Kategorie: Online-Datenschutz

B2B-Datenschutz: DSGVO auf juristische Personen in Sonderfällen anwendbar?

6. September 2022

Dieser Frage widmete sich das LG Hamburg in einer Entscheidung (324 O 30/20) vom 11. Dezember 2021. In dem Sachverhalt nahmen Kläger die Beklagte wegen Verletzung von Datenschutzpflichten auf Löschung und hilfsweise Sperrung in Anspruch.

Beteiligte

Die Klägerinnen betreiben ein Nachhilfeinstitut. Einer der Klägerinnen ist Geschäftsführer und Anteilseigner dieses Instituts.
Die Beklagte betreibt eine private Website auf der Wirtschaftsinformationen über die Kläger veröffentlicht wurden. Bei den strittigen Informationen handle es sich um gesetzliche Pflichtveröffentlichungen zu Unternehmen aus allgemein zugänglichen Registern, wie dem Handelsregister, Insolvenzbekanntmachungen und dem elektronischen Bundesanzeiger. Bei der Weiterverwendung der Daten seien keine eigenen Daten aufgenommen worden. Es handle sich lediglich um bereits verfügbare Daten aus den öffentlichen Registern, so die Beklagte.

Streitgegenstand

Die Beklagte veröffentlichte auf Ihrer Seite den Namen, die Anschrift sowie den Gewinn des Nachhilfeinstituts. Zudem wurde die Bilanzsumme als auch die namentliche Nennung des Geschäftsführers angezeigt. Beide Kläger seien dem Gericht nach der Auffassung gewesen, dass dies nicht ohne deren Einwilligung erfolgen hätte dürfen. Am 25.04.2019 erfolgte sodann der Widerspruch mit Löschaufforderung nach Art. 17 Abs. 1 DSGVO.

Entscheidungsgründe des LG Hamburg

Das Gericht entschied, dass den Klägern keine Ansprüche auf Löschung und Sperrung gegen die Beklagte wegen der Verarbeitung von personenbezogenen Daten zustünden. Es bezog sich in diesem Kontext auf den Erwägungsgrund 14 der Verordnung. Dieser legt ausdrücklich fest dass die Verordnung nicht für juristische Personen anwendbar sei.

Ausnahme

Das Gericht ist der Auffassung, dass der Anwendungsbereich der DSGVO bei der Verarbeitung von Informationen von juristischen Personen eröffnet sei, wenn die Informationen der juristischen Person sich auch auf die hinter dieser stehenden natürlichen Person beziehen. Dies sei dem Gericht nach der Fall wenn Informationen über juristische Personen gleichzeitig auch Aussagen über die für sie handelnden natürlichen Personen treffen oder die Verarbeitung der Informationen sich unmittelbar auf die natürlichen Personen auswirken und gleichsam auf diese durchschlagen.

Fazit

Im vorliegend Sachverhalt träfe diese Ausnahme laut dem LG Hamburg auf die Klägerinnen zu. Der Firmenname und der Geschäftssitz bezögen sich auf ihre Geschäftsführer. Zudem sei ihr Geschäftssitz mit der Wohnanschrift der Geschäftsführer identisch.
Als Anspruchsgrundlagen kämen lediglich Art. 17 Abs. 1 lit. d und lit. c DSGVO in Betracht, so das LG Hamburg. Im Ergebnis des Gerichts fällt die jeweils vorzunehmende Interessenabwägung jedoch zugunsten der Beklagten aus.

