Kategorie: Internationaler Datenschutz

EuGH: deutsche Vorratsdatenspeicherung verstößt gegen EU-Recht

21. September 2022

Der Europäische Gerichtshof (EuGH) enschied am 20.09.2022 wie bereits erwartet, dass die deutsche Vorratsdatenspeicherung nicht mit EU-Recht vereinbar sei (Rs. C-793/19, C-794/19). Der EuGH bestätigt mit diesem Urteil seine bisherige Rechtsprechung und folgt den Anträgen des Generalanwaltes.

Konkret bestätigte das Gericht, dass eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten nicht mit dem europäischen Recht vereinbar sei. Der EuGH führt dazu aus, dass die Vorratsdaten „in Anbetracht ihrer Menge und Vielfalt es in ihrer Gesamtheit ermöglichen, sehr genaue Schlüsse auf das Privatleben der Person bzw. der Personen zu ziehen, deren Daten gespeichert wurden, und insbesondere die Erstellung eines Profils der betroffenen Person bzw. der betroffenen Personen ermöglichen, das im Hinblick auf das Recht auf Achtung des Privatlebens eine ebenso sensible Information darstellt wie der Inhalt der Kommunikationen selbst.“ (Rn. 87). Gleichzeitig räumt der EuGH aber ein, dass eine Speicherung von Vorratsdaten unter ganz bestimmten Voraussetzungen mit dem EU-Recht vereinbar sei. Gründe hierfür könnten der Schutz der nationalen Sicherheit, die Bekämpfung von Kriminalität und der Schutz der öffentlichen Sicherheit eines Mitgliedsstaates sein. Insbesondere die Verhältnismäßigkeit müsste dann aber bedacht werden.

Die Regelungen zur Vorratsdatenspeicherung befinden sich in § 113a Abs. 1 in Verbindung mit § 113b des TKG (Telekommunikationsgesetz). Hiergegen klagten Spacenet und die Telekom zunächst vor dem VG Köln. Schließlich landete das Verfahren vor dem Bundesverwaltungsgericht, welches dem EuGH das Verfahren dann vorlegte und nach der Vereinbarkeit dieser Regelungen mit EU-Recht fragte. Die Pflicht zur Vorratsdatenspeicherung ist seit dem Urteil des VG Köln im Jahr 2017 ausgesetzt gewesen.

Die Bundesregierung hatte bereits vor der Urteilverkündung angekündigt, die Regelungen zur Vorratsdatenspeicherung reformieren zu wollen. Was Einzelheiten angeht ist man sich aber bisher nicht einig.

OLG Karlsruhe: US-Cloud-Anbieter dürfen bei öffentlichen Vergaben berücksichtigt werden

16. September 2022

Das Oberlandesgericht Karlsruhe (OLG) befasste sich zuletzt mit einer Entscheidung der Vergabekammer Baden-Württemberg. Nach dieser Grundsatzentscheidung (Beschluss vom 07. September 2022, Az. 15 Verg 8/22) dürfen Behörden bei öffentlichen Vergabeverfahren auf die Zusicherungen von IT-Anbietern zur Datenschutz-Konformität ihres Angebots vertrauen. Die Entscheidung der Vergabekammer Baden-Württemberg (vom 13.07.2022, Az. 1 VK 23/22) wird aufgehoben.

Sachverhalt

Zwei Krankenhausgesellschaften schrieben europaweit die Beschaffung einer Software für ein digitales Entlassungsmanagement aus. Als Ausschlusskriterium war ursprünglich u.a. die softwaretechnische Einhaltung eines DSGVO-Vertragsentwurfs vorausgesetzt. Dass die Daten ausschließlich in einem Rechenzentrum innerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, bei dem keine Subdienstleister oder Konzernunternehmen in Drittstaaten ansässig sind, war als nur für die Wertung relevantes B-Kriterium ausgestaltet.

