Kategorie: Videoüberwachung

Wie gegen illegale Müllablagerung vorgehen?

17. August 2023

Nach der Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) nicht mittels Videoüberwachung.  Zu diesem Ergebnis kam der LfDI RLP im Rahmen einer Pressemitteilung, die der Datenschützer vergangene Woche auf der offiziellen Homepage der Behörde veröffentlichte.

Klarstellung von Zeitungsberichten

Anlass zu dieser Pressemitteilung gab ein Zeitungsbericht der Allgemeinen Zeitung Mainz. Unter der Überschrift „Waldalgesheim überwacht Bürger beim Müllentsorgen“ (nicht mehr aufrufbar) berichtete die Zeitung darüber, dass die Gemeinde der Stadt Waldalgesheim Kameras an zwei Glascontainern anbrachte. Ziel der Gemeinde sei es gewesen die illegale Müllentsorgung an den Glascontainern zu unterbinden und Personen, die ihren Müll dort entsorgt hätte, identifizieren zu können. Außerdem habe die Gemeinde herausfinden wollen, durch welche Personen der Bereich um die Container beschädigt und verunreinigt worden wäre.

Aus Sicht des LfDI RLP könne der Eindruck entstehen, dass die Landesdatenschutzbehörde den Einsatz der Videokameras genehmigt hätte. Dies sei gerade nicht der Fall. Die Datenschutzbehörde eröffnete gegen die Gemeinde nun ein förmliches Verfahren, um mögliche Datenschutzverstöße zu untersuchen. Der Datenschutzbeauftragte des Landes Rheinland-Pfalz stellte ferner klar, dass die Videoüberwachung von Glascontainern und anderen Müllablagerungsstätten durch Kommunen grundsätzlich nicht zulässig sei.

Wichtige Orientierungshilfen

Außerdem äußerte sich der Datenschutzbeauftragte auch klarstellend zur, im Zeitungsartikel zitierten „Orientierungshilfe für die Videoüberwachung in Kommunen“. Demnach sei die Datenschutzkonformität der Videoüberwachung immer eine Einzelfallentscheidung.

Für Nicht-Öffentliche Stellen hatte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) 2020 eine Orientierungshilfe zur Videoüberwachung veröffentlicht. In dieser behandelte die DSK alle für eine Rechtmäßigkeit der Videoüberwachung einzuhaltenden Voraussetzungen. Dabei ist zu beachten, dass aus Sicht der DSK die Videoüberwachung regelmäßig ausschließlich auf der Grundlage eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erfolgen könne. Wolle ein Verantwortlicher beispielsweise ein Gebäude überwachen, müsse er Tatsachen nachweisen können, aus denen sich eine konkrete Gefahrenlage ergeben würden. Dann könne die Kameraüberwachung ein adäquates Mittel zur Prävention und Repression vor dem Eintritt eines Schadens am Gebäude sein. Außerdem müsse jeder Verantwortliche im Rahmen der Kameraüberwachung die nach Art. 12 ff. DSGVO  bestehenden Informationspflichten beachten. Hierfür könne man ein Hinweisschild verwenden, welches aber nicht alle nach Art. 13 DSGVO erforderlichen Informationen beinhalten müsse. Stattdessen könnten auf einem Informationsblatt die vollständigen Informationen bereitgestellt werden.

Der Blick in die Orientierungshilfe kann sich lohnen, um die Kameraüberwachung, wenn sie notwendig ist, rechtssicher zu gestalten und um alle Anforderungen an die Datenschutzkonformität einzuhalten.

Ausgespäht über den Katzenfutterautomaten

24. November 2022

Die Polizei Gelsenkirchen gab Anfang dieser Woche über eine Pressemittelung bekannt, dass eine 23-Jährige Frau über die Kamera ihres Katzenfutterautomaten ausgespäht worden sei. Die Frau habe daraufhin Strafanzeigen wegen Verletzung der Vertraulichkeit des Wortes nach §201 StGB gestellt.

Die Hintergründe

Samstag kurz nach Mitternacht habe die Frau die Polizei gerufen. Eine unbekannte Person habe auf „Instagram” Ton- und Videoaufnahmen aus ihrer Wohnung veröffentlicht. Diese Aufnahmen stammen von dem smarten Katzenfutterautomaten, der sich in der Wohnung der Frau befinde.

