Google wird künftig individuelles Tracking verhindern

/in /von

Google Chrome will das World Wide Web datenschutzfreundlicher machen. Der Internet-Riese läutet das Ende der Cookies von Drittanbietern ein. Mehr Privatsphäre für alle User sei das Ziel.

Gestern veröffentlichte David Temkin, Director of Product Management, Ads Privacy and Trust bei Google, in seinem Google-Blogbeitrag: »Auf dem Weg zu einem datenschutzfreundlicheren Web«, dass Google das Tracking von Nutzerverhalten im Netz zu Werbezwecken nicht mehr unterstützen wolle.

Aus einer Studie des Pew Research Center, die Mitte November 2019 erschienen ist, geht hervor, dass rund 81 Prozent der amerikanischen Bürger und Bürgerinnen der Meinung sind, dass die potenziellen Risiken, denen sie aufgrund der Datensammlung durch Unternehmen ausgesetzt sind, die Vorteile des Internets überwiegen. Diese Studie scheint dem Trust-Manager von Google ordentlich zu denken gegeben haben: Er schreibt: »Wenn sich die digitale Werbung nicht weiterentwickelt, um den wachsenden Bedenken der Menschen hinsichtlich ihrer Privatsphäre und der Nutzung ihrer persönlichen Identität Rechnung zu tragen, riskieren wir die Zukunft des freien und offenen Webs.«

Chrome hat im letzten Jahr angekündigt, die Unterstützung für Cookies von Drittanbietern zu entfernen und Google habe mit der gesamten Branche an der Privacy Sandbox gearbeitet, um Innovationen zu entwickeln, die die Anonymität schützen und gleichzeitig Ergebnisse für Werbetreibende und Publisher liefern sollen. Dennoch habe der Tech-Riese immer wieder Fragen erhalten, ob Google sich anderen Unternehmen der Werbe-Technik-Branche anschließen würde, die Cookies von Drittanbietern durch alternative Identifizierungsmerkmale auf Nutzerebene ersetzen wollen. »Heute stellen wir klar, dass wir nach der Abschaffung der Cookies von Drittanbietern keine alternativen Identifizierungsmerkmale erstellen werden, um Personen beim Surfen im Internet zu verfolgen und dass wir diese auch nicht in unseren Produkten verwenden werden«, sagt Temkin dazu.

Dem Unternehmen sei bewusst, dass andere Anbieter noch immer eine Ebene der Benutzeridentität für die Verfolgung von Werbung im Web anbieten können, die Google aber nicht anbieten werde, etwa PII-Diagramme, die auf den E-Mail-Adressen von Personen basieren. Temkin glaubt nicht, dass diese Lösungen den steigenden Erwartungen der Verbraucher in Bezug auf den Datenschutz gerecht würden, noch werde sie den sich schnell entwickelnden regulatorischen Beschränkungen standhalten und seien daher keine nachhaltige, langfristige Investition. Stattdessen würden die Web-Produkte von datenschutzfreundlichen APIs angetrieben, die individuelles Tracking verhinderten und dennoch Ergebnisse für Werbetreibende und Publisher liefern würden.

»Menschen sollten nicht akzeptieren müssen, im gesamten Web verfolgt zu werden, um die Vorteile relevanter Werbung zu nutzen. Und Werbetreibende müssen nicht einzelne Verbraucher im gesamten Web verfolgen, um die Leistungsvorteile digitaler Werbung zu nutzen.«

Individuelle Identifikatoren könnten laut Temkin leicht durch Fortschritte in den Bereichen Aggregation, Anonymisierung, geräteinterne Verarbeitung und andere datenschutzfreundliche Technologien ersetzt werden: »Tatsächlich zeigen unsere jüngsten Tests von FLoC eine Möglichkeit, Cookies von Drittanbietern effektiv aus der Werbegleichung herauszunehmen und stattdessen Individuen innerhalb großer Menschenmengen mit gemeinsamen Interessen zu verstecken«, erklärt er. Chrome beabsichtige, FLoC-basierte Kohorten mit der nächsten Version noch in diesem Monat für öffentliche Tests durch Origin Trials zur Verfügung zu stellen. Im zweiten Quartal will Google beginnen, diese FLoC-basierte Kohorten mit Werbetreibenden in Google Ads zu testen. Chrome will außerdem im April die erste Iteration der neuen Nutzerkontrollen anbieten und diese Kontrollen in zukünftigen Versionen erweitern, sobald mehr Vorschläge die Origin Trial-Phase erreichen und sie mehr Feedback von Endnutzenden und der Branche erhalten würden.

»Um das Internet offen und zugänglich für alle zu halten, müssen wir alle mehr für den Schutz der Privatsphäre tun und das bedeutet nicht nur ein Ende der Cookies von Drittanbietern, sondern auch jeglicher Technologie, die dazu verwendet wird, einzelne Personen zu verfolgen, während sie im Internet surfen.«

Das wird kein generelles Ende für Werbung bei Google sein. Der Internet-Riese werde weiterhin First-Party-Beziehungen auf seinen Werbeplattformen für Partner unterstützen, bei denen sie direkte Verbindungen zu ihren eigenen Kunden haben.

