Betroffenenrechte: Unverhältnismäßigkeit beim Auskunftsverlangen

23. Oktober 2018

Bei der Irischen Datenschutzaufsicht sind derzeit Verfahren gegen Facebook und Twitter eingeleitet, welche mehr Aufschluss zur Datensammlung dieser Unternehmen geben könnten. In diesem Zusammenhang schließt sich die Frage an, wann Unternehmen Auskunftsersuchen unter Umständen wegen einem unverhältnismäßigen Aufwand nicht beantworten müssen.

Hintergrund der Verfahren sind Beschwerden eines Forschers des University College in London. Dabei ging es ihm insbesondere um Informationen, die über sein Verhalten im Web außerhalb der großen Plattformen gesammelt werden. Bei Facebook sind das vor allem Daten, die über den sog. Facebook-Pixel erhoben werden, bei Twitter sind es Daten die gespeichert werden, wenn auf Links in Nachrichten geklickt wird, die über den Twitter-eigenen Linkkürzungsdienst t.co eingebunden werden. Aufgrund eines angeblichen unverhältnismäßigen hohen Aufwandes, lehnten beide Unternehmen eine dahingehende Auskunft ab.

Der Grundsatz der Transparenz in der Datenverarbeitung  ist in Art. 15 DSGVO, dem Auskunftsrecht, festgehalten und dient dem effektiven Persönlichkeitsrechtsschutz.

Kann der Verantwortliche die Auskunft mit der Begründung eines unverhältnismäßigen Aufwands verweigern?

Art. 15 DSGVO gibt dem Wortlaut nach darüber keinen Aufschluss.

Gem. § 34 Abs. 1 Nr. 2 BDSG kann der Verantwortliche die Auskunft im Falle eines unverhältnismäßigen Aufwands ablehnen. Jedoch nur, wenn zusätzlich weitere Voraussetzungen erfüllt sind.
Eine Ablehnung allein aus Gründen der Unverhältnismäßigkeit ist danach unzureichend.

Gem. Erwägungsgrund 63 der DSGVO kann der Verantwortliche verlangen, dass die betroffene Person präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht, bevor er ihr Auskunft erteilt. Dies gilt allerdings nur, wenn der Verantwortliche eine große Menge an Informationen über die betroffene Person verarbeitet.
Immerhin ein Unterfall der möglichen Ablehnung.

Nach Art. 11 Abs. 2 DSGVO gilt Artikel 15 DSGVO nicht, wenn der Verantwortliche nachweisen kann, dass er den Betroffenen nicht identifizieren kann.
Dies bezieht sich sowohl auf die Person des Antragstellers selbst, als auch auf die fehlende Zuordnungsmöglichkeit der den Antragsteller betreffenden Daten.

Teilweise wird vertreten, man könne mit einer Analogie zu Art. 14 Abs. 5 lit b DSGVO arbeiten. Dieser besagt, dass auf eine Information des Betroffenen verzichtet werden kann wenn diese einen unverhältnismäßigen Aufwand erfordert. (Härting, Datenschutz-Grundverordnung, Rn. 683/685)

Nach deutschem Recht soll eine derartige Analogie aber nicht notwendig sein, da auch auf den Grundsatz von Treu und Glauben zurückgegriffen werden könne. Dieser besagt u.a., dass die Parteien eines Rechtsverhältnisses Rücksicht auf die Rechte, Rechtsgüter und Interessen des anderen Teils nehmen müssen.
Mit der Stellung des Auskunftsersuchens wird ein solches Rechtsverhältnis zwischen Antragsteller und Verantwortlichem begründet. Demnach könne sich auch der Verantwortliche im Einzelfall auf einen unverhältnismäßig hohen Aufwand berufen. (vgl. Gola, Datenschutzgrundverordnung 2. Auflage Rn. 38)

 

Fazit:

Nur im Ausnahmefall bzw. Einzelfall kann mit guter Begründung ein Auskunftsersuchen aufgrund unverhältnismäßigen Aufwandes verweigert werden.
Dabei wird der vertretbare Aufwand für Unternehmen (z.B. Kosten, Zeit und Arbeitskräfte) mit dem Schutzbedarf des Betroffenen (z.B. Sensibilität der Daten) ansteigen.

Bundespolizei hat laut Aussage des Chaos Computer Clubs Bericht über Gesichtserkennung geschönt

Nach Angaben der Bundespolizei und des Bundesinnenministeriums ist das Pilotprojekt zur Gesichtserkennung am Berliner Bahnhof „Südkreuz“ ein voller Erfolg.