Der Automat sei mit dem heimischen WLAN verbunden gewesen. Tatsächlich kann auf diese Weise der Katzenbesitzer seine Katze über eine App mit Futter versorgen, wenn er nicht zu Hause ist. Die App ermöglicht es, der Katze über den Futterspender ihre Nahrung zur Verfügung zu stellen. Außerdem kann der Besitzer seine Katze beobachten.

In diesem Fall sei die Kamerafunktion allerdings missbräuchlich verwendet worden, sodass der Täter sogar einen Teil der aufgenommenen Bilder im Online-Netzwerk Instagram veröffentlicht habe. Um einen möglichen Missbrauch vorzubeugen, empfahl die Polizei Gelsenkirchen den WLAN-Zugang vor der Nutzung durch fremde Personen zu schützen. Zusätzlich sollten Wohnungs- und Hausbesitzer ihre Geräte, die Ton- und Bildaufnahmen anfertigten können, nicht innerhalb des Sicht- und Hörbereiches aufstellen.

Kategorien: Allgemein · Videoüberwachung
Schlagwörter: , ,

Datenschutzbehörden warnen vor WM-Apps Hayya und Ehteraz

17. November 2022

Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) rät Besucherinnen und Besuchern der Fußball-Weltmeisterschaft (WM) 2022 in Katar zur Verwendung eines separaten Mobiltelefons für die Reise. Hintergrund der Empfehlung ist, dass die Fußball-Fans die Apps „Hayya“ und „Ehteraz“ installieren müssen, welche der BfDI als datenschutztechnisch bedenklich einstuft.

Die WM-Apps Hayya und Ehteraz

„Hayya“ ist die offizielle WM-App, mit der die sogenannte „Hayya-Card“ verwaltet wird, die für Einreise und Zutritt zu den Fußballstadien sowie die Nutzung des öffentlichen Nahverkehrs erforderlich ist. „Ehteraz“ wird zur Corona-Kontaktverfolgung eingesetzt und muss von allen Reisenden ab 18 Jahren installiert werden. Allerdings wird „Ehteraz“ nur für den Besuch von Gesundheitseinrichtungen benötigt. Beide Apps können in den gängigen App-Stores heruntergeladen werden.

Ergebnisse der Analyse

Bei der ersten Analyse der Apps hat der BfDI festgestellt, dass „die Datenverarbeitungen beider Apps wahrscheinlich deutlich weiter gehen, als es die Beschreibungen der Datenschutzhinweise und Verarbeitungszwecke in den App-Stores angeben.“ Eine der Apps erhebe Daten zu Telefonaten, welche in Deutschland als sensible Telekommunikationsverbindungsdaten unter das Fernmeldegeheimnis fielen. Die andere App könne aktiv den Schlafmodus des Geräts verhindern. Zudem liege nahe, dass die Daten nicht nur lokal gespeichert, sondern auch an einen zentralen Server übermittelt würden. Aus diesen Gründen sollten Besucherinnen und Besucher der WM laut BfDI ein separates Gerät zur Installation der Apps verwenden, auf dem keine personenbezogenen Daten gespeichert seien, und nach Rückkehr das Betriebssystem und sämtliche Inhalte darauf vollständig löschen.

Bedenken anderer Datenschutzbehörden

Die Einschätzung des BfDI deckt sich mit der Warnung der französischen und der norwegischen Datenschutzbehörden CNIL und Datatilsynet. Auch diese empfehlen die Nutzung eines separaten Geräts für die Apps. Die norwegische Datenschutzbehörde Datatilsynet hält den umfangreichen Zugriff der Apps für alarmierend und gab Empfehlungen (auf Norwegisch) dahingehend ab, was Besucherinnen und Besucher tun können, die keinen Zugriff auf ein Zweitgerät haben oder ein solches nicht nutzen möchten. Demnach könnten die eigenen Daten vor Einreise gesichert und anschließend auf dem Mobiltelefon gelöscht werden, sodass es in Katar nur für die beiden Apps verwendet würde. Nach Rückkehr könnte das Gerät dann zurückgesetzt und die gesicherten Daten wiederhergestellt werden.