Gefahr durch Clubhouse auf BYOD-Geräten und Diensthandys

/in /von

Die Hype-App Clubhouse lockt neue Nutzer in Scharen an, auch immer mehr Firmen wollen sie für ihre Zwecke nutzen. Das kann jedoch sehr schnell zu einem Bußgeld wegen Verstößen gegen Datenschutzvorgaben wie die DSGVO führen.

Der Hype um Clubhouse wird immer größer, spätestens mit dem bald erwarteten Erscheinen der Android-Version wird die Audio-Chat-App sich wohl endgültig zu einem Massenphänomen entwickeln. Nicht nur Privatpersonen wollen ratschen, mitdiskutieren und zuhören, auch zahlreiche Unternehmen, Politiker und Marketing-Profis haben die App längst im Blick und versuchen sie für sich zu nutzen. Manch einer geht das vor lauter Eile allerdings viel zu kopflos an. Einerseits inhaltlich, indem er sich von der scheinbar ungezwungenen Plapper-Atmosphäre zu allzu unbedachten Aussagen hinreißen lässt, wie jüngst Thüringens Ministerpräsident Bodo Ramelow. Allzu schnell werden in den Gesprächsrunden private oder unternehmerische Geheimnisse ausgeplaudert sowie übermütige Aussagen in die Welt gesetzt, die im Ernstfall sogar strafrechtliche Konsequenzen haben könnten. Wer sich hier geschäftlichen Kontext bewegt, sollte sich bei aller Lockerheit und trotz der vermeintlichen Unsichtbarkeit auch demensprechend seriös verhalten.

Andererseits bietet Clubhouse gerade für Business-Nutzer auch auf rechtlicher und technischer Seite gefährliche Fallstricke, insbesondere was den Datenschutz angeht. Das beginnt bereits auf Seiten des Anbieters, der bislang weder die Bedingung einer

deutschen Datenschutzerklärung erfüllt, noch ein Impressum angibt. Darüber hinaus haben Sicherheitsforscher schwere Lücken in der App aufgedeckt, über die sich Chats und Teilnehmer manipulieren und abhören aber auch Malware einschleusen lassen. Durch die Kooperation mit dem chinesischen Anbieter Agora, der hauptsächlich für den Chat-Teil der Software verantwortlich ist, landen Nutzerdaten und Gespräche auch auf Servern in China, wie Security-Fachleute bereits nachweisen konnten.

Im Zentrum der rechtlichen Gefahren für Unternehmen steht jedoch die Einladungsfunktion, mit der Clubhouse gezielt eine künstliche Verknappung schafft und so den Hype geschickt anfacht. Um selbst andere Mitglieder mit den begehrten »Invites« versorgen zu können, müssen die Nutzer dem Dienst zuerst Zugriff auf ihr Adressbuch gewähren. Was im privaten Kontext normalerweise kein großes Problem ist, wird im beruflichen Umfeld zur Gefahr.

Denn die Daten der Kontakte aus dem Adressbuch werden von der App auf die Server des Anbieters in den USA heruntergeladen und dort analysiert sowie zudem mit Agora geteilt. Danach folgt ein regelmäßiger Abgleich, über den sich auch die entstandenen Beziehungen innerhalb der App verfolgen lassen.

Auch wenn der Anbieter wenig glaubwürdig beteuert, es würden hierzu einzig die Telefonnummern benötigt, ist das nach Ansicht der meisten Datenschützer schon eine Weitergabe und Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die wiederum setzt voraus, dass zumindest von jedem einzelnen betroffenen geschäftlichen Kontakt, der nicht selbst die Bedingungen der App akzeptiert hat, eine schriftliche Einverständniserklärung für den Vorgang vorliegt. Hinzu kommt, dass bisher nicht klar ist, ob der Anbieter zumindest die Vorgaben des EU-US Privacy Shield erfüllt.

Saubere Trennung privater und beruflicher Nutzungsbereiche erforderlich

Dabei spielt es aus Sicht des Datenschutzes keine Rolle, ob es sich um ein privates Gerät oder ein Firmen-Smartphone handelt. Was zählt, ist einzig die Art der Kontakte und Daten. Um einen entsprechenden Verstoß zu begehen, reicht es also schon, wenn auf dem privaten Smartphone nur ein einziger Arbeitskontakt abgelegt ist, dessen Daten ungefragt an Clubhouse gehen. Umso größer wird die Gefahr dementsprechend, wenn das Ganze auf für beide Zwecke genutzten oder gar Firmengeräten stattfindet und ganze geschäftliche Kontaktlisten betroffen sind.

