Die LDI NRW veröffentlicht Handreichung zu Online-Prüfungen an Hochschulen

2. August 2022

Seit der Covid-19 Pandemie legen Studierende ihre Prüfungsleistungen vermehrt online ab. Dabei werden personenbezogene Daten der Prüflinge verarbeitet. Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) veröffentlichte am 28. Juli 2022 eine Handreichung für eine DSGVO-konforme Durchführung solcher Prüfungen unter videobasierter Aufsicht.

Eine geeignete Rechtsgrundlage

Das Erfassen der Ausweisdaten und die Videoüberwachung der Prüflinge während einer Online-Klausur erfordert eine adäquate Rechtsgrundlage. Laut der LDI könne diese in Art. 6 Absatz 1 lit. c) oder e) DSGVO gefunden werden. Demnach müssten Maßnahmen erforderlich sein, um einer rechtlichen Verpflichtung oder einer Aufgabe im öffentlichen Interesse nachzukommen. Voraussetzung sei eine solche Rechtsgrundlage im materiellen Recht (Art. 6 Absatz 3 DSGVO). Diese sei mit § 64 Abs. 2 Satz 2 Hochschulgesetz NRW (HG NRW) gegeben. Hier ist festgelegt, dass Hochschulen in ihren Prüfungsordnungen entscheiden können, dass Prüfungen im elektronischen Format abgelegt werden. Dafür müssten ausreichende datenschutzrechtliche Regelungen hinsichtlich der Durchführung der Prüfung erlassen worden und die Durchführung auch im Einzelfall angemessen und erforderlich sein.

Bewertung einzelner Aufsichtsmaßnahmen der Hochschulen

Obwohl es immer einer Einzelfall-Überprüfung bedürfe, hat die LDI einige, von Hochschulen häufig zur videobasierten Aufsicht verwendeten Maßnahmen, bewertet. Maßnahmen seien immer mit der Eingriffsintensität ähnlicher Regelungen in Präsenzklausuren zu vergleichen. So sollten Prüflinge, wenn möglich, entscheiden dürfen, ob sie die Online-Prüfung in den Räumlichkeiten der Hochschule oder zu Hause absolvieren. Zudem seien Prüfungsformate ohne Aufsicht zu bevorzugen. Sofern notwendig, sei es jedoch zulässig, Prüflinge durch einen Abgleich von Lichtbildausweis und Gesicht zu authentifizieren. Die Aufzeichnung des Ausweises oder das Einsetzen von automatischen Gesichtserkennungssoftware sei jedoch unzulässig. Prüflingen dürfe die Nutzung von spezifischen Funktionen, die Betrugsversuche begünstigen, untersagt werden. Auch die ständige visuelle und akustische Sichtbarkeit des Gesichts, Oberkörpers und des Arbeitsplatzes könne gefordert werden. Die dauerhafte Aufzeichnung und Speicherung von Bild- und Tondateien sei jedoch unzulässig und könne nur ausnahmsweise durch einen konkreten Verdacht auf einen Täuschungsversuch gerechtfertigt werden. In jedem Fall unzulässig sei der Einsatz von mehreren Kameras in verschiedenen Winkeln oder die Sichtbarkeit der Aufnahmen für die Prüflinge untereinander.

Hinweise zur Verwendung von Videokonferenzanbietern

Die LDI weist darauf hin, dass sie seit den neuen Regelungen des Telekommunikationsgesetztes (TKG) und des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) Videokonferenzdienste als Telekommunikationsdienste einordne und diese somit unter Aufsicht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) stehen. Die Anbieter seien selbst für die Datenverarbeitung im Rahmen ihrer Dienste verantwortlich. Die Hochschulen seien jedoch verpflichtet, solche Anbieter auszuwählen, die ein ausreichendes Datenschutzniveau gewährleisten können. Sofern die Anbieter weitere Dienste anbieten, z.B. zur Dokumenten-Bearbeitung, seien die Hochschulen für die Verarbeitung der Inhaltsdaten verantwortlich. Hier müssten dann geeignete Auftragsverarbeitungsverträge mit den Anbietern abgeschlossen werden.

