Frank Spaeing
„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 14/2022)“ – ein Zwischenspiel
Hier ist der 2. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 14/2022)“ – ein Zwischenspiel.
- Aufsichtsbehörden
- Rechtsprechung
- Gesetzgebung
- Künstliche Intelligenz und Ethik
- Veröffentlichungen
- Gesellschaftspolitische Diskussionen
- Sonstiges / Blick über den Tellerrand
- Franks Zugabe
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1 Aufsichtsbehörden
1.1 Hamburg: Gestaltung von Einwilligungsbannern
Die Einwilligungsbanner auf den Seiten der Google-Suchmaschine und auf YouTube entsprechen nach Ansicht der Hamburger Datenschutzaufsichtsbehörde (HmbBfDI) derzeit nicht den datenschutzrechtlichen Anforderungen. So sei es zwar nach einem Klick auf die Schaltfläche „Ich stimme zu“ möglich auf den Angeboten von Google in alle Verarbeitungen persönlicher Daten einzuwilligen. Allerdings hätten diejenigen, die eine solche Einwilligung nicht erteilen möchten, nur die Möglichkeit die Einstellungen für jede Datenverarbeitung einzeln über die Seite „Anpassen“ zu verweigern.
Eine wirksame Einwilligung könne nur dann abgegeben werden, wenn beide Handlungsalternativen, also Zustimmung und Ablehnung, gleichermaßen schnell und einfach zugänglich seien. Das Ablehnungsverfahren für die Verarbeitungen persönlicher Daten von Google werde vom HmbBfDI im Vergleich zur Zustimmung als erheblich aufwändiger und nicht gleichwertig bewertet. Damit entspreche das Verfahren nicht dem TTDSG und der DS-GVO. Der HmbBfDI nimmt dabei auch Bezug auf eine Entscheidung der französischen Aufsichtsbehörde CNIL, die dazu auch schon Bußgeldbescheide verhängte. Laut der Pressemeldung wurden auch Medienhäusern entsprechend angeschrieben und Google hätte bereits Bereitschaft zur Anpassung gezeigt.
Auch wenn die Argumentation nicht alle überzeugen mag, denken Sie daran, Aufsichtsbehörden sind nicht die Einzigen, die Ansprüche geltend machen können: Auch Verbraucherschutzverbände oder natürliche Personen könnten Rechte geltend machen, sollte eine Einwilligungsgestaltung rechtliche Mängel aufweisen. So aktuell in NRW, wo die Verbraucherzentrale Google wegen eines Cookie-Banners verklagte.
2 Rechtsprechung
2.1 EuGH: Stellungnahme zur Zweckänderung und Löschfristen bei Testdaten
Ein Unternehmen legte sich eine Testdatenbank an, löschte diese nicht und diese Datenbank wurde durch einen „ethischen Hacker“ gefunden. Die Aufsichtsbehörde verhängte eine Geldstrafe, weil der Zweck (Test- und Fehleranalyse) für den die Daten, die ca. 1/3 der gesamten Kunden umfassten, verarbeitet wurden, bereits länger als 18 Monate erfüllt war. Dem EuGH liegen nun Fragen zu den Löschfristen und Zweckänderungen vor.
Der Generalanwalt hat jetzt dazu seine Stellungnahme veröffentlicht. Sofern die separate Speicherung zum selben Zweck erfolgt oder mit den Zwecken der ursprünglichen Verarbeitung vereinbar ist (Art. 6 Abs. 4 DS-GVO), sieht er keine Zulässigkeitsprobleme einer separaten Speicherung. Allerdings sieht er eine Löschpflicht, sobald der Zweck dieser separaten Speicherung einer Testdatenbank (hier zur Behebung einer technischen Störung und zur vorübergehenden Sicherung der personenbezogenen Daten) mit der Behebung dieser Störung erreicht wurde.
2.2 EuGH: Anforderungen an Löschbegehren gegenüber Suchmaschinenbetreiber
Der Generalanwalt hat in einem Verfahren, das sich mit Löschbegehren gegen Suchmaschinenbetreiber befasst, seine Stellungnahme abgegeben. Bei einer Fragestellung beruhte das Löschbegehren auf bloßes Vorbringen ohne Beweise, dass Angaben auf einer Webseite unwahr seien, die andere Fragestellung betrifft das Unterlassen der Anzeige von Fotos, die mit diesen Artikeln in Form von Vorschaubildern verbunden sind. Der Generalanwalt arbeitet dabei vier Eckpunkte heraus:
- Die Tätigkeit von Suchmaschinen erfüllt die Anforderungen an eine „Verarbeitung personenbezogener Daten“, der Suchmaschinenbetreiber zählt als Verantwortlicher nach Art. 4 Nr. 7 DS-GVO.
- Aus dem Einsatz von Suchmaschinen können sich schwere Eingriffe in die Grundrechte der betroffenen Personen ergeben.
- Der dritte Eckpunkt betrifft die Notwendigkeit im Kontext eines an den Betreiber einer Suchmaschine gerichteten Auslistungsantrags alle in Rede stehenden Grundrechte zu berücksichtigen und eine Abwägung dieser Rechte vorzunehmen, die neben den Umständen des konkreten Falls den technischen Merkmalen im Bereich des Internets Rechnung trägt.
- Der vierte Eckpunkt schließlich besteht darin, dass dem Suchmaschinenbetreiber die Aufgabe zugewiesen wird diese Abwägung vorzunehmen, um sicherzustellen, dass den Anforderungen der DSGVO genügt wird.
