Länderübergreifende Kontrolle der Datenübermittlungen von Unternehmen in Staaten außerhalb der EU im Kontext des EuGH-Urteils Schrems II

[datensicherheit.de, 02.06.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Stellungnahme auf die länderübergreifende Kontrolle der Datenschutzaufsichtsbehörden von Unternehmen zur Umsetzung der „Schrems II“-Entscheidung des Europäischen Gerichtshofs (EuGH) ein. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug dabei nur sehr schwer herstellen – aber die Augen zu verschließen sei keine Lösung.

HmbBfDI

Prof. Dr. Johannes Caspar: Schlüssel für Grundrecht Informationeller Selbstbestimmung in den Empfängerstaaten

Anforderungen laut EuGH-Entscheidung Schrems II vom 16. Juli 2020

Im Rahmen einer länderübergreifenden Kontrolle werden demnach Datenübermittlungen durch Unternehmen in Staaten außerhalb der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (Drittstaaten) überprüft. Das Ziel sei die breite Durchsetzung der Anforderungen des EuGH in seiner „Schrems II“-Entscheidung vom 16. Juli 2020 (Rs. C-311/18).
Darin habe das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten „Privacy Shield“ erfolgen könnten. Der Einsatz der sogenannten Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten sei ferner nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, „wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann“.

Behörden müssen nach Schrems II unzulässige Transfers aussetzen oder verbieten

Dieses Urteil des EuGH erfordere in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe. „Die an der Kontrolle teilnehmenden Behörden schreiben nun die jeweils ausgewählten Unternehmen auf der Basis eines gemeinsamen Fragenkatalogs an.“ Dabei werde es unter anderem um den Einsatz von Dienstleistern zum E-Mail-Versand, zum Hosting von Internetseiten, zum Webtracking, zur Verwaltung von Bewerberdaten und um den konzerninternen Austausch von Kundendaten und Daten der Beschäftigten gehen.
Jede Aufsichtsbehörde entscheide individuell, in welchen dieser Themenfelder sie tätig wird. Der Gerichtshof habe seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung könne voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. „Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.“

Schrems II und Umsetzung des Grundsatzes der Digitalen Souveränität

Die Aufsichtsbehörden seien sich der „besonderen Herausforderungen, die das EuGH-Urteil zu ,Schrems II‘ für die Unternehmen in Deutschland und Europa mit sich bringt“, bewusst. Sie stehen laut HmbBfDI für Verständnisfragen auch im weiteren Verlauf des Prüfungsverfahrens zur Verfügung, „soweit dies nach Maßgabe der vorhandenen Kapazitäten möglich ist“. Angesichts der Betroffenheit vieler Unternehmen lasse sich ein einheitlicher Vollzug hier nur sehr schwer herstellen. „Aber die Augen zu verschließen ist keine Lösung“, betont Prof. Dr. Johannes Caspar, der HmbBfDI.
Häufig werde ein grenzüberschreitender Datenverkehr bereits durch die Nutzung von handelsüblichen Diensten zur Bürokommunikation ausgelöst, ohne dass ein direkter internationaler Austausch der Daten im Geschäftsverkehr durch die jeweiligen Unternehmen überhaupt bezweckt werde. Gerade zur Bürokommunikation oder der Datenspeicherung könne gewöhnlich auf Dienste ohne unzulässige Drittstaatenübermittlung zurückgegriffen werden. Die Umsetzung des Grundsatzes der Digitalen Souveränität werde diese Möglichkeiten in Europa künftig weiter erleichtern.

Schrems II setzt für viele Unternehmen nicht selbst zu verantwortende Hürden

Die Fragebogenaktion solle nun insoweit vor allem dazu beitragen, den Unternehmen Lösungen mit angemessenem Datenschutzniveau zu unterbreiten. Das „Schrems II“-Urteil setze für viele Unternehmen Hürden, aus Gründen, für die sie letztlich nicht selbst verantwortlich seien. Es sei daher immer wieder daran zu erinnern, „dass der Schlüssel für das Grundrecht der Informationellen Selbstbestimmung in den Empfängerstaaten liegt“.
Gerade die Politik in den USA sollte laut HmbBfDI erkennen: „Geeignete Garantien gegenüber dem Zugriff der US-Sicherheitsbehörden zum Schutz der übermittelten Daten sowie ein wirksamer Rechtsschutz für Menschen aus der EU sind zentrale Voraussetzung für einen freien Datenverkehr. Eine Lösung liegt im beiderseitigen Interesse.“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Koordinierte Prüfung internationaler Datentransfers