Die Handreichung der LDI fügt sich in die generelle Diskussion zur Datenschutzkonformität vieler Videokonferenzanbieter ein. Auch der BfDi wies darauf hin, dass die Nutzung solcher Systeme mit Risiken für personenbezogene Daten einhergehe und dass angemessene Schutzmaßnahmen benötigt seien. In einer Untersuchung hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit einige datenschutzrechtliche Mängel bei gängigen Anbietern festgestellt.

LfDI BaWü Dr. Stefan Brink lässt seinen Vertrag auslaufen

29. Juli 2022

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BaWü), Dr. Stefan Brink (FDP), wird seinen Vertrag zum Ende des Jahres nicht verlängern und sein Amt somit aufgeben. Dr. Brink hatte die Position des LfDI BaWü sechs Jahre inne. Somit wird spätestens zum Beginn des Jahres 2023 das Land Baden-Württemberg einen neuen LfDI BaWü benötigen.

Sechs prägende Jahre für den Datenschutz in Baden-Württemberg

„Das waren sechs großartige Jahre in Baden-Württemberg, wir haben eine Menge aufgebaut, das Bild und Ansehen des Datenschutzes weiterentwickelt“, so Brink.  

Im Laufe seiner Amtszeit ist die Dienststelle des Datenschutzbeauftragten zu einer Behörde mit mehr als 70 Planstellen gewachsen. Die wohl anspruchsvollste Aufgabe war die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) seit Mai 2018. Zusätzlich brachte Brink auch viele andere Themen voran. Darüber hinaus waren auch einige seine hochdatierten Bußgelder wie beispielsweise gegen die AOK Baden-Württemberg aus dem Jahre 2020 (wir berichteten) aufgrund unzureichender Umsetzung von technischen und organisatorischen Maßnahmen von großem medialem Interesse. Aber auch vor der eigenen Landesregierung machte seine Behörde nicht halt. Erst kürzlich eröffnete er ein Verfahren gegen den baden-württembergischen Innenminister und Vize-Regierungschef. Darüber hinaus gründete die Behörde unter seiner Leitung ein Bildungszentrum für Bürger:innen und richtete eine Kulturstelle ein. Des Weiteren veröffentlichte er umfangreiche Arbeitshilfen, die Unternehmen und Vereinen bei der Umsetzung der DSGVO unterstützen sollen.

Dem Datenschutz auch weiterhin verpflichtet

Bevor Stefan Brink die Stelle des Landesbeauftragten für Datenschutz 2017 antrat, war er unter anderem als wissenschaftlicher Mitarbeiter beim Bundesverfassungsgericht und in leitender Funktion beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Rheinland-Pfalz tätig.

Nun aber suche er eine neue Herausforderung. Dennoch werde er dem Thema Datenschutz auch weiterhin treu bleiben und ab dem kommenden Jahr von Berlin aus in einer privaten Tätigkeit das „Megathema Digitalisierung“ betreuen.

Der neue LfDI BaWü wird nun auf Vorschlag der Landesregierung vom Landtag neu gewählt.  

Kategorien: Allgemein
Schlagwörter: ,

LG Ravensburg legt Frage zum Schadensbegriff in Art. 82 DSGVO dem EuGH vor

Das Landgericht Ravensburg hat mit Beschluss vom 30.06.2022 dem Europäischen Gerichtshof (EuGH) die Frage vorgelegt, ob für einen Schadensersatzanspruch aus Art. 82 DSGVO ein spürbarer Nachteil und eine objektiv nachvollziehbare Beeinträchtigung erforderlich ist. 

Der Sachverhalt 

Die Beklagte hatte auf ihrer Website ohne das Einverständnis der Kläger eine Tagesordnung für eine Gemeinderatssitzung veröffentlicht, in der mehrfach die Namen der Kläger genannt wurden. Ebenfalls auf ihrer Webseite veröffentlichte sie ein verwaltungsgerichtliches Urteil, in dem die Kläger ungeschwärzt mit Vor- und Nachnamen sowie Anschrift aufgeführt waren. Die Kläger sehen darin ihre Rechte aus der DSGVO verletzt und begehren Schadensersatz von der Beklagten. 

