Abgabe von Fingerabdrücken für neue Personalausweise verpflichtend

4. August 2021

Wer ab Montag, den 2. August einen neuen Personalausweis beantragt, muss dafür seine Fingerabdrücke scannen lassen. Zukünftig wird ein Scan des linken und des rechten Zeigefingers auf dem RFID-Chip des Ausweises gespeichert.

Bisher war das Speichern von Fingerabdrücken im Personalausweis freiwillig. Verpflichtend gespeichert werden sie schon länger bei Reisepässen. Mit dem Gesetz zur Stärkung der Sicherheit im Pass-, Ausweis- und ausländerrechtlichen Dokumentenwesen wurde die Pflicht nun auf Personalausweise ausgeweitet. Dabei setzt das Gesetz eine EU-Verordnung aus dem Jahr 2019 um. Die gespeicherten Fingerabdrücke sollen von den Sicherheitsbehörden der EU-Mitgliedsstaaten ausgelesen werden können, wenn nach Lichtbildabgleich Zweifel an der Identität der Person bestehen bleiben. In Deutschland dürfen außerdem die Personalausweis-, Pass- und Meldebehörden, die Polizeivollzugsbehörden, die Zollverwaltung und die Steuerfahndungsstellen die Abdrücke auf dem Personalausweis auslesen.

Kritik an diesen neuen Regelungen kommt u.a. von Netzwerk Datenschutzexpertise, einem Zusammenschluss rund um den ehemaligen Datenschutzbeauftragten von Schleswig-Holstein, Dr. Thilo Weichert. In ihrem Gutachten bemängeln sie, dass Datenschutzgrundsätze wie Transparenz (Verarbeitung der Daten für betroffene Person nachvollziehbar), Zweckbindung (Erhebung und Verarbeitung nur für festgelegte und legitime Zwecke) und Datenminimierung (Verarbeitung wird auf das für Zweck notwendige Maß beschränkt) missachtet würden. Das Speichern von Abdrücken der Zeigefinger könne als unverhältnismäßig bezeichnet werden, weil mildere Maßnahmen bestünden. So könnte nur ein Fingerabdruck statt zwei gespeichert werden. Auch könnten Finger, die im Alltag weniger Spuren hinterlassen und somit weniger missbrauchsanfällig sind als die Zeigefinger, benutzt werden, z.B. der Ringfinger. Zur Identifikation sei dieser genauso gut geeignet. Der Gedanke dahinter ist, dass Hackerangriffe auf die gespeicherten Fingerabdrücke befürchtet werden. So könnten Kriminelle sich Abdrücke anderer Menschen zunutze machen. Dabei sei das Missbrauchsrisiko sehr hoch, da Fingerabdrücke nun einmal – anders als Passwörter- nicht geändert werden könnten und die Betroffenen von dem Hackerangriff ein Leben lang betroffen sein könnten.

Das Bundesministerium des Innern (BMI) versichert hingegen, dass die Fingerabdrücke nach Aushändigung des Ausweises bei Hersteller und Behörde gelöscht werden. Eine Speicherung in einer zentralen Datenbank fände nicht statt. Die Daten im Chip selbst würden verschlüsselt.

Die alten Personalausweise ohne Fingerabdrücke behalten ihre Gültigkeit bis sie regulär abgelaufen sind. Fingerabdrücke müssen erst bei der Beantragung des neuen Ausweises abgegeben werden. Wie genau die Erfassung erfolgt, kann bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachgelesen werden.

Zoom will Sammelklage mit Millionenzahlung beilegen

In mehreren Klagen sieht sich der Videokonferenzanbieter Zoom Vorwürfen ausgesetzt, einerseits gegen Datenschutzvorgaben zu verstoßen und andererseits nicht genug gegen sog. „Zoombombing“ unternommen zu haben. Mit der Zahlung von 85 Millionen Dollar will Zoom diese Sammelklagen jetzt außergerichtlich erledigen. Aus Gerichtsdokumenten geht hervor, dass Zoom kein Fehlverhalten eingesteht. Der Vergleich muss noch von der zuständigen US-Bezirksrichterin angenommen werden.