Der Chaos Computer Club (CCC) hat dem widersprochen und die Ergebnisse als „absichtlich geschönigt“ bezeichnet. Das getestete System hätte kein akzeptables Ergebnis gebracht. Die Resultate seien „manipuliert worden um sie nicht ganz so desaströs aussehen zu lassen.“

Die behauptete Erkennungsrate von durchschnittlich 80% ergebe sich nur, wenn „alle drei getesteten Systeme die vorbeilaufenden Menschen erfassen und jeweils softwareseitig auswerten“ ,erläuterte der CCC. Keines der getesteten Systeme habe diese Trefferquote alleine erreicht. Das durchschnittliche Ergebnis des Versuchs für das beste Testsystem habe eine Erkennungsrate von 68, 5 Prozent erreicht. Das schlechteste der drei Anbieter habe sogar nur eine Trefferquote von 18,9 Prozent erreicht.

Solche Erkennungsraten seien für den geplanten Abgleich mit polizeilichen Datenbanken „völlig unbrauchbar.“ Der CCC wirft der Bundespolizei vor, dass wissenschaftliche Standards missachtet worden seien und fordert das „unnütze und  teure Sicherheitstheater unverzüglich einzustellen.“

 

Kategorien: Allgemein

Hitzige Debatte um Klingelschilder ohne Namen

19. Oktober 2018

Nach der Meldung des „Wiener Wohnens“ entbrannte eine hitzige Debatte um die datenschutzrechtliche Zulässigkeit von Klingelschildern mit Namen an Wohnhäusern. Bezüglich der Rechtslage in Deutschland meldeten sich in den letzten Tagen verschiedene Stellen mit ihrer Einschätzung.

Laut einem Artikel der Bild-Zeitung empfiehlt der Immobilieneigentümerverband Haus & Grund (900.000 Mitglieder) die Namen von den Klingelschildern zu entfernen. Der Wirtschaftswoche erklärte der Sprecher des Verbandes Alexander Wiech, dass der Verband seine Mitglieder vor allem sensibilisieren und warnen wolle, dass es zukünftig notwendig sein könnte Klingelschilder abzunehmen.

Der Thüringer Datenschutzbeauftragte Lutz Hasse hat in einem Interview mit MDR AKTUELL betont, dass Namen auf Klingelschildern personenbezogene Daten seien und deshalb Klingelschilder nicht ohne Zustimmung der Betroffenen mit einem Namen versehen werden dürfen. Wir seien bis jetzt nur davon ausgegangen, dass in dieser Hinsicht Einigkeit zwischen Vermietern und Mietern bestünde.

Das Bayrische Landesamt für Datenschutzaufsicht hat eine Mitteilung veröffentlicht, in der es bereits die Anwendbarkeit der DSGVO bezweifelt und falls eine Verarbeitung doch zu bejahen wäre, diese von Art. 6 Abs. 1 lit. f DSGVO gedeckt sieht. Der Präsident Thomas Kranig äußerte sich erstaunt und betrübt, dass die „Datenschutz-Grundverordnung als Begründung  für  etwas  herangezogen wird, was sie gar nicht fordert und sie damit als „weltfremdes europäisches Recht“ diskreditiert wird“.

Der Österreichische Rundfunk berichtete sogar davon, dass die EU Kommission sich zu Wort gemeldet hatte. Ein Sprecher der Behörde soll die Medienberichte dementiert haben. Demnach regele die DSGVO diesen Bereich nicht, so dass die Namen an Klingelschildern dran bleiben dürfen.

Häufig gestellte Fragen-Kirchliches Datenschutzgesetz KDG (Teil 3): Was sind Diözesandatenschutzbeauftragte?

17. Oktober 2018

Nach § 42 Abs. 1 des Gesetzes über den kirchlichen Datenschutz (KDG) bestellt jeder Bischof für den Bereich seines Bistums einen Diözesandatenschutzbeauftragten. Er soll zuverlässig und sachkundig sein, die Befähigung zum Richteramt haben und der Katholischen Kirche angehören. Er ist auf die gewissenhafte Erfüllung seiner Pflichten und auf die Einhaltung kirchlichen Rechts sowie das für die Kirche geltende staatliche Recht zu verpflichten.