datensicherheit.de, 13.05.2021
Schrems II: Informationsoffensive in Rheinland-Pfalz / Wer bei Datenübermittlungen in Drittländer noch nicht auf Rechtslage nach dem Urteil Schrems II reagiert hat, sollte umgehend handeln

datensicherheit.de, 21.01.2021
Schrems II als Dilemma für KMU / Mit dem Urteil des EuGH wächst der Druck auf KMU

datensicherheit.de, 24.07.2020
Schrems II: LfDI RLP wird Einhaltung kontrollieren / Unternehmen müssen laut LfDI RLP Unzulässigkeit des Datenexports auf Basis des „Privacy Shield“ akzeptieren

Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit verbietet Facebook Verarbeitung personenbezogene Daten von WhatsApp zu eigenen Zwecken

[datensicherheit.de, 11.05.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben eine Anordnung erlassen, welche es der Facebook Ireland Ltd. als Betreiberin von „Facebook“ verbietet, personenbezogene Daten von „WhatsApp“ zu verarbeiten, soweit dies zu eigenen Zwecken erfolgt. „Der sofortige Vollzug wurde angeordnet.“ Dies erfolge im Rahmen des Dringlichkeitsverfahrens der Datenschutzgrundverordnung (DSGVO), welches den Erlass von Maßnahmen mit einer begrenzten Geltungsdauer im jeweiligen Hoheitsgebiet vorsehe.

HmbBfDI

Prof. Dr. Johannes Caspar: Der sofortige Vollzug wurde angeordnet!

Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen angestrebt

Hintergrund dieses Verfahrens sei die Aufforderung an alle Nutzer von „WhatsApp“, den neuen Nutzungs- und Privatsphäre-Bestimmungen bis zum 15. Mai 2021 zuzustimmen. Damit lasse sich WhatsApp weitreichende Befugnisse für eine Datenweitergabe an Facebook einräumen.
Mit den neuen Bedingungen würden die Befugnisse zur Datenverarbeitung formal erneuert und künftig inhaltlich erweitert. Dies betreffe u.a. die Auswertung von Standortinformationen, die Weitergabe von Kommunikationsdaten der Nutzer von Unternehmen auf „WhatsApp“ an Drittunternehmen ausdrücklich mit Hinweis auf Facebook, den zusätzlichen Zweck der Sicherstellung der Integrität der Dienste sowie die unternehmensübergreifende Verifizierung des Accounts, um den Dienst auf „angemessene Weise“ zu nutzen.
Ferner werde die Nutzung der Daten zur Verbindung mit Produkten von Facebook-Unternehmen eröffnet. Ein sogenanntes berechtigtes Interesse für die Datenverarbeitung bzw. für den Austausch der Daten werde künftig pauschal auch gegenüber minderjährigen Nutzern vorgebracht. Ferner falle der bislang vorhandene Hinweis weg, „dass ,WhatsApp‘-Nachrichten nicht für andere sichtbar auf ,Facebook‘ geteilt werden“.

Laut HmbBfDI fehlt Facebook die rechtliche Grundlage

Nach Auswertung des gegenwärtigen Sachstands und Anhörung der Facebook Ireland Ltd. fehle für eine Verarbeitung durch Facebook zu eigenen Zwecken ungeachtet der von WhatsApp derzeit eingeholten Zustimmung zu den Nutzungsbedingungen eine ausreichende rechtliche Grundlage. Die Bestimmungen zur Datenweitergabe fänden sich verstreut auf unterschiedlichen Ebenen der Datenschutzerklärung – „sie sind unklar und in ihrer europäischen und internationalen Version schwer auseinanderzuhalten“.
Zudem seien sie inhaltlich missverständlich und wiesen erhebliche Widersprüche auf. Auch nach genauer Analyse lasse sich nicht erkennen, welche Konsequenzen die Zustimmung für die Nutzer hat. Ferner erfolge die Zustimmung nicht aus freien Stücken, da WhatsApp die Einwilligung in die neuen Bestimmungen als Bedingung für die Weiternutzung der Funktionalitäten des Dienstes einfordere. Datenschutzrechtliche Grundlagen, welche eine eigenständige Verarbeitungsbefugnis durch Facebook begründen könnten, „liegen vor diesem Hintergrund nicht vor“.
Insbesondere könne Facebook kein überwiegendes berechtigtes Interesse an der Verarbeitung der Daten von „WhatsApp“-Nutzern geltend machen, da deren Rechte und Freiheiten entgegenstünden. Die Zustimmung erfolge weder transparent noch freiwillig: „Das gilt in besonderer Weise für Kinder.“ Aus diesen Gründen komme eine datenschutzrechtliche Einwilligung als Rechtsgrund nicht in Betracht. Die Verarbeitung der Daten der Nutzer von „WhatsApp“ sei für Facebook auch nicht zur Durchführung eines Vertrages erforderlich.