Der Vorwurf, gegen Datenschutzvorgaben verstoßen zu haben, beruht auf der Weitergabe von personenbezogenen Daten der Nutzer an Facebook, LinkedIn und Google. Unter „Zoombombing“, dem anderen Vorwurf, versteht man das Zuschalten von fremden Personen mit dem Ziel, die Videokonferenz zu stören. Nutzer sind hierbei zum Teil schwer beleidigt worden. Um diese Störungen zu vermeiden, hat Zoom bereits im vergangenen Jahr mit Codes das zufällige Zuschalten zu fremden Videokonferenzen erheblich erschwert.

Ursprünglich war Zoom eine Anwendung, die hauptsächlich von Unternehmen genutzt wurde. Im Rahmen der Corona-Pandemie vergrößerte sich der Nutzerkreis stetig, sodass auch Home Office und Home Schooling über Zoom organisiert wurde bzw. wird.

Die neue Autobahn-App des Bundes in der Kritik

Staus, Baustellen, die Suche nach Tankstellen, freien Raststätten und besseren Routen – all das kann Autofahren zur Stresssituation machen, insbesondere aktuell in der Urlaubshochsaison. Die neue Autobahn-App des Bundes will dem abhelfen und bündelt zahlreiche Services, die das Leben von Autofahrern einfacher machen sollen: Nutzer können die gewünschte Route eingeben und erhalten detaillierteste Infos zu den Streckenabschnitten. So lassen sich beispielsweise Live-Bilder von Webcams entlang der eingegebenen Route aufrufen, womit sich Nutzer einen ganz eigenen Eindruck von der Verkehrslage verschaffen können.

Gleichzeitig hat die neue Autobahn-App jedoch schon kurz nach ihrem Launch am 20. Juli mit Kritik hinsichtlich ihrer Datensicherheit zu kämpfen. Im Fokus der Kritik stehen die Möglichkeit auf Live-Webcams frei zuzugreifen, sowie die Speicherung der Routen auf Smartphones mit unsicheren Betriebssystemen. Diese Funktionen eröffnen gravierende Missbrauchsmöglichkeiten, so Hartmut Pohl, Professor für Informationssicherheit in der BR.

Die Kritik

Auf den Webcam-Standbildern kann jeder Nutzer jedes Auto auf der Route unverpixelt und unverschwärzt erkennen. Das KFZ-Kennzeichen und das Bild von der Person selbst sind personenbezogene Daten im Sinne des Art. 4 Nr. 1 der DSGVO.  Das Risiko sei hoch, dass nicht nur Bürger, sondern auch Kriminelle die Daten benutzen, so Pohl. „Wenn Sie über die Autobahn fahren, müssen Sie ja damit rechnen, dass Sie spätestens nach sieben Minuten die nächste Kamera erwischen oder die Kamera das Autokennzeichen erfasst.“ Indes lässt sich das Foto in der Autobahn-App nicht vergrößern oder zoomen, sodass man – zumindest in der App selbst – weder KFZ-Kennzeichen noch Personen identifizieren kann. Auch könnte man gegen die Kritik einwenden, dass Aufnahmen von Webcams längst frei im Internet verfügbar und für jeden abrufbar sind.

Außerdem gibt die App Routendaten an Navigationssysteme weiter und speichert dabei die angefragten Routen. Auch das findet Pohl in Sachen Datenschutz und Sicherheit problematisch. Denn die Routenspeicherung ermögliche, ein detailliertes persönliches Bewegungsprofil des Nutzers zu erstellen, was auch die organisierte Kriminalität von unsicheren Smartphone- Betriebssystemen leichthin auslesen könne.

Die Bewertung

Eine Anfrage zum fehlenden Datenschutz und den Sicherheitsbedenken hat das Bundesverkehrsministerium nach Angaben des ZDF bisher nicht beantwortet. Die weitere Entwicklung bleibt also abzuwarten.