Daraus lassen sich folgende Rückschlüsse ableiten:
- Eine Auslistung kann nicht allein auf der Grundlage des einseitigen Antrags des Betroffenen vorgenommen werden. Ein Betroffener sei verpflichtet, die Umstände anzugeben, auf die der Antrag gestützt wird, und einen Anfangsbeweis dafür zu erbringen, dass die Inhalte, deren Auslistung verlangt wird, unrichtig seien.
- Der Suchmaschinenbetreiber hingegen müsse die Überprüfungen durchführen, mit denen die Begründetheit des Antrags bestätigt oder nicht bestätigt wird. Die Überprüfungen müssen sich dabei im Rahmen seiner konkreten Möglichkeiten halten.
- Der Suchmaschinenbetreiber hat, wenn möglich, den Herausgeber der gelisteten Website zu kontaktieren und dann darüber zu entscheiden, ob er dem Auslistungsantrag stattgibt oder nicht.
- Und schließlich: Für namensbezogene Bildersuchen über eine Internetsuchmaschine gelten dieselben Regeln wie für Websuchen.
3 Gesetzgebung
Heute mal nichts…
4 Künstliche Intelligenz und Ethik
4.1 Frankreich: Materialien zu Künstlicher Intelligenz
Die französische Datenschutzaufsicht CNIL veröffentlicht eine Reihe von Materialien zu den Herausforderungen der künstlichen Intelligenz (KI) im Zusammenhang mit dem Schutz der Privatsphäre. Damit will die CNIL im Rahmen einer europäischen Strategie zur Förderung der Exzellenz im Bereich der künstlichen Intelligenz ihren Beitrag leisten. Insbesondere ginge es darum einen soliden Rechtsrahmen für KI auf der Grundlage von Menschenrechten und Grundwerten zu entwickeln und so das Vertrauen der europäischen Bürgerinnen und Bürger aufzubauen.
5 Veröffentlichungen
5.1 Veranstaltung zu CoC Credit Management
Bei der Veranstaltung der Stiftung Datenschutz zu Verhaltensregeln informierte der Bundesverband im Credit Management über sein Vorhaben zu Verhaltensregeln des Bundesverbands Credit Management zur Risikobewertung im Forderungsmanagement. Die Veranstaltung und die gezeigten Folien lassen sich auf den Seiten der Stiftung Datenschutz finden. Interessant wird der Inhalt sicherlich auch für alle Stellen, die im kreditgebenden Bereich tätig sind.
5.2 Veranstaltungen
Heute mal keine Veranstaltungsankündigungen…
6 Gesellschaftspolitische Diskussionen
6.1 Doch staatlicher Hackback?
Innerhalb der Bundesregierung wird diskutiert, ob es eine gesetzliche Grundlage für ein „Hackback“, also eine Art Gegenoffensive bei Cyberangriffe geben soll. Das Thema ist nicht neu, die Stiftung Neue Verantwortung hat sich bereits vor vier Jahren damit befasst. Argumente dagegen liefert u.a. auch der Sprecher der AG Kritis.
Franks Anmerkung: Hackback, echt jetzt? Das ist doch schon länger klar, dass das eine blöde Idee ist… Einfach in die Folien schauen.
7 Sonstiges/Blick über den Tellerrand
7.1 Statistik: Kinderpornographie
Die Befürchtungen anlässlich der Verschärfung des § 184b StGB (Verbreitung, Erwerb und Besitz kinderpornographischer Inhalte) wurden schon vorhergesagt – und sie scheinen sich bewahrheitet zu haben. Der Tatbestand kann auch durch Minderjährige hinsichtlich eigener Aufnahmen verwirklicht werden und durch die Verschärfung besteht nun über das Legalitätsprinzip Ermittlungspflicht bei den Ermittlungsbehörden.
Laut Polizeilicher Kriminalstatistik waren im Jahr 2021 fast 40 Prozent der Tatverdächtigen nur bei der Verbreitung von Kinderpornografie über das Tatmittel Internet (aufgeklärte Fälle) jünger als 18 Jahre. Mit der Gesetzesverschärfung hat die Aufklärung in diesem Themenfeld nochmals an Bedeutung gewonnen. Die Kampagne der Polizei „SOUNDS WRONG“ klärt junge Menschen und ihr erwachsenes Umfeld über die strafbare Verbreitung von Missbrauchsdarstellungen auf. Mittels FAQ-Formaten und markanten Kampagnenclips können sich die Zielgruppen über den Umgang mit erhaltenen kinderpornografischen Inhalten auf der Kampagnenwebsite informieren.
8. Franks Zugabe
8.1 Tracking und Werbung statt Ersparnis?
Auch wenn die Kraftstoffkosten an den Tankstellen langsam wieder fallen (heute gab es mehrfach Preise von unter zwei Euro je Liter an durch mich wahrgenommenen Tankstellen) ist es doch so, dass bewusstes Tanken bares Geld sparen kann. Und wenn ich nicht ständig auf die Preisschilder der Tankstellen starren möchte, sollte ich mir vielleicht eine Spritspar-App zulegen, um den Überblick zu behalten und die günstigen Phasen zu erwischen (ich z.B. tanke regelmäßig, wenn es planbar ist, an der zwei Kilometer entfernten Tankstelle Abends zwischen neun und zehn Uhr. Da ist der Preis üblicherweise beim Tagestief (was heute 20 Cent weniger war als das Tageshoch). Natürlich prüfe ich das vorher in einer App.
Oder ich suche mir bei längeren Dienstreisen günstige Tankstellen entlang der Route raus.
Schade, wenn die Spritspar-App dann neben den Informationen zu günstigen Preisen auch noch Tracking und Werbung angereichert um Datenschutzverstöße liefert.
Apps, bei denen das der Fall ist, finden sich hier.