Hier ist der 48. Blog-Beitrag "Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 30/2022)".
Wir wünschen eine gute Lektüre,
Rudi Kramer und Frank Spaeing
1.1 Niedersachsen: Bußgeld wegen Profilbildung zu Werbezwecken
In Niedersachsen wurde gegen ein Kreditinstitut durch die LfD Niedersachsen ein Bußgeld in Höhe von 900.000 Euro festgesetzt. Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es Kundinnen und Kunden mit einer erhöhten Neigung zu digitalen Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht. Die Grundlage der Interessensabwägung genüge dazu nicht. Der Bescheid ist noch nicht rechtkräftig.
1.2 Niedersachsen: Bußgeld für VW in Höhe von 1,1 Mio. Euro
VW hat ein „Erprobungsfahrzeug“ zu Forschungszwecken fahren lassen und dabei Daten erhoben. Ziel war es Erkenntnisse für Fahrassistenzsysteme zu gewinnen, die Unfallsituationen reduzieren sollten. Das war wohl alles ok, was aber bemängelt wurde ist, dass es auch Kameras gab, die die Umgebung aufnahmen und auswerteten, ohne dass diese Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert wurde, eine Datenschutz-Folgenabschätzung durchgeführt wurde oder die Informationspflichten umgesetzt waren. Dies fiel in Österreich auf und die beteiligten Aufsichtsbehörden kamen unter Federführung der LfD Niedersachsen auf ein Bußgeld von 1,1 Mio. Euro. Und VW akzeptierte dies. Und Tesla-Fahrer aufgemerkt: Dies wird auch bei Tesla-Fahrzeugen moniert, nur gilt da dann der Fahrer/Halter als Verantwortlicher – der Hersteller wird in der DS-GVO nicht adressiert; vgl. die nächste Meldung.
1.3 HBDI: Nachbesserungen bei der DS-GVO bzgl. Herstellerhaftung
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bemängelt, dass die DS-GVO nicht direkt Hersteller adressiert, und nennt als Beispiel Tesla, dessen Fahrzeuge z.B. im Wächtermodus eine Rundumsicht durch Kameras erstellen, für die der Nutzer dann datenschutzrechtlich verantwortlich wird.
1.4 BayLDA: Falschparker melden – ein Fall für den Datenschutz?
Ist es ein datenschutzrechtliches Problem wenn Sie falsch parkende Autos, die Sie auf dem Radweg/Gehweg behindern, fotografieren und der Polizei meldeen? Anscheinend schon, zumindest hat das BayLDA in einigen Fällen gegen die Anzeigenerstatter ermittelt. Berichten zufolge wird nun aber kein Bußgeld erhoben. Fragen bleiben trotzdem, wo Aufsichtsbehörden die Grenze ziehen zwischen zügellosem Erfassen fremder Daten und Beweissicherung einer mich einschränkenden Ordnungswidrigkeit.
1.5 CNIL: FAQ zu Google Analytics
Die CNIL hat FAQs zum Einsatz von Google Analytics veröffentlicht. Voilá.
1.6 CNIL: Augmented Reality im öffentlichen Raum
An was muss aus Datenschutzsicht gedacht werden, wenn Augmented Reality im öffentlichen Raum eingesetzt wird? Die CNIL hat auch dazu Hinweise veröffentlicht.
1.7 Slowenien: Zur gemeinsamen Verantwortlichkeit eines Cloud-Providers
Wann wird ein Auftragsverarbeiter zu einem gemeinsamen Verantwortlichen? Die slowenische Datenschutzaufsicht hat dies in einem Fall geprüft und dann bejaht. Wird bereits heiß diskutiert.
1.8 Spanien: Übersicht der Sanktionen
Es ist in Deutschland nicht möglich eine Übersicht über die bereits ergangenen Sanktionen zu erstellen. Und das liegt nicht nur an dem föderalen System der Aufsichten oder der oft nicht berücksichtigten kirchlichen Aufsichten. Es fehlt oft einfach an der Transparenz. Offener geht es da in Spanien zu, wie sich an diesem Bericht mit Schaubild nachvollziehen lässt.
1.9 Baltische Aufsichten: gemeinsame Prüfung der Kurzzeit-Mietwagen
Berichten zufolge prüfen die Aufsichten der baltischen Staaten (Estland, Litauen Lettland) gemeinsam Mietwagenanbieter auf die Einhaltung datenschutzrechtlicher Vorgaben. Ziel ist auch aus den Erkenntnissen Empfehlungen für bewährte Verfahren für Unternehmen zu entwickeln, die solche und ähnliche Dienstleistungen für natürliche Personen erbringen.
