Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 30/2022)“

Hier ist der 48. Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 30/2022)“.

  1. Aufsichtsbehörden
    1. Niedersachsen: Bußgeld wegen Profilbildung zu Werbezwecken
    2. Niedersachsen: Bußgeld für VW in Höhe von 1,1 Mio. Euro
    3. HBDI: Nachbesserungen bei der DS-GVO bzgl. Herstellerhaftung
    4. BayLDA: Falschparker melden – ein Fall für den Datenschutz?
    5. CNIL: FAQ zu Google Analytics
    6. CNIL: Augmented Reality im öffentlichen Raum
    7. Slowenien: Zur gemeinsamen Verantwortlichkeit eines Cloud-Providers
    8. Spanien: Übersicht der Sanktionen
    9. Baltische Aufsichten: gemeinsame Prüfung der Kurzzeit-Mietwagen
    10. BSI: Quiz zu Social Media
  2. Rechtsprechung
    1. Vergabekammer BW: Unzulässige Drittstaatenübermittlung
    2. OLG Nürnberg: Haftung der Geschäftsführung für Compliance
    3. VG Frankfurt: Stand der Technik bei verschlüsselten E-Mails
    4. Niederlande: Urteil zu berechtigten Interessen
  3. Gesetzgebung
    1. Hinweisgeberschutzgesetz
    2. BMAS: Anforderungen an die Barrierefreiheit
    3. Anfrage im Bundestag zur Digitalen Verwaltung
    4. Evaluierung der RL 2016/680
    5. Data Act
    6. Datenschutzrecht als Verbraucherschutzrecht
    7. Digital Markets Act
    8. Digital Service Act
    9. vbw: Anpassung in DS-GVO
  4. Künstliche Intelligenz und Ethik
    1. Podcasts des EDPS zu AI
  5. Veröffentlichungen
    1. Konzeptstudie Datengenossenschaft
    2. Veranstaltungen
      1. „Digitales Kolloquium“ zu Praxis der Europäischen Datenschutzaufsicht mit dem BfDI
      2. DSiN: Jahreskongress „Cyberresilienz für Demokratie und Sicherheit im 21. Jahrhundert“ in Berlin
      3. Daten-Dienstag: „Kinderbilder im Netz“
  6. Gesellschaftspolitische Diskussionen
    1. Kinderbilder im Urlaub
    2. Entsorgen – aber richtig
    3. Apples Look Around
    4. Apple Nacktfotoscanner
  7. Sonstiges / Blick über den Tellerrand
    1. „Zahlen mit Daten“
    2. Datenschutzfreundliche Apps
  8. Franks Zugabe
    1. Apple macht laut Analysten Meta das Leben schwer



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 Niedersachsen: Bußgeld wegen Profilbildung zu Werbezwecken

In Niedersachsen wurde gegen ein Kreditinstitut durch die LfD Niedersachsen ein Bußgeld in Höhe von 900.000 Euro festgesetzt. Das Unternehmen hatte Daten aktiver sowie ehemaliger Kundinnen und Kunden ohne deren Einwilligung ausgewertet. Dazu analysierte es das digitale Nutzungsverhalten und wertete unter anderem das Gesamtvolumen von Einkäufen in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern sowie die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots aus. Hierzu bediente es sich eines Dienstleisters. Ergänzend wurden die Ergebnisse der Analyse mit einer Wirtschaftsauskunftei abgeglichen und von dort angereichert. Ziel war es Kundinnen und Kunden mit einer erhöhten Neigung zu digitalen Medien zu identifizieren und diese adressatengerecht für vertragsrelevante oder werbliche Zwecke verstärkt auf elektronischen Kommunikationswegen anzusprechen. Den meisten Kundinnen und Kunden wurden zwar vorab zusammen mit anderen Unterlagen Informationen zugeschickt. Diese ersetzten die notwendigen Einwilligungen allerdings nicht. Die Grundlage der Interessensabwägung genüge dazu nicht. Der Bescheid ist noch nicht rechtkräftig.