Nach der Erteilung des Zuschlags stellte eine Konkurrentin, die sich ebenfalls um den Auftrag bewarb, einen Nachprüfungsantrag bei der zuständigen Vergabekammer Baden-Württemberg. Diese verfügte den Ausschluss der ausgewählten Anbieterin aus dem Vergabeverfahren. Dabei wurde angeführt, dass die Anbieterin von der Angebotswertung auszuschließen sei, weil sie Änderung an den Vergabeunterlagen vorgenommen habe. Das Angebot verstoße somit gegen zwingende gesetzliche Vorgaben der DSGVO. Man verarbeite personenbezogene Daten auf Servern, auf die Drittstaaten Zugriff hätten. Das luxemburgische Tochterunternehmen eines US-amerikanischen Konzerns fungiere als Unterauftragnehmerin. Innerhalb des geschlossenen Auftragsverarbeitungsvertrags sei ein Vorbehalt vorgesehen, der es der US-Tochter erlaube, die im Auftrag des Kunden verarbeiteten personenbezogenen Daten auch ohne bzw. entgegen einer Weisung des Kunden offenzulegen und in ein Drittland zu übermitteln, wenn dies notwendig sei, um Gesetze oder verbindlichen Anordnungen einer staatlichen Behörde einzuhalten.

Die Antragsgegnerin konterte, jede zu weitgehende oder unangemessene Anfrage einer staatlichen Stelle einschließlich solcher Anfragen, die im Widerspruch zum Recht der Europäischen Union oder zum geltenden Recht der Mitgliedstaaten stehen, anzufechten. Dies wurde auch vertraglich festgehalten. Es liege schon kein Verstoß gegen Art. 44 ff. DSVGO vor, weil eine theoretische Zugriffsmöglichkeit des Drittstaates keine Übermittlung personenbezogener Daten darstelle. Darüber hinaus verwende man Standardvertragsklauseln und setze durch weitere Vereinbarungen mit der US-Tochter die vom Europäischen Gerichtshof (EuGH) nach der Schrems II-Rechtsprechung geforderten ergänzenden Regelungen um, so die Antragsgegnerin.

OLG widerspricht Vergabekammer

Gemäß Art. 44 S. 1 DSGVO ist jedwede Übermittlung personenbezogener Daten in ein Drittland außerhalb des EWRs nur zulässig, wenn einer der besonderen Erlaubnisgründe der Art. 44 ff. DSGVO vorliegt. Es stellte sich somit die Frage, ob eine Übermittlung in ein Drittland im Sinne der DSGVO vorlag.

Die Vergabekammer folgte dabei der herrschenden Meinung, dass eine berücksichtigungsfähige Offenlegung auch schon dann anzunehmen sei, wenn nur die abstrakte Möglichkeit bestehe, dass von einem Drittland aus zugegriffen werden kann.

Dieser Augmentation folgt das OLG Karlsruhe nicht. Die Antragsgegnerinnen müssten nicht davon ausgehen, dass es aufgrund der Konzernbindung zu rechts- und vertragswidrigen Weisungen an das Tochterunternehmen kommen würde bzw. das europäische Tochterunternehmen Anweisungen der US-amerikanischen Muttergesellschaft automatisch Folge leisten würde, so der Senat.

Vertragliche Regelungen waren ausschlaggebend

Somit bleibt aber auch weiterhin ungeklärt, ob der Einsatz von US-Anbietern oder deren Tochtergesellschaften generell zulässig ist. Allerdings spricht das OLG in der Entscheidung den vertraglichen Regelungen einen hohen Stellenwert zu. Dies kann bei der Auslegung zukünftiger Sachverhalte und Vergabeverfahren eine Hilfestellung bieten. Hierbei sollte jedoch beachtet werden, dass es immer auf den konkreten Einzelfall ankommt. Die strenge Rechtsprechung des übergeordneten EuGHs sowie die daraus resultierenden Vorgaben der Kommission sollten immer eingehalten werden.

Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?

23. August 2022

Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.

I. Hintergrund der Abmahnungen

Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.

II. Warum ist die Übermittlung problematisch?

Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.