Bußgeld wegen veralteter Website-Software

Die Nutzung einer veralteten Website-Software birgt datenschutzrechtliche Risiken, auf die in dem vorliegenden Fall eindeutig vom Landesbeauftragten für den Datenschutz Niedersachen (LfD) reagiert wurde. 

Weil ein Unternehmen aus Niedersachsen für das Betreiben ihrer Website eine veraltete Software nutzte, die den aktuellen technischen Standards nicht mehr entsprach, wurde gegen das Unternehmen ein Bußgeld in Höhe von 65.000 Euro durch den LfD verhängt. Im 26. Tätigkeitsbericht 2020 des LfD wird auf die zunehmende Komplexität von Verarbeitungsprozessen aufgrund der Digitalisierung in Wirtschaft und Verwaltung hingewiesen. Dabei ist ein deutlicher Anstieg von Meldungen und Beschwerden im Jahr 2020 zu verzeichnen.

Die technischen Standards, die die DSGVO für Verarbeitungsprozesse fordert, sollen einen umfassenden Schutz von personenbezogenen Daten sicherstellen. Diese technischen Standards sind zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen und sollen sich nach dem aktuellen technischen Fortschritt richten.

Grundlage hierfür sind die Vorschriften Art. 25 und Art. 32 der DSGVO. Werden die erforderlichen technischen Standards hiernach nicht beachtet kommt es zu einem Verstoß gegen datenschutzrechtliche Grundsätze.

In dem vorliegenden Fall (S. 97 des Tätigkeitsberichts) wurde eine Softwareanwendung genutzt, die seit spätestens 2014 veraltet ist und von dem Hersteller nicht mehr mit Sicherheitsupdates versorgt und aktualisiert wird. Dies hatte zur Folge, dass die Software Sicherheitslücken aufwies, auf die der Hersteller aber auch hingewiesen hatte. Diese Lücken ermöglichten potentiellen Angreifern den Besitz an den Zugangsdaten aller in der Anwendung registrierten Personen. Des Weiteren war es möglich, dass ganze Datenbanktabellen ausgegeben werden konnten. Auch war die Berechnung der Passwörter durch mögliche Angreifer erleichtert, obwohl diese mit der kryptographischen Hashfunktion MD5 gesichert worden waren.

Weil den erforderlichen technischen Maßnahmen nicht Rechnung getragen wurde, wurde ein Verstoß gegen Art. 32 Absatz 1 der DSGVO festgestellt und das Bußgeld verhängt. Die Implementierung weiterer technischer Maßnahmen, sei für das Unternehmen mit einem verhältnismäßigen Aufwand durch neuere Versionen der Software möglich gewesen.

Telefónica: O2-Shops sollen Kunden beim Datenschutz ausgetrickst haben

30. Juli 2021

Wer einen Mobilfunkvertrag in einem O2-Shop abschließt, dem wird scheinbar eine Einwilligung untergejubelt. Einige Verkäufer und Shop-Inhaber bestätigen nun die Vorwürfe, die jüngst durch Recherchen von Netzpolitik ans Licht kamen. Mehrere Shop-Betreiber sollen ungefragt für die Kunden eingewilligt haben, um Boni zu kassieren. 

Telefónica sammle personenbezogene Daten seiner Kunden, um daraus Nutzungsprofile zu erstellen. Die Daten dienen dem internen Marketing, beispielsweise um den Betroffenen weitere Produkte anzubieten. Kommunikationsinhalte sollen dabei nicht gespeichert werden.

Grundsätzlich gilt: Wer einen Vertrag beim Unternehmen Telefónica, zu dem O2 gehört, abschließt oder verlängert, kann der Datenverarbeitung zustimmen oder sie ablehnen. Laut Bericht, geben jedoch mehrere Betreiber von Telefonicá-Ladengeschäften zu, ihren Kunden Pseudo-Einwilligungen unterzujubeln. „Der Verkäufer setzt am Computer einfach alle Einwilligungshäkchen und dreht dem Kunden dann nur noch das Signpad zur Unterschrift rüber“, erklärt ein anonymer Betreiber eines O2-Partnershops gegenüber Netzpolitik.