Die Firmen stehen bei Clubhouse somit erneut vor ähnlichen Problemen wie schon bei Whatsapp. Gerade die Vorbedingung der schriftlichen Einverständniserklärung aller Kontakte lässt sich in der Praxis nicht erfüllen. Theoretisch lässt sich das zwar bei Clubhouse – zumindest derzeit noch – umgehen, indem vor der ersten Nutzung die Invite-Option deaktiviert wird. Da sich das bei der privaten Nutzung von Clubhouse im Unternehmensumfeld aber kaum durchsetzen lässt, ist hier eine strikte Trennung der Konten, Daten und Kontakte geboten. Entweder physisch, indem es eigene Geräte für Business und Privates gibt. Oder technisch, indem es zwei getrennte Konten und Bereiche dafür auf einem Gerät gibt, sei es nun ein geschäftliches oder im Rahmen von BYOD genutztes Smartphone.

Manche Hersteller wie Samsung bieten entsprechende Lösungen an, der Königsweg ist jedoch Mobile Device Management (MDM). Dessen Kern sind eine klare Strategie und eine Lösung mit der ihre Vorgaben auch über die Trennung hinaus umgesetzt werden kann. Dazu empfiehlt Jan Dzulko, der mit Everphone Abo-Komplettpakete für Firmensmartphones (Phone-as-a-Service) anbietet, strikte Trennlinien. »Bei unseren Kunden haben wir vorgesorgt. Standardmäßig können kritische Apps nur im privaten Bereich installiert und genutzt werden. Das rate ich allen Unternehmen, um DSGVO-Probleme und auch saftige Bußgelder zu vermeiden.«

Nutzbarkeit außereuropäischer Videokonferenzsoftware

/in /von

Die nach wie vor hohen Zahlen derer, die an Corona erkranken (und sterben) bedingen, dass auch die meisten Schulen bis auf Weiteres nicht zum Präsenzunterricht zurückkehren. Dies wiederum befeuert ein Thema, welches mit der Pandemie zum datenschutzrechtlichen Dauerthema geworden ist: Welche Videokonferenzsysteme lassen sich datenschutzkonform nutzen? Welche Anforderungen müssen eingehalten werden? Was passiert, wenn die datenschutzrechtlichen Anforderungen nicht so schnell umgesetzt werden können, wie es erforderlich wäre?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Professor Dieter Kugelmann, macht hierzu einen sehr pragmatischen Vorschlag:

„Aus Datenschutz-Sicht hat die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button (BBB), die bei der Johannes Gutenberg-Universität Mainz gehostet wird, große Vorzüge. Bei BBB handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger, eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung gar für Werbezwecke kann ausgeschlossen werden.“

Die Software Big Blue Button war vor einiger Zeit auch im Rahmen der rechtlichen Kurzprüfung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, positiv erwähnt worden. Die Liste war als Hilfestellung für Berliner Unternehmen, Behörden, Vereine und Freiberufler gedacht.Professor Kugelmann weiter:

„Aus datenschutzrechtlichen Gründen sollte daraufhin gearbeitet werden, dass mit Beginn des Schuljahrs 2021/2022 alle Schulen auf BBB zurückgreifen können. Angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme ist es vertretbar, wenn im laufenden Schuljahr Schulen außereuropäische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Um den Schulen in der schwierigen Pandemie-Situation Möglichkeiten des Distanzunterrichts zu erhalten, werden, mit Blick auf den bis Schuljahresende zugesagten performanten Ausbau der Big Blue Button-Plattform, daher Bedenken hinsichtlich einer fortdauernden Nutzung durch Schulen von MS Teams und vergleichbaren Lösungen US-amerikanischer Anbieter vorerst zurückgestellt.

„Die Anwendung dieser sehr pragmatischen Sichtweise knüpft der LfDI Rheinland-Pfalz jedoch an einige Bedingungen:

• Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§ 103 Übergreifende Schulordnung).

• Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.

• Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.

Bundesnetzagentur verhängt Bußgeld wegen unerlaubter Telefonwerbung

/in /von

Die Bundesnetzagentur hat gegen das Call-Center Cell it! GmbH & Co. KG eine Geldbuße in Höhe von 145.000 Euro verhängt.

Die Cell it! hatte nach Erkenntnissen der Bundesnetzagentur im Auftrag des Mobilfunkanbieters Mobilcom-Debitel an dessen Kunden insbesondere Drittanbieterabonnements für Hörbücher und Zeitschriften, Video-on-Demand-Dienste, Sicherheitssoftware oder Handyversicherungen vertrieben. Dabei kam es immer wieder dazu, dass den Angerufenen im Nachgang des Telefonats Zusatzdienstleistungen untergeschoben und teilweise auch in Rechnung gestellt wurden, die diese überhaupt nicht bestellt hatten.