Nicht das einzige Datenschutzthema bei der WM in Katar

Die verpflichtende Installation dieser Apps ist nicht das einzige Problem, das sich bei der WM in Katar im Bereich des Datenschutzes stellt. Laut Auswärtigem Amt nutzen die Behörden in Katar „intensiv digitale Technologien.“ Es würden unter anderem flächendeckend Videokameras im öffentlichen Raum eingesetzt und bei jeder Ein- und Ausreise fände eine biometrische Erfassung mittels Gesichtsscanner und Bildabgleich statt.

 

Offener Brief an die Bundesregierung mit Kritik an der “Artificial Intelligence”- Verordnung

10. November 2022

Unter Federführung von „Algorithm Watch“ haben insgesamt 24 zivilrechtliche Organisationen, darunter „Amnesty International“ und „Reporter ohne Grenzen“ einen Brief an die Bundesregierung veröffentlich. Inhalt des offenen Briefes ist die Forderung, dass sich die Regierung bei den Verhandlungen im europäischen Rat zur „Artificial Intelligence“-Verordnung für ein striktes Verbot der biometrischen Überwachung einsetzen solle.

Der Verordnungsentwurf zu künstlicher Intelligenz

Hintergrund der Artificial Intelligence Verordnung ist die Frage, wie die Europäische Union (EU) einen sicheren Rechtsrahmen für den Umgang mit künstlicher Intelligenz schaffen kann. Hiermit befasst sich die europäische Kommission bereits seit 2018. Im April 2021 hatte diese einen Verordnungsentwurf vorgelegt.

In ihrem offenen Brief stellten die unterzeichnenden Organisationen fest, dass nach Art. 5 Abs. 1 lit. d des Verordnungsentwurfes der Einsatz von biometrischer Überwachung grundsätzlich verboten sei. Allerdings sehe der Artikel eine Vielzahl an Ausnahmen vor, nach denen die Mitgliedstaaten Technologien zur Identifikation von Personen anhand ihrer biometrischer Daten in öffentlichen Räumen einsetzten können.

Kritik an der Verordnung

Die Möglichkeit sog. „biometrischer Echtzeit-Fernidentifizierungssysteme“ einsetzen zu können, kritisierten nun Algorithm Watch und die weiteren unterzeichnenden Organisationen in ihrem offenen Brief.

Dabei erinnerten die unterzeichnenden Organisationen an den Koalitionsvertrag der Bundesregierung. Laut Algorithm Watch und den weiteren Organisationen habe die Bundesregierung im Koalitionsvertrag beabsichtigt, dass „(…) biometrische Identifikation im öffentlichen Raum durch eine EU-weite Gesetzgebung ausgeschlossen werden muss.“

Diesbezüglich stellten die Organisationen fest, dass die Verordnung in ihrer derzeitigen Fassung zu einem möglichen Verbot der biometrischen Identifikation beitragen könne. Vor allem Art. 5 Abs. 1 lit. d des Verordnungsentwurfes interpretieren die Organisationen als ein sinnvolles Instrument für ein solches künftiges Verbot.

Jedoch weise der Verordnungsentwurf im Hinblick auf ein Verbot biometrischer Identifikation noch Lücken auf. Die Organisationen kritisierten, dass sich Art. 5 Abs. 1 lit. d des Verordnungsentwurfs nur auf „Echtzeit“ Systeme zur biometrischen Identifikation beziehe. Außerdem sei das Verbot zum Einsatz biometrischer Überwachung lediglich auf Strafverfolgungsbehörden beschränkt. Demnach sei es möglich, dass andere öffentliche oder private Stellen die Überwachungssysteme einsetzten. Überdies, so die Organisationen, weichen die Ausnahmen des Art. 5 des Verordnungsentwurfes das Verbot auf.

Zudem können Mitgliedstaaten sich auf die „nationale Sicherheit“ berufen, um den Einsatz künstlicher Intelligenz zu rechtfertigen. Folglich sei es möglich, dass aufgrund dieser Rechtfertigung Überwachungssysteme eingesetzt werden.