Das Unternehmen weise alle Vorwürfe ab und behauptet: „In unseren Betreiberinformationen, Prozessdokumentationen sowie Arbeitsanweisungen weisen wir unsere Vertriebspartner stets auf diese datenschutzrechtlichen Vorgaben hin.“

Wie bei einem Franchise-System werden zahlreiche O2-Geschäfte als Partnershops betrieben. Die Betreiber arbeiten nicht direkt für Telefónica, sondern führen ihre Geschäfte unabhängig. Doch scheinbar fühlen sich einige von ihnen von dem Unternehmen dazu gedrängt, möglichst viele Einwilligungen von ihren Kunden einzuholen. Nur wenn sie eine Quote von mehr als 75 Prozent Einwilligungen erreichen, würden sie von Telefónica einen sogenannten Qualitätsbonus erhalten.

Der Fall hat inzwischen auch den Bundesdatenschutzbeauftragten erreicht. „Wir kennen die Vorwürfe gegen den Mobilfunkanbieter und prüfen den Fall derzeit“, erklärte eine Sprecherin. Zu den Vorwürfen könne man sich aufgrund des laufenden Verfahrens aktuell nicht weiter äußern.

YouTube klagt gegen das Netzwerkdurchsetzungsgesetz

Google Ireland hat im Auftrag der Tochtergesellschaft YouTube beim Verwaltungsgericht Köln Feststellungsklage gegen die jüngsten Änderungen des Netzwerkdurchsetzungsgesetzes (NetzDG) eingereicht. Im Wesentlichen wendet YouTube sich gegen die Verpflichtung, in potentiell strafrechtlich relevanten Fällen, automatisch Nutzerdaten an das Bundeskriminalamt weitergeben zu müssen.

Hintergrund:
Im Jahr 2017 wurde zur besseren Bekämpfung von Hass im Netz das Netzwerkdurchsetzungsgesetz (NetzDG) erlassen. Nunmehr wurde eine erste große Ergänzung vorgenommen, welche zum 01.Februar 2021 Wirkung entfalten soll. Neu eingefügt wird, unter anderem, der § 3a NetzDG; dieser beinhaltet eine Meldepflicht der sozialen Netzwerke. Diese sieht vor, dass der Anbieter eines sozialen Netzwerks in bestimmten Fällen dem Bundeskriminalamt (BKA) Inhalte übermitteln muss. Die Meldepflicht besteht außerdem, wenn konkrete Anhaltspunkte dafür vorliegen, dass rechtswidrige Inhalte mindestens einen der in § 3a Abs.2 Nr. 3 NetzDG genannten Tatbestände (z.B „Verbreiten von Propagandamitteln verfassungswidriger Organisationen“ gemäß § 86 StGB, „Volksverhetzung“ gemäß § 130 StGB oder „Bedrohung“ gemäß § 241 StGB) erfüllen und ferner nicht gerechtfertigt sind.

YouTube kritisiert die gesetzliche Verpflichtung, die besagt, dass die personenbezogenen Daten jener Personen, von denen angenommen wird, dass sie im Internet hasserfüllte Inhalte teilen, an die Strafverfolgungsbehörde weitergegeben werden sollen. Danach wird entschieden, ob ein Strafverfahren eingeleitet wird oder nicht. Dieser eklatante Eingriff in die Rechte der Nutzer steht laut Youtube nicht nur in Konflikt mit geltendem Datenschutzrecht, sondern auch mit der deutschen Verfassung und dem Europäischen Recht. YouTube führt dazu aus, dass Daten unschuldiger Menschen ohne ihr Wissen in einer Datenbank landen könnten.