Die Frage 

Das LG Ravensburg hatte bereits zuvor die Auffassung vertreten, nicht jeder Verstoß gegen die DSGVO, insbesondere nicht jede unzulässige Verarbeitung personenbezogener Daten, führe automatisch zu einem Anspruch auf immateriellen Schadensersatz. Insbesondere bei Bagatellverstößen ohne ernsthafte Beeinträchtigung bzw. lediglich individuell empfundene Unannehmlichkeiten käme ein Schadensersatzanspruch nicht in Betracht. Für das Zusprechen von Schadensersatz nach Art. 82 DSGVO setzt das LG Ravensburg einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange bei den betroffenen Personen voraus. 

Dies sieht das Gericht im vorliegenden Sachverhalt als nicht gegeben an, es läge nur ein Verlust der Datenhoheit vor. Danach wäre die Klage abzuweisen. Die Auslegung des Schadensbegriffes steht aber letztlich nur dem EuGH zu. Diesem liegt nun folgende Frage vor: „Ist der Begriff des immateriellen Schadens in Artikel 82 Abs. 1 DSGVO dahin auszulegen, dass die Annahme eines immateriellen Schadens einen spürbaren Nachteil und eine objektiv nachvollziehbare Beeinträchtigung persönlichkeitsbezogener Belange erfordert oder genügt hierfür der bloße kurzfristige Verlust des Betroffenen über die Hoheit seiner Daten wegen der Veröffentlichung personenbezogener Daten im Internet für einen Zeitraum von wenigen Tagen, der ohne jedwede spürbare bzw. nachteilige Konsequenzen für den Betroffenen blieb?“ 

Das Verfahren wird erst nach einer Entscheidung des EuGH fortgesetzt. 

Bewertungsportale: datenschutzrechtliche Risiken

28. Juli 2022

Ob für den Besuch beim Arzt oder im Restaurant: häufig nutzen Kunden Bewertungsportale, um sich beispielsweise vorab über eine Dienstleistung zu informieren oder um ihre Meinung über die Dienstleistung öffentlich kundzutun. Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) veröffentlichte diese Woche eine Stellungnahme zu den Nutzen und Risiken von online abrufbaren Bewertungsportalen.

Die Grenzen einer Bewertung

Sie betonte dabei, dass bei dem Verfassen einer Bewertung die Grenzen der Meinungsfreiheit, sowie die Grenzen des Datenschutzes zu berücksichtigen seien. Hinsichtlich der Meinungsfreiheit stellte sie fest, dass die öffentlich kundgegebene Äußerung mit dem allgemeinen Persönlichkeitsrecht der sie betreffenden Person abzuwägen sei. Die Grenze dessen, was geäußert werden darf, seien dabei Beleidigungen oder Schmähungen.

Hilfe bei Veröffentlichung von personenbezogenen Daten

Hinsichtlich des Datenschutzes stellte die LDI NRW fest, dass niemand die Veröffentlichung personenbezogener Daten in einem Bewertungsportal hinnehmen müsse. Insbesondere bei Bekanntgabe der privaten Adresse oder Telefonnummer eines Dienstleisters könne ein Verstoß gegen das Datenschutzrecht vorliegen. So könne der Dienstleister sich zur Wehr setzen, wenn ein Kunde diese Daten veröffentliche.

Als betroffene Person stellt sich die Frage, wie man gegen die Veröffentlichung der personenbezogenen Daten vorgehen kann. Die LDI NRW betonte, das insbesondere zu beachten sei, dass sich die Bewertungsportale an Datenschutzregelungen halten müssen. Insbesondere seien Kommentare in Bewertungsportalen häufig anonym. Demnach könne es schwierig sein direkt gegen den Verfasser vorzugehen. Die betroffene Person könne sich zwar an das Bewertungsportal wenden, um die Daten des Verfassers zu erfahren. Allerdings könne, bzw. müsse das Portal die Anfrage aufgrund der datenschutzrechtlichen Bestimmungen ablehnen.

Wenn der Kommentar jedoch eine falsche Tatsachenbehauptung oder Beleidigung beinhalte, könne die betroffene Person ggf. zivilrechtliche Ansprüche geltend machen. Dieser Weg sei aber oft langwierig. Ein leichterer Weg sei die Beschwerde bei dem Bewertungsportal mit der Bitte auf Löschung des Kommentars.

Eine Alternative biete die Beschwerde bei einer Datenschutzaufsichtsbehörde. Auf diese Weise könne die betroffene Person gegen eine unrechtmäßige Verarbeitung personenbezogener Daten vorgehen. Allerdings verlangen Aufsichtsbehörden häufig, dass die betroffene Person zuvor schon andere Schritte eingeleitet hat. 