III. Was könnte ein Lösungsansatz sein?

Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.

Können hypothetische Zugriffsmöglichkeiten bereits einen Datentransfer in ein Drittland i.S.v. Art. 44 DSGVO darstellen?

17. August 2022

Die Vergabekammer Baden-Württemberg hat mit einem nicht rechtskräftigen Beschluss vom 13. Juli 2022 (Az. 1 VK 23/22) für Diskussionen gesorgt. Sie ist der Auffassung, dass unzulässige Datenexporte auch dann vorliegen, wenn die entsprechende Infrastruktur durch eine europäische Tochtergesellschaft betrieben wird, welche zu einem amerikanischen Konzern gehört.

1. Sachverhalt

In einem Ausschreibungsverfahren streiten sich zwei Konkurrentinnen um einen Auftrag.  Eine Konkurrentin fordert hierin den Ausschluss der anderen aus dem Vergabeverfahren, da diese durch den Einsatz eines Rechenzentrumsbetreibers, dessen Konzernunternehmen in Drittstaaten ansässig ist, gegen die Bedingungen im Lastenheft im Kontext „Anforderungen an IT-Sicherheit und Datenschutz“ verstoße. Die Bedingungen lauten u.a. wie folgt:

„(…)

– Erfüllung der Anforderungen aus der DS-GVO und dem BDSG (…)

– Daten werden ausschließlich in einem EU-EWR Rechenzentrum verarbeitet bei dem keine Subdienstleister / Konzernunternehmen in Drittstaaten ansässig sind

(…)“

2. Vergabekammer Baden-Württemberg sieht unzulässige Übermittlung

Unter Drittländern versteht man Länder, die weder Mitglied der Europäischen Union noch des Europäischen Wirtschaftsraums (EWR) sind, z.B. die USA, Israel und die Schweiz. Durch die Ansässigkeit des Rechenzentrumsbetreibers in den USA sieht die Vergabekammer eine unzulässige Übermittlung in die USA. So genügt nach ihrer Auffassung schon die lediglich vorhandene Möglichkeit, auf personenbezogene Daten zugreifen zu können, unabhängig davon, ob ein solcher Zugriff am Ende erfolgt oder nicht.

3. Ausblick

Die Ansicht der Vergabekammer könnte möglicherweise eine richtungsweisende Entscheidung im Kontext einer bisher noch ungeklärten Frage darstellen. Können US-Tech-Anbieter weiterhin über eine europäische Tochtergesellschaft Dienstleistungen erbringen oder könnte dies trotz der Verwendung von Standardvertragsklauseln (Standarddatenschutzklauseln) zukünftig unzulässig sein? Es bleibt demnach spannend.

Risiken und Nutzen von biometrischen Daten – Teil 2

11. August 2022

In Teil 2 unseres Beitrages über biometrische Daten beschäftigen wir uns damit, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. Um ein grundsätzliches Verständnis für biometrische Daten zu erhalten, verweisen wir auf Teil 1 dieses Beitrages.

Wo & wann werden biometrische Daten verwendet?

Biometrische Daten sind im Alltag vielfältig zu finden. Teilweise werden biometrische Daten auf amtlichen Ausweisen gespeichert, so muss der deutsche Personalausweis z.B. ein biometrisches Lichtbild und seit letztem Jahr auch Fingerabdrücke enthalten.

Auch kann man seinen Fingerabdruck oder seine Gesichtsgeometrie in seinem Smartphone speichern und dies zur Entsperrung nutzen.

Wie funktionieren Gesichtserkennungssoftwares?

Es gibt unterschiedliche Arten der Gesichtserkennung, die sich aber im Wesentlichen alle ähnlich sind.

