Schlagwort: LfDI BaWü

Bußgeldverfahren gegen PimEyes eröffnet

26. Januar 2023

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) leitete ein Bußgeldverfahren gegen das Unternehmen “PimEyes” ein. Grund hierfür sei, so der LfDI BaWü die datenschutzwidrige Speicherung biometrischer Daten durch das Unternehmen.

Verarbeitung durch PimEyes

PimEyes ist eine sog. Reverse Suchmaschine. Die Nutzer können alle möglichen Webseiten nach vorhandenen Bildern der eigenen Person durchsuchen lassen. Der LfDI BaWü betonte, dass es sich bei den verarbeiteten Bildern um personenbezogene Daten handele. Diese seien überdies personenbezogene Daten besonderer Kategorie gem. Art. 9 DSGVO. Konkret verarbeite PimEyes biometrische Daten, d.h. persönliche Erkennungsmerkmale, wie etwa die Gesichtsform oder Augenfarbe.

Zur Datenschutzkonformität seiner Dienstleistung, konnte sich PimEyes zunächst ausführlich äußern. Der LfDI BaWü gab bekannt, dass er im Rahmen der Untersuchung unteranderem Fragen zu den implementierten technischen und organisatorischen Maßnahmen gestellt habe.

Das Unternehmen habe vorgebracht, dass es nur Bilder verwende, die im Internet öffentlich zugänglich seien. Mit Hilfe der Bilder seien keine Personen identifizierbar, sodass es an einem Personenbezug fehle. Darüber hinaus sei es möglich betroffene Personen, sofern sie dies wollen, aus der Fotodatenbank auszuschließen. Um diese sog. „Opt-Out“ Möglichkeit wahrzunehmen, müssen die betroffenen Person einen Identitätsnachweis und ein Bild vorlegen. Der Missbrauch von Bildern durch Dritte, verbiete das Unternehmen in seinen Allgemeinen Geschäftsbedingungen.

Biometrische Daten

In seiner Pressemitteilung betonte der LfDI BaWü, dass die Verarbeitung personenbezogener Daten besonderer Kategorie verboten sei. Ausschließlich in den nach Art. 9 Abs. 2 DSGVO normierten Fällen sei die Verarbeitung ausnahmsweise erlaubt.

Demnach habe sich die Frage gestellt, auf welcher Rechtsgrundlage PimEyes die Bilder verarbeite. Für eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO fehle es schon an der Einwilligung der betroffenen Personen. Soweit PimEyes freizugängliche Bilder von Internetseiten verarbeite, stelle sich insoweit die Frage, wann und wie es eine Einwilligung der betroffenen Person einhole. Sofern die betroffenen Person ihre Bilder selbst öffentlich gemacht habe, könne die Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO in Betracht kommen. Allerdings sei es wahrscheinlicher, dass Dritte die Bilder betroffenen Personen veröffentlicht haben. Für eine Verarbeitung im öffentlichen Interesse nach Art. 9 Abs. 2 lit. g DSGVO fehle die erforderliche Beauftragung durch eine öffentliche Stelle.

Fazit

Aus Sicht der Landesbehörde seien viele Fragen im Rahmen der Untersuchung offen geblieben, sodass sie im Ergebnis ein Bußgeldverfahren gegen PimEyes eröffnet habe.

 

LfDI BaWü Dr. Stefan Brink lässt seinen Vertrag auslaufen

29. Juli 2022

Der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI BaWü), Dr. Stefan Brink (FDP), wird seinen Vertrag zum Ende des Jahres nicht verlängern und sein Amt somit aufgeben. Dr. Brink hatte die Position des LfDI BaWü sechs Jahre inne. Somit wird spätestens zum Beginn des Jahres 2023 das Land Baden-Württemberg einen neuen LfDI BaWü benötigen.

Sechs prägende Jahre für den Datenschutz in Baden-Württemberg

“Das waren sechs großartige Jahre in Baden-Württemberg, wir haben eine Menge aufgebaut, das Bild und Ansehen des Datenschutzes weiterentwickelt”, so Brink.  

Im Laufe seiner Amtszeit ist die Dienststelle des Datenschutzbeauftragten zu einer Behörde mit mehr als 70 Planstellen gewachsen. Die wohl anspruchsvollste Aufgabe war die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO) seit Mai 2018. Zusätzlich brachte Brink auch viele andere Themen voran. Darüber hinaus waren auch einige seine hochdatierten Bußgelder wie beispielsweise gegen die AOK Baden-Württemberg aus dem Jahre 2020 (wir berichteten) aufgrund unzureichender Umsetzung von technischen und organisatorischen Maßnahmen von großem medialem Interesse. Aber auch vor der eigenen Landesregierung machte seine Behörde nicht halt. Erst kürzlich eröffnete er ein Verfahren gegen den baden-württembergischen Innenminister und Vize-Regierungschef. Darüber hinaus gründete die Behörde unter seiner Leitung ein Bildungszentrum für Bürger:innen und richtete eine Kulturstelle ein. Des Weiteren veröffentlichte er umfangreiche Arbeitshilfen, die Unternehmen und Vereinen bei der Umsetzung der DSGVO unterstützen sollen.