Daneben hatte Cell it! für den Pay-TV-Anbieter Sky Deutschland Fernsehen telefonische Neukundenakquise übernommen. Das Unternehmen führte all diese Anrufe durch, obwohl keine gültige Werbeeinwilligung der Angerufenen vorlag. Viele Betroffene berichteten zudem gegenüber der Bundesnetzagentur, dass trotz Untersagung weiterer Anrufe gehäuft Kontaktaufnahmen erfolgten, durch die sie sich massiv belästigt fühlten.

Zu den konkreten Formen der Direktwerbung, also dem Kontaktweg zu den betroffenen Personen (Ansprache per Telefonanruf, E-Mail, Fax etc.), regelt das Wettbewerbsrecht, § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), in welchen Fällen von einer unzumutbaren Belästigung der Beworbenen auszugehen und eine Werbung dieser Art unzulässig ist.

Weil Art. 6 Abs. 1 Satz 1 lit. f DS-GVO eine Verarbeitung personenbezogener Daten nur für zulässig erklärt, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mitzuberücksichtigen. Wenn für den werbenden Verantwortlichen ein bestimmter Kontaktweg zu einer betroffenen Person danach nicht erlaubt ist, kann die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO auch nicht zugunsten der Zulässigkeit einer Verarbeitung dieser Kontaktdaten für Zwecke der Direktwerbung ausfallen.

Datenschutzkonferenz (DSK): Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung

BfDI: Stellungnahme zu überarbeiteten Standarddatenschutzklauseln

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 15.01.2021

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, ist sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK). Die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDPS) hatten in der Sitzung vom 14. Januar gemeinsame Stellungnahmen zu den Entwürfen der Europäischen Kommission von SDK beschlossen.

Dazu sagte BfDI Ulrich Kelber: „Es gab intensive Verhandlungen zu den Stellungnahmen, die ich mit meinen Kolleginnen und Kollegen verabschiedet habe. EDSA und EDPS kommen zu einem klaren Urteil. Unsere deutsche Position findet sich an vielen Stellen der Papiere wieder. Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen, ohne Einschränkungen beim Datenschutz zu machen.“

Der BfDI hatte mit seinen Kolleginnen und Kollegen aus den Bundesländern die deutsche Position entwickelt. Der EDSA und der EDPS waren zum Jahreswechsel von der Europäischen Kommission gebeten worden, eine gemeinsame Stellungnahme zu zwei Entwürfen von SDK nach Art. 28 und Art. 46 der Datenschutz-Grundverordnung (DSGVO) zu erarbeiten. Die neuen SDK zu Art. 46 DSGVO sollen die bisherigen bei internationalen Datenübermittlungen ersetzen. Neuerungen gibt es beispielsweise bei Anpassungen an die Anforderungen der DSGVO und die Schrems II Rechtsprechung des Europäischen Gerichtshofes. Die SDK zu Artikel 28 DSGVO sollen für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern erstmals einen europaweit verwendbaren Standard setzen, der den Unternehmen und Behörden die Umsetzung der entsprechenden Vorgaben der DSGVO deutlich erleichtert. Der EDSA wird den gemeinsamen Vorschlag in Kürze auf seiner Homepage veröffentlichen: https://www.edpb.europa.eu/

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download Stellungnahme zu überarbeiteten Standarddatenschutzklauseln als PDF

LfD Niedersachsen: Nutzung der Meldedaten für Impfschreiben ist möglich

/in /von

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 15.01.2021

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, stellt klar, dass es kein grundsätzliches datenschutzrechtliches Hindernis gibt, auf Meldedaten zurückzugreifen, um Impfinformationen an Bürgerinnen und Bürger zu schicken. Durch die öffentliche Darstellung der vergangenen Tage war der Eindruck entstanden, der Datenschutz verhindere generell die Nutzung der Meldedaten für diesen Zweck. Das ist falsch.

Richtig ist, dass dem Sozialministerium die Nutzung des Melderegisterdatenspiegels (die tagesaktuelle Zusammenstellung der kommunalen Melderegisterdaten) aufgrund landesrechtlicher Regelungen nicht möglich ist, um Impfinformationen an über 80-jährige Personen zu versenden. Insbesondere die Regelungen des Niedersächsischen Ausführungsgesetzes zum Bundesmeldegesetz stehen dem entgegen. Dies gilt auch für die Einbindung eines privaten Dienstleisters.

Allerdings gibt es andere Möglichkeiten, auf die Meldedaten zurückzugreifen, ohne mit dem Melde- oder Datenschutzrecht in Konflikt zu geraten. Zum einen können die Informationen des Sozialministeriums über die Kommunen versendet werden. Diese halten die nötigen Daten ohnehin vor und dürfen sie auch für diesen Zweck verwenden. Es ist deshalb zu begrüßen, dass das Sozialministerium das Angebot der kommunalen Spitzenverbände angenommen hat, bei der Versendung der Impfschreiben zu unterstützen.