Fazit

Die Organisationen forderten in ihrem Brief, dass sich die Bundesregierung für ein Verbot biometrischer Überwachung in weiteren Verhandlungen auf europäischer Ebene einsetze. Es gehe darum, Grundrechtsverletzungen die biometrische Überwachung erzeugen könnten zu verhindern.

Millionenschweres Bußgeld gegen Volkswagen festgesetzt

23. August 2022

In einer Pressemitteilung vom 26.07.2022 teilte das Land Niedersachsen mit, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen gegen die Volkswagen Aktiengesellschaft aufgrund mehrerer Datenschutzverstöße eine Geldbuße nach Art. 83 DSGVO in Höhe von 1,1 Millionen Euro festgesetzt hat.

Die Datenschutzverstöße

Grund für die Verhängung des Bußgeldes sind gleich mehrere Datenschutzverstöße im Zusammenhang mit Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. Im Jahr 2019 wurde durch die österreichische Polizei ein Erprobungsfahrzeug des Unternehmens im Rahmen einer Verkehrskontrolle angehalten. Den Beamten waren ungewöhnliche Anbauten am Fahrzeug aufgefallen. Diese stellten sich als Kameras heraus, welche unter anderem zur Fehleranalyse das Verkehrsgeschehen um das Fahrzeug herum aufzeichneten. Auf diese Weise wurde das Fahrzeug zum Testen und Trainieren des Fahrassistenzsystems eingesetzt. Am Fahrzeug fehlte jedoch jegliche Kenntlichmachung, wie zum Beispiel Magnetschilder mit Kamerasymbol und weiteren Informationen für die anderen Verkehrsteilnehmer. Somit wurden die datenschutzrechtlich betroffenen Verkehrsteilnehmer nicht über die Aufzeichnung und damit einhergehende Datenverarbeitung informiert, wie es der Art. 13 DSGVO vorschreibt. Des weiteren wurde festgestellt, dass Volkswagen mit dem Unternehmen, das die Fahrten durchführte, keinen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen hatte. Ebenso war vorab keine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt worden. Diese war vor Beginn der Fahrt nötig, um mögliche Risiken der Datenverarbeitung und deren Eindämmung bewerten zu können. Schließlich fehlte auch eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten von Volkswagen, was einen Verstoß gegen die Dokumentationspflicht nach Art. 30 DSGVO darstellte.

Volkswagen kooperiert

Volkswagen hatte die Fehler eingesehen und umfassend mit der LfD Niedersachsen kooperiert. Die Mängel wurden unverzüglich abgestellt und behoben. Die vier Datenschutzverstöße weisen jeweils zwar einen eher niedrigen Schweregrad auf, mussten dennoch geahndet werden und sind somit Gegenstand eines Bußgeldbescheides geworden. Diesen hatte Volkswagen ohne Beanstandung akzeptiert und das Verfahren durch Zahlung von 1,1 Millionen Euro beendet. Die eigentlichen Forschungsfahrten hatte die LfD Niedersachsen Barbara Thiel nicht zu beanstanden – vor allem vor dem Hintergrund, dass ein Fahrassistenzsystem zur Verhinderung von Verkehrsunfällen erprobt und somit die Sicherheit im Straßenverkehr optimiert werden sollte.

Anhand dieses Falls kann man erneut feststellen, dass auch nur kleine Fehler und Verstöße gegen die DSGVO zu enormen Bußgeldern führen können. Gerade für große Unternehmen ist es daher wichtig, auf eine datenschutzkonforme Umsetzung im Betrieb zu achten.

Risiken und Nutzen von biometrischen Daten – Teil 2

11. August 2022

In Teil 2 unseres Beitrages über biometrische Daten beschäftigen wir uns damit, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. Um ein grundsätzliches Verständnis für biometrische Daten zu erhalten, verweisen wir auf Teil 1 dieses Beitrages.

Wo & wann werden biometrische Daten verwendet?

Biometrische Daten sind im Alltag vielfältig zu finden. Teilweise werden biometrische Daten auf amtlichen Ausweisen gespeichert, so muss der deutsche Personalausweis z.B. ein biometrisches Lichtbild und seit letztem Jahr auch Fingerabdrücke enthalten.

Auch kann man seinen Fingerabdruck oder seine Gesichtsgeometrie in seinem Smartphone speichern und dies zur Entsperrung nutzen.