Telegram führt Nutzerumfrage zum Datenschutz durch

31. August 2022

Die Messenger-App Telegram befragt aktuell seine Nutzerinnen und Nutzer zum Datenschutz. Konkret geht es darum, „wie die Daten der deutschen Telegram-Nutzer mit den deutschen Behörden, einschließlich der deutschen Polizei (BKA), geteilt werden können (oder nicht).“ Weiter heißt es: „Wir führen diese Abstimmung durch, um herauszufinden, ob unsere deutschen Nutzer unsere aktuelle Datenschutzerklärung unterstützen oder ob sie die Zahl der Fälle, in denen Telegram potenziell Daten an Behörden weitergeben kann, verringern oder erhöhen möchten. Wir stellen drei Optionen zur Wahl.
OPTION 1: Keine Änderungen. IP-Adressen und Telefonnummern von Terrorverdächtigen darf Telegram weiterhin nur aufgrund einer Gerichtsentscheidung weitergeben. Diese Option ist bereits in der aktuellen Datenschutzerklärung von Telegram enthalten.
OPTION 2: Auf Anfrage der deutschen Polizeibehörden darf Telegram IP-Adressen und Telefonnummern von Verdächtigen schwerer Straftaten offenlegen, auch wenn diese nicht durch eine Gerichtsentscheidung gestützt ist. Diese Option wäre, sofern sie Zustimmung findet, komplett neu für Telegram und erfordert deswegen eine Änderung unserer Datenschutzerklärung für Nutzer aus Deutschland.
OPTION 3: Unter keinen Umständen darf Telegram Nutzerinformationen weitergeben, inkl. IP-Adressen und Telefonnummern von Terrorverdächtigen. Wenn diese Option unterstützt wird, ändert Telegram seine Datenstruktur und die Datenschutzerklärung für Nutzer aus Deutschland.

Die Aktion folgt nach Aufforderungen des Bundesinnenministeriums, das eine engere Zusammenarbeit mit Telegram wünscht. Grund dafür ist, dass sich Telegram in den letzten Jahren als Plattform für Menschen mit extremistischem Gedankengut etabliert hatte. Auf Telegram soll es u.a. zu Gewalt- und Mordaufrufen gegen Personen gekommen sein, die Betreiber von Telegram würden illegale Inhalte kaum löschen.

Telegram hat seinen Sitz in Dubai, in den Vereinigten Arabischen Emiraten. Dies hatte für die Bundesregierung in zwei Bußgeldverfahren gegen Telegram zu Problemen geführt, die Bußgeldbescheide zustellen zu können.

Welche Folgen Telegram aus der Umfrage ziehen will, bleibt zunächst offen. Denn auch gegen den Willen seiner Nutzer ist Telegram durch seine Nutzung in Deutschland den deutschen Datenschutzgesetzen unterworfen.

Warum Google Fonts eine datenschutzrechtliche Abmahnwelle verursacht?

23. August 2022

Am 18. August 2022 informierte der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI), Dr. Lutz Hasse, in einer Pressemitteilung über eine drohende Abmahnwelle. Tausende von Websites-Betreiber seien nach dem TLfDI bereits von Abmahnungen betroffen.

I. Hintergrund der Abmahnungen

Google Fonts ist ein kostenloser Dienst des US-Anbieters Google. Dieser stellt kostenlose Schriftarten zur freien Verfügung bereit. Problematisch wird es an der Stelle, an der Google Fonts dynamisch auf Websites eingebettet werden. Durch die dynamische Einbindung des Dienstes werden Schriftarten von Servern aus den USA in den Browser der Besucher(innen) geladen. Dabei werden personenbezogene Daten wie die IP-Adresse der Besucher in die Vereinigten Staaten übermittelt. Eine Einbettung der Fonts kann auch durch andere Google Dienste, z.B. Google Maps, erfolgen.

II. Warum ist die Übermittlung problematisch?

Nach dem TLfDI müsste einer solchen Übermittlung der Daten, nach der DSGVO, mindestens eine Einwilligung der Nutzer vorangehen. Dies soll in den Sachverhalten überwiegend nicht der Fall gewesen sein. Zudem handle es sich bei der Übermittlung von Daten in die USA um einen Transfer von Daten in einen Drittstaat, der kein ausreichendes Datenschutzniveau im Sinne der DSGVO bietet. Dazu komme nicht minder die Tatsache, dass eine solche zustimmungslose und automatische Weiterleitung der IP-Adressen an Google eine Verletzung des Rechts auf informationelle Selbstbestimmung und des Persönlichkeitsrechts darstelle. So das Landgericht München I im Endurteil vom 20. 01. 2022.