Ermittlungen zu Datenschutzverstößen bei der Polizei Berlin

27. Juli 2022

In einer Pressemitteilung vom 22.07.2022 teilte die Polizei Berlin mit, bei turnusmäßigen Kontrollen seien Verstöße gegen eine interne Weisungslage für Abfragen im „Polizeilichen Landessystem für Information, Kommunikation und Sachbearbeitung“ (POLIKS) festgestellt worden.

Datenverarbeitung bei der Polizei

Im Berufsalltag müssen Polizisten immer wieder auf gewisse Daten zugreifen können, um beispielsweise Abfragen zu Personen oder Fahrzeugen durchführen zu können. Aber auch komplexere Datenrecherchen und Abfragen bei anderen Stellen wie dem Bundeskriminalamt (BKA) oder Landeseinwohneramt sind im Rahmen ihrer Tätigkeit notwendig.

Hierfür wird bei der Berliner Polizei das System POLIKS genutzt. Dabei handelt es sich um ein zentrales IT-Verfahren für alle Bereiche der Vollzugspolizei und eine Schnittstelle zu anderen IT-Verfahren des Landes und des Bundes. Es dient, beispielsweise zur Aufnahme von Strafanzeigen oder Verkehrsunfällen, als Vorgangsbearbeitung sowie als Informationssystem für Auskünfte, Recherchen und Statistiken.

Im Rahmen dessen werden zwangsläufig auch personenbezogene Daten abgefragt und verarbeitet. Dies erfordert ein hohes Maß an Datensicherheit und verantwortungsbewusstem Umgang. Neben den grundlegenden Zugriffsvoraussetzungen muss bei jeder Abfrage daher der Grund für die Abfrage durch eine freitextliche Ergänzung angegeben werden. Dies soll der Prüfung der Plausibilität und der schnellen Nachvollziehbarkeit der Abfrage dienen.

Verstöße bei der Berliner Polizei

In der Pressemitteilung der Berliner Polizei wurde nun mitgeteilt, im Rahmen polizeiinterner Kontrollen sei bei 83 Zugriffsberechtigten festgestellt worden, dass diese die Vorgaben für die freitextliche Ergänzung zur Angabe des Grundes einer Abfrage wiederholt nicht eingehalten hätten. Die Zugriffsberechtigten seien wiederholt über die notwendigen Voraussetzungen informiert und hierfür sensibilisiert worden. Bei deren Verhalten handele es sich zunächst „lediglich“ um Verstöße gegen die interne Weisung. Es seien jedoch interne Ermittlungen aufgenommen worden, um u.a. zu prüfen, ob und inwieweit die getätigten Abfragen in diesen Fällen rechtmäßig waren bzw. ob Datenschutzverstöße vorliegen.

Kategorien: Allgemein
Schlagwörter: ,

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 2

22. Juli 2022

Im ersten Teil unseres Beitrags haben wir uns letzte Woche mit Perioden-Tracker-Apps und der diesbezüglichen Rechtslage in den USA und in Europa beschäftigt.

Im zweiten Teil thematisieren wir heute das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

Was ist Datenhandel und wie weit ist er verbreitet?  

Datenhandel ist ein weitverbreitetes Geschäft. Dabei sammeln Datenhändler alle möglichen Daten, die öffentlich einsehbar sind. Teilweise erwerben sie aber auch Daten von Unternehmen, die bereit sind, diese zu verkaufen. Dann verkaufen Datenhändler gewisse Daten weiter an Interessierte. Zweck dahinter ist meist zielgerichtete Werbung. Datenhandel kann aber auch für politische Kampagnen genutzt werden.   

In Europa wird Datenhandel durch die Vorgaben der DSGVO begrenzt. Ein Beispiel dafür sind die Anforderungen an eine Einwilligung. Eine solche können betroffene Personen abgeben, sodass ihre Daten dann auf Grundlage dieser Einwilligung weiter verarbeitet und gespeichert werden. In Europa ist durch die DSGVO genau vorgegeben, wie eine solche Einwilligung zu erfolgen hat. So muss die betroffene Person u.a. umfassend informiert werden. In den USA gibt es solche Voraussetzungen kaum, dort sind an eine Einwilligung viel geringere Anforderungen gesetzt. Deshalb bietet es sich für Datenhändler an, dort ihren Sitz zu haben. In den USA können Gesundheitsdaten teilweise ab § 79 von Privatpersonen erworben werden. 