WhatsApp konfrontiert Nutzer mit intransparenten Bedingungen für weitreichende Datenweitergabe an Facebook

Die Untersuchung der neuen Bestimmungen habe gezeigt, dass die enge Verbindung zwischen den beiden Unternehmen weiter ausgebaut werden solle, damit Facebook die Daten der „WhatsApp“-Nutzer jederzeit zu eigenen Zwecken verwenden könne. Für die Bereiche Produktverbesserung und Werbung behalte sich WhatsApp die Weitergabe an Facebook-Unternehmen vor, ohne dass es hierzu noch einer Einwilligung der Betroffenen bedürfe.
In anderen Bereichen sei von einer Nutzung für eigene Zwecke nach Maßgabe der Datenschutzrichtlinie bereits derzeit auszugehen. Darin bzw. in den „FAQ“ werde etwa beschrieben, dass für die Netzwerksicherheit und zur Verhinderung des Sendens von Spam bereits aktuell Daten der „WhatsApp“-Nutzer wie etwa Telefonnummern und Gerätekennungen zwischen den Unternehmen für gemeinsame Zwecke ausgetauscht würden. „Eine Untersuchung der federführenden Aufsichtsbehörde über die tatsächliche Praxis der Datenweitergabe und -nutzung hat es bislang trotz unserer Aufforderung nicht gegeben.“
WhatsApp konfrontiere die Nutzer mit intransparenten Bedingungen für eine weitreichende Datenweitergabe. Gleichzeitig werde behauptet, die beschriebenen Verarbeitungen würden tatsächlich gar nicht ausgeführt, um sie dann zu einem späteren Zeitpunkt schrittweise auf Grundlage des auf Zustimmung der Nutzer gegründeten Rechtsrahmens umzusetzen. Diese Strategie erfolge gegenwärtig insbesondere bei der neu eingeführten Funktion des Business-Marketings, welche es unter Einschluss von „Facebook“ ermögliche, zum Versenden von Direktwerbung und der Marketingkommunikation unternehmensübergreifend Daten zu verarbeiten. Insgesamt entspreche dieses Vorgehen sowohl mit Blick auf Datenverarbeitungen, welche laut Datenschutzrichtlinie bereits derzeit ausgeführt würden, als auch solchen, welche durch Facebook jederzeit umgesetzt werden könnten, nicht den Vorgaben der DSGVO.

Datenleck mit mehr als 500 Millionen Facebook-Nutzer zeigte Gefahren massenhafter Profilbildung auf

„Die Anordnung soll die Rechte und Freiheiten der vielen Millionen Nutzerinnen und Nutzer sichern, die deutschlandweit ihre Zustimmung zu den Nutzungsbedingungen geben. Es gilt, Nachteile und Schäden, die mit einem derartigen Black-Box-Verfahren verbunden sind, zu verhindern“, erläutert Prof. Dr. Johannes Caspar, der Hamburgische Beauftragter für Datenschutz und Informationsfreiheit. Die Datenschutz-Skandale der letzten Jahre von „Cambridge Analytica“ bis hin zu dem kürzlich bekanntgeworden Datenleck, von dem mehr als 500 Millionen „Facebook“-Nutzer betroffen gewesen seien, zeigten das Ausmaß und die Gefahren, welche von einer massenhaften Profilbildung ausgingen.
Dies betreffe nicht allein die Privatsphäre, sondern auch die Möglichkeit, Profile zur Beeinflussung von Wählerentscheidungen einzusetzen, um demokratische Entscheidungen zu manipulieren. Die Gefahr sei angesichts von fast 60 Millionen Nutzern von „WhatsApp“ mit Blick auf die in Deutschland im September 2021 anstehenden Bundestagswahlen umso konkreter, da diese Begehrlichkeiten nach Beeinflussung der Meinungsbildung seitens der Anzeigekunden von Facebook wecken würden.
Die nun erlassene Anordnung beziehe sich auf die Weiterverarbeitung von „WhatsApp“-Nutzerdaten und richte sich an die Adresse von Facebook. Die weltweite Kritik gegen die neuen Nutzungsbedingungen sollte Anlass geben, den Zustimmungsmechanismus noch einmal grundlegend zu überdenken: „Ohne Vertrauen der Nutzerinnen und Nutzer kann auf Dauer kein auf Daten gegründetes Geschäftsmodell erfolgreich sein.“ Aufgrund des beschränkten Zeitrahmens der Anordnung im Dringlichkeitsverfahren von lediglich drei Monaten wird der HmbBfDI demnach eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen, um eine Entscheidung auf europäischer Ebene herbeizuführen.