Seine grundlegende Aufgabe besteht nach § 44 Abs. 1 KDG darin, über die Einhaltung der Vorschriften dieses Gesetzes zu wachen. Er ist also für den kirchlichen Bereich die zuständige Aufsichtsbehörde. Er kann alle Maßnahmen nach § 47 ff. KDG bis hin zur Festsetzung von Geldbußen nach § 51 KDG ergreifen, um das Recht auf informationelle Selbstbestimmung betroffener Menschen zu schützen. Er ist von den kontrollierten Einrichtungen zu unterstützen. Seinen Anweisungen ist Folge zu leisten (§ 44 Abs. 2 lit. a) KDG).

Damit er dieser Aufgabe gerecht werden kann, gewährt ihm das Gesetz vollständige Unabhängigkeit. Er kann nicht aus seinem Amt entlassen werden, ist an Weisungen nicht gebunden und übt seine Tätigkeit in sachlicher und organisatorischer Unabhängigkeit aus.

Kategorien: Allgemein
Schlagwörter: ,

Klingelschilder ohne Namen in Wien

15. Oktober 2018

Nachdem ein Mieter einer Gemeindewohnung den mangelnden Datenschutz beklagte, will die kommunale Hausverwaltung der rund 2000 Wohnanlagen des „Wiener Wohnens“ bis zum Ende des Jahres 220.000 Klingelschilder entfernen.

Der Mieter hatte sich bei der Hausverwaltung beschwert, dass sein Name auf dem Klingelschild einen Eingriff in seine Privatsphäre darstelle. Daraufhin hatte sich die Hausverwaltung erkundigt und von der für Datenschutzangelegenheiten der Stadt Wien zuständigen Magistratsabteilung erfahren, dass die Verbindung von Nachname und Wohnungsnummer einen Verstoß gegen die DSGVO darstellt.

In Zukunft dürfe nur noch die Wohnungsnummer auf dem Klingelschild stehen. Es sei denn, dass ein Mieter seine Einwilligung erteilt hat. Man könnte diese Einwilligung entweder zuvor durch einen Fragebogen mit Opt-In einholen oder konkludent dadurch, dass die Mieter ihre Klingelschilder selber beschriften.

Österreichische Datenschützer sind der Meinung, dass diese Regelungen auch für private Vermieter und Vermieterinnen gelten.

Veröffentlichung von Videos auf Facebook-Fanpages

12. Oktober 2018

Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.

Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.

Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.

Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.

Besonderes elektronisches Postfach läuft wieder

11. Oktober 2018

Das besondere elektronische Anwaltspostfach (beA) wurde Anfang diesen Jahres in Betrieb genommen und sollte den elektronischen Schriftverkehr zwischen Rechtsanwälten und Gerichten abwickeln, allerdings wurde es bereits kurz nach der Inbetriebnahme wegen eklatanter Sicherheitsprobleme  wieder offline genommen. Nachdem die Probleme, zumindest teilweise beseitigt wurden, ging das beA am 03.September 2018 wieder online.

Abgesehen von einigen kleineren Startschwierigkeiten verlief die Wiederinbetriebnahme aus technischer Sicht reibungslos. Seit der Freischaltung läuft das System für alle Anwender stabil.

Bereits vor dem Neustart im September wurde allerdings eine Klage beim Berliner Anwaltsgerichtshof erhoben, die sich gegen die Bundesrechtsanwaltskammer (BRAK) richtet. Mit der Klage wird gerügt, dass die Sicherheitsmängel einem Neustart im Wege stehen. Die klagenden Rechtsanwälte, die über die Gesellschaft für Freiheitsrechte (GFF) klagen und die Klage  mit einer Crowdfunding-Kampagne finanzieren, wollen erreichen, dass das beA mit Ende-zu-Ende-Verschlüsselung (E2EE) nachgerüstet wird.

Aufgrund der Tatsache, dass nur der Hauptsache-Rechtsschutz erhoben wurde und kein einstweiliger Rechtsschutz beantragt wurde, konnte der Neustart nicht verhindert werden. Es bleibt abzuwarten, wie das Gericht entscheidet.

Für Rechtsanwälte besteht gem. § 31 a Abs. 6 BRAO eine passive Nutzungspflicht.