  

Was hat Datenhandel mit dieser Debatte zu tun?  

Unzureichend geschützte Menstruations-Daten können von Datenhändlern gesammelt oder sogar bei den Unternehmen, die solche Daten erheben und verarbeiten selbst erworben werden. Wenn Dritte an diese Daten gelangen, kann das für die betroffenen Personen ernsthafte Konsequenzen haben. So könnten z.B. radikale Abtreibungsgegner diese Daten von Datenhändlern erwerben, um Betroffene anzuzeigen und so der strafrechtlichen Verfolgung auszusetzen.  

Beispielhaft für die persönlichen Konsequenzen, die sich durch einen solchen Datenhandel ergeben können, ist der Fall eines US-amerikanischen Priesters. Ein katholischer Newsletter erhielt von einem Datenhändler Daten der App „Grindr“, einer LGBTQ-Dating App. Beim Auswerten dieser Daten, zu denen u.a. Standortdaten der Nutzer gehörten, konnten sie ein Profil dem Priester zuordnen und aufgrund seiner Standorte nachweisen, wann er sich in welchen LGBTQ-Bars aufgehalten hatte. Der Mann wurde zwangsweise geoutet und musste zurücktreten.    

  

Fazit: Was bedeutet dies für Nutzerinnen von solchen Apps in Europa?  

Zwar besteht in Europa dank der DSGVO ein anderes Datenschutzniveau als in den USA. In Deutschland sind Schwangerschaftsabbrüche außerdem unter bestimmten Voraussetzungen bis zur 12. Woche straffrei, sodass diesbezüglich keine vergleichbare Lage herrscht. Jedoch gibt es auch in Europa Länder, in denen Frauen gut beraten sind, ihre Menstruations-Daten besonders zu schützen. So sind z.B. in Polen Abtreibungen praktisch verboten. Die Regierung möchte zudem ein landesweites „Schwangerschafts-Register“ einführen. Auch hier befürchten Kritiker eine geplante Kontrolle von Schwangerschaften und deren Länge.   

Insgesamt sind auch deutsche Nutzerinnen gut damit beraten, eine App zu verwenden, die aus der EU kommt und sich damit an die Grundsätze der DSGVO halten muss. Bei Apps aus dem EU-Ausland kann nicht ausgeschlossen werden, dass mit den dort gespeicherten Daten Handel betrieben wird.  

  

Digitalcourage e.V.: Vorbereitung für Klage gegen „DB-Navigator“-App

21. Juli 2022

Der gemeinnützige Verein Digitalcourage hat diese Woche bekannt gegeben, dass er beabsichtigt eine Klage gegen die Deutschen Bahn einzureichen. Konkret will Digitalcourage gegen die „DB Navigator“-App vorgehen. Begründet hat der Verein sein Vorhaben damit, dass durch die App ein umfangreiches und nicht datenschutzkonformes Tracking stattfinde.

Funktionsweise der App

Die „DB Navigator“-App bietet Reisenden der Deutschen Bahn eine Vielzahl von Anwendungen. Der Nutzer kann über die App beispielsweise Zugverbindung suchen, sich Echtzeit-Verspätungen anzeigen lassen, Zugtickets kaufen und diese im Anschluss in der App hinterlegen.

Die Kritik

Digitalcourage e.V. kritisiert an der „DB Navigator“-App die Cookie-Einstellungen. Der Nutzer der App könne zunächst zwischen den Einstellungen „Alle Cookies zulassen“, „Cookie-Einstellung öffnen“ und „Nur erforderliche Cookies zulassen“ wählen. Hierbei ist die vermeintlich datenschutzfreundlichste Wahlmöglichkeit die Letzte. Wenn der Nutzer nur technisch notwendige Cookies auswählt, soll die App nur diejenigen Cookies anwenden, die für ihr ordnungsgemäßes Funktionieren erforderlich sind.

