaftscampus Tübingen in der Kategorie “Bildung” ausgezeichnet. Sie entwickelten EEG-Stirnbänder, die über Gehirnstrommessung angeblich die Konzen­tration von Schülerinnen und Schülern messen können. Dabei wird der Konzentrationsgrad mittels LED auf dem Stirnband angezeigt und per Funk an die jeweilige Lehrkraft übertragen. Diese Technik wird wohl bereits vereinzelt in amerikanischen oder chinesischen Klassenzimmern eingesetzt. Der Leibniz-Wissenschaftscampus Tübingen kombinierte die EEG-Stirnbänder mit dem sogenannten Eyetracking. Hierdurch kann beispielsweise festgestellt werden, was ein Schüler gelesen hat und was nicht.

Keine Übermittlung sensibler Daten per Telefax?

12. August 2020

Eine Behörde darf einen Bescheid, der sensible personenbezogener Daten enthält, nicht per Telefax übermitteln, wenn der Bescheid stattdessen auf sicherem Weg zum Empfänger gelangen kann. Das entschied jedenfalls das OVG Lüneburg in seinem Beschluss vom 22.07.2020.

Wie es zu der Entscheidung kam

Der Kläger vertrieb explosionsgefährliche Stoffe an nationale Sicherheitsbehörden. Für den Transport der Stoffe nutzte er Fahrzeuge, für die er regelmäßig Übermittlungssperren bei der zuständigen Behörde beantragte. Eine Übermittlungssperre begrenzt die sonst nach dem Straßenverkehrsgesetz vorgesehenen Übermittlungen personenbezogener Daten aus den Fahrzeugregistern an Behörden, Institutionen und Privatpersonen, wenn für eine Sperre erhebliche öffentliche Interessen sprechen.

Der Kläger widersprach Ende 2015 gegenüber der für die Erteilung der Genehmigung der Übermittlungssperren zuständigen Behörde der Übersendung von Faxen mit unverschlüsselten Daten. Er wies auf die Gefahren hin, wenn Kriminelle von den Sprengstofflieferungen erführen. Die Behörde bestätigte Anfang 2016, dass sie beim Umgang mit personenbezogenen Daten die Vorgaben des Datenschutzrechts einhalte und keine personenbezogenen Daten unverschlüsselt übermittle.

Trotz dessen erhielt der Anwalt des Klägers 2017 einen Bescheid der Behörde per Fax. Das Fax enthielt unter anderem Name und Anschrift des Klägers sowie die Fahrzeugidentifikationsnummer und das amtliche Kennzeichen des Fahrzeuges.

Die Entscheidung des OVG Lüneburg

Auf Antrag des Klägers hin stellt das VG Osnabrück fest, dass die unverschlüsselte Kommunikation dieser Daten rechtswidrig war. Der Antrag der Behörde auf Zulassung der Berufung vor dem OVG Lüneburg blieb erfolglos.

Zur Begründung führte das OVG Lüneburg aus, die Behörde habe angesichts der besonderen Schutzbedürftigkeit des Klägers und seiner personenbezogenen Daten bei der Übermittlung dieser Daten ein erhöhtes Schutzniveau einzuhalten. Die unverschlüsselte Übermittlung per Telefax genüge den Anforderungen an ein angemessenes Schutzniveau nicht. In seinem Urteil verweist das OVG Lüneburg auf eine Äußerung des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen auf seiner Internetseite, wonach der Versand per Telefax mit dem einer Postkarte vergleichbar sei. Bei der unverschlüsselten Übermittlung könnten unberechtigte Dritte jederzeit zugreifen. Zudem sei die Gefahr eines Irrläufers durch falsche Eingaben hoch.

Die Beklagte hätte nach Ansicht des OVG Lüneburg eine andere verfügbare und zumutbare Übermittlungsart nutzen müssen, wie etwa den Versand per Post oder per Bote an die nur 150 m von der Behörde entfernte Kanzlei. Die Nutzung eines Faxgeräts könne in Ausnahmefällen zulässig sein, wenn Verschlüsselungsgeräte verwendet würden. Entscheidungserheblich sei nicht, ob die Benutzung von Faxgeräten dem Stand der Technik entspricht, sondern ob Sicherungsmaßnahmen verfügbar sind und dem Stand der Technik entsprechen.