In einem Blogbeitrag betont YouTube, dass es bereits seit vielen Jahren Auskunftsersuchen nachkomme und mit deutschen Behörden zur Strafverfolgung und Gefahrenabwehr zusammenarbeite. Diverse weitere Änderungen am NetzDG sind bereits nach der Verabschiedung zur Jahresmitte in Kraft getreten.

Kategorien: Allgemein · Online-Datenschutz · Social Media
Schlagwörter: , , ,

Anspruch auf Auskunft und unentgeltiche Kopie der eigenen Prüfungsklausuren

23. Juli 2021

Ein Examensabsolvent hat Anspruch auf zur Verfügung Stellung einer kostenfreien Kopie der eigenen Examensklausuren mitsamt Prüfergutachten. Das hat das Oberverwaltungsgericht Münster (OVG Münster) mit Urteil vom 08.06.2021, 16 A 1582/20 entschieden und folgt damit einer extensiven Auslegung des Auskunftsanspruchs aus Art. 15 Abs. 3 DSGVO.

Das Verfahren

Dem Rechtsstreit vorausgegangen war ein Antrag des Klägers aus dem Jahr 2018 auf kostenlose Übersendung von Kopien seiner angefertigten Examensklausuren. Da das Prüfungsamt dem Examensabsolventen die Kopien seiner Examensklausuren nur gegen Zahlung eines Vorschusses zur Verfügung stellen wollte, zu dessen Zahlung der Kläger unter Berufung auf die Datenschutz-Grundverordnung nicht bereit war, erhob der Kläger Klage vor dem Verwaltungsgericht Gelsenkirchen. Das VG Gelsenkirchen verurteilte das Land NRW dazu, dem Kläger unentgeltlich Kopien seiner Examensklausuren nebst Prüfergutachten zur Verfügung zu stellen.

Die dagegen eingelegte Berufung des Landesjustizprüfungsamts (LJPA) hat das OVG Münster zurückgewiesen und bestätigte damit das Urteil der Vorinstanz.

Zur Begründung führte es aus, dass der Kläger gem. Art. 15 Abs. 3 DSGVO i.V.m. Art. 12 Abs. 5 DSGVO einen Anspruch auf unentgeltliche zur Verfügung Stellung einer Kopie seiner Examensklausuren nebst Prüfergutachten habe.

Der Auskunftsanspruch

Art. 15 DSGVO gewährt betroffenen Personen das Recht von einem Verantwortlichen z.B. einem Unternehmen oder einer Behörde Auskunft über ihre dort gespeicherten personenbezogenen Daten zu verlangen und verpflichtet dabei zugleich den Verantwortlichen, der betroffenen Person bestimmte Informationen auf Antrag zur Verfügung zu stellen. Nach Art. 15 Abs. 3 DSGVO stellt der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, der betroffenen Person zur Verfügung. Welche Daten und Informationen von diesem Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst sind, ist umstritten. Insbesondere über die Frage, ob Prüfungsklausuren nebst Prüfergutachten von diesem Anspruch umfasste Informationen darstellen können, besteht Uneinigkeit.

Während eine Auffassung davon ausgeht, der Auskunftsanspruch müsse auf solche Informationen beschränkt werden, die Art. 15 Abs. 1 DSGVO ausdrücklich nennt, so dass betroffene Personen nur eine Kopie der Informationen darüber verlangen können, ob ihre personenbezogenen Daten gespeichert werden und um welche es sich dabei ggf. handelt (sog. enge/restriktive Auslegung). Geht eine andere Meinung – so auch das OVG Münster – von einer weiten Auslegung des Auskunftsanspruchs aus.

Die Entscheidung

Im vorliegenden Fall entschied das OVG daher, dass es sich bei den angefertigten Klausuren und den dazugehörigen Prüfergutachten um personenbezogene Daten i.S.v. Art. 4 Nr. 1 DSGVO handle, die durch das LJPA i.S.v. Art. 4 Nr. 2 DSGVO verarbeitet wurden und daher vom Auskunftsanspruch aus Art. 15 Abs. 3 DSGVO umfasst seien. Diese Auffasung, so das OVG Münster, würde auch durch die Rechtsprechung des Europäischen Gerichtshofs (EuGH) bestätigt. So hat der EuGH u.a. in einem Urteil vom 20. Dezember 2017 entschieden, dass die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling und damit personenbezogene Daten darstellen.