III. Was könnte ein Lösungsansatz sein?

Das TLfDI gibt Empfehlungen zur Nutzung von Google Fonts. In „Empfehlungen des TLfDI zu Google Fonts zur Vermeidung von Abmahnungen“ wird das lokale Speichern von Schriftarten und sodann die Einbindung in den eigenen Internetauftritt geraten.
Für viele Websites-Betreiber war diese Thematik bisher ein blinder Fleck im Kontext des Datenschutzrechts und dem technischen Verständnis von Google Fonts. Es ist also ratsam die eigene Website bezüglich der Einbindung von Google Fonts zu überprüfen.

Einführung des elektronischen Rezeptes in Schleswig-Holstein gestoppt

Das elektronische Rezept, welches ab dem 01. September 2022 bundesweit eingeführt werden soll, wurde in Schleswig-Holstein aufgrund datenschutzrechtlicher Bedenken, gestoppt. 

Was ist das elektronische Rezept? 

Das elektronische Rezept (auch „E-Rezept“) ist ein Rezept, dass ausschließlich digital erstellt und signiert wird. Es soll laut Bundesgesundheitsministerium das Gesundheitswesen digitalisieren und Abläufe vereinfachen. Auch wer als Patient eine Videosprechstunde in Anspruch nimmt, soll sich danach den Weg in die Praxis für das Rezept-Abholen sparen können. Gleichzeitig soll das E-Rezept Behandlungen auch sicherer machen. Das E-Rezept soll auch weitere Anwendungen ermöglichen, z.B. eine Medikationserinnerung und einen Medikationsplan mit eingebautem Wechselwirkungscheck. Patienten können das Rezept über eine E-Rezepte-App verwalten und digital an die gewünschte Apotheke ihrer Wahl senden. Wer die App nicht nutzen möchte, kann sich die für die Einlösung des Rezeptes erforderlichen Zugangsdaten als Papierausdruck in der Arztpraxis aushändigen lassen. Das E-Rezept enthält einen Rezeptcode und ist ohne händische Unterschrift gültig (hier können Sie so einen Ausdruck sehen). Eingelöst werden können die E-Rezepte dann in jeder Apotheke oder Online-Apotheke. E-Rezepte sollen 100 Tagen nach der Einlösung automatisch gelöscht werden (weitere Fragen zur App werden hier beantwortet). 

Warum wurde es in Schleswig-Holstein gestoppt? 

In Schleswig-Holstein und Westfalen-Lippe wurden in einer Testphase Pilotprojekte des E-Rezeptes in ausgewählten Praxen und Krankenhäusern betrieben. Ab dem 01. September 2022 soll die „Rollout-phase“ beginnen und nach einem regional und zeitlich gestuften Verfahren nach und nach bundesweit das E-Rezept eingeführt werden.  

Nun hat sich die Kassenärztliche Vereinigung Schleswig-Holstein (KVSH) vorerst aus der Einführung des E-Rezeptes zurückgezogen. Grund dafür ist laut einer Pressemitteilung des Datenschutzbeauftragten Schleswig-Holstein (ULD), dass die KVSH vorgeschlagen hatte, die E-Rezepte per SMS oder E-Mail an Menschen ohne E-Rezepte-App zu versenden. Dies lehnte der ULD ab und verwies darauf, dass es sich bei dem E-Rezept um sensible Gesundheitsdaten handle. Diese per E-Mail zu versenden, stelle eine Übermittlung dieser Daten dar. Das Verfahren sei dafür zu unsicher. Die KVSH sieht durch diese Untersagung eine Alltagstauglichkeit des E-Rezeptes nicht mehr gegeben.  

Die Rezepte-App selbst wurde vom ULD nicht geprüft. Ob der Rückzug der KVSH einen Einfluss auf die Einführung des E-Rezeptes haben wird, bleibt abzuwarten.  

Krankenkassen müssen Video-Ident-Verfahren abschalten

12. August 2022

Den deutschen Krankenkassen ist die Identifikation ihrer Versicherten per Video-Ident-Verfahren durch die zuständige Gematik GmbH untersagt worden. Bei der Gesellschaft handelt es sich um einen Digitalisierungsdienstleister der deutschen Gesundheitsbranche. Nachdem der Chaos Computer Club (CCC) Sicherheitsmängel im Video-Ident-Verfahren festgestellt hatte, werden diese nun nicht mehr von deutschen Krankenkassen eingesetzt.