Dem Datenschutz auch weiterhin verpflichtet

Bevor Stefan Brink die Stelle des Landesbeauftragten für Datenschutz 2017 antrat, war er unter anderem als wissenschaftlicher Mitarbeiter beim Bundesverfassungsgericht und in leitender Funktion beim Landesbeauftragten für Datenschutz und Informationsfreiheit in Rheinland-Pfalz tätig.

Nun aber suche er eine neue Herausforderung. Dennoch werde er dem Thema Datenschutz auch weiterhin treu bleiben und ab dem kommenden Jahr von Berlin aus in einer privaten Tätigkeit das “Megathema Digitalisierung” betreuen.

Der neue LfDI BaWü wird nun auf Vorschlag der Landesregierung vom Landtag neu gewählt.  

Kategorien: Allgemein
Schlagwörter: ,

VfB Stuttgart: Bußgeldverfahren eröffnet

9. Februar 2021

In einer Presseerklärung vom 03.02.2021 hat der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg – Stefan Brink – angekündigt, dass aufgrund festgestellter “erheblicher” Datenschutzverstöße ein Bußgeldverfahren gegen den VfB Stuttgart (e.v. und AG) eröffnet wurde. Die Behörde habe über mehrere Monate ermittelt, insbesondere in Bezug auf Datenverarbeitungen, die im Zusammenhang mit der Mitgliederversammlung des Vereins im Jahr 2017 stehen. Aber auch weitere Datentransfers an externe Dienstleister sowie die generelle Umsetzung der DS-GVO standen im Fokus der Behörde. Dabei seien – auch in Kooperation mit den Verantwortlichen des Vereins sowie der AG – hinreichende tatsächliche Anhaltspunkte für Datenschutzverstöße festgestellt worden.

Hintergrund der Ermittlungen

Ausgangspunk der Ermittlungen war ein Bericht des Sportmagazins Kicker, wonach im Vorfeld der fraglichen Mitgliederversammlung wiederholt Mitgliederdaten an Dritte übermittelt wurden. Auf der Mitgliederversammlung wurde darüber entschieden, die Fußballabteilung des e.V. in eine AG auszugliedern. Um für dieses Vorhaben zu werben, soll der Verein mit einer externen PR-Agentur zusammengearbeitet haben. Der Inhaber der Agentur sollte zudem über eine Facebook-Seite eine Empfehlung zur Ausgliederung abgeben, heißt es. An den Inhaber der Agentur sollen zu diesem Zweck im Vorfeld der Mitgliederversammlung verschiedenste Daten der Mitglieder übermittelt worden seien. Nach Angaben des Vereins soll dieser Übermittlung ein Auftragsverarbeitungsvertrag zugrunde gelegen haben, der Kicker äußerte an dieser Darstellung jedoch Zweifel.

Bereits unmittelbar nach Erscheinen des Berichts kündigte Brink an, ein Auskunftsverfahren einzuleiten, um den erhobenen Vorwürfen nachzugehen. Auch der VfB Stuttgart selbst ließ den Sachverhalt extern durch eine Kanzlei untersuchen, wobei aber auch Berichte kursierten, die AG habe versucht, Einfluss auf die Ermittlungen seitens der Kanzlei zu nehmen. Auch sei festgestellt worden, dass zehntausende Mitglieder von den angeblich unzulässigen Datentransfers betroffen gewesen seien.

“Spürbares” Bußgeld droht

Zwar betonte Brink, dem Verein und der AG drohe trotz der ausdrücklich gelobten Kooperation ein “spürbares” Bußgeld, jedoch ereigneten sich die vorgeworfenen Verstöße bereits in den Jahren 2016 und 2017, also noch vor Inkraftreten der DS-GVO mit ihren weitaus gravierenderen Bußgeldmöglichkeiten. Insofern könnte der Imageschaden für den VfB Stuttgart unter Umständen größer sein als der wirtschaftliche Verlust. Mit der Verhängung des Bußgelds soll noch im Februar zu rechnen sein.

Die Stadt Tübingen darf keine Liste mit „auffälligen“ Asylbewerbern führen

7. Oktober 2020

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink (LfDI) untersagte der Stadt Tübingen die Nutzung polizeilicher Daten für eine Liste mit „auffälligen“ Asylbewerbern.

Seit eineinhalb Jahren streiten der Oberbürgermeister der Stadt Tübingen Boris Palmer und der LfDI bezüglich der Rechtmäßigkeit einer von der Stadtverwaltung geführten „Gefährderliste“. Gespeist wird die Liste mit Daten die die Polizei aufgrund ausländerrechtlicher Vorgaben an die städtische Ausländerbehörde übermittelt und die auch an die städtische Verwaltung weitergegeben werden. Nach eigenen Angaben der Stadt dient die Liste dazu, die städtischen Bediensteten und die Bevölkerung vor Übergriffen dieses Personenkreises zu schützen.