 

 

Videoüberwachung in Chemnitz

Die Chemnitzer Innenstadt wird seit Anfang Oktober mit mehreren Kameras videoüberwacht. Der sächsische Landesdatenschutzbeauftragte drohte mit der Abschaltung der Kameras. Es fehlten nämlich noch bestimmte Dokumente, die sich beispielsweise mit folgenden Fragen beschäftigen: Welche Bereiche filmen die Kameras? Warum ist dies nötig? Und wer hat Zugriff auf die Aufnahmen? Solange diese Fragen nicht beantwortet sind, dürfen die Kameras rein formell betrachtet nicht in Betrieb genommen werden. Ordnungsbürgermeister Miko Runkel verwunderten diese Forderungen, da im Sommer ein Entwurf der Stadtverwaltung dem Datenschutzbeauftragten vorgelegt wurde und die von ihm gegebenen Hinweise abgearbeitet wurden. Nach eigener Aussage habe sich die Stadt an die Datenschutzgrundverordnung gehalten, sodass ein weiteres Dokument nicht erforderlich sei, sondern lediglich der Rat des Landesdatenschutzbeauftragten eingeholt werden müsse.

Seit dem 1. Oktober zeichnen 31 Kameras das Geschehen von belebten Orten in Chemnitz auf. Dazu gehören beispielsweise Zentralhaltestelle und das Areal um den Stadthallenpark. Laut Stadtverwaltung werden die Aufzeichnungen 10 Tage gespeichert. Es wird nur anlassbezogen ausgewertet. Die Polizei hat bisher kein Zugriff darauf, dies ändert sich jedoch sobald die Erlaubnis vorliegt.

Gefährdung von Milliarden WhatsApp-Nutzern durch kritische Sicherheitslücke

10. Oktober 2018

Ein Team von Elite-Hackern (Googles Project Zero) hat eine Sicherheitslücke in WhatsApp entdeckt, welche es ermöglicht, ein Smartphone mit einem einzigen Video-Call zu kapern.

Der Fehler findet sich in der Speicherverwaltung des Video-Conferencings. Durch ein speziell präpariertes RTP-Paket kann die Speicherung derart durcheinander gebracht werden, dass der Absender einen eigenen Code einschleusen und damit das Smartphone kapern kann.

Das fällige Update, welches diese Sicherheitslücke aufheben soll, gibt es für die iOS-Version erst seit einer Woche. Das Android-Update gibt es bereits seit dem 28.September 2018. Damit böswillige Hacker keine Spionage-Software auf dem Gerät installieren können, sollten alle WhatsApp-Nutzer jetzt überprüfen, ob sie die jeweils aktuelle Version installiert haben und die aus den offiziellen Quellen verfügbaren Updates installieren. Für das iPhone ist dies aktuell WhatsApp 2.18.93 und bei der Android-Version 2.18.302 (beziehungsweise 2.18.306 im Google PlayStore).

Ermittlungen gegen Google Plus – Datenpanne verschwiegen?

9. Oktober 2018

Nach Facebook räumt auch Google eine Datenpanne ein. Der Hamburger Datenschutzbeauftragte Johannes Caspar hat die Ermittlung gegen das Online-Netzwerk Google Plus aufgenommen.

Durch eine Software-Panne bei Google Plus sollen Basis-Profilinformationen wie Name, E-Mail-Adresse, Geschlecht oder das Alter der Nutzer jahrelang für die App-Entwickler ohne Erlaubnis abrufbar gewesen sein. Diese Datenpanne sei im März 2018 bei Google entdeckt worden, welche sie für ein halbes Jahr für sich behielt. Dies räumte Google am Montag ein. Andere Daten seien jedoch nicht betroffen. Der Fehler sei unmittelbar durch Google behoben worden.

Als Reaktion wird die 2011 als Konkurrenz zu Facebook gestartete Plattform für die Verbraucher dichtgemacht. Darüber hinaus sollen auch die Möglichkeiten für App-Entwickler, auf Nutzerdaten auf Smartphones mit dem Google-System Android zuzugreifen, zukünftig eingeschränkt werden,

Das „Wall Street Journal“ berichtete unter Berufung auf interne Unterlagen Googles, dass dieses Datenleck bereits seit 2015 bestand. Google habe zwar keine Hinweise auf einen Datenmissbrauch, jedoch auch nicht genug Informationen, um einen solchen vollständig auszuschließen. Aus Sorge vor Vergleichen mit Facebook habe sich der Konzern im März dazu entschieden, die Öffentlichkeit nicht über die Entdeckung zu informieren.

Google selbst hat bisher keine Angaben dazu gemacht, wie lange diese Lücke tatsächlich bestand. Es könnten potentiell Profile von bis zu 500 000 Konten bei Google Plus betroffen sein. Genauere Angaben könne der Konzern nicht machen, weil Nutzungslogs nur zwei Wochen lang gespeichert würden.

1 2 3 4 5 174