Zum anderen kann das Sozialministerium die Daten gemäß § 34 Abs. 2 Bundesmeldegesetz auch durch eine sogenannte Gruppenauskunft von den jeweiligen Kommunen erhalten und für die Impfinformationen verwenden. Für die Versendung könnte das Ministerium hier auch einen privaten Dienstleister einsetzen. Sofern dieser Dienstleister mit personenbezogenen Daten in Berührung kommt, wäre der Abschluss eines Auftragsverarbeitungsvertrages erforderlich. Insbesondere müsste durch den Vertrag sichergestellt werden, dass der Dienstleister die Daten nicht zu eigenen Zwecken verwendet, wie z. B. für Werbung.

„Wir sehen aus datenschutzrechtlicher Sicht keine Notwendigkeit für die Verwendung der Datenbank der Deutschen Post Direkt GmbH“, sagt Landesdatenschutzbeauftragte Barbara Thiel. „Es gibt rechtlich gangbare Möglichkeiten, um die Meldedaten zu verwenden. Es ist nun wieder einmal der falsche Eindruck entstanden, Datenschutz stünde über allen anderen Gütern und würde notwendige Maßnahmen verhindern. Bedauerlicherweise ist mein Haus in diesen Fragen nicht vom Sozialministerium eingebunden worden.“

Die Pressemitteilungen der Landesbeauftragten für den Datenschutz Niedersachsen können hier abgerufen werden.

LfD Niedersachsen verhängt Bußgeld über 10,4 Millionen Euro gegen notebooksbilliger.de

/in /von

Pressemitteilung der Landesbeauftragten für den Datenschutz Niedersachsen vom 08.01.2021

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße über 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen hatte sich darauf berufen, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen. Zur Verhinderung von Diebstählen muss eine Firma aber zunächst mildere Mittel prüfen (z. B. stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte). Eine Videoüberwachung zur Aufdeckung von Straftaten ist zudem nur rechtmäßig, wenn sich ein begründeter Verdacht gegen konkrete Personen richtet. Ist dies der Fall, kann es zulässig sein, diese zeitlich begrenzt mit Kameras zu überwachen. Bei notebooksbilliger.de war die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich.

Generalverdacht reicht nicht aus

„Wir haben es hier mit einem schwerwiegenden Fall der Videoüberwachung im Betrieb zu tun“, sagt die LfD Niedersachsen, Barbara Thiel, „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen“. Auch die immer wieder vorgebrachte, angeblich abschreckende Wirkung der Videoüberwachung rechtfertige keinen dauerhaften und anlasslosen Eingriff in die Persönlichkeitsrechte der Beschäftigten. „Wenn das so wäre, könnten Unternehmen die Überwachung grenzenlos ausdehnen. Die Beschäftigten müssen aber ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt“, so Thiel. „Videoüberwachung ist ein besonders intensiver Eingriff in das Persönlichkeitsrecht, da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“

Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren. In Bereichen, in denen sich Menschen typischerweise länger aufhalten, zum Beispiel um die angebotenen Geräte ausgiebig zu testen, haben die datenschutzrechtlich Betroffenen hohe schutzwürdige Interessen. Das gilt besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen. Deshalb war die Videoüberwachung durch notebooksbilliger.de in diesen Fällen nicht verhältnismäßig.

Die 10,4 Millionen Euro sind das bisher höchste Bußgeld, das die LfD Niedersachsen unter Geltung der Datenschutz-Grundverordnung (DS-GVO) ausgesprochen hat. Die DS-GVO ermöglicht es den Aufsichtsbehörden, Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens zu verhängen – je nachdem, welcher Betrag höher ist. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig. Das Unternehmen hat seine Videoüberwachung mittlerweile rechtmäßig ausgestaltet und dies der LfD Niedersachsen nachgewiesen.

Mehr Informationen

Informationen der LfD Niedersachsen zum Thema Videoüberwachung

BvD: Herabsetzung der Bestellgrenze des DSB auf 10 Personen ist kontraproduktiv und kein Bürokratieabbau

/in /von

Beratung zu Datenschutzpflichten entfällt oft ersatzlos

Ruhr-Universität Bochum untersuchte im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS die Folgen der Erhöhung der Benenngrenze. 

Ein Jahr ist vergangen, seit der Gesetzgeber die Grenze der Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen, von 10 auf 20 datenverarbeitende Mitarbeiter hochgesetzt hat. Die Folgen für Unternehmen und DSB hat nun die Ruhr-Universität Bochum im Auftrag des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. und der Zeitschrift Datenschutz PRAXIS in einer Umfrage mit insgesamt 353 Teilnehmenden analysiert.

Positive Erfahrungen mit Expertise: DSB in 8 von 10 Fällen freiwillig beibehalten

62 Prozent der Befragten betreuen als externe DSB insgesamt 8.399 Unternehmen, von denen jedes vierte (3.391) von der Änderung betroffen ist. Von diesen haben lediglich 16 Prozent ihren externen DSB abberufen, rund 84 Prozent entschieden sich dafür, ihn beizubehalten. Betroffen von den Abberufungen waren mit 123 jedoch mehr als die Hälfte (56 %) der befragten externen Datenschutzbeauftragten.