Wie funktionieren Gesichtserkennungssoftwares?

Es gibt unterschiedliche Arten der Gesichtserkennung, die sich aber im Wesentlichen alle ähnlich sind.

Dabei lokalisiert die Kamera ein Gesicht. Die Software liest sodann das Gesicht und berechnet seine charakteristischen Eigenschaften, also seine Geometrie. Dafür herangezogen werden vor allem solche Merkmale des Gesichts, die sich aufgrund der Mimik nicht ständig verändern, z.B. die oberen Kanten der Augenhöhlen, die Gebiete um die Wangenknochen und die Seitenpartien des Mundes. Diese Informationen werden in Form eines Merkmalsdatensatzes gespeichert. Dieser Merkmaldatensatz kann dann in Datenbanken abgeglichen werden, sodass mehrere Bilder von einer Person dieser alle zugeordnet werden können.

Eines der bekanntesten Unternehmen, das Gesichtserkennungssoftware nutzt ist Clearview AI. Das US-amerikanische Unternehmen sammelt öffentlich zugängliche Bilder von Menschen, z.B. in sozialen Netzwerken oder in Videos. Mittlerweile hat das Unternehmen eine Datenbank von 10 Milliarden Bildern. Kunden können ein Foto von einem Gesicht machen und hochladen. Dieses Foto wird dann mit den Datenbanken abgeglichen.

Wofür werden sie genutzt?

Gesichtserkennungssoftwares können vielfältig genutzt werden. So können sie aus Sicherheitsgründen eingesetzt werden oder um vermisste Personen zu identifizieren. Ein aktuelles Beispiel dafür ist, dass die Ukraine offenbar Clearview AI nutzte, um im Krieg gefallene Soldaten zu identifizieren. Auch Strafverfolgungsbehörden in den USA nutzen Clearview.

Welche Kritik begegnet ihnen?

In Europa begegnet Clearview AI enorme Kritik von Datenschutzbehörden, die Rekordstrafen verhängen. So haben allein dieses Jahr die italienische und die griechische Datenschutzbehörde jeweils ein Bußgeld von 20 Mio. Dollar gegen das Unternehmen verhängt. Außerdem haben u.a. die französische Datenschutzbehörde Clerview AI aufgefordert, die Daten ihrer Bürger nicht länger zu sammeln.

Die Befürchtung bei solchen Gesichtserkennungssoftwares ist, dass eine illegale Massenüberwachung entsteht. Auch findet so ein immenser Eingriff in der Privatsphäre der Betroffenen statt. Dabei ist das Missbrauchspotential groß, potenzielle Straftäter können ihre Opfer auskundschaften. Vor allem Straftaten im Bereich des Stalkings können so vereinfacht werden. Aber auch in autoritären Regimen können solche Softwares eingesetzt werden, um bspw. Regimekritiker auf Demonstrationen zu identifizieren.

Dem Erfassen von biometrischen Daten kann man im Alltag nicht aus dem Weg gehen. Es ist aber auf jeden Fall sinnvoll, vernünftig über biometrische Daten informiert zu sein, um sie bestmöglich schützen zu können.

Risiken und Nutzen von biometrischen Daten – Teil 1 

5. August 2022

Die USA plant, ab dem Jahr 2027 ihre Visa-Bedingungen zu ändern. Sie möchte mit anderen Ländern eine „Partnerschaft zur Verbesserung des Grenzschutzes“ („Enhanced Border Security Partnership“, EBSP) abschließen. Im Rahmen dessen sollen u.a. biometrische Daten zwischen den Ländern ausgetauscht werden, um Einreisende identifizieren zu können. Dies ergibt sich aus der schriftlichen Anfrage eines Abgeordneten. 

Ob es dazu kommt, gilt abzuwarten, denn die Verwendung biometrischer Daten ist sehr umstritten. Da der Begriff der „biometrischen Daten“ oft gar nicht richtig eingeordnet werden kann, werden wir in einem zweiteiligen Beitrag Fragen dazu beantworten.  

In diesem ersten Teil möchten wir Ihnen ein grundsätzliches Verständnis für biometrische Daten vermitteln.  

Was sind biometrische Daten? 