Dabei lokalisiert die Kamera ein Gesicht. Die Software liest sodann das Gesicht und berechnet seine charakteristischen Eigenschaften, also seine Geometrie. Dafür herangezogen werden vor allem solche Merkmale des Gesichts, die sich aufgrund der Mimik nicht ständig verändern, z.B. die oberen Kanten der Augenhöhlen, die Gebiete um die Wangenknochen und die Seitenpartien des Mundes. Diese Informationen werden in Form eines Merkmalsdatensatzes gespeichert. Dieser Merkmaldatensatz kann dann in Datenbanken abgeglichen werden, sodass mehrere Bilder von einer Person dieser alle zugeordnet werden können.

Eines der bekanntesten Unternehmen, das Gesichtserkennungssoftware nutzt ist Clearview AI. Das US-amerikanische Unternehmen sammelt öffentlich zugängliche Bilder von Menschen, z.B. in sozialen Netzwerken oder in Videos. Mittlerweile hat das Unternehmen eine Datenbank von 10 Milliarden Bildern. Kunden können ein Foto von einem Gesicht machen und hochladen. Dieses Foto wird dann mit den Datenbanken abgeglichen.

Wofür werden sie genutzt?

Gesichtserkennungssoftwares können vielfältig genutzt werden. So können sie aus Sicherheitsgründen eingesetzt werden oder um vermisste Personen zu identifizieren. Ein aktuelles Beispiel dafür ist, dass die Ukraine offenbar Clearview AI nutzte, um im Krieg gefallene Soldaten zu identifizieren. Auch Strafverfolgungsbehörden in den USA nutzen Clearview.

Welche Kritik begegnet ihnen?

In Europa begegnet Clearview AI enorme Kritik von Datenschutzbehörden, die Rekordstrafen verhängen. So haben allein dieses Jahr die italienische und die griechische Datenschutzbehörde jeweils ein Bußgeld von 20 Mio. Dollar gegen das Unternehmen verhängt. Außerdem haben u.a. die französische Datenschutzbehörde Clerview AI aufgefordert, die Daten ihrer Bürger nicht länger zu sammeln.

Die Befürchtung bei solchen Gesichtserkennungssoftwares ist, dass eine illegale Massenüberwachung entsteht. Auch findet so ein immenser Eingriff in der Privatsphäre der Betroffenen statt. Dabei ist das Missbrauchspotential groß, potenzielle Straftäter können ihre Opfer auskundschaften. Vor allem Straftaten im Bereich des Stalkings können so vereinfacht werden. Aber auch in autoritären Regimen können solche Softwares eingesetzt werden, um bspw. Regimekritiker auf Demonstrationen zu identifizieren.

Dem Erfassen von biometrischen Daten kann man im Alltag nicht aus dem Weg gehen. Es ist aber auf jeden Fall sinnvoll, vernünftig über biometrische Daten informiert zu sein, um sie bestmöglich schützen zu können.

EuGH zur Auslegung von Art. 6 und 9 der DSGVO

10. August 2022

In seinem Urteil (EuGH, Urteil v. 01.08.2022 – EuGH AZ: C-184/20) hatte sich der Europäische Gerichtshof mit zwei Vorlagefragen bezüglich der Auslegung der DSGVO zu befassen.

Ausgangsrechtsstreit

Am 07. Februar 2018 entschied die Oberste Ethikkommission, dass ein Leiter einer Einrichtung litauischen Rechts aus dem Bereich des Umweltschutzes, die öffentliche Mittel erhält, gegen Art. 3 Abs. 2 und Art. 4 Abs. 1 des litauischen Gesetzes über den Interessenausgleich verstoßen habe, indem er keine Erklärung über private Interessen vorgelegt habe. Gegen diese Entscheidung erhob dieser Leiter beim litauischen Gericht Anfechtungsklage. Er war der Ansicht, ihn treffe keine Pflicht zur Erklärung privater Interessen. Jedenfalls verletze die Veröffentlichung dieser Erklärung sowohl sein eigenes Recht auf Achtung seines Privatlebens als auch das der anderen Personen, die er in seiner Erklärung angeben müsste. Das litauische Regionalverwaltungsgericht Vilnius hat sodann beschlossen, das Verfahren auszusetzen und dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Vorabentscheidung vorzulegen:

  • Ist die in Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO festgelegte Bedingung im Hinblick auf die in Art. 6 Abs. 3 der DSGVO festgelegten Anforderungen und ferner im Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung der in Erklärungen über private Interessen enthaltenen Daten und deren Veröffentlichung auf der Website des Verantwortlichen verlangen darf, wodurch allen Personen, die Zugang zum Internet haben, Zugang zu diesen Daten gewährt wird?
  • Ist das in Art. 9 Abs. 1 der DSGVO normierte Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten unter Berücksichtigung der in Art. 9 Abs. 2 der DSGVO festgelegten Bedingungen, einschließlich der in Buchst. g genannten Bedingung, auch in Hinblick auf die Art. 7 und 8 der Charta dahin auszulegen, dass das nationale Recht nicht die Offenlegung von Daten in Erklärungen über private Interessen verlangen darf, durch die personenbezogene Daten offenbart werden können, einschließlich solcher Daten, die Rückschlüsse auf politische Ansichten, Gewerkschaftszugehörigkeit, sexuelle Orientierung oder andere persönliche Informationen zulassen, und auch nicht ihre Veröffentlichung auf der Website des Verantwortlichen, wodurch allen Personen mit Zugang zum Internet Zugang zu diesen Daten gewährt wird?

Zu Art. 6 Abs. 1 Unterabs. 1 Buchst. c und Abs. 3 DSGVO

In dem vorgelegten Fall diente die Datenverarbeitung durch Veröffentlichung der Inhalte einer Erklärung über private Interessen auf der Website der Ethikkommission der Erfüllung einer rechtlichen Verpflichtung aus Art. 10 des litauischen Gesetzes über den Interessenausgleich. Somit fällt die Datenverarbeitung unter Art. 6 Abs. 1 Unterabs. 1 Buchst. c der DSGVO. Dieser Art. 10 des Gesetzes über den Interessenausgleich muss als Rechtsgrundlage der Datenverarbeitung dann ebenfalls den Anforderungen aus Art. 52 Abs. 1 der Charta und Art. 6 Abs. 3 der DSGVO genügen.

Im Rahmen dieser Verhältnismäßigkeitsprüfung hatte der EuGH zum Schluss die Schwere des Eingriffs in die Grundrechte der Art. 7 und 8 der Charta gegen die Bedeutung der Ziele des Gesetzes über den Interessenausgleich, nämlich die Verhütung von Interessenkonflikten und von Korruption im öffentlichen Sektor, abzuwägen. Hierbei seien die konkreten Ausprägungen und das Ausmaß der Korruption im öffentlichen Dienst des betreffenden Mitgliedstaats zu berücksichtigen, sodass das Ergebnis der Abwägung nicht unbedingt für alle Mitgliedstaaten gleich ausfallen würde. Zudem ist ebenfalls zu berücksichtigen, dass das Allgemeininteresse an der Veröffentlichung personenbezogener Daten aus einer Erklärung über private Interessen je nach Bedeutung der Aufgaben der erklärungspflichtigen Person variieren kann. Eine Online-Veröffentlichung von Daten, die geeignet sind, Informationen über bestimmte sensible Aspekte des Privatlebens der betroffenen Personen und ihm nahestehende Personen, wie z.B. ihre sexuelle Orientierung, zu offenbaren, sei als schwerwiegender Eingriff in die Grundrechte auf Achtung des Privatlebens und auf Schutz der personenbezogenen Daten anzusehen. Aber auch die Korruptionsbekämpfung sei in der Union von großer Bedeutung.

Zur Abwägung führte der EuGH aus: „Im Vergleich zu einer Erklärungspflicht in Verbindung mit einer von der Obersten Ethikkommission ausgeübten Inhaltskontrolle, deren Wirksamkeit der betreffende Mitgliedstaat zu gewährleisten hat, indem er diese Behörde mit den dafür erforderlichen Mitteln ausstattet, stellt eine solche Veröffentlichung einen erheblich schwereren Eingriff in die durch die Art. 7 und 8 der Charta verbürgten Grundrechte dar, ohne dass diese zusätzliche Schwere durch etwaige Vorteile kompensiert werden könnte, die sich hinsichtlich der Verhütung von Interessenkonflikten und der Bekämpfung von Korruption aus der Veröffentlichung aller dieser Daten ergeben könnten.“ (EuGH, Urt. v. 1.8.22, AZ: C-184/20, Rn. 112).