Weitere Informationen zum Thema:

datensicherheit.de, 13.04.2021
Neue WhatsApp-Nutzungsbedingungen: Dringlichkeitsverfahren gegen Facebook / Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl / Persönliche Daten von 533 Millionen Facebook-Nutzern, einschließlich Telefonnummern, online geleakt

datensicherheit.de, 06.04.2021
Vorsicht vor Smishing: Datendienbstahl bei Facebook sollte Warnung sein / Jacinta Tobin erläutert Smishing – Cyber-Angriffe via SMS – und gibt Sicherheitstipps

Facebook erhält im Rahmen einer Anhörung Gelegenheit zur Stellungnahme

[datensicherheit.de, 13.04.2021] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, hat nach eigenen Angaben ein Dringlichkeitsverfahren gegen Facebook im Zusammenhang mit den neuen „WhatsApp“-Nutzungsbedingungen eröffnet. Das gegen die Facebook Ireland Ltd. eröffnete Verfahren zielt demnach darauf ab, eine sofort vollziehbare Anordnung mit dem Inhalt auszusprechen, keine Daten von „WhatsApp“-Nutzern zu erheben und zu eigenen Zwecken zu verarbeiten. Facebook werde zunächst im Rahmen einer Anhörung Gelegenheit zur Stellungnahme gegeben.

HmbBfDI

Prof. Dr. Johannes Caspar: Förmliches Verwaltungsverfahren zum Schutz Betroffener eingeleitet…

WhatsApp-Bestimmungen enthalten Recht, Nutzer-Daten mit anderen Facebook-Unternehmen zu teilen

Hintergrund sind laut HmbBfDI die aktualisierten Nutzungsbedingungen und die Datenschutzrichtlinie von „WhatsApp“, mit denen die Nutzer seit Anfang des Jahres 2021 konfrontiert würden. „Diese werden aufgefordert, den neuen Bestimmungen bis spätestens Mitte Mai zuzustimmen. Andernfalls können sie ,WhatsApp‘ nicht mehr nutzen.“
Die „WhatsApp“-Bestimmungen enthalten indes umfangreiche Passagen, mit denen sich der Dienst das Recht einräume, Daten der Nutzer mit anderen Facebook-Unternehmen zu teilen. Auch Facebooks Datenschutzrichtlinie selbst sehe eine allgemeine unternehmensübergreifende Nutzung und Auswertung von Daten verbundener Unternehmen vor.

HmbBfDI Prof. Dr. Johannes Caspar in Deutschland für Facebook zuständig

Der HmbBfDI befürchtet, „dass ,WhatsApp‘ mit den neuen Bestimmungen neben den bereits bestehenden Austauschmöglichkeiten mit Facebook für die Bereiche Produktverbesserung, Analyse, Network/Security künftig weitere für Marketingzwecke und Direktwerbung schafft“.
Er sei in Deutschland für Facebook zuständig, da die deutsche Niederlassung von Facebook ihren Sitz in Hamburg habe. Daher könne er unter außergewöhnlichen Umständen, „die er hier gegeben sieht“, auf Grundlage von Art. 66 Datenschutzgrundverordnung (DSGVO) ein Verfahren auch gegen Facebook in Irland eröffnen, um die Rechte und Freiheiten deutscher Nutzer zu schützen. Entsprechende Maßnahmen seien auf drei Monate begrenzt, könnten aber durch einen Beschluss des Europäischen Datenschutzausschusses (EDSA) verlängert oder ergänzt werden.