„Dass sich acht von zehn Unternehmen, die vormals zur Benennung verpflichtet waren, zu einer Beibehaltung der externen Datenschutzbeauftragten entschlossen haben, lässt auf positive Erfahrungen mit der damit einhergehenden Expertise schließen“, so BvD-Vorstandsvorsitzender Thomas Spaeing. „Im Umkehrschluss bedeutet dies aber leider auch, dass in Folge der Gesetzesänderung nun vermutlich weniger Unternehmen diese positive Erfahrung machen werden.“

Oft übernimmt niemand Beratung und Überwachung der Datenschutzpflichten

Die Abberufung der externen DSB führt in Unternehmen zu massiven Auswirkungen für das Datenschutz-Managementsystem: Sechs von zehn in Unternehmen abberufene externe DSB gaben an, dass es Fälle gibt, in denen ihres Wissens niemand die Überwachung und Beratung hinsichtlich der Datenschutzpflichten wahrnimmt. Die Risiken für die Unternehmen und für betroffene Personen sind immens.

Rund 35 Prozent gaben an, dass die Geschäftsführung nun selbst diese Aufgabe übernimmt. Als andere Funktionsbereiche, die diese Aufgabe übernehmen, wurden interne DSB (19,5 %), externe Datenschutzbeauftragte ohne Benennung (10,6 %), Führungskräfte (8,9 %) und externe Rechtsanwälte (4,1 %) genannt.

Mehraufwand durch Ineffizienz

Überraschend sind die Aussagen zu den Auswirkungen, die diese Veränderung hervorgerufen hat: 43 Prozent der in Unternehmen abberufenen DSB sind der Meinung, dass sich die Aufwände für den Datenschutz durch die Abberufung des DSB erhöht haben. Eine Abnahme des Aufwands – die, wie oben beschrieben, aber eben mit einer riskanten Vernachlässigung der Datenschutzpflichten einhergeht – gaben 39 Prozent an, 18 Prozent sehen hier keine Veränderung.

Entgegen der Erwartung haben in 40 Prozent der Unternehmen Aufwände entsprechend der Aussage der ehemaligen DSB zugenommen. „Dieses Ergebnis widerspricht dem häufig angeführten Argument des Bürokratieabbaus durch die Änderung der Benenngrenze“, so Spaeing. „Das ergibt auch Sinn. Weniger Expertise bedeutet Mehraufwand durch Ineffizienz und mangelnde Qualität – bei gleichbleibenden Anforderungen durch die DSGVO und das BDSG.“

Unterstrichen wird diese Wahrnehmung durch die Angaben zu den weiteren Folgen. Die Mehrheit der in Unternehmen abberufenen externen Datenschutzbeauftragten gab als Folgen auch eine Abnahme der Sensibilität für das Thema Datenschutz (87,5 %), beim Wissenstand in rechtlichen (86,7 %) sowie technisch-organisatorischen Fragen (84,2 %) des Datenschutzes und bei der Klarheit der Zuständigkeit (76,7 %) an.

Auch 135 interne DSB und Unternehmensvertreter nahmen an der Umfrage teil. Bei dieser Gruppe war die überwiegende Mehrheit von rund 88 Prozent jedoch nicht von der Gesetzesänderung betroffen. Entweder waren bereits vor der Änderung weniger als 10 Mitarbeiter mit der Verarbeitung personenbezogener Daten betraut oder die Benennpflicht bestand auch nach der Änderung aufgrund der Mitarbeiterzahl oder der besonderen Verarbeitung weiter.

Hinweis zur Methodik: Grundlage der Angaben ist eine Umfrage, die die Ruhr-Universität Bochum im Auftrag des BvD und der Zeitschrift Datenschutz PRAXIS unter ihren Mitgliedern, Leserinnen und Lesern durchgeführt hat. Dabei wurden 504 Personen (interne und externe Datenschutzbeauftragte sowie Unternehmensvertreter) in Deutschland per Online-Fragebogen befragt.

Ihr BvD-Ansprechpartner:
BvD Pressestelle, Tel: 030 26 36 77 60, Budapester Straße 31, 10787 Berlin
E-Mail: pressestelle@bvdnet.de, Internet: https://www.bvdnet.de, Vorstandsvorsitzender Thomas Spaeing

Der BvD: Die Interessenvertretung der Datenschutzbeauftragten
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. fördert die beruflichen Interessen der Datenschutzbeauftragten in Behörden und Betrieben und setzt sich aktiv für die weitere Entwicklung und Akzeptanz des Berufes „Datenschutzbeauftragter“ in Deutschland und Europa ein.

https://www.bvdnet.de/presse/beratung-zu-datenschutzpflichten-entfaellt-oft-ersatzlos/

GDD: „Schrems II“, Office 365 etc. – Datenschutzpraktiker fordern von Behörden praktische Hilfestellung anstatt pauschaler Verbote

/in /von

DAFTA 2020: „Schrems II“, Office 365 etc. – Datenschutzpraktiker fordern von Behörden praktische Hilfestellung anstatt pauschaler Verbote­

Vom 19. bis 20.11.2020 führt die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V., ihre 44. Datenschutzfachtagung (DAFTA) durch. Die traditionell im Kölner Maternushaus abgehaltene Veranstaltung findet auf Grund der Corona-Pandemie in diesem Jahr komplett online statt.