Offengelassen hat das OVG, ob der Ausnahmetatbestand des Art. 12 Abs. 5 S. 2 DSGVO auch Fälle umfasst, in denen betroffene Personen mit der Ausübung des Auskunftsanspruchs allein oder ganz überwiegend datenschutzfremde Zwecke verfolgt.

Auswirkungen auf die Praxis:

Ob andere Gerichte dieser extensiven Auslegung des Auskunftsanspruchs folgen werden, bleibt abzuwarten. Wegen der grundsätzlichen Bedeutung der Rechtssache hat das OVG die Revision zugelassen. Das Urteil dürfte aber auch für die Praxis und Unternehmen, die Prüfungen abseits von juristischen Staatsexamensklausuren anbieten, von Bedeutung sein. Inbesondere dann, wenn die zur Verfügung Stellung von Prüfungsunterlagen auch Auswirkungen auf das Geschäftsmodell und interne Prüfungsabläufe hat, kann dieses Urteil Verantwortliche bei der Erfüllung des Auskunftsbegehrens vor neue Herausforderungen – nicht nur finanziell – stellen. Auch der Nachweis, ob datenschutzfremde Zwecke verfolgt werden, dürfte in der Praxis nur schwer zu erbringen sein.

Überwachungssoftware Pegasus wohl missbräuchlich verwendet

21. Juli 2021

Anfang dieser Woche kam es im Rahmen des sogenannten Pegasus Project zu Enthüllungen, die den Missbrauch der Software Pegasus der israelischen Firma NSO betreffen. Das Pegasus Project ist dabei ein Zusammenschluss von Reporterinnen und Reportern aus verschiedensten Ländern. Deren Recherchen begannen, nachdem u.a. Amnesty International eine Liste mit über 50.000 Handynummern aus mehr als 50 Ländern zugespielt wurde. Beteiligt waren an dem Projekt u.a. die ZEIT, die Süddeutsche, The Guardian (GB), Le Monde (FR) und die Washington Post (US).

Bei der Software Pegasus handelt es sich um eine Überwachungssoftware, die eigentlich Verbrechen und Terrorismus gezielt bekämpfen soll. Sie kann unbemerkt auf den Handys der Betroffenen installiert werden. Häufig erhalten Betroffene eine SMS, die z.B. von einem Paketzusteller stammen soll und erhalten in dieser SMS einen Downloadlink. Wird auf diesen geklickt, landet die Software auf dem Handy. Allerdings ist es Pegasus wohl auch möglich, auf das Handy zu gelangen, ohne dass die SMS überhaupt angezeigt und angeklickt werden. Auch über WLAN- oder Mobilfunknetze kann Pegasus auf das Handy gelangen. NSO bietet seinen Kunden verschiedene Möglichkeiten an, die Software auf dem Gerät der Zielperson zu installieren. Dabei werden Software-Schwachstellen von Betriebssystemen, die den Herstellern noch nicht bekannt sind (sogenannte ‚Zero-Day-Exploits‘) ausgenutzt. Ist Pegasus einmal auf dem Handy, hat die Software die komplette Kontrolle. Sie kann Daten kopieren und versenden, verschlüsselte Nachrichten lesen und unbemerkt Kamera oder Mikrofon des Gerätes anschalten. Die kopierten Daten können von Telefonbuch- und Kalendereinträgen, über Fotos bis hin zu dem Browserverlauf und Nachrichten alles umfassen. Auch Anrufe können abgehört werden und Standortdaten weitergegeben. Weiterhin können Sicherheitsupdates des Herstellers von der Software unterdrückt werden.