Bereits vor viereinhalb Jahren hatte der HmbBfDI eine Anordnung gegen Facebook erlassen

Die Thematik der Weitergabe von „WhatsApp“-Nutzerdaten an Facebook stelle sich erneut. Bereits vor viereinhalb Jahren habe der HmbBfDI eine Anordnung gegen Facebook erlassen, welche einen solchen Massendatenabgleich untersagt habe. „Nachdem Facebook dagegen gerichtlich vorging, wurde die Anordnung durch zwei Instanzen bestätigt.“
„WhatsApp“ werde in Deutschland mittlerweile von fast 60 Millionen Menschen genutzt und sei die mit Abstand meistgenutzte Social-Media-Anwendung noch vor Facebook. Professor Caspar betont: „Umso wichtiger ist es, darauf zu achten, dass die hohe Zahl der Nutzer, die den Dienst für viele Menschen attraktiv macht, nicht zu einer missbräuchlichen Ausnutzung der Datenmacht führt. Leider ist es bislang zu keiner uns bekannten aufsichtsbehördlichen Überprüfung der tatsächlichen Verarbeitungsvorgänge zwischen ,WhatsApp‘ und Facebook gekommen.“

Bestimmungen zum Teilen der Daten zwischen WhatsApp und Facebook lassen Freiwilligkeit und Informiertheit vermissen

Derzeit bestehe Grund zu der Annahme, dass die Bestimmungen zum Teilen der Daten zwischen „WhatsApp“ und Facebook mangels Freiwilligkeit und Informiertheit der Einwilligung unzulässig durchgesetzt werden sollten.
Um gegebenenfalls einen rechtswidrigen massenhaften Datenaustausch zu verhindern und einen unzulässigen Einwilligungsdruck auf Millionen von Menschen zu beenden, sei nun „ein förmliches Verwaltungsverfahren zum Schutz Betroffener“ eingeleitet worden. Ziel sei es, vor dem 15. Mai 2021 zu einer Entscheidung im Dringlichkeitsverfahren zu kommen. „Über den Fortgang des Verfahrens wird zeitnah unterrichtet“, verspricht Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 07.04.2021
Facebook-Datenleck: Maßnahmen gegen drohenden Identitätsdiebstahl

Auskunft über den Schutz der Privatsphäre im App-Umfeld gefordert

[datensicherheit.de, 02.02.2021] Die App Clubhouse sei derzeit in aller Munde und habe einen erheblichen Nutzeransturm zu verzeichnen. Das sei durchaus verständlich, so der der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI): Viele Menschen hätten gerade gegenwärtig „ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“. Diese App werfe jedoch viele Fragen zur Wahrung der Privatsphäre der Nutzer und dritter Personen auf.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: App darf weder eigene noch fremde Rechte verletzen!

Zweifel am Datenschutz der App

So würden die Adressbücher in den Mobilfunkgeräten von jenen Nutzern, welche andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch gerieten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kämen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder Kontaktanfragen verwendet werden könnten.
Die Betreiber speicherten nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent würden. Anbieter indes, welche sich an europäische Nutzer richten, müssten deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten.

Auch diese App muss Regeln auf dem Spielfeld Europa beachten

Gleichzeitig bestehe die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestünden derzeit bei der „Clubhouse“-App einige Zweifel. Der HmbBfDI hat sich daher nach eigenen Angaben mit den anderen deutschen Aufsichtsbehörden abgestimmt und hierzu einen Katalog von Fragen an die Betreiber in Kalifornien übersandt, um die Einhaltung des europäischen Datenschutzrechts zu überprüfen.
„Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten“, so Prof. Dr. Johannes Caspar, der HmbBfDI. Hierbei gelte es, zügig darauf hinzuweisen, „welche Regeln auf dem Spielfeld Europa gelten und diese auch durchzusetzen“. Es sei im Interesse aller europäischen Nutzer, Dienste in Anspruch nehmen zu können, „die weder eigene noch fremde Rechte verletzen und die nicht erst nach Jahren erfolgreicher Nutzerbindung in Europa sich den Prinzipien des Schutzes der Privatheit öffnen“, betont Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 26.01.2021
TikTok: Erneut Schwachstelle entdeckt

datensicherheit.de, 28.11.2020
Supergrundrecht Datenschutz: Ein kritischer HmbBfDI-Faktencheck