Wählt der Nutzer die letzte Option („Nur erforderliche Cookies zulassen“), so sei diese Wahl laut Digitalcourage aus datenschutzrechtlicher Sicht problematisch, da ein umfangreiches Tracking stattfinde. Wenn der Nutzer nur technisch notwendige Cookies auswähle, wende die App verschiedene Funktionen von rund zehn Unternehmen an. Bei Anwendung der durch die Unternehmen zur Verfügung gestellten Dienstleistungen, können beispielsweise Nutzungsstatistiken erstellt oder dem Nutzer personalisierte Angebote anzeigt werden. Die Folge sei, dass die App personenbezogene Daten ihrer Nutzer an diese Unternehmen übermittle. Zu den übermittelten personenbezogenen Daten zählen beispielsweise die Anzahl der Reisenden, der Beginn der Reise, der Start- und Zielbahnhof.

Indem die Deutsche Bahn die eingesetzten Cookies zu solchen Cookies erkläre, die technisch notwendig seien, könne der Nutzer dieser Übermittlung nicht widersprechen. Außerdem sei für den Nutzer nicht ersichtlich, wann und in welchem Umfang die App seine personenbezogenen Daten übermittle. Hinzukäme, dass der Reisende gezwungen sei die App zu nutzen, da einige Dienstleistungen nur über die App erbracht werden. Beispielsweise könne ein Reisender nach Fahrtantritt Tickets nicht mehr beim Schaffner, sondern nur noch über die App kaufen.

Verbraucherzentrale Bundesverband verklagt Tesla wegen Verstoß gegen die DSGVO

20. Juli 2022

Die Verbraucherzentrale Bundesverband (vzbz) hat in einer Pressemitteilung bekannt geben, dass sie beim Landgericht Berlin Klage gegen Tesla erhoben habe. Die vzbz wirft dem Automobilhersteller vor, durch die Nutzung des sog. Wächter-Modus der Tesla-Fahrzeuge gegen die DSGVO zu verstoßen.

Der Wächter-Modus

Laut Angaben des Herstellers seien alle Tesla-Fahrzeuge mit dem Wächter-Modus ausgestattet. Im geparkten und abgeschlossenen Zustand erfassen am Fahrzeug angebrachte Kameras permanent die Umgebung. Sobald sie eine erhebliche Bedrohung erkennen, beginnen die Kameras mit der Aufzeichnung. Zusätzlich wird die Alarmanlage aktiviert und die Fahrezeughalter/innen benachrichtigt. Dabei käme es natürlich auch zur Aufzeichnung von unbeteiligten Passanten/innen, die zufällig den Erfassungsbereich der Kameras betreten. Die vzbz wirft Tesla vor, dass diese anlasslose Aufzeichnung unzulässig sei und Fahrzeughalter/innen durch die Nutzung des Wächter-Modus unwissentlich ein hohes Bußgeld für den DSGVO-Verstoß riskieren würden.

Videoüberwachung unter der DSGVO

Die Videoüberwachung ist eine Form der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten und folglich nach der DSGVO zu bewerten. Selbst für die Videobeobachtung in Echtzeit, bei der keine Daten gespeichert werden, ist die DSGVO einschlägig. Die Anforderungen an eine DSGVO-konforme Videoüberwachung wurden von der Datenschutzkonferenz (DSK) in einem Kurzpapier zusammengefasst. Demnach bedarf es zuerst einmal einer gültigen Rechtsgrundlage nach Art. 6 DSGVO. Bei einer Videoüberwachung durch nicht öffentliche Stellen, bei der unbeteiligte Passanten aufgenommen werden, käme hier Art. 6 Abs. 1 lit. f DSGVO in Betracht. Demnach ist eine Verarbeitung rechtmäßig, soweit sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Jedoch dürfen dabei nicht die Interessen oder Grundrechte der betroffenen Personen, die den Schutz personenbezogener Daten erfordern, überwiegen. Andernfalls müssen, mangels einer anderen, einschlägigen Rechtsgrundlage, die Einwilligung der betroffenen Personen erhoben werden. Die Videoüberwachung muss zudem für das Erreichen eines bestimmten Zwecks erforderlich sein und der Verantwortliche den Transparenzanforderungen aus Art. 12 ff. nachkommen. Sofern die Überwachung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, bedarf es zudem einer Datenschutz-Folgeabschätzung.