Angriff mit geringem Aufwand durchführbar

Mithilfe des Video-Ident-Verfahrens können sich Nutzer:innen ausweisen, indem sie ihre Ausweispapiere mit ihrer Smartphone- oder Computer-Kamera erfassen und zeitgleich ihr Gesicht zeigen. Bei einem Anruf in einem Video-Ident-Callcenter müssen die Anrufer:innen dann den Ausweis in der Hand halten, ihn bewegen und auf Anordnung auch bestimmte Stellen des Ausweises mit dem Finger abdecken. Anschließend werden die Daten von einer Software erfasst. Die Angaben werden dann durch die Support-Mitarbeiter:innen sowie von Algorithmen überprüft, sodass End-Kundinnen und Kunden ihre Identität beweisen können. Nach der Freigabe können sie sich dann beispielsweise auf einer Onlineplattform einloggen.

Der CCC stellte nun fest, dass genau dieses Vorgehen problematisch sei. Mit gefälschten Ausweispapieren und etwas Videobearbeitung ließen sich so Sicherheitsmerkmale fälschen. „Dazu werden Bildausschnitte aus einem Video in ein zweites Video übertragen“, erläuterte der CCC. So könne man beispielsweise das biometrische Passbild eines Dokuments im Videobild in Echtzeit durch ein anderes digital ersetzen.  Der CCC konnte das Ident-Verfahren so überlisten und eine elektronische Patientenakte (ePA) für eine fremde Person anlegen. Die betroffene Person war eingeweiht und einverstanden. Anschließen konnte auf Diagnosen, Rezepte und Bescheinigungen zugegriffen werden.

Insgesamt konnten die Verfahren von sechs nationalen und internationalen Anbietern überlistet werden. Wie genau der CCC dabei vorgegangen ist, ist ausführlich dokumentiert und lässt sich auf der Webseite des CCC nachlesen.

Risiko den Behörden bekannt

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte das Verfahren schon vor Jahren als heikel eingestuft. Durch die Corona-Pandemie wurde das Verfahren zuletzt immer häufiger genutzt. Laut einem Sprecher des BSI nehme man die Situation auch über die Anwendung bei den Krankenkassen hinaus sehr ernst. Das Verfahren werde „sehr sorgfältig“ geprüft. Diese Prüfung beziehe sich auch auf die Fortsetzung der Nutzung dieser Technologie.

In der Pressemitteilung des CCC warnt Martin Tschirsich, ein Sicherheitsforscher des CCC, vor der Nutzung. „Im Lichte dieser Entdeckungen wäre es fahrlässig, dort weiter auf Videoident zu setzen, wo durch Missbrauch potentiell nicht wiedergutzumachende Schäden eintreten können – zum Beispiel durch unbefugte Offenbarung intimster Gesundheitsdaten“.

Welche Video-Ident-Anbieter dabei überlistet wurden, hat der CCC nicht veröffentlich. Stattdessen forderte man in einer Pressemitteilung, die Verfahren generell nicht mehr dort einzusetzen, wo ein hohes Schadenspotential bestehe. Darunter fiele beispielsweise der Zugriff auf intimste Gesundheitsdaten, so der CCC.

Alternative seit 10 Jahren vorhanden

Es sei besonders bitter, dass sichere ID-Methoden wie die elektronische Ausweisfunktion des Personalausweises nicht genutzt werden, erklärt der CCC. Diese ließe sich schon seit über zehn Jahren zur digitalen Identifizierung verwenden.

NOYB: Beschwerde wegen Cookie-Banner

11. August 2022

Die gemeinnützige Organisation Europäisches Zentrum für digitale Rechte -Non of your Business- (NOYB) hat diese Woche 226 Beschwerden bei verschiedenen Datenschutzaufsichtsbehörden eingereicht. Der Grund für alle Beschwerden waren datenschutzwidrige Cookie-Banner.