[datensicherheit.de, 28.11.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat sich in seiner Stellungnahme vom 27. November 2020 sehr kritisch mit dem vermeintlichen „Supergrundrecht Datenschutz“ auseinandergesetzt: Seit der Geltung der europäischen Datenschutzgrundverordnung (EU-DSGVO) und verstärkt seit Beginn der „Corona-Pandemie“ würden immer wieder öffentliche Diskussionen über Sinn und Zweck des Datenschutzes geführt. Dabei gehe es um die grundsätzliche Frage, ob der Schutz von Rechten und Freiheiten der Bürgern in seiner derzeitigen Form adäquat sei. Anlässlich eines in der Ausgabe vom „Hamburger Abendblatt“ am 21. November 2020 publizierten Meinungsbeitrags mit dem Titel „Supergrundrecht Datenschutz?“ gelte es, vor diesem Hintergrund den Faktencheck durchzuführen, um Tatsachen von bloßen Behauptungen zu trennen. Auf diese Weise möge es gelingen, eine versachlichte Basis für die öffentliche Diskussion zu erzeugen.

Zitat: „Überall werden wegen der Corona-Pandemie Grundrechte eingeschränkt – mit einer Ausnahme.“

Dass derzeit überall in Grundrechte eingegriffen werde, nur nicht in das Grundrecht auf Datenschutz, sei in dieser Pauschalität falsch. Einschränkungen des Grundrechts auf informationelle Selbstbestimmung fänden derzeit massenhaft statt, so der HmbBfDI: Zur Datenübermittlung und -speicherung bei der Nachverfolgung von Infektionsketten sowie bei der Meldung von Infizierten und Personen, welche aus Risikogebieten einreisen.
Zudem bestehe die Pflicht aller Menschen, bei Aufsuchen von Einrichtungen des täglichen Lebens stets ihre Kontaktdaten zu hinterlassen. Bei Attesten für die Befreiung von der Maskenpflicht sei durch den Arzt eine Diagnose über den Gesundheitszustand des Betroffenen anzugeben. Neue gesetzliche Einschränkungen des informationellen Selbstbestimmungsrechts seien gerade in der letzten Woche durch den Bundesgesetzgeber aufgenommen worden.

Zitat: „Deutschland hat sich für 69 Millionen Euro eine tolle Corona-Warn-App geleistet – sie ist so sicher, dass sie leider in dieser zweiten Welle wertlos ist.“

Die Kosten der „Corona App“ seien zutreffend angeben. „Wertlos“ sei diese allerdings nicht: Sie ermögliche den Menschen, sich risikoadäquat zu verhalten und insbesondere Kontakte zum Schutz anderer zu vermeiden.
Gerade ihre Sicherheit und das berechtigte Vertrauen der Nutzenden in den Datenschutz habe ganz wesentlich dazu beigetragen, dass sie bislang über 23,2 Millionen Mal heruntergeladen worden sei.

Zitat: „So sollte kürzlich in Hamburg ein KI-Forschungsprojekt zu Corona aufgelegt werden, das an den steuerfinanzierten Bedenkenträgern scheiterte. Das Projekt wird nun im Ausland weitergeführt. Die Liste abstruser Eingriffe der Datenschützer ist längst so lang, dass man darüber endlich diskutieren muss.“

Dazu der HmbBfDI: Es sei völlig unklar, um welches KI-Forschungsprojekt es sich hierbei handeln soll und wo und wann ein solches in Hamburg angeblich verhindert wurde.
Trotz eines Schreibens an die Redaktion des „Hamburger Abendblatt“ sei bislang hierzu wie auch zu anderen Punkten keine Klarstellung erfolgt.

Zitat: „Unvergessen, wie der Hamburger Datenschutzbeauftragte die Polizeiarbeit nach den G-20-Krawallen behindern wollte und allen Ernstes forderte, die Fahndungsdatei zu Gewalttätern zu löschen.“

Es sei die gesetzliche Aufgabe einer jeden Aufsichtsbehörde, die Regelungen des Datenschutzes – auch gegenüber der Polizei – zu kontrollieren und die Rechte und Freiheiten zu schützen, stellt der HmbBfDI klar. „In diesem Zusammenhang die Absicht der Verhinderung der Strafverfolgung zu unterstellen, spricht für sich selbst.“ Die Forderung nach der Löschung von Fahndungsdaten von Gewalttätern sei zudem nie erhoben worden.
Die Anordnung habe stattdessen die Löschung der biometrischen Profile von in der Masse gerade völlig unbescholtenen Passanten betroffen, „die in der Öffentlichkeit zusammengezogen und gesammelt wurden, um einen biometrischen Referenzdatenbestand zu erzeugen. Dieser war in Deutschland einzigartig und wurde von der Polizei Hamburg bereits gelöscht.“ Dieser Fall liege vor dem OVG Hamburg und habe noch keine abschließende Entscheidung gefunden.