Der Wächter-Modus unter der DSGVO

In Bezug auf den Wächter-Modus wäre es schwer vorstellbar, dass das Interesse der Fahrzeughalter/innen an dem Schutz ihres Fahrzeugs vor Diebstahl und Beschädigung gegenüber dem Interesse der betroffenen Personen am Schutz ihrer personenbezogenen Daten überwiegen würde. Hierfür müsste der Schutz eines einzelnen Fahrzeugs vor möglichen Gefahren die weitreichende Aufzeichnung von unbeteiligten Passanten/innen rechtfertigen. Sofern dies nicht der Fall wäre, fehlte der Verarbeitung bereits eine geeignete Rechtsgrundlage. Um dann den Wächter-Modus DSGVO-konform zu verwenden, benötigten Fahrzeughalter:innen bereits im Vorfeld die Einwilligung jeder aufgezeichneten Person. Das schiere Betreten eines gekennzeichneten Erfassungsbereichs einer Kamera entspräche jedoch nicht den Anforderungen einer eindeutigen und informierten Einwilligung. Stattdessen müssten Passanten/innen vor der Aufzeichnung über die Details der Videoüberwachung aufgeklärt werden. Es bleibt abzuwarten, wie das LG Berlin den Sachverhalt bewerten wird.

Bundesnetzagentur: Auslegungshinweise zur Dokumentationspflicht für Telefonwerbung

14. Juli 2022

Die Bundesnetzagentur (BNetzA) veröffentlichte letzte Woche Auslegungshinweise bezüglich der nach § 7 a UWG bestehenden Dokumentations- und Aufbewahrungspflicht für Einwilligungen in die Telefonwerbung.

§ 7 a Abs. 1 UWG regelt, dass die Werbung per Telefon nur erlaubt ist, wenn die betroffene Person vorher in die Telefonwerbung eingewilligt hat. Diese Einwilligung muss der Werbende dokumentieren und die Dokumentation gem. § 7 a Abs. 2 S.1 UWG fünf Jahre lang aufbewahren.

Adressat der Dokumentations- und Aufbewahrungspflicht

Zunächst geht die BNetzA darauf ein, an wen sich die Dokumentations- und Aufbewahrungspflicht richtet. Vom Tatbestand des § 7 a UWG sind alle werbenden Unternehmen umfasst. Die BNetzA stellt klar, dass darunter Unternehmen und Personen fallen, „(…) die Werbeanrufe gegenüber Verbrauchern ausführen (…)“, d.h. Callcenter, sowie Unternehmen, die Callcenter mit diesen Werbeanrufen beauftragen. Beauftragt ein Unternehmen also einen externen Dienstleister mit Werbeanrufen, dann sind beide Akteure für die Dokumentations- und Aufbewahrungspflicht verantwortlich.

Die Dokumentationspflicht

Die BNetzA äußerte sich ferner zum Umfang der Dokumentationspflicht. Der Werbende müsse für eine wirksame Einwilligung nachweisen können, wer an der Einwilligung beteiligt war, wann und wie sie abgegeben wurde und welche Reichweite sie habe. Grundsätzlich könne der Werbende die Form der Einwilligung frei wählen. Das Gesetzt sehe keine bestimmte Form vor. Die gewählte Form habe aber Auswirkungen auf die Dokumentation der Einwilligung.

Für eine per E-Mail, SMS oder per Anklicken eines entsprechenden Feldes eingeholte Einwilligung wies die BNetzA auf die Anfälligkeit für eine Manipulation hin. Es müsse sichergestellt werden, dass die beworbenen Personen keine falschen Angaben zu personenbezogenen Daten tätigen. Diese Gefahr bestünde insbesondere, wenn der Werbende einen Verbraucher per E-Mail kontaktiere und dieser falsche Angaben zu seiner Telefonnummer mache. Um dem vorzubeugen, müsse der Werbende einen geeigneten Verifizierungsmechanismus ergreifen.

Für die fernmündlich erteilte Einwilligung könne der Werbende das entsprechende Gespräch aufzeichnen. Hinsichtlich einer schriftlich erteilten Einwilligung müsse der Werbende beachten, dass sich diese nicht innerhalb eines sonstigen Vertragstextes „verstecke“.

Die Aufbewahrungspflicht

Die Aufbewahrungspflicht beginne erstmalig, laut BNetzA mit Erteilung der Einwilligung. Anschließend beginne mit jeder Verwendung der Einwilligung die fünfjährige Aufbwahrungsfrist von neuem zu laufen. Eine Verwendung liege vor, wenn auf Grundlage der Einwilligung die beworbene Person kontaktiert werde und ein Werbegespräch erfolge.