1.10 BSI: Quiz zu Social Media
Im Rahmen seiner Aktion „einfachaBSIchern“ bietet das BSI auch ein kurzes Quiz zu Social Media an. Datenschutz bzw. urheberrechtliche Inhalte werden dabei nicht geprüft – aber die kennen Sie ja, da Sie hier immer fleißig mitlesen, richtig?
2.1 Vergabekammer BW: Unzulässige Drittstaatenübermittlung
Die Vergabekammer Baden-Württemberg hat eine spannende Entscheidung getroffen, die einen ihrer Meinung nach unzulässigen Drittstaatentransfer betrifft. Der Zuschlag ging an einen Anbieter, der als europäische Tochter einer US-amerikanischen Konzernmutter gehört. Daher genügte der Vergabekammer diese Tatsache, da die Möglichkeit eines Zugriffs nicht ausgeschlossen sei, gleich eine Übermittlung anzunehmen. Etwas überspitzt formuliert, könnte mich dann auch die Polizei aus dem Verkehr ziehen, wenn ich einen Kasten Bier im Kofferraum habe, weil auch da eine Zugriffsmöglichkeit und eine Trunkenheitsfahrt nicht auszuschließen sei (OK, ich bin kurz vor dem Urlaub und die Beispiele werden kurioser).*
Das Gericht befasst sich mit den Anforderungen aus Schrems II und den Anforderungen an eine Übermittlung. Nach der Pressemeldung sei die Entscheidung auch nicht rechtskräftig. Ungeachtet, dass der EDSA bereits Guidelines zum Übermittlungsbegriff im Drittstaatentransfer veröffentlichte, wäre es wünschenswert, wenn es dazu Rechtsprechung des EuGH gäbe, damit Rechtssicherheit entstünde und der Gesetzgeber evtl. nachjustieren könnte. Natürlich schlägt diese Entscheidung Wellen und wird schon entsprechend und oft diskutiert.
* Franks Anmerkung: Das Beispiel als Vergleich hinkt aber tatsächlich sehr. Es müsste irgendwie noch eine Regel geben, die den fahrenden Autor unter bestimmten Umständen zum Alkoholkonsum zwingt und ihm dann aber auch verbietet, darüber die Wahrheit zu sagen... OK, es wird tatsächlich nicht exakter, es hinkt immer noch sehr.
2.2 OLG Nürnberg: Haftung der Geschäftsführung für Compliance
Das OLG Nürnberg entschied in einem Haftungsfall, dass aus der Legalitätspflicht die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance-Management-Systems folgt, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. [...] Eine Pflichtverletzung liegt demnach schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle von Mitarbeitenden der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. [...] Verletzt der Geschäftsführer diese Obliegenheit, so haftet er der Gesellschaft für den entstandenen Schaden. Natürlich umfasst dies auch unzureichende Maßnahmen hinsichtlich Datenschutz und Unternehmenssicherheit.
2.3 VG Frankfurt: Stand der Technik bei verschlüsselten E-Mails
Das VG Frankfurt entschied, dass bei der elektronische Kommunikation im Zusammenhang mit der Meldung von Kriegswaffenbeständen an das Bundesamt für Wirtschaft und Ausfuhrkontrolle wegen der Sensibilität eine unverschlüsselte elektronische Kommunikation nicht zulässig wäre. Gegenwärtig sei aber eine Ende-zu-Ende-Verschlüsselung ausreichend. Mich irritiert nur daran, dass in der Urteilsbegründung ausgeführt wird, dass eine Transportverschlüsselung sei hier als Stand der Technik ausreichend*. Es ging um die Anforderungen an technische Schutzmaßnahmen bei Meldungen nach dem Kriegswaffenkontrollgesetz.
* Franks Anmerkung: Tja, wenn Ende-zu-Ende-Verschlüsselung und Transportverschlüsselung gleichgesetzt wird, dann ist das natürlich problematisch. Ob sie den Unterschied tatsächlich nicht kennen?
2.4 Niederlande: Urteil zu berechtigten Interessen
Im Jahr 2020 war die niederländische Aufsichtsbehörde der Ansicht, dass wirtschaftliche Interessen kein schützenswertes Interesse eines Online-Fußballsenders sei, das bei Art. 6 Abs. 1 lit. f DS-GVO berücksichtigt werden könne. Darauf begründete sie ihr Bußgeld in Höhe von 575.000 Euro. Der niederländische Staatsrat hob nun in seiner Eigenschaft als allgemeines Verwaltungsgericht diese Entscheidung auf. Berichten zufolge will der Sender seine Aktivitäten nun wieder aufnehmen.