Zu Art. 9 Abs. 1 der DSGVO

Der EuGH wurde des Weiteren vor die Frage gestellt, ob auch Daten, aus denen mittels gedanklicher Kombination oder Ableitung auf die sexuelle Orientierung einer Person geschlossen werden kann, ebenfalls unter die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO fallen, obwohl die verarbeiteten Daten ihrer Natur nach nicht direkt sensible Daten darstellen. Der EuGH führt dazu aus, dass eine Auslegung des Wortlauts des Art. 9 Abs. 1 DSGVO („zu“, „über“) dahingehend, dass eine direktere Verbindung zwischen der Verarbeitung und den betreffenden Daten bestehen muss und nicht bereits ein indirektes Schließen auf sensible Informationen ausreicht, nicht im Einklang mit einer kontextbezogenen Analyse der Vorschriften stehen würde. Insbesondere der Normzweck der Gewährleistung eines erhöhten Schutzes vor Datenverarbeitungen, die aufgrund besonderer Sensibilität einen besonders schweren Eingriff in die Grundrechte aus Art. 7 und 8 der Charta darstellen können, spreche für eine weite Auslegung der Begriffe des Art. 9 Abs. 1 DSGVO.

Die Entscheidung zeigt, dass sich der EuGH für den Datenschutz ausspricht und dieser auch im Rahmen wichtiger Themen wie Korruption im öffentlichen Sektor noch großen Einfluss hat und im Einzelfall überwiegen kann. Auch zeigt die weite Auslegung des Begriffs der sensiblen Daten, dass diese auch vorliegen, obwohl es auf den ersten Blick nicht danach aussieht.

Risiken und Nutzen von biometrischen Daten – Teil 1 

5. August 2022

Die USA plant, ab dem Jahr 2027 ihre Visa-Bedingungen zu ändern. Sie möchte mit anderen Ländern eine „Partnerschaft zur Verbesserung des Grenzschutzes“ („Enhanced Border Security Partnership“, EBSP) abschließen. Im Rahmen dessen sollen u.a. biometrische Daten zwischen den Ländern ausgetauscht werden, um Einreisende identifizieren zu können. Dies ergibt sich aus der schriftlichen Anfrage eines Abgeordneten. 

Ob es dazu kommt, gilt abzuwarten, denn die Verwendung biometrischer Daten ist sehr umstritten. Da der Begriff der „biometrischen Daten“ oft gar nicht richtig eingeordnet werden kann, werden wir in einem zweiteiligen Beitrag Fragen dazu beantworten.  

In diesem ersten Teil möchten wir Ihnen ein grundsätzliches Verständnis für biometrische Daten vermitteln.  

Was sind biometrische Daten? 

Die europäische Datenschutzgrundverordnung (DSGVO) definiert biometrische Daten in Art. 4 Nr. 14 als: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“ 

Biometrische Daten sind also biologische bzw. körperliche Merkmale, die so eindeutig sind, dass eine Person durch diese identifiziert werden kann. 

Beispiele für solche Daten sind u.a. Fingerabdrücke, Gesichtsgeometrie, das Muster der Iris, Stimmerkennung und die eigene DNA. 

Welche Verwendung gibt es für biometrische Daten? 

Biometrische Daten können zur Verifikation oder zur Identifikation einzelner Personen genutzt werden. 

Verifikation / Authentifikation: dabei wird die Identität einer Person bestätigt, also geprüft, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Ein Beispiel dafür ist das Entsperren des Smartphones über den Fingerabdruck-Sensor des Geräts, bei dem der Fingerabdruck, mit dem im Gerät gespeicherten abgeglichen wird.