Die europäische Datenschutzgrundverordnung (DSGVO) definiert biometrische Daten in Art. 4 Nr. 14 als: mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten;“ 

Biometrische Daten sind also biologische bzw. körperliche Merkmale, die so eindeutig sind, dass eine Person durch diese identifiziert werden kann. 

Beispiele für solche Daten sind u.a. Fingerabdrücke, Gesichtsgeometrie, das Muster der Iris, Stimmerkennung und die eigene DNA. 

Welche Verwendung gibt es für biometrische Daten? 

Biometrische Daten können zur Verifikation oder zur Identifikation einzelner Personen genutzt werden. 

Verifikation / Authentifikation: dabei wird die Identität einer Person bestätigt, also geprüft, ob es sich bei einer Person um diejenige handelt, für die sie sich ausgibt. Ein Beispiel dafür ist das Entsperren des Smartphones über den Fingerabdruck-Sensor des Geräts, bei dem der Fingerabdruck, mit dem im Gerät gespeicherten abgeglichen wird.

Identifikation: dabei wird die Frage geklärt, um welche Person es sich handelt. Die errechneten Daten werden dabei mit im System gespeicherten Merkmalen abgeglichen. Stimmen Merkmale überein, kann die überprüfte Person als eine bestimmte Person identifiziert werden. Dieses Verfahren findet u.a. in der Kriminalistik und Strafverfolgung Anwendung. 

Warum sind sie so schützenswert und welche Risiken gibt es? 

Biometrische Daten sind von der DSGVO in Art. 9 als sensible Daten aufgeführt. Sensible Daten sind solche, bei deren Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen auftreten können. Aus diesem Grund dürfen solche Daten grundsätzlich nicht verarbeitet werden. In Art. 9 DSGVO sind jedoch Ausnahmen definiert, z.B. die ausdrückliche Einwilligung der betroffenen Person. 

Sie sind sensibel, weil die Verarbeitung solcher personenbezogener Daten erheblich in die Privatsphäre der betroffenen Personen eingreift. So können z.B. bestimmte Daten Hinweise auf Erkrankungen geben (bei Diabeteserkrankungen kann die Erkrankung im Augenhintergrund erkennbar sein). Auch bleiben biometrische Daten ihrer Natur nach meist lebenslang bestehen. Sollte ein Passwort an Dritte geraten, kann es geändert werden. Bei biometrischen Daten ist dies nicht möglich, so können bspw. Fingerabdrücke und DNA nicht geändert werden.  

Gleichzeitig können Messfehler nie ganz ausgeschlossen werden. Diese können z.B. bei altersbedingter Veränderung der körperlichen Merkmale oder Verletzungen und Krankheiten auftreten. Dann kann es zu Falschidentifikationen kommen. 

Besonders gefährlich sind biometrische Daten, wenn sie an Dritte gelangen, die den betroffenen Personen schaden wollen, wie z.B. im vorigen Jahr in Afghanistan geschehen. Dort waren den Taliban nach deren Machtübernahme Geräte von Hilfsorganisationen in die Hände gefallen, auf denen biometrische Daten gespeichert waren.

Nächste Woche werden wir uns in Teil 2 intensiv mit der Frage beschäftigen, wo biometrische Daten zum Einsatz kommen und was für ein Problem es mit Gesichtserkennungssoftwares gibt. 

Die LDI NRW veröffentlicht Handreichung zu Online-Prüfungen an Hochschulen

2. August 2022

Seit der Covid-19 Pandemie legen Studierende ihre Prüfungsleistungen vermehrt online ab. Dabei werden personenbezogene Daten der Prüflinge verarbeitet. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) veröffentlichte am 28. Juli 2022 eine Handreichung für eine DSGVO-konforme Durchführung solcher Prüfungen unter videobasierter Aufsicht.