Informelle Beschwerden an 500 Unternehmen

Bereits im Mai diesen Jahres wies NOYB 500 Unternehmen darauf hin, dass ihre Cookie- Banner datenschutzwidrig seien, indem die Organisation Beschwerden an die Unternehmen richtete. Außerdem stellte NOYB allen Unternehmen eine Schritt-für-Schritt Anleitung für die Gestaltung eines rechtmäßigen Cookie-Banners zur Verfügung.

Dabei war ein gemeinsames Merkmal aller untersuchten Webseiten, dass sie die Software „One Trust“ zur Erstellung des Cookie-Banners verwendeten. Deswegen aktualisierte diese Consent Management Platform ihre Standardeinstellungen. Außerdem informierte „One Trust“ die Unternehmen über die Notwendigkeit die Cookie-Banner anzupassen. Dennoch verwendeten ein Teil der im Mai gerügten Unternehmen weiterhin rechtswidrige Cookie-Banner.

Wann ist der Cookie-Banner rechtswidrig?

Im Rahmen der eingereichten Beschwerden stellte NOYB fest, dass die untersuchten Cookie-Banner regelmäßig für die Nutzer von Webseiten irreführend seien. Insbesondere verwendeten einige Webseite sog. Dark-Patterns. Durch ein besonderes Design der Cookie-Banners solle erreicht werden, dass die Nutzer der Webseiten in die Verwendung von Cookies einwilligen. Demnach sei das Ablehnen der Cookie-Verwendung in diesem Fall nur auf eine erschwerte Weise möglich. Laut Ala Krinickytė (Datenschutzjuristin bei NOYB) versuchten einige Webseiten das Zustimmen der Nutzer durch einen entsprechenden „Klickmarathon“ zu erzwingen.

Stattdessen müsse nach den Regelungen der DSGVO der Nutzer unkompliziert zwischen „Ja“ und „Nein“ auswählen können. Auf diese Weise werde dem Zweck der DSGVO Rechnung getragen und die Nutzer der Webseiten behielten die Kontrolle über ihre Daten.

Fazit

Max Schrem (Vorsitzender von NOYB) betonte, dass die Begutachtung durch NOYB einen positiven Effekt zeigte. Unternehmen, deren Webseiten die Organisation nicht untersucht hatte, passten vorsorglich ihre Cookie-Einstellungen an.

Risiken und Nutzen von biometrischen Daten – Teil 2

In Teil 2 unseres Beitrages über biometrische Daten beschäftigen wir uns damit, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. Um ein grundsätzliches Verständnis für biometrische Daten zu erhalten, verweisen wir auf Teil 1 dieses Beitrages.

Wo & wann werden biometrische Daten verwendet?

Biometrische Daten sind im Alltag vielfältig zu finden. Teilweise werden biometrische Daten auf amtlichen Ausweisen gespeichert, so muss der deutsche Personalausweis z.B. ein biometrisches Lichtbild und seit letztem Jahr auch Fingerabdrücke enthalten.

Auch kann man seinen Fingerabdruck oder seine Gesichtsgeometrie in seinem Smartphone speichern und dies zur Entsperrung nutzen.

Wie funktionieren Gesichtserkennungssoftwares?

Es gibt unterschiedliche Arten der Gesichtserkennung, die sich aber im Wesentlichen alle ähnlich sind.

Dabei lokalisiert die Kamera ein Gesicht. Die Software liest sodann das Gesicht und berechnet seine charakteristischen Eigenschaften, also seine Geometrie. Dafür herangezogen werden vor allem solche Merkmale des Gesichts, die sich aufgrund der Mimik nicht ständig verändern, z.B. die oberen Kanten der Augenhöhlen, die Gebiete um die Wangenknochen und die Seitenpartien des Mundes. Diese Informationen werden in Form eines Merkmalsdatensatzes gespeichert. Dieser Merkmaldatensatz kann dann in Datenbanken abgeglichen werden, sodass mehrere Bilder von einer Person dieser alle zugeordnet werden können.