Außerdem konkretisierte die BNetzA die Dokumentations- und Aufbewahrungspflicht dahingehend, dass sie im Lichte der Rechenschaftsplicht nach Art. 7 Abs. 1 DSGVO zu betrachten seien. Jegliche Zweifel an der Abgabe einer Einwilligung gehen demnach zu Lasten des Werbenden.

Die Debatte um Perioden-Tracker-Apps und einen möglichen Datenhandel – Teil 1 

Nach dem historischen Urteil des US Surpreme Courts vom 24.06.2022, in dem das in den USA ca. 50 Jahre lang bestehende Recht auf Abtreibung gekippt wurde, sind Debatten über sogenannte „Perioden-Tracker-Apps“ in aller Munde. Befürchtet wird, dass die in diesen Apps gespeicherten Gesundheitsdaten direkt an staatliche Institutionen in den USA oder an Datenhändler gelangen könnten. Woraus diese Befürchtungen resultieren, werden wir im Folgenden in zwei Teilen beantworten. 

Im ersten Teil beschäftigen wir uns mit Perioden-Tracker-Apps und der Rechtslage in den USA und in Europa.

Welche Daten erheben solche Apps? 

Die Perioden-Tracker-Apps sind dazu gedacht, dass Menstruierende dort Informationen zu ihrem Zyklus speichern können. So kann u.a. angegeben werden, wann eine Blutung und der Eisprung stattfinden. Auch Daten wie Körpergröße, Gewicht, Temperatur und Sexualkontakte können dort gespeichert werden. Dies soll den Nutzerinnen einen besseren Überblick über ihren Zyklus verschaffen. Solche Apps können auch die fruchtbaren Tage anzeigen, sodass sie bei der Familienplanung hilfreich sein können. 

Welche datenschutzrechtlichen Bedenken gibt es? 

Aus den gespeicherten Daten kann sich u.a. ergeben, dass eine Schwangerschaft nicht länger besteht. Es wird befürchtet, dass diese Daten von Perioden-Tracker-Apps unzureichend vor der Weitergabe an Dritte oder sonstigen Zugriffen geschützt sind. In der Vergangenheit standen solche Apps schon häufiger in der Kritik, ihre Daten nicht ausreichend zu schützen. So hatte eine Perioden-Tracker-App in der Vergangenheit bereits intime Daten an Facebook und Google weitergegeben

Künftig könnten Frauen, die eine Abtreibung vornehmen lassen über die, in solchen Apps verarbeiteten Daten, identifiziert werden. Da Abtreibungen zukünftig in einigen Staaten der USA strafbar sein werden, könnte dies zu Repressalien gegenüber der betroffenen Frau führen. Aber auch Fehlgeburten oder schlicht falsche Daten könnten Frauen zukünftig in Erklärungsnot bringen. Konkret wird befürchtet, dass die Polizei oder behördliche Einrichtungen diese Daten anfordern.  

Wie ist die Rechtslage im Datenschutz? 

In Europa sichert die europäische Datenschutzgrundverordnung (DSGVO) ein bestimmtes Datenschutzniveau. So gibt es beispielsweise Betroffenenrechte, die u.a. ein Recht auf Löschung von Daten gewähren. Die USA haben bisher kein bundeseinheitliches Datenschutzgesetz, ein Entwurf liegt aber mittlerweile vor. Momentan gibt es nur einzelne Regeln für bestimmte Bereiche, z.B. für Verbraucher. Spezielle Datenschutzgesetze gibt es z.B. in den Staaten Kalifornien und Virginia. In Kalifornien gibt es den Privacy Act (CCPA), der Betroffenenrechte gewährt, die der DSGVO ähnlich sind. Die meisten Bundesstaaten aber haben keinen speziellen Datenschutz. Dementsprechend haben die meisten US-Amerikaner vergleichsweise wenig Rechte über ihre Daten. 

Der zweite Teil dieses Beitrags erscheint nächste Woche und thematisiert das Problem des Datenhandels sowie die Frage, welche Konsequenzen sich für europäische Nutzerinnen von Perioden-Tracking-Apps ergeben.

1 4 5 6 7 8 250