Identifikation: dabei wird die Frage geklärt, um welche Person es sich handelt. Die errechneten Daten werden dabei mit im System gespeicherten Merkmalen abgeglichen. Stimmen Merkmale überein, kann die überprüfte Person als eine bestimmte Person identifiziert werden. Dieses Verfahren findet u.a. in der Kriminalistik und Strafverfolgung Anwendung. 

Warum sind sie so schützenswert und welche Risiken gibt es? 

Biometrische Daten sind von der DSGVO in Art. 9 als sensible Daten aufgeführt. Sensible Daten sind solche, bei deren Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen auftreten können. Aus diesem Grund dürfen solche Daten grundsätzlich nicht verarbeitet werden. In Art. 9 DSGVO sind jedoch Ausnahmen definiert, z.B. die ausdrückliche Einwilligung der betroffenen Person. 

Sie sind sensibel, weil die Verarbeitung solcher personenbezogener Daten erheblich in die Privatsphäre der betroffenen Personen eingreift. So können z.B. bestimmte Daten Hinweise auf Erkrankungen geben (bei Diabeteserkrankungen kann die Erkrankung im Augenhintergrund erkennbar sein). Auch bleiben biometrische Daten ihrer Natur nach meist lebenslang bestehen. Sollte ein Passwort an Dritte geraten, kann es geändert werden. Bei biometrischen Daten ist dies nicht möglich, so können bspw. Fingerabdrücke und DNA nicht geändert werden.  

Gleichzeitig können Messfehler nie ganz ausgeschlossen werden. Diese können z.B. bei altersbedingter Veränderung der körperlichen Merkmale oder Verletzungen und Krankheiten auftreten. Dann kann es zu Falschidentifikationen kommen. 

Besonders gefährlich sind biometrische Daten, wenn sie an Dritte gelangen, die den betroffenen Personen schaden wollen, wie z.B. im vorigen Jahr in Afghanistan geschehen. Dort waren den Taliban nach deren Machtübernahme Geräte von Hilfsorganisationen in die Hände gefallen, auf denen biometrische Daten gespeichert waren.

Nächste Woche werden wir uns in Teil 2 intensiv mit der Frage beschäftigen, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. 

LG Ravensburg legt Frage zum Schadensbegriff in Art. 82 DSGVO dem EuGH vor

29. Juli 2022

Das Landgericht Ravensburg hat mit Beschluss vom 30.06.2022 dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob für einen Schadensersatzanspruch aus Art. 82 DSGVO ein spürbarer Nachteil und eine objektiv nachvollziehbare Beeinträchtigung erforderlich ist. 

Der Sachverhalt 

Die Beklagte hatte auf ihrer Website ohne das Einverständnis der Kläger eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden. Ebenfalls auf ihrer Webseite veröffentlichte sie ein verwaltungsgerichtliches Urteil, in dem die Kläger ungeschwärzt mit Vor- und Nachnamen sowie Anschrift aufgeführt waren. Die Kläger sehen darin ihre Rechte aus der DSGVO verletzt und begehren Schadensersatz von der Beklagten. 

Die Frage 

Das LG Ravensburg hatte bereits zuvor die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Insbesondere bei Bagatellverstößen ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten käme ein Schadensersatzanspruch nicht in Betracht. Für das Zusprechen von Schadensersatz nach Art. 82 DSGVO setzt das LG Ravensburg einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange bei den betroffenen Personen voraus. 

Dies sieht das Gericht im vorliegenden Sachverhalt als nicht gegeben an, es läge nur ein Verlust der Datenhoheit vor. Danach wäre die Klage abzuweisen. Die Auslegung des Schadensbegriffes steht aber letztlich nur dem EuGH zu. Diesem liegt nun folgende Frage vor: „Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“ 

Das Verfahren wird erst nach einer Entscheidung des EuGH fortgesetzt. 