Eines der bekanntesten Unternehmen, das Gesichtserkennungssoftware nutzt ist Clearview AI. Das US-amerikanische Unternehmen sammelt öffentlich zugängliche Bilder von Menschen, z.B. in sozialen Netzwerken oder in Videos. Mittlerweile hat das Unternehmen eine Datenbank von 10 Milliarden Bildern. Kunden können ein Foto von einem Gesicht machen und hochladen. Dieses Foto wird dann mit den Datenbanken abgeglichen.

Wofür werden sie genutzt?

Gesichtserkennungssoftwares können vielfältig genutzt werden. So können sie aus Sicherheitsgründen eingesetzt werden oder um vermisste Personen zu identifizieren. Ein aktuelles Beispiel dafür ist, dass die Ukraine offenbar Clearview AI nutzte, um im Krieg gefallene Soldaten zu identifizieren. Auch Strafverfolgungsbehörden in den USA nutzen Clearview.

Welche Kritik begegnet ihnen?

In Europa begegnet Clearview AI enorme Kritik von Datenschutzbehörden, die Rekordstrafen verhängen. So haben allein dieses Jahr die italienische und die griechische Datenschutzbehörde jeweils ein Bußgeld von 20 Mio. Dollar gegen das Unternehmen verhängt. Außerdem haben u.a. die französische Datenschutzbehörde Clerview AI aufgefordert, die Daten ihrer Bürger nicht länger zu sammeln.

Die Befürchtung bei solchen Gesichtserkennungssoftwares ist, dass eine illegale Massenüberwachung entsteht. Auch findet so ein immenser Eingriff in der Privatsphäre der Betroffenen statt. Dabei ist das Missbrauchspotential groß, potenzielle Straftäter können ihre Opfer auskundschaften. Vor allem Straftaten im Bereich des Stalkings können so vereinfacht werden. Aber auch in autoritären Regimen können solche Softwares eingesetzt werden, um bspw. Regimekritiker auf Demonstrationen zu identifizieren.

Dem Erfassen von biometrischen Daten kann man im Alltag nicht aus dem Weg gehen. Es ist aber auf jeden Fall sinnvoll, vernünftig über biometrische Daten informiert zu sein, um sie bestmöglich schützen zu können.

Risiken und Nutzen von biometrischen Daten – Teil 1 

5. August 2022

Die USA plant, ab dem Jahr 2027 ihre Visa-Bedingungen zu ändern. Sie möchte mit anderen Ländern eine „Partnerschaft zur Verbesserung des Grenzschutzes“ („Enhanced Border Security Partnership“, EBSP) abschließen. Im Rahmen dessen sollen u.a. biometrische Daten zwischen den Ländern ausgetauscht werden, um Einreisende identifizieren zu können. Dies ergibt sich aus der schriftlichen Anfrage eines Abgeordneten. 

Ob es dazu kommt, gilt abzuwarten, denn die Verwendung biometrischer Daten ist sehr umstritten. Da der Begriff der „biometrischen Daten“ oft gar nicht richtig eingeordnet werden kann, werden wir in einem zweiteiligen Beitrag Fragen dazu beantworten.  

In diesem ersten Teil möchten wir Ihnen ein grundsätzliches Verständnis für biometrische Daten vermitteln.  

Was sind biometrische Daten? 

Die europäische Datenschutzgrundverordnung (DSGVO) definiert biometrische Daten in Art. 4 Nr. 14 als: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“ 

Biometrische Daten sind also biologische bzw. körperliche Merkmale, die so eindeutig sind, dass eine Person durch diese identifiziert werden kann. 

Beispiele für solche Daten sind u.a. Fingerabdrücke, Gesichtsgeometrie, das Muster der Iris, Stimmerkennung und die eigene DNA. 

Welche Verwendung gibt es für biometrische Daten? 

Biometrische Daten können zur Verifikation oder zur Identifikation einzelner Personen genutzt werden. 

Verifikation / Authentifikation: dabei wird die Identität einer Person bestätigt, also geprüft, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Ein Beispiel dafür ist das Entsperren des Smartphones über den Fingerabdruck-Sensor des Geräts, bei dem der Fingerabdruck, mit dem im Gerät gespeicherten abgeglichen wird.