Nun sollen mit dieser Software diverse Menschenrechtsaktivisten, Journalistinnen und Oppositionelle überwacht worden sein. Auch hochrangige Politiker wie Frankreichs Präsident Macron und Belgiens Premierminister Michel sollen Opfer der Überwachungen geworden sein. Benutzt worden sein soll die Software dabei u.a. von Polizeibehörden und Geheimdiensten in Saudi-Arabien, Mexiko und Ungarn.

Die Firma NSO streitet diese Vowürfe ab, erste Länder haben währendessen schon Ermittlungen aufgenommen.

Ausführlichere Erklärungen zur Funktionsweise der Pegasus Software können diesem Video entnommen werden.

Eilanordnung der Hamburgischen Datenschutzaufsichtsbehörde gegen WhatsApp

16. Juli 2021

Der Europäische Datenschutzausschuss erließ seine erste verbindliche Eilentscheidung gemäß Art.66 Abs. 2 DSGVO auf Antrag der HmbBfDI (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit), nachdem diese die vorläufige Maßnahme gegen Facebook erlassen hatte. Die Maßnahme, die auf der Grundlage von Art. 66 Abs. 1 DSGVO angeordnet wurde, hatte das Verbot der Verarbeitung von WhatsApp-Nutzerdaten durch Facebook zum Gegenstand. Nach Ansicht der HmbBfDI wurde dies mit der diesjährigen von WhatsApp in die Wege geleiteten Änderung der Nutzungsbedingungen und Datenschutzbestimmungen für europäische Nutzer begründet.

Hintergrund ist folgender: Im Januar hatte WhatsApp neue Datenschutzbestimmungen angekündgt. Nachdem diese bei den Nutzern auf große Kritik stießen, wurde das von WhatsApp angekündigte Ultimatum bis Mai verlängert und WhatsApp versuchte, die angestrebten Änderungen zu erklären. Letztendlich blieb die Erklärung aus und WhatsApp zog auch im Mai noch keine der angekündigten Konsequenzen. Diese umfassten unter anderem, dass alle, die bis Mai den Bedingungen nicht zugestimmt hätten, WhatsApp nicht mehr hätten nutzen können.

Nun entschied der EDPB im Rahmen des Eilverfahrens, dass die Voraussetzungen für den Nachweis des Vorliegens eines Verstoßes und einer Dringlichkeit nicht erfüllt seien.
Auf der Grundlage der vorgelegten Beweise kam der Europäische Datenschutzausschuss zwar zu dem Schluss, dass eine hohe Wahrscheinlichkeit besteht, dass Facebook bereits Nutzerdaten von WhatsApp als (gemeinsamer) Verantwortlicher für den gemeinsamen Zweck der Sicherheit und Integrität von WhatsApp und den anderen Facebook-Unternehmen verarbeitet. Angesichts der verschiedenen Widersprüche, Unklarheiten und Unsicherheiten, die in den nutzerorientierten Informationen von WhatsApp, in einigen schriftlichen Verpflichtungserklärungen von Facebook und in den schriftlichen Stellungnahmen von WhatsApp festgestellt wurden, entschied sich der Europäische Datenschutzausschuss jedoch dazu, dass er nicht in der Lage ist, mit Sicherheit feststellen zu können, welche Verarbeitungen tatsächlich durchgeführt werden.

Zum Vorliegen der Dringlichkeit vertrat der Europäische Datenschutzausschuss die Auffassung, dass Art.61 Abs. 8 DSGVO nicht anwendbar war. Denn der HmbBfDI konnte nicht nachweisen, dass die irische Datenschutzbehörde es versäumt hat, Informationen im Rahmen eines förmlichen Amtshilfeersuchens gemäß Art. 61 DSGVO bereitzustellen; da Facebook (wie auch WhatsApp) seinen europäischen Sitz in Irland hat, ist die dortige Datenschutzbehörde für das Unternehmen zuständig.