Peter Biesenbach, NRW Justizminister, begrüßt das Urteil, mit dem das LG Bonn am 11.11.2020 das Bußgeld des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gegen den Telekommunikationsanbieter 1&1 von ursprünglich 9,5 Millionen Euro auf 900.000 € herabgesetzt hat. Mit seiner Entscheidung habe das Gericht der datenverarbeitenden Wirtschaft wichtiges Vertrauen in den Rechtsstaat zurückgegeben. Diese müsse nun nicht mehr mit der Angst vor irrationalen Bußgeldern der Verwaltungsbehörden leben, sondern dürfe damit rechnen, dass Datenschutzverstöße zwar empfindliche, aber risikoadäquate Sanktionen nach sich ziehen.

Zur lange geplanten ePrivacy-Verordnung berichtet Rolf Bender, Bundeministerium für Wirtschaft und Energie, dass nunmehr leider klar sei, dass auch im Rahmen der deutschen Ratspräsidentschaft keine Verständigung im EU-Ministerrat mehr erreicht werde. Damit sei es jetzt an den Portugiesen, sich um eine allgemeine Ausrichtung zu bemühen, damit in die Verhandlungen mit EU-Parlament und EU-Kommission eingetreten werden könne. Auf nationaler Ebene sei mit dem Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG) ein neues Stammgesetz für den Datenschutz geplant, welches die Datenschutzregelungen im Telekommunikations- und Telemedienbereich zusammenführe. Die Ressortabstimmung soll „sehr bald“ abgeschlossen werden, so Bender. Danach folge die Anhörung der Verbände zum Gesetzentwurf.

Prof. Dr. Günter Krings, MdB, Parlamentarischer Staatssekretär beim Bundesminister des Innern, für Bau und Heimat, begrüßt das Bestreben, die Datenschutzregelungen im Telekommunikations- und Telemedienbereich in einem einheitlichen Gesetz zusammenzuführen. Der gegenwärtig bestehende rechtliche Flickenteppich müsse schnellstmöglich beseitigt und Rechtssicherheit geschaffen werden. Die ePrivacy-VO könne nicht länger abgewartet werden. Der deutsche Gesetzgeber habe die Möglichkeit, durch das nationale Gesetzgebungsvorhaben Wege für einen angemessenen Interessenausgleich im ePrivacy-Bereich aufzuzeigen.

Nach Prof. Dr. Herwig Hofmann, Universität Luxemburg, Klagevertreter im Fall Schrems II, ist die seit 2013 dauernde „Schrems Saga“ auch mit dem EuGH Urteil aus dem Juli dieses Jahres (Schrems II – C-311/18) weiterhin nicht abgeschlossen. Die DPC in Irland habe ihr Verfahren erneut ausgesetzt und der Europäische Datenschutzausschuss zwei „Schrems II Task Forces“ eingesetzt. Die Standardvertragsklauseln habe der EuGH aus seiner Sicht zurecht erhalten, so Hofmann. Insofern seien aber nun der Transportweg der Daten und die Situation im Drittstaat jeweils im Einzelfall zu prüfen.

Thomas Zerdick, Referatsleiter beim Europäischen Datenschutzbeauftragten, stellte die Aufgaben des Europäischen Datenschutzausschusses (EDSA) vor und ging dabei insbesondere auf die Themen Schrems II und Cookies ein. Mittels des in der DS-GVO vorgesehenen Streitbeilegungsverfahren könne der Ausschuss auch in strittigen Fragen zu verbindlichen Beschlüssen kommen. Durch rasche Stellungnahmen zu Beginn der Corona-Pandemie habe der EDSA überdies gezeigt, dass der Datenschutz kein Hindernis bei der Pandemiebekämpfung sein müsse.

„Finger weg von jeder Zentralisierung“ positioniert sich Dr. Stefan Brink, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, im Hinblick auf die aktuelle Diskussion um die Zentralisierung der Datenschutzaufsicht. Seit 2016 habe es eine „massive“ Koordination der nationalen Behörden gegeben. Ohnedies sei der Datenschutz ein europäisches Thema und vor allem auf dieser Ebene müsse eine Vereinheitlichung erfolgen. Die nationale Aufsichtsstruktur spiele aus seiner Sicht eher eine untergeordnete Rolle.
Nach der Auffassung von Brink verbieten sich pauschale Aussagen zur Zulässigkeit des Einsatzes bestimmter Softwareprodukte, wie z.B. Microsoft Office 365. Aus seiner Sicht müsse vor einer Untersagung des Einsatzes durch die Behörde im Übrigen zunächst geprüft werden, ob es im konkreten Fall zumutbare Alternativangebote ohne Transferprobleme gibt.