zurück zum Inhaltsverzeichnis

1.2 Niedersachsen: Bußgeld für VW in Höhe von 1,1 Mio. Euro

VW hat ein „Erprobungsfahrzeug“ zu Forschungszwecken fahren lassen und dabei Daten erhoben. Ziel war es Erkenntnisse für Fahrassistenzsysteme zu gewinnen, die Unfallsituationen reduzieren sollten. Das war wohl alles ok, was aber bemängelt wurde ist, dass es auch Kameras gab, die die Umgebung aufnahmen und auswerteten, ohne dass diese Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert wurde, eine Datenschutz-Folgenabschätzung durchgeführt wurde oder die Informationspflichten umgesetzt waren. Dies fiel in Österreich auf und die beteiligten Aufsichtsbehörden kamen unter Federführung der LfD Niedersachsen auf ein Bußgeld von 1,1 Mio. Euro. Und VW akzeptierte dies. Und Tesla-Fahrer aufgemerkt: Dies wird auch bei Tesla-Fahrzeugen moniert, nur gilt da dann der Fahrer/Halter als Verantwortlicher – der Hersteller wird in der DS-GVO nicht adressiert; vgl. die nächste Meldung.

zurück zum Inhaltsverzeichnis

1.3 HBDI: Nachbesserungen bei der DS-GVO bzgl. Herstellerhaftung

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bemängelt, dass die DS-GVO nicht direkt Hersteller adressiert, und nennt als Beispiel Tesla, dessen Fahrzeuge z.B. im Wächtermodus eine Rundumsicht durch Kameras erstellen, für die der Nutzer dann datenschutzrechtlich verantwortlich wird.

zurück zum Inhaltsverzeichnis

1.4 BayLDA: Falschparker melden – ein Fall für den Datenschutz?

Ist es ein datenschutzrechtliches Problem wenn Sie falsch parkende Autos, die Sie auf dem Radweg/Gehweg behindern, fotografieren und der Polizei meldeen? Anscheinend schon, zumindest hat das BayLDA in einigen Fällen gegen die Anzeigenerstatter ermittelt. Berichten zufolge wird nun aber kein Bußgeld erhoben. Fragen bleiben trotzdem, wo Aufsichtsbehörden die Grenze ziehen zwischen zügellosem Erfassen fremder Daten und Beweissicherung einer mich einschränkenden Ordnungswidrigkeit.

zurück zum Inhaltsverzeichnis

1.5 CNIL: FAQ zu Google Analytics

Die CNIL hat FAQs zum Einsatz von Google Analytics veröffentlicht. Voilá.

zurück zum Inhaltsverzeichnis

1.6 CNIL: Augmented Reality im öffentlichen Raum

An was muss aus Datenschutzsicht gedacht werden, wenn Augmented Reality im öffentlichen Raum eingesetzt wird? Die CNIL hat auch dazu Hinweise veröffentlicht.

zurück zum Inhaltsverzeichnis

1.7 Slowenien: Zur gemeinsamen Verantwortlichkeit eines Cloud-Providers

Wann wird ein Auftragsverarbeiter zu einem gemeinsamen Verantwortlichen? Die slowenische Datenschutzaufsicht hat dies in einem Fall geprüft und dann bejaht. Wird bereits heiß diskutiert.

zurück zum Inhaltsverzeichnis

1.8 Spanien: Übersicht der Sanktionen

Es ist in Deutschland nicht möglich eine Übersicht über die bereits ergangenen Sanktionen zu erstellen. Und das liegt nicht nur an dem föderalen System der Aufsichten oder der oft nicht berücksichtigten kirchlichen Aufsichten. Es fehlt oft einfach an der Transparenz. Offener geht es da in Spanien zu, wie sich an diesem Bericht mit Schaubild nachvollziehen lässt.