Identifikation: dabei wird die Frage geklärt, um welche Person es sich handelt. Die errechneten Daten werden dabei mit im System gespeicherten Merkmalen abgeglichen. Stimmen Merkmale überein, kann die überprüfte Person als eine bestimmte Person identifiziert werden. Dieses Verfahren findet u.a. in der Kriminalistik und Strafverfolgung Anwendung. 

Warum sind sie so schützenswert und welche Risiken gibt es? 

Biometrische Daten sind von der DSGVO in Art. 9 als sensible Daten aufgeführt. Sensible Daten sind solche, bei deren Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen auftreten können. Aus diesem Grund dürfen solche Daten grundsätzlich nicht verarbeitet werden. In Art. 9 DSGVO sind jedoch Ausnahmen definiert, z.B. die ausdrückliche Einwilligung der betroffenen Person. 

Sie sind sensibel, weil die Verarbeitung solcher personenbezogener Daten erheblich in die Privatsphäre der betroffenen Personen eingreift. So können z.B. bestimmte Daten Hinweise auf Erkrankungen geben (bei Diabeteserkrankungen kann die Erkrankung im Augenhintergrund erkennbar sein). Auch bleiben biometrische Daten ihrer Natur nach meist lebenslang bestehen. Sollte ein Passwort an Dritte geraten, kann es geändert werden. Bei biometrischen Daten ist dies nicht möglich, so können bspw. Fingerabdrücke und DNA nicht geändert werden.  

Gleichzeitig können Messfehler nie ganz ausgeschlossen werden. Diese können z.B. bei altersbedingter Veränderung der körperlichen Merkmale oder Verletzungen und Krankheiten auftreten. Dann kann es zu Falschidentifikationen kommen. 

Besonders gefährlich sind biometrische Daten, wenn sie an Dritte gelangen, die den betroffenen Personen schaden wollen, wie z.B. im vorigen Jahr in Afghanistan geschehen. Dort waren den Taliban nach deren Machtübernahme Geräte von Hilfsorganisationen in die Hände gefallen, auf denen biometrische Daten gespeichert waren.

Nächste Woche werden wir uns in Teil 2 intensiv mit der Frage beschäftigen, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. 

Neue Verordnung zur Bekämpfung sexuellen Missbrauchs von Kindern sorgt für Kritik

3. August 2022

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Prof. Ulrich Kelber kritisierte in einer Stellungnahme einen neuen Verordnungsentwurf der Europäischen Kommission zur Prävention und Bekämpfung sexuellen Missbrauchs von Kindern. Aus seiner Sicht biete die Verordnung keinen wirklichen Schutz für Kinder und ermögliche zugleich die anlasslose und flächendeckende Überwachung der privaten Kommunikation.  

Die neue Verordnung

Anlass der neuen Verordnung ist die hohe Anzahl an verschicktem Bildmaterial, das sexuellen Missbrauch von Kindern beinhaltet. Bisher müssen Online-Dienste, nicht melden, wenn ihre Nutzer entsprechendes Bildmaterial verbreiten. Die neue Verordnung soll sie jetzt stattdessen zum Löschen und Melden von einschlägigem Bildmaterial verpflichten. Außerdem sollen künftig die Chats der Online-Dienste besser kontrolliert werden. Die Dienste sollen dafür neue Technologien einsetzen, um den Missbrauch von Kindern aufdecken zu können. Insbesondere könnte es, mit Einführung der neuen Verordnung, dazu kommen, dass die verschlüsselte Kommunikation in Chats aufgehebelt wird.

Scharfe Kritik

In seiner Stellungnahme empfahl der BfDI, dass die Europäische Kommission den Verordnungsentwurf noch einmal überarbeiten solle. Mit der jetzigen Version der Verordnung bestehe ein Risiko für den Schutz der in der EU-Grundrechte Charta garantierten Freiheitsrechte. Der Gesetzgeber müsse insbesondere den Schutz des Fernmeldegeheimnisses und ebenso des Datenschutzrechts wahren. Dabei kritisierte der BfDI ausdrücklich die geplanten Chatkontrollen. Außerdem seien die einzusetzenden Technologien anfällig für Fehler und bieten keine angemessene Bekämpfungsmaßnahme. Stattdessen können diese selbst eine Sicherheitslücke darstellen, wenn beispielswiese Kriminelle sie missbräuchlich nutzen.