Eine geeignete Rechtsgrundlage

Das Erfassen der Ausweisdaten und die Videoüberwachung der Prüflinge während einer Online-Klausur erfordert eine adäquate Rechtsgrundlage. Laut der LDI könne diese in Art. 6 Absatz 1 lit. c) oder e) DSGVO gefunden werden. Demnach müssten Maßnahmen erforderlich sein, um einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse nachzukommen. Voraussetzung sei eine solche Rechtsgrundlage im materiellen Recht (Art. 6 Absatz 3 DSGVO). Diese sei mit § 64 Abs. 2 Satz 2 Hochschulgesetz NRW (HG NRW) gegeben. Hier ist festgelegt, dass Hochschulen in ihren Prüfungsordnungen entscheiden können, dass Prüfungen im elektronischen Format abgelegt werden. Dafür müssten ausreichende datenschutzrechtliche Regelungen hinsichtlich der Durchführung der Prüfung erlassen worden und die Durchführung auch im Einzelfall angemessen und erforderlich sein.

Bewertung einzelner Aufsichtsmaßnahmen der Hochschulen

Obwohl es immer einer Einzelfall-Überprüfung bedürfe, hat die LDI einige, von Hochschulen häufig zur videobasierten Aufsicht verwendeten Maßnahmen, bewertet. Maßnahmen seien immer mit der Eingriffsintensität ähnlicher Regelungen in Präsenzklausuren zu vergleichen. So sollten Prüflinge, wenn möglich, entscheiden dürfen, ob sie die Online-Prüfung in den Räumlichkeiten der Hochschule oder zu Hause absolvieren. Zudem seien Prüfungsformate ohne Aufsicht zu bevorzugen. Sofern notwendig, sei es jedoch zulässig, Prüflinge durch einen Abgleich von Lichtbildausweis und Gesicht zu authentifizieren. Die Aufzeichnung des Ausweises oder das Einsetzen von automatischen Gesichtserkennungssoftware sei jedoch unzulässig. Prüflingen dürfe die Nutzung von spezifischen Funktionen, die Betrugsversuche begünstigen, untersagt werden. Auch die ständige visuelle und akustische Sichtbarkeit des Gesichts, Oberkörpers und des Arbeitsplatzes könne gefordert werden. Die dauerhafte Aufzeichnung und Speicherung von Bild- und Tondateien sei jedoch unzulässig und könne nur ausnahmsweise durch einen konkreten Verdacht auf einen Täuschungsversuch gerechtfertigt werden. In jedem Fall unzulässig sei der Einsatz von mehreren Kameras in verschiedenen Winkeln oder die Sichtbarkeit der Aufnahmen für die Prüflinge untereinander.

Hinweise zur Verwendung von Videokonferenzanbietern

Die LDI weist darauf hin, dass sie seit den neuen Regelungen des Telekommunikationsgesetztes (TKG) und des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) Videokonferenzdienste als Telekommunikationsdienste einordne und diese somit unter Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stehen. Die Anbieter seien selbst für die Datenverarbeitung im Rahmen ihrer Dienste verantwortlich. Die Hochschulen seien jedoch verpflichtet, solche Anbieter auszuwählen, die ein ausreichendes Datenschutzniveau gewährleisten können. Sofern die Anbieter weitere Dienste anbieten, z.B. zur Dokumenten-Bearbeitung, seien die Hochschulen für die Verarbeitung der Inhaltsdaten verantwortlich. Hier müssten dann geeignete Auftragsverarbeitungsverträge mit den Anbietern abgeschlossen werden.

Die Handreichung der LDI fügt sich in die generelle Diskussion zur Datenschutzkonformität vieler Videokonferenzanbieter ein. Auch der BfDi wies darauf hin, dass die Nutzung solcher Systeme mit Risiken für personenbezogene Daten einhergehe und dass angemessene Schutzmaßnahmen benötigt seien. In einer Untersuchung hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit einige datenschutzrechtliche Mängel bei gängigen Anbietern festgestellt.

Verbraucherzentrale Bundesverband verklagt Tesla wegen Verstoß gegen die DSGVO

20. Juli 2022

Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.

Der Wächter-Modus

Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.

Videoüberwachung unter der DSGVO

Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.

Der Wächter-Modus unter der DSGVO

In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.

AG Pankow: Auskunftsanspruch aus Art. 15 DSGVO kann wegen Unzumutbarkeit verweigert werden

27. Mai 2022

Das AG Pankow hat sich mit Urteil vom 28.03.2022 (AZ 4 C 199/21) zur Unzumutbarkeit des Auskunftsanspruches aus Art. 15 DSGVO geäußert. Art. 15 DSGVO gewährt den Betroffenen einen Anspruch, von dem Verantwortlichen zu erfahren, ob und welche Daten dieser über ihn verarbeitet.