zurück zum Inhaltsverzeichnis

1.9 Baltische Aufsichten: gemeinsame Prüfung der Kurzzeit-Mietwagen

Berichten zufolge prüfen die Aufsichten der baltischen Staaten (Estland, Litauen Lettland) gemeinsam Mietwagenanbieter auf die Einhaltung datenschutzrechtlicher Vorgaben. Ziel ist auch aus den Erkenntnissen Empfehlungen für bewährte Verfahren für Unternehmen zu entwickeln, die solche und ähnliche Dienstleistungen für natürliche Personen erbringen.

zurück zum Inhaltsverzeichnis

1.10 BSI: Quiz zu Social Media

Im Rahmen seiner Aktion „einfachaBSIchern“ bietet das BSI auch ein kurzes Quiz zu Social Media an. Datenschutz bzw. urheberrechtliche Inhalte werden dabei nicht geprüft – aber die kennen Sie ja, da Sie hier immer fleißig mitlesen, richtig?

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 Vergabekammer BW: Unzulässige Drittstaatenübermittlung

Die Vergabekammer Baden-Württemberg hat eine spannende Entscheidung getroffen, die einen ihrer Meinung nach unzulässigen Drittstaatentransfer betrifft. Der Zuschlag ging an einen Anbieter, der als europäische Tochter einer US-amerikanischen Konzernmutter gehört. Daher genügte der Vergabekammer diese Tatsache, da die Möglichkeit eines Zugriffs nicht ausgeschlossen sei, gleich eine Übermittlung anzunehmen. Etwas überspitzt formuliert, könnte mich dann auch die Polizei aus dem Verkehr ziehen, wenn ich einen Kasten Bier im Kofferraum habe, weil auch da eine Zugriffsmöglichkeit und eine Trunkenheitsfahrt nicht auszuschließen sei (OK, ich bin kurz vor dem Urlaub und die Beispiele werden kurioser).*
Das Gericht befasst sich mit den Anforderungen aus Schrems II und den Anforderungen an eine Übermittlung. Nach der Pressemeldung sei die Entscheidung auch nicht rechtskräftig. Ungeachtet, dass der EDSA bereits Guidelines zum Übermittlungsbegriff im Drittstaatentransfer veröffentlichte, wäre es wünschenswert, wenn es dazu Rechtsprechung des EuGH gäbe, damit Rechtssicherheit entstünde und der Gesetzgeber evtl. nachjustieren könnte. Natürlich schlägt diese Entscheidung Wellen und wird schon entsprechend und oft diskutiert.

* Franks Anmerkung: Das Beispiel als Vergleich hinkt aber tatsächlich sehr. Es müsste irgendwie noch eine Regel geben, die den fahrenden Autor unter bestimmten Umständen zum Alkoholkonsum zwingt und ihm dann aber auch verbietet, darüber die Wahrheit zu sagen… OK, es wird tatsächlich nicht exakter, es hinkt immer noch sehr.

zurück zum Inhaltsverzeichnis

2.2 OLG Nürnberg: Haftung der Geschäftsführung für Compliance

Das OLG Nürnberg entschied in einem Haftungsfall, dass aus der Legalitätspflicht die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance-Management-Systems folgt, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. […] Eine Pflichtverletzung liegt demnach schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle von Mitarbeitenden der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. […] Verletzt der Geschäftsführer diese Obliegenheit, so haftet er der Gesellschaft für den entstandenen Schaden. Natürlich umfasst dies auch unzureichende Maßnahmen hinsichtlich Datenschutz und Unternehmenssicherheit.

zurück zum Inhaltsverzeichnis

2.3 VG Frankfurt: Stand der Technik bei verschlüsselten E-Mails

Das VG Frankfurt entschied, dass bei der elektronische Kommunikation im Zusammenhang mit der Meldung von Kriegswaffenbeständen an das Bundesamt für Wirtschaft und Ausfuhrkontrolle wegen der Sensibilität eine unverschlüsselte elektronische Kommunikation nicht zulässig wäre. Gegenwärtig sei aber eine Ende-zu-Ende-Verschlüsselung ausreichend. Mich irritiert nur daran, dass in der Urteilsbegründung ausgeführt wird, dass eine Transportverschlüsselung sei hier als Stand der Technik ausreichend*. Es ging um die Anforderungen an technische Schutzmaßnahmen bei Meldungen nach dem Kriegswaffenkontrollgesetz.