In einer gemeinsamen Stellungnahme hatten zuvor der Europäische Datenschutzbeauftragte (EDSB) und der Europäische Datenschutzausschuss (EDSA) bereits die Wichtigkeit des Rechts auf Privatleben und des Datenschutzes hervorgehoben. Zugleich betonten EDSB und EDSA, dass sexueller Missbrauch an Kinder ein schwerwiegendes und abscheuliches Verbrechen sei. Jegliche Maßnahmen zur Bekämpfung dieses Verbrechens müssen allerdings erforderlich und angemessen sein. Die neue Verordnung bringe die Gefahr eines allgemeinen und wahllosen Scannens von Inhalten auf Online-Plattformen mit sich. 

Hierzu sagte der BfDI, dass man die anlasslose Massenüberwachung „(…) ansonsten nur aus autoritären Staaten (…)“ kenne.

Bewertungsportale: datenschutzrechtliche Risiken

28. Juli 2022

Ob für den Besuch beim Arzt oder im Restaurant: häufig nutzen Kunden Bewertungsportale, um sich beispielsweise vorab über eine Dienstleistung zu informieren oder um ihre Meinung über die Dienstleistung öffentlich kundzutun. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) veröffentlichte diese Woche eine Stellungnahme zu den Nutzen und Risiken von online abrufbaren Bewertungsportalen.

Die Grenzen einer Bewertung

Sie betonte dabei, dass bei dem Verfassen einer Bewertung die Grenzen der Meinungsfreiheit, sowie die Grenzen des Datenschutzes zu berücksichtigen seien. Hinsichtlich der Meinungsfreiheit stellte sie fest, dass die öffentlich kundgegebene Äußerung mit dem allgemeinen Persönlichkeitsrecht der sie betreffenden Person abzuwägen sei. Die Grenze dessen, was geäußert werden darf, seien dabei Beleidigungen oder Schmähungen.

Hilfe bei Veröffentlichung von personenbezogenen Daten

Hinsichtlich des Datenschutzes stellte die LDI NRW fest, dass niemand die Veröffentlichung personenbezogener Daten in einem Bewertungsportal hinnehmen müsse. Insbesondere bei Bekanntgabe der privaten Adresse oder Telefonnummer eines Dienstleisters könne ein Verstoß gegen das Datenschutzrecht vorliegen. So könne der Dienstleister sich zur Wehr setzen, wenn ein Kunde diese Daten veröffentliche.

Als betroffene Person stellt sich die Frage, wie man gegen die Veröffentlichung der personenbezogenen Daten vorgehen kann. Die LDI NRW betonte, das insbesondere zu beachten sei, dass sich die Bewertungsportale an Datenschutzregelungen halten müssen. Insbesondere seien Kommentare in Bewertungsportalen häufig anonym. Demnach könne es schwierig sein direkt gegen den Verfasser vorzugehen. Die betroffene Person könne sich zwar an das Bewertungsportal wenden, um die Daten des Verfassers zu erfahren. Allerdings könne, bzw. müsse das Portal die Anfrage aufgrund der datenschutzrechtlichen Bestimmungen ablehnen.

Wenn der Kommentar jedoch eine falsche Tatsachenbehauptung oder Beleidigung beinhalte, könne die betroffene Person ggf. zivilrechtliche Ansprüche geltend machen. Dieser Weg sei aber oft langwierig. Ein leichterer Weg sei die Beschwerde bei dem Bewertungsportal mit der Bitte auf Löschung des Kommentars.

Eine Alternative biete die Beschwerde bei einer Datenschutzaufsichtsbehörde. Auf diese Weise könne die betroffene Person gegen eine unrechtmäßige Verarbeitung personenbezogener Daten vorgehen. Allerdings verlangen Aufsichtsbehörden häufig, dass die betroffene Person zuvor schon andere Schritte eingeleitet hat. 

1 2 3 4 5 83