3.1 Hinweisgeberschutzgesetz
Die Regierung hat nun nach der Verbändeanhörung ihren Entwurf zu einem Hinweisgeberschutzgesetz veröffentlicht. Damit kommt sie einer Richtlinie der EU nach, die bereits bis Ende letzten Jahres hätte umgesetzt sein sollen. Eine Darstellung der Regelungen finden Sie hier.
3.2 BMAS: Anforderungen an die Barrierefreiheit
Das BMAS hat Leitlinien für die Barrierefreiheit veröffentlicht. Ja, ok, auf den ersten Blick scheint Barrierefreiheit kein Datenschutzthema – oder doch? Nach Art. 12 Abs. 1 DS-GVO sind Mitteilungen an betroffene Personen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Da kann man – je nach Zielgruppe – auch schon mal an Barrierefreiheit denken. Mehr Infos zur Barrierefreiheit finden Sie auf den Seiten des BMAS hier und auf diesen Kanzleiseiten eine Darstellung der rechtlichen Anforderungen und Fristen.
3.3 Anfrage im Bundestag zur Digitalen Verwaltung
Die Kleine Anfrage im Bundestag (Drucksache 20/2817) befasst sich mit der Digitalen Verwaltung, genaugenommen mit Stand und Zukunft des Onlinezugangsgesetzes einschließlich eID-Verfahren, Standards, Open Source, Nachvollziehbarkeit und Transparenz. Antworten dazu liegen noch nicht vor.
3.4 Evaluierung der RL 2016/680
In Art. 62 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates wurde festgelegt, dass bis zum 6. Mai 2022 eine erste Evaluierung durch die Kommission durchgeführt du die Berichte öffentlich gemacht werden. Der erste Evaluierungsbericht liegt nun vor.
3.5 Data Act
Was regelt der Data Act nun eigentlich? Und wie wirkt sich dies auf die vorgesehenen Datenzugangsansprüche im Verhältnis B2B, B2C und B2G aus? Wer sich dafür interessiert, findet hier* umfassende Antworten.
* Franks Anmerkung: Im Link ist ein Expires-Timecode intergriert, kann also sein, dass er irgendwann nicht mehr funktioniert... Am Besten die PDF abspeichern.
3.6 Datenschutzrecht als Verbraucherschutzrecht
OK, es ist eigentlich nicht passend in der Rubrik Gesetzgebungsverfahren. Und doch passt es hierher, weil der Beitrag* auch kumulative Maßnahmen zur Behebung der bestehenden Marktversagen auf Datenmärkten vorschlägt, nachdem analysiert wurde, wie Privatautonomie und gewünschte Nutzung, z.B. für Krebsforschung, zusammenspielen.
* Franks Anmerkung: Auch hier ist ein Expires-Timecode in der PDF, auch hier empfiehlt sich vielleicht das rechtzeitige Abspeichern?
3.7 Digital Markets Act
Durch den Digital Markets Act sollen der EU-Kommission besondere Befugnisse gegen eine missbräuchliche Ausnutzung von Marktmacht durch große Internetplattformen, sog. Gatekeeper, eingeräumt werden. Dabei handelt es sich um Anbieter digitaler Dienste, die bestimmte Schwellenwerte bezüglich des Umsatzes und der Marktkapitalisierung erreichen. Diese Info habe ich hier gefunden, dort bekommen Sie auch die Darstellung der Entwicklungsgeschichte und zusätzliche Informationen dazu. Eine Bewertung der Meistbegünstigungspraktiken finden Sie hier.
3.8 Digital Service Act
Der Digital Service Act soll als Verordnung ein einheitliches Regelwerk zu Pflichten und Verantwortlichkeiten von Vermittlern schaffen, um künftig binnenmarktweit digitale Dienste länderübergreifend anbieten zu können. Auch dazu finden Sie auf den Seiten des Fachverlages die Entwicklungsgeschichte und zusätzliche Materialien.
3.9 vbw: Anpassung in DS-GVO
Der Verband der Bayerischen Wirtschaft (vbw) sieht Anpassungsbedarf an der DS-GVO, insb. beim Auskunftsanspruch, der für unverhältnismäßigen Aufwand sorge. Für ein Beschäftigungsgesetz sieht er bestehende Regelungen als ausreichend an und er hofft, dass die Nachfolgeregelung des EU-US Privacy Shields so ausgestaltet wird, dass es einer erneuten gerichtlichen Überprüfung standhält. Das hoffen wir wohl alle.