* Franks Anmerkung: Tja, wenn Ende-zu-Ende-Verschlüsselung und Transportverschlüsselung gleichgesetzt wird, dann ist das natürlich problematisch. Ob sie den Unterschied tatsächlich nicht kennen?

zurück zum Inhaltsverzeichnis

2.4 Niederlande: Urteil zu berechtigten Interessen

Im Jahr 2020 war die niederländische Aufsichtsbehörde der Ansicht, dass wirtschaftliche Interessen kein schützenswertes Interesse eines Online-Fußballsenders sei, das bei Art. 6 Abs. 1 lit. f DS-GVO berücksichtigt werden könne. Darauf begründete sie ihr Bußgeld in Höhe von 575.000 Euro. Der niederländische Staatsrat hob nun in seiner Eigenschaft als allgemeines Verwaltungsgericht diese Entscheidung auf. Berichten zufolge will der Sender seine Aktivitäten nun wieder aufnehmen.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Hinweisgeberschutzgesetz

Die Regierung hat nun nach der Verbändeanhörung ihren Entwurf zu einem Hinweisgeberschutzgesetz veröffentlicht. Damit kommt sie einer Richtlinie der EU nach, die bereits bis Ende letzten Jahres hätte umgesetzt sein sollen. Eine Darstellung der Regelungen finden Sie hier.

zurück zum Inhaltsverzeichnis

3.2 BMAS: Anforderungen an die Barrierefreiheit

Das BMAS hat Leitlinien für die Barrierefreiheit veröffentlicht. Ja, ok, auf den ersten Blick scheint Barrierefreiheit kein Datenschutzthema – oder doch? Nach Art. 12 Abs. 1 DS-GVO sind Mitteilungen an betroffene Personen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Da kann man – je nach Zielgruppe – auch schon mal an Barrierefreiheit denken. Mehr Infos zur Barrierefreiheit finden Sie auf den Seiten des BMAS hier und auf diesen Kanzleiseiten eine Darstellung der rechtlichen Anforderungen und Fristen.

zurück zum Inhaltsverzeichnis

3.3 Anfrage im Bundestag zur Digitalen Verwaltung

Die Kleine Anfrage im Bundestag (Drucksache 20/2817) befasst sich mit der Digitalen Verwaltung, genaugenommen mit Stand und Zukunft des Onlinezugangsgesetzes einschließlich eID-Verfahren, Standards, Open Source, Nachvollziehbarkeit und Transparenz. Antworten dazu liegen noch nicht vor.

zurück zum Inhaltsverzeichnis

3.4 Evaluierung der RL 2016/680

In Art. 62 der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates wurde festgelegt, dass bis zum 6. Mai 2022 eine erste Evaluierung durch die Kommission durchgeführt du die Berichte öffentlich gemacht werden. Der erste Evaluierungsbericht liegt nun vor.

zurück zum Inhaltsverzeichnis

3.5 Data Act

Was regelt der Data Act nun eigentlich? Und wie wirkt sich dies auf die vorgesehenen Datenzugangsansprüche im Verhältnis B2B, B2C und B2G aus? Wer sich dafür interessiert, findet hier* umfassende Antworten.