Hinsichtlich der im geleakten TTDSG-Entwurf vorgesehenen Personal Information Management Services (PIMS) warnte Klaus Müller, Vorstand des Verbraucherzentrale Bundesverbands (vzbv), zur Vorsicht. Solche Dienste seien aus seiner Sicht zwar prinzipiell zu begrüßen. Es müsse allerdings sichergestellt sein, dass es sich bei diesen nur um neutrale Intermediäre ohne eigene wirtschaftliche Interessen an der Verwertung der verwalteten Informationen handele. Letzteres schließe indes nicht aus, dass entsprechende Anbieter für ihre Dienste auch Entgelte erheben dürfen.

Achim Schlosser, European netID Foundation, Montabaur, sprach sich für einen europäischen Ansatz im Hinblick auf die Dienste von Identitäts- und Einwilligungstreuhändern aus. Europaweite Rahmenbedingungen erleichterten die Durchsetzung gegenüber den großen Internetanbietern.

Vor dem Hintergrund, dass mit einem zügigen Erlass von novellierten europarechtlichen ePrivacy-Vorgaben im Allgemeinen bzw. Rahmenbedingungen zu PIMS im Besonderen nicht zu rechnen ist, waren sich die Teilnehmer der den politischen Vormittag der DAFTA abschließenden Podiumsdiskussion jedoch einig, dass der nationale Weg über das geplante TTDSG ein guter Ansatz sei. Es sei zu hoffen, dass das Gesetzgebungsverfahren zum TTDSG noch in dieser Legislaturperiode zum Abschluss komme, so Prof. Dr. Rolf Schwartmann, Vorstandsvorsitzender der GDD e.V., Bonn.

Andreas Jaspers, Geschäftsführer der GDD, regte an, dass im Rahmen des Gesetzgebungsverfahrens zum TTDSG der Arbeitgeber als möglicher Adressat strafrechtlich relevanter Verstöße gegen das Fernmeldegeheimnis ausgenommen werden sollte. Zudem sollte ein Einsatz von reinen Onlineanalysetools auch ohne Einwilligung der Nutzer möglich sein, so Jaspers.


Zur GDD:
Die GDD wurde 1977 in Bonn gegründet und unterstützt seitdem Unternehmen, insbesondere deren Datenschutzbeauftragte, bei der Lösung der vielfältigen mit Datenschutz und Datensicherheit verbundenen technischen, rechtlichen und organisatorischen Fragen. Sie tritt als gemeinnütziger eingetragener Verein für einen sinnvollen, vertretbaren und technisch realisierbaren Datenschutz ein. Zusammen mit DATAKONTEXT (über das Onlinelernportal UNIVADO) richtet die GDD in diesem Jahr die Datenschutzfachtagung DAFTA aus. 

BfDI zum Urteil im Verfahren gegen 1&1

/in /von

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, sieht sich durch die Entscheidung des Landgerichts Bonn bestätigt: „Das LG Bonn hat heute geurteilt, dass 1&1 für seinen Verstoß haftet. Das zeigt: Datenschutzverstöße bleiben nicht ohne Folgen.“

Für den BfDI ist es das erste große Gerichtsverfahren seit Inkrafttreten der DSGVO. Dabei wurden wichtige und grundsätzliche Fragestellungen geklärt. Das Gericht folgte der Auffassung des BfDI in wesentlichen Punkten: Die 1&1 Telecom GmbH hat durch unzureichende Sicherheitsmaßnahmen im Callcenter einen Datenschutzverstoß begangen. Sie muss als Unternehmen nach den Maßstäben der DSGVO dafür haften: „Ich bin überzeugt, dass diese Entscheidung in den Chefetagen von Unternehmen wahrgenommen wird. Ich warte noch auf die schriftliche Begründung des Urteils, aber klar ist schon jetzt: Kein Unternehmen kann es sich mehr leisten den Datenschutz zu vernachlässigen.“

Der BfDI hatte den Telekommunikationsdienstleister 1&1 Telecom GmbH im Dezember 2019 mit einer Geldbuße belegt. Aufgrund eines unzureichenden Authentifizierungsverfahrens bei der telefonischen Kundenbetreuung der 1&1 Telecom GmbH konnten Anrufer allein mit Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Daten dieser Person erhalten. Hierin sah der BfDI einen Verstoß gegen die Datenschutzgrundverordnung.

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download BfDI zum Urteil im Verfahren gegen 1&1 als PDF