Im vorliegenden Sachverhalt war die Beklagte ein Beförderungsunternehmen, das u.a. S-Bahnen betreibt. In einigen S-Bahnen des Unternehmens findet eine Videoaufzeichnung der Zuginnenräume bei Fahrbetrieb statt. Diese Aufzeichnungen werden für 48 Stunden gespeichert und danach gelöscht.

Der spätere Kläger fuhr im April 2021 mit einer dieser S-Bahnen. Im Anschluss bat er das Beförderungsunternehmen um Herausgabe der ihn betreffenden Videoinformationen und forderte die Beklagte zugleich auf, die ihn betreffenden Daten nicht innerhalb der 48 Stunden zu löschen. Sein Auskunftsanspruch stütze er auf Art. 15 DSGVO. Das Beförderungsunternehmen löschte die Aufzeichnungen aber alle wie gehabt und teilte dies dem Kläger mit. Eine Auskunft wurde gegenüber dem Kläger abgelehnt. Der Kläger sah dies als Datenschutzverstoß an und erhob Klage, mit der er nach Art. 82 DSGVO Schmerzensgeld in Höhe von 350,00 EUR begehrte.

Diese Klage hat das AG Pankow nun abgelehnt. Das Gericht erklärte, der Kläger habe keinerlei Ansprüche auf eine Zahlung von Schmerzensgeld nach Art. 82 Abs. 1 DSGVO. Dies setze einen Verstoß gegen die DSGVO voraus und ein solcher sei hier nicht ersichtlich. Insbesondere habe die Beklagte mit der Verweigerung der Auskunft nicht gegen Art. 15 DSGVO verstoßen. Unabhängig davon, ob der Kläger überhaupt von einer der Kameras erfasst wurde, bestehe hier eine Unzumutbarkeit nach § 275 Abs. 2 BGB bezüglich der Auskunft. Danach kann der Schuldner eine Leistung verweigern, wenn sie einen solchen Aufwand erfordert, der unter Beachtung des Schuldverhältnisses und dem Gebot von Treu und Glauben, in einem groben Missverhältnis zu dem Leistungsinteresse des Klägers steht. Ein solch grobes Missverhältnis sah das Gericht als gegeben an. Dies insbesondere deshalb, da der Kläger sich bereits des “ob, wie und was der Datenverarbeitung bewusst” war und er genau Kenntnis davon hatte, “dass und in welchem Umfang personenbezogene Daten” von ihm erhoben werden. Damit sei der Normzweck des Art. 15 DSGVO zu großen Teilen schon erfüllt gewesen. Denn dieser diene u.a. dazu, einen Überblick über verarbeitete personenbezogene Daten zu erhalten, die länger in der Vergangenheit zurückliegen oder bei den Daten zu unterschiedlichen Anlässen verarbeitet wurden. Über Verarbeitungszweck, Dauer der Verarbeitung und sein Beschwerderecht wurde der Kläger aber bereits informiert. Deshalb fasst das Gericht zusammen: “Welches darüber hinausgehende Interesse der Kläger an der konkreten Gestalt der Videoaufzeichnung hat, hat er nicht hinreichend dargelegt und erschließt sich nicht. Denn für die Überprüfung der Rechtmäßigkeit der Videoaufzeichnung als einen wesentlichen Zweck von Art. 15 DSGVO bedarf der Kläger der konkreten Gestalt der Videoaufzeichnung nicht.”.

Berücksichtigt wurde hier auch, dass die Verhinderung der automatischen Löschung und der anschließenden Auskunft für die Beklagte einen erheblichen Aufwand an Zeit, Kosten und Arbeitskraft bedeutet hätte. Dass ein solch hoher Aufwand einem Auskunftsbegehren entgegenstehen kann, ist europarechtlich anerkannt (EuGH, Urteil v. 19.10.2016, C 582/14). Die Beklagte hätte in diesem Fall sogar den Kläger zunächst persönlich auf dem Video identifizieren müssen, da sie keine Software zur Gesichtserkennung hat. Auch das Vorliegen eines Schadens beim Kläger sah das Gericht nicht.