Der LfDI bewertet diesen Datenaustausch als rechtswidrig. Die betroffenen Daten unterlägen einer Zweckbindung, die nur Maßnahmen für ausländerrechtliche Zwecke umfasse. Für eine Übermittlung zu anderen Zwecken der Verwaltung bestehe demnach keine Rechtsgrundlage. Die Eintragung der personenbezogenen Daten einer betroffenen Person in die Liste erfolge außerdem, ohne dass die Staatsanwaltschaft oder ein Gericht sich bereits mit dem Vorwurf befasst und diesen in einem rechtsstaatlichen Verfahren bestätigt hätten. Nach Einschätzung des LfDI würden solche „Gefährderlisten“ auf Grundlage eines bloßen Verdachts, der rechtsstaatlich nicht überprüft wurde, die Rechte ausländischer Mitbürger verletzen.

In seiner Pressemitteilung wies der LfDI außerdem darauf hin, wie mühsam sich die Klärung der gegenständlichen Frage mit der Stadt Tübingen darstellte. So würden bis heute zugesagte Akten noch fehlen. Mit der Untersagungsverfügung hat der LfDI erstmals eine Anordnung gegenüber einer Kommune erlassen.

Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg verhängt

1. Juli 2020

Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.

Der Sachverhalt

Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.

Begründung der Bußgeldhöhe

Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.

Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.

Fazit

Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine “Daueraufgabe”, und nicht mit der einmaligen Implementierung der TOMs erledigt.

Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.

Polizei sammelt Covid-19 Patientenlisten

15. April 2020

In verschiedenen Bundesländern wurden Covid-19 Patientenlisten von den Gesundheitsämtern an die Polizeibehörden weitergeleitet. Derzeit bekannt ist eine Weitergabe in Niedersachsen, Bremen, Mecklenburg-Vorpommern und Baden-Württemberg. In Bayern erhielt der Landesbeauftragte für Datenschutz mehrere Anfragen, die er ablehnte. Die Covid-19 Patientenlisten enthalten personenbezogene Daten über die Personen, die sich in Quarantäne befinden. Dazu zählen sowohl sensible Gesundheitsdaten, als auch Informationen zu Quarantänebestimmungen und Kontaktpersonen.

Kritik:

Die Datenschutzbeauftragten sprechen sich überwiegend gegen eine Datenweitergabe an die Polizei aus. Der Datenschutzbeauftragte des Landes Baden-Württemberg Stefan Brink kritisierte, dass den Polizeibehörden die Rechtsgrundlage für das Handeln fehle und die Weitergabe rechtswidrig sei. Das Gesetz über den Gesundheitsdienst käme als Rechtsgrundlage nicht in Betracht, da es eine konkrete Gefahr voraussetze. Vor einem polizeilichen Einsatz bestünde für die Beamten lediglich eine potentielle Gefahr, die nicht ausreiche. Zusätzlich warnte er davor, dass auf der Grundlage weitere Behörden die Listen anfordern könnten und so eine klare Grenzziehung erschwert werden könnte. Der Präsident der Ärztekammer Mecklenburg-Vorpommern, Andreas Crusius, stellte die Erforderlichkeit der Listenweitergabe in Frage. Bei Bedarf könnte sich die Polizei alternativ jederzeit an die Amtsärzte wenden, die im Einzelfall eine Auskunft zum Gesundheitszustand der Person erteilen könnten. Außerdem bezweifelte er, dass die Listen zum Zeitpunkt der Ankunft überhaupt noch aktuell sind. Die niedersächsische Datenschutzbehörde äußerte sich ebenfalls kritisch und untersagte die Datenweitergabe. Der Datentransfer verstoße gegen den Datenschutz, die ärztliche Schweigepflicht und die Verhältnismäßigkeit. Die Polizei hatte die Datenverarbeitung auf die Gefahrenabwehr gemäß § 41 NPOG, auf das Infektionsschutzgesetz sowie den rechtfertigenden Notstand nach§ 34 StGB gestützt. Dem widersprach die niedersächsische Datenschutzbeauftrage Barbara Thiel, da der rechtfertigende Notstand gemäß § 34 StGB nicht pauschal für alle Personen gelten könne, die auf der Liste stehen.

Der Datenschutzbeauftragte von Mecklenburg-Vorpommern Heinz Müller stuft die Weitergabe der Covid-19 Liste als vertretbar ein. Die Polizei könnte ihr Vorgehen auf ihr berechtigtes Interesse, dem Infektionsschutz von Polizeibeamten, stützen. Beispielsweise müssten die Beamten vor dem Einsatz in einer häuslichen Umgebung wissen, ob in der Wohnung Covid-19 Infizierte leben. Diesbezüglich könnte jedoch erneut die fehlende Erforderlichkeit der Maßnahme und die Pauschalität kritisiert werden.

Lösungsansatz:

Das Innenministerium von Baden-Württemberg liefert einen möglichen Lösungsvorschlag für die Problematik. Es wurde eine Rechtsverordnung erarbeitet, die der Polizei, nur in Einzelfällen, den Zugriff auf eine passwortgeschützte Datenbank mit den Covid-19 Infizierten erlaubt. Die kursierenden Patientenlisten sollen vernichtet und die Betroffenen darüber informiert werden.