Folgen der Entscheidung

Die Entscheidung wurde zwar nach altem Datenschutzrecht und nicht nach der Datenschutz-Grundverordnung entschieden, die Rechtslage hat sich diesbezüglich aber nicht wesentlich geändert. Die Entscheidung kann sicherlich im Hinblick auf die Sicherheit von Faxservern kritisiert werden und auch die Übersendung per Post oder Bote bürgt gewisse Risiken. Trotz dessen kann die Entscheidung nicht nur für Behörden, sondern etwa auch für Anwälte oder Ärzte relevant sein. Es muss in jedem Einzelfall abgewogen werden, ob eine unverschlüsselte Übermittlung personenbezogener Daten unter Abwägung der Interessen der betroffenen Person zulässig ist.

Weitere Stellungnahmen der Aufsichtsbehörden zum Privacy-Shield-Aus

31. Juli 2020

Zeitnah nach Verkündung des EuGH-Urteils zur Wirksamkeit des EU-US-Privacy-Shields (Urteil v. 16.07.2020, C-311/18) hatten bereits die ersten deutschen Aufsichtsbehörden zu dieser Entscheidung Stellung bezogen (wir berichteten). Nunmehr haben sich mit der Datenschutzkonferenz (DSK, Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder) und dem Europäischen Datenschutzausschuss (EDSA) weitere “Big Player” unter den Aufsichtsbehörden zu Wort gemeldet.

Stellungnahme und FAQ des EDSA

Der EDSA hat diesbezüglich gleich zwei Dokumente (in englischer Sprache) veröffentlicht, eine Stellungnahme sowie ein FAQ zum Urteil des Gerichts mit Sitz in Luxemburg. Zunächst einmal wird das Urteil durch den EDSA begrüßt, verdeutliche es doch den Stellenwert des “right to privacy” auch im Hinblick auf den Datentransfer in Drittstaaten. Im Hinblick auf die Unwirksamkeit des Privacy Shields stellt der EDSA heraus, dass einige der nunmehr aufgegriffenen Kritikpunkte auch bereits durch den EDSA aufgeworfen worden waren, und dass ein neues Abkommen zwischen der EU und den USA erforderlich sei, welches sämtliche Rechte der Betroffenen schützt.

Hinsichtlich der Standardvertragsklauseln – welche durch den EuGH grundsätzlich als wirksam anerkannt wurden – obliege es im Wesentlichen den Verantwortlichen selbst, auf ein geeignetes Schutzniveau im betreffenden Drittstaat zu achten. Werde ein solches Schutzniveau nach Ansicht des verantwortlichen Datenexporteurs nicht erreicht, müsse in Betracht gezogen werden, über die in den Standardvertragsklauseln genannten Schutzmaßnahmen hinaus zusätzliche Maßnahmen zum Schutz der personenbezogenen Daten zu ergreifen. Wenn die vertraglichen Pflichten (aus den Standardvertragsklauseln) nicht eingehalten werden können – ausdrücklich werden hier die Informationspflichten hinsichtlich Rechtsänderungen in dem Drittstaat genannt – dann müsse in Betracht gezogen werden, den Datentransfer zu stoppen, die Standardvertragsklauseln zu kündigen oder die zuständige Aufsichtsbehörde zu informieren.

In seinen FAQs stellt der EDSA dann noch einmal klar, dass es hinsichtlich der Reaktion auf das Urteil und somit für die Anpassung der Datentransfers in Drittstaaten keine “Gnadenfrist” gebe und sich auf alle Übermittlungen in die USA beziehe. Des Weiteren ist interessant, dass der EDSA die im Urteil nicht erwähnten Binding Corporate Rules (BCRs) ebenfalls anspricht. Auch diese sollten nach Ansicht des EDSA – genauso wie die Standardvertragsklauseln – im Einzelfall daraufhin überprüft werden, ob sie einen hinreichenden Schutz bieten. Ist dies nicht der Fall, sollte hier genauso vorgegangen werden wie bei den Standardvertragsklauseln.

Presseerklärung der DSK

Die Presseerklärung der DSK stimmt mit den Äußerungen des EDSA im Wesentlichen überein. Die DSK stellt jedoch ausdrücklich fest, dass die bisher genutzten Standardvertragsklauseln bei einer Übermittlung in die USA ohne zusätzliche Maßnahmen grundsätzlich nicht ausreichend seien. Dies gelte auch für die weiteren Garantien nach Art. 46 DS-GVO – also auch für die Binding Corporate Rules. Eine Übermittlung nach Art. 49 DS-GVO sei hingegen weiterhin uneingeschränkt zulässig.

Schließlich weist die DSK noch einmal darauf hin, dass eine Schonfrist für laufende Übermittlungen in die USA nicht besteht. Sämtliche datenverarbeitende Akteure, die Übermittlungen in die USA vornehmen, sollten die datenschutzrechtliche Zulässigkeit ihrer Verarbeitungen also umgehend überprüfen.

1 2 3 4 24