* Franks Anmerkung: Im Link ist ein Expires-Timecode intergriert, kann also sein, dass er irgendwann nicht mehr funktioniert… Am Besten die PDF abspeichern.

zurück zum Inhaltsverzeichnis

3.6 Datenschutzrecht als Verbraucherschutzrecht

OK, es ist eigentlich nicht passend in der Rubrik Gesetzgebungsverfahren. Und doch passt es hierher, weil der Beitrag* auch kumulative Maßnahmen zur Behebung der bestehenden Marktversagen auf Datenmärkten vorschlägt, nachdem analysiert wurde, wie Privatautonomie und gewünschte Nutzung, z.B. für Krebsforschung, zusammenspielen.

* Franks Anmerkung: Auch hier ist ein Expires-Timecode in der PDF, auch hier empfiehlt sich vielleicht das rechtzeitige Abspeichern?

zurück zum Inhaltsverzeichnis

3.7 Digital Markets Act

Durch den Digital Markets Act sollen der EU-Kommission besondere Befugnisse gegen eine missbräuchliche Ausnutzung von Marktmacht durch große Internetplattformen, sog. Gatekeeper, eingeräumt werden. Dabei handelt es sich um Anbieter digitaler Dienste, die bestimmte Schwellenwerte bezüglich des Umsatzes und der Marktkapitalisierung erreichen. Diese Info habe ich hier gefunden, dort bekommen Sie auch die Darstellung der Entwicklungsgeschichte und zusätzliche Informationen dazu. Eine Bewertung der Meistbegünstigungspraktiken finden Sie hier.

zurück zum Inhaltsverzeichnis

3.8 Digital Service Act

Der Digital Service Act soll als Verordnung ein einheitliches Regelwerk zu Pflichten und Verantwortlichkeiten von Vermittlern schaffen, um künftig binnenmarktweit digitale Dienste länderübergreifend anbieten zu können. Auch dazu finden Sie auf den Seiten des Fachverlages die Entwicklungsgeschichte und zusätzliche Materialien.

zurück zum Inhaltsverzeichnis

3.9 vbw: Anpassung in DS-GVO

Der Verband der Bayerischen Wirtschaft (vbw) sieht Anpassungsbedarf an der DS-GVO, insb. beim Auskunftsanspruch, der für unverhältnismäßigen Aufwand sorge. Für ein Beschäftigungsgesetz sieht er bestehende Regelungen als ausreichend an und er hofft, dass die Nachfolgeregelung des EU-US Privacy Shields so ausgestaltet wird, dass es einer erneuten gerichtlichen Überprüfung standhält. Das hoffen wir wohl alle.

zurück zum Inhaltsverzeichnis

4 Künstliche Intelligenz und Ethik

4.1 Podcasts des EDPS zu AI

Der EDPS präsentiert stolz seine dreiteilige Podcastreihe zu „AI and I“, die sich u.a. mit der Definition (erste Episode), den Risiken (zweite Episode) und den daraus folgenden Aspekten zur Regulierung (in der dritten Episode) befasst.

zurück zum Inhaltsverzeichnis

5 Veröffentlichungen

5.1 Konzeptstudie Datengenossenschaft

Welche Möglichkeiten gibt es Datenverarbeitungen vertrauensvoll und transparenzwahrend durchzuführen? Ein Schlagwort dabei ist die „Datengenossenschaft“. Was darunter verstanden werden kann und welche Geschäftsmodelle sich damit verbinden lassen ist der Konzeptstudie* der Forschungsstelle für Rechtsfragen neuer Technologien sowie Datenrecht e.V. zu entnehmen.

* Franks Anmerkung: Und auch hier ist ein Expires-Timecode in der PDF, auch hier empfiehlt sich vielleicht das rechtzeitige Abspeichern?

zurück zum Inhaltsverzeichnis

5.2 Veranstaltungen

5.2.1 „Digitales Kolloquium“ zu Praxis der Europäischen Datenschutzaufsicht mit dem BfDI

02.08.2022, 17:00 – 19:00 Uhr: Laut Ankündigung geht es um grenzüberschreitende Verarbeitungen bei Internet-Unternehmen wie Meta und Google. Die mitgliedstaatlichen Aufsichtsbehörden sind auf eine effektive Kooperation angewiesen. Prof. Kelber gibt einen Überblick über die praktischen Probleme der Zusammenarbeit und erörtert Lösungen. Anmeldung erforderlich.