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 2

22. Juli 2022

Im ersten Teil unseres Beitrags haben wir uns letzte Woche mit Perioden-Tracker-Apps und der diesbezüglichen Rechtslage in den USA und in Europa beschäftigt.

Im zweiten Teil thematisieren wir heute das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Was ist Datenhandel und wie weit ist er verbreitet?  

Datenhandel ist ein weitverbreitetes Geschäft. Dabei sammeln Datenhändler alle möglichen Daten, die öffentlich einsehbar sind. Teilweise erwerben sie aber auch Daten von Unternehmen, die bereit sind, diese zu verkaufen. Dann verkaufen Datenhändler gewisse Daten weiter an Interessierte. Zweck dahinter ist meist zielgerichtete Werbung. Datenhandel kann aber auch für politische Kampagnen genutzt werden.   

In Europa wird Datenhandel durch die Vorgaben der DSGVO begrenzt. Ein Beispiel dafür sind die Anforderungen an eine Einwilligung. Eine solche können betroffene Personen abgeben, sodass ihre Daten dann auf Grundlage dieser Einwilligung weiter verarbeitet und gespeichert werden. In Europa ist durch die DSGVO genau vorgegeben, wie eine solche Einwilligung zu erfolgen hat. So muss die betroffene Person u.a. umfassend informiert werden. In den USA gibt es solche Voraussetzungen kaum, dort sind an eine Einwilligung viel geringere Anforderungen gesetzt. Deshalb bietet es sich für Datenhändler an, dort ihren Sitz zu haben. In den USA können Gesundheitsdaten teilweise ab § 79 von Privatpersonen erworben werden. 

  

Was hat Datenhandel mit dieser Debatte zu tun?  

Unzureichend geschützte Menstruations-Daten können von Datenhändlern gesammelt oder sogar bei den Unternehmen, die solche Daten erheben und verarbeiten selbst erworben werden. Wenn Dritte an diese Daten gelangen, kann das für die betroffenen Personen ernsthafte Konsequenzen haben. So könnten z.B. radikale Abtreibungsgegner diese Daten von Datenhändlern erwerben, um Betroffene anzuzeigen und so der strafrechtlichen Verfolgung auszusetzen.  

Beispielhaft für die persönlichen Konsequenzen, die sich durch einen solchen Datenhandel ergeben können, ist der Fall eines US-amerikanischen Priesters. Ein katholischer Newsletter erhielt von einem Datenhändler Daten der App „Grindr“, einer LGBTQ-Dating App. Beim Auswerten dieser Daten, zu denen u.a. Standortdaten der Nutzer gehörten, konnten sie ein Profil dem Priester zuordnen und aufgrund seiner Standorte nachweisen, wann er sich in welchen LGBTQ-Bars aufgehalten hatte. Der Mann wurde zwangsweise geoutet und musste zurücktreten.    

  

Fazit: Was bedeutet dies für Nutzerinnen von solchen Apps in Europa?  

Zwar besteht in Europa dank der DSGVO ein anderes Datenschutzniveau als in den USA. In Deutschland sind Schwangerschaftsabbrüche außerdem unter bestimmten Voraussetzungen bis zur 12. Woche straffrei, sodass diesbezüglich keine vergleichbare Lage herrscht. Jedoch gibt es auch in Europa Länder, in denen Frauen gut beraten sind, ihre Menstruations-Daten besonders zu schützen. So sind z.B. in Polen Abtreibungen praktisch verboten. Die Regierung möchte zudem ein landesweites „Schwangerschafts-Register“ einführen. Auch hier befürchten Kritiker eine geplante Kontrolle von Schwangerschaften und deren Länge.   

Insgesamt sind auch deutsche Nutzerinnen gut damit beraten, eine App zu verwenden, die aus der EU kommt und sich damit an die Grundsätze der DSGVO halten muss. Bei Apps aus dem EU-Ausland kann nicht ausgeschlossen werden, dass mit den dort gespeicherten Daten Handel betrieben wird.  

  

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

14. Juli 2022

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

1 2 3 32