4.1 Podcasts des EDPS zu AI
Der EDPS präsentiert stolz seine dreiteilige Podcastreihe zu „AI and I“, die sich u.a. mit der Definition (erste Episode), den Risiken (zweite Episode) und den daraus folgenden Aspekten zur Regulierung (in der dritten Episode) befasst.
5.1 Konzeptstudie Datengenossenschaft
Welche Möglichkeiten gibt es Datenverarbeitungen vertrauensvoll und transparenzwahrend durchzuführen? Ein Schlagwort dabei ist die „Datengenossenschaft“. Was darunter verstanden werden kann und welche Geschäftsmodelle sich damit verbinden lassen ist der Konzeptstudie* der Forschungsstelle für Rechtsfragen neuer Technologien sowie Datenrecht e.V. zu entnehmen.
* Franks Anmerkung: Und auch hier ist ein Expires-Timecode in der PDF, auch hier empfiehlt sich vielleicht das rechtzeitige Abspeichern?
5.2 Veranstaltungen
02.08.2022, 17:00 – 19:00 Uhr: Laut Ankündigung geht es um grenzüberschreitende Verarbeitungen bei Internet-Unternehmen wie Meta und Google. Die mitgliedstaatlichen Aufsichtsbehörden sind auf eine effektive Kooperation angewiesen. Prof. Kelber gibt einen Überblick über die praktischen Probleme der Zusammenarbeit und erörtert Lösungen. Anmeldung erforderlich.
20.09.2022, 12:30 – 18:00 Uhr: Das vorläufige Programm wurde veröffentlicht und als Save-the-Date-Info ins Netz gestellt.
27.09.2022, 19:00 – 20:30 Uhr: Der Journalist Daniel Moßbrucker berichtet über seine Recherchen zum Missbrauch von Kinderbildern im Netz. Daher auch nur als Präsenzveranstaltung. Anmeldung erforderlich.
6.1 Kinderbilder im Urlaub
Klicksafe informiert Eltern, welche Gefahren durch das Einstellen von Kinderbildern drohen und gibt Tipps zum verantwortungsvollen Umgang damit. Nicht nur im Urlaub bedenkenswert!
6.2 Entsorgen – aber richtig
Vertrauliche Daten sind so zu entsorgen, dass die Vertraulichkeit gewahrt bleibt. Was in jeder Datenschutz-Sensibilisierung ein Thema ist, scheint sich nach diesem Bericht noch nicht bei jedem rumgesprochen zu haben. Zumindest fanden sich im Hausmüll einer Potsdamer Wohnanlage Dokumente und Dokumentereste, die dort nicht hingehören.
6.3 Apples Look Around
Schau, schau – jetzt auch Apple. Berichten zufolge werden nun die Aufnahmen freigegeben, die Apple in Deutschland angefertigt hat. Wer dabei Bedenken gegen die unter dem Namen „Look Around“ vertrieben Funktion hat, kann sich beim BayLDA informieren, wie er vorgehen kann.
6.4 Apple Nacktfotoscanner
Fast schon passend zu Look Around: Nach dieser Meldung startet Apples Nacktfotoscanner für iPhones nun auch in Deutschland. Erkennt ein iPhone, dass Kinder Nacktbilder senden oder empfangen, schreitet die Software ein: Die zwischenzeitlich auf Eis gelegte Jugendschutzfunktion können Eltern nun auch hierzulande aktivieren. Quasi ein „Look Around“ nach innen.
7.1 „Zahlen mit Daten“
Eine nette Werbeidee eines Messengerdienstes, der in einem Spot die digitale Welt in die analoge transportiert. Gab es schon mal, nur real.
7.2 Datenschutzfreundliche Apps
„Gibt es denn überhaupt datenschutzfreundliche Alternativen?“ hört man gelegentlich. Ja, ein Fachverlag hat darüber berichtet. Und hier ist der Direktlink. Sie müssen sie nur nutzen!
Franks Nachtrag: Auch wenn das hier noch nicht reif für den Produktiveinsatz ist, sollten doch alle App-Hersteller darauf achten diese Prinzipien in ihren Apps umzusetzen.
8.1 Apple macht laut Analysten Meta das Leben schwer
Nachzulesen hier. Meine Meinung? Gut so!
Nächste Woche gibt es wieder mehr von mir. Bis dahin genieße ich den restlichen Urlaub.