Der Europäische Datenschutzausschuss meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des HmbBfDI auf.  In Anbetracht der hohen Wahrscheinlichkeit diverser Verstöße, insbesondere im Hinblick auf die Sicherheit und Integrität von WhatsApp und der anderen Facebook-Unternehmen, war der Europäische Datenschutzausschuss der Ansicht, dass diese Angelegenheit zügig weiter untersucht werden muss.

Weniger Informationen über DSGVO-Bußgelder in Pressemitteilungen

14. Juli 2021

Die Bundesnetzagentur darf in seinen Pressemitteilungen über DSGVO-Bußgelder die betroffenen Unternehmen nicht namentlich nennen. Dies ging aus einem Beschluss des OVG NRW vom 17.05.2021 hervor.

Am 4. Januar 2021 veröffentlichte die Bundesnetzagentur eine Pressemitteilung, in welcher über die Verhängung eines Bußgeldes wegen unerlaubter Call-Center-Anrufe gem. §§ 20 Abs. 1 Nr. 1, 7, Abs. 2 Nr. 2 UWG berichtet wurde. Das sanktionierte Unternehmen wurde dabei namentlich genannt.

Nach dem Antrag des betroffenen Unternehmens auf eine einstweilige Anordnung entschied das OVG Münster, dass öffentliche Stellen zwar grundsätzlich dazu berechtigt seien, im Rahmen ihrer Kompetenzen Öffentlichkeits- und Informationsarbeit zu betreiben. Allerdings bedürften amtliche Äußerungen, die einen unmittelbaren Grundrechtseingriff darstellen oder einem solchen gleichchkommen, regelmäßig der Rechtfertigung durch eine Ermächtigungsgrundlage. Diese sah die BNetzA unter anderem in § 45n Abs. 8 S. 1 TKG, nach dem sie dazu ermächtigt ist, für Endnutzer relevante Informationen zu veröffentlichen. Die BNetzA sah die Relevanz gegeben, da auch während des Verfahrens weitere Anzeigen unerlaubter Werbung der Antragstellerin eingegangen seien. Die Veröffentlichung des Namens sei daher zum Schutze der Verbraucher und der Geschäftspartner aus generalpräventiven Gründen gerechtfertigt. Dementgegen sei die Pressemitteilung „vielmehr ziel- und zweckgerichtet als funktionales Äquivalent für die teils präventiven, teils repressiven Aufsichtsmaßnahmen“ eingesetzt worden, so das OVG. Diese Aufsichtsmaßnahmen bedeuteten jedoch einen mittelbar-faktischen Nachteil für das betroffene Unternehmen und damit einen Eingriff in die Berufsfreiheit gem. Art. 12 Abs. 1 GG. Auch sei die öffentliche Bekanntmachung bußgeldbewehrter Rechtsverstöße außerhalb dessen, auf das der Gesetzgeber mit § 45n Abs. 8 S. 1 TKG abgezielt hat. Eine öffentliche Anprangerung begangener Rechtsverstöße sei von dem Kreis der in der Vorschrift genannten Informationen so weit entfernt, dass eine ausdrückliche gesetzliche Klarstellung zu erwarten wäre, hätte der Gesetzgeber auch hierzu ermächtigen wollen. Auch für andere Normen mit Eingriffsbefugnissen der BNetzA sah das OVG Münster keinen Raum.

Der Beschluss des OVG Münster könnte hinsichtlich der Berichterstattung über Bußgelder zu einer Neubewertung der Informationspolitik in Pressestellen von Datenschutzbehörden führen. Insbesondere auf Ebene der Verhältnismäßigkeit der Berichtserstattung wäre dabei zu beachten, dass eine öffentliche „Anprangerung“ keinen Ersatz behördlicher Maßnahmen darstellt. Ein Bußgeld sei auf ein Verhalten in der Vergangenheit gerichtet, so das OVG. Wenn eine Aufsichtsbehörde das Verhalten eines Marktteilnehmers ändern möchte, bedarf es dazu aufsichtsrechtlicher Maßnahmen.

Kategorien: Allgemein
1 2 3 4 5 6 235