5.2.2 DSiN: Jahreskongress „Cyberresilienz für Demokratie und Sicherheit im 21. Jahrhundert“ in Berlin

20.09.2022, 12:30 – 18:00 Uhr: Das vorläufige Programm wurde veröffentlicht und als Save-the-Date-Info ins Netz gestellt.

5.2.3 Daten-Dienstag: „Kinderbilder im Netz“

27.09.2022, 19:00 – 20:30 Uhr: Der Journalist Daniel Moßbrucker berichtet über seine Recherchen zum Missbrauch von Kinderbildern im Netz. Daher auch nur als Präsenzveranstaltung. Anmeldung erforderlich.

zurück zum Inhaltsverzeichnis

6 Gesellschaftspolitische Diskussionen

6.1 Kinderbilder im Urlaub

Klicksafe informiert Eltern, welche Gefahren durch das Einstellen von Kinderbildern drohen und gibt Tipps zum verantwortungsvollen Umgang damit. Nicht nur im Urlaub bedenkenswert!

zurück zum Inhaltsverzeichnis

6.2 Entsorgen – aber richtig

Vertrauliche Daten sind so zu entsorgen, dass die Vertraulichkeit gewahrt bleibt. Was in jeder Datenschutz-Sensibilisierung ein Thema ist, scheint sich nach diesem Bericht noch nicht bei jedem rumgesprochen zu haben. Zumindest fanden sich im Hausmüll einer Potsdamer Wohnanlage Dokumente und Dokumentereste, die dort nicht hingehören.

zurück zum Inhaltsverzeichnis

6.3 Apples Look Around

Schau, schau – jetzt auch Apple. Berichten zufolge werden nun die Aufnahmen freigegeben, die Apple in Deutschland angefertigt hat. Wer dabei Bedenken gegen die unter dem Namen „Look Around“ vertrieben Funktion hat, kann sich beim BayLDA informieren, wie er vorgehen kann.

zurück zum Inhaltsverzeichnis

6.4 Apple Nacktfotoscanner

Fast schon passend zu Look Around: Nach dieser Meldung startet Apples Nacktfotoscanner für iPhones nun auch in Deutschland. Erkennt ein iPhone, dass Kinder Nacktbilder senden oder empfangen, schreitet die Software ein: Die zwischenzeitlich auf Eis gelegte Jugendschutzfunktion können Eltern nun auch hierzulande aktivieren. Quasi ein „Look Around“ nach innen.

zurück zum Inhaltsverzeichnis

7 Sonstiges/Blick über den Tellerrand

7.1 „Zahlen mit Daten“

Eine nette Werbeidee eines Messengerdienstes, der in einem Spot die digitale Welt in die analoge transportiert. Gab es schon mal, nur real.

zurück zum Inhaltsverzeichnis

7.2 Datenschutzfreundliche Apps

„Gibt es denn überhaupt datenschutzfreundliche Alternativen?“ hört man gelegentlich. Ja, ein Fachverlag hat darüber berichtet. Und hier ist der Direktlink. Sie müssen sie nur nutzen!

Franks Nachtrag: Auch wenn das hier noch nicht reif für den Produktiveinsatz ist, sollten doch alle App-Hersteller darauf achten diese Prinzipien in ihren Apps umzusetzen.

zurück zum Inhaltsverzeichnis

8. Franks Zugabe

8.1 Apple macht laut Analysten Meta das Leben schwer

Nachzulesen hier. Meine Meinung? Gut so!

zurück zum Inhaltsverzeichnis

Nächste Woche gibt es wieder mehr von mir. Bis dahin genieße ich den restlichen Urlaub.