Zitat: „Die elektronische Patientenakte verhinderten Datenschützer mit dem Hinweis auf möglichen Missbrauch – dass die Akte Leben retten kann, wenn ein Notfall ins Krankenhaus kommt? Nicht so wichtig.“

Die elektronische Patientenakte sei gesetzlich geregelt und werde derzeit umgesetzt. Dass diese „durch die Datenschützer verhindert wurde, ist falsch“. Dies sei auch nie deren Anliegen gewesen.
Richtig sei, dass es derzeit Kritik an der Umsetzung gebe. Die Datenschützer hätten sich in der Vergangenheit dafür stark gemacht, „dass die elektronische Patientenakte eine sichere technische Umsetzung erfährt und die Patienten Kontrolle darüber ausüben können, wer welche Dokumente darin einsehen kann.“

Zitat: „Der grüne Tübinger Bürgermeister Boris Palmer wollte Informationen über straffällige Asylbewerber sammeln, um diese konkret in den Blick zu nehmen. Die Datenschützer untersagten es.“

Das sei zutreffend, sage aber nichts über die Rechtmäßigkeit der Untersagung aus.
Datenschutz setze mitunter Regeln, welche durch Behörden – auch zugunsten von Asylbewerbern – eingehalten werden müssten.

Zitat: „Es waren auch deren Bedenken, die lange verhinderten, Kindergeldbetrug durch kriminelle Clans aufzudecken.“

Tatsächlich sei diese Fragestellung in NRW aufgeworfen worden und habe dort zu einem standardisierten Verfahren des Datenabgleichs geführt.
Einzelheiten zum Verlauf der Debatte vor Ort seien nicht bekannt.

Zitat: „… die [Datenschützer] hatten in Hamburg im Sommer gleich die Gastronomen überprüfen lassen. Wo Listen offen auslagen, gab es Ärger, im Wiederholungsfall auch Bußgelder. So macht man Not leidenden Unternehmern das Leben schwer – und es Micky Maus und Darth Vader umso leichter.“

Neben Aufklärungskampagnen habe die Aufsichtsbehörde in der Tat Vor-Ort-Kontrollen durchgeführt. Lediglich in drei Einrichtungen seien bisher eher symbolische Bußgelder in Höhe von jeweils 50 bis 100 Euro verhängt worden. Datenschutz und Infektionsschutz gingen Hand in Hand:
„So gab es zahlreiche Beschwerden zu offen ausliegenden Kontaktdatenlisten, etwa zu Missbräuchen hinterlegter Telefonnummern durch Flirt-Anrufe von Fremden.“ Restaurantbesucher müssten indes darauf vertrauen können, dass ihre Daten sicher verwahrt werden, wenn sie ihre korrekten Namen und Telefonnummern hinterlassen.

Prof. Dr. Johannes Caspar: Recherche ein unverzichtbares Instrument journalistischer Sorgfalt

„In großen Teilen hält der Beitrag dem Faktencheck nicht stand. Recherche ist ein unverzichtbares Instrument journalistischer Sorgfalt. Zentrale gesellschaftliche Fragen, wie der Schutz der Menschen im Zeitalter der Digitalisierung, lassen sich nur auf der Basis von Tatsachen beantworten. Anderenfalls werden rationale Bewertungen durch Vorurteile und Unterstellungen ersetzt“, kommentiert HmbBfDI Prof. Dr. Johannes Caspar den Beitrag „Supergrundrecht Datenschutz?“ im „Hamburger Abendblatt“ vom 21.11.2020,

Weitere Informationen zum Thema:

Hamburger Abendblatt, Matthias Iken, 21.11.2020
Hamburger Kritiken: „Supergrundrecht Datenschutz?“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 27.11.2020
Datenschutz in Zeiten von Covid-19

ROBERT KOCH INSTITUT
KENNZAHLEN ZUR CORONA-WARN-APP

[datensicherheit.de, 01.10.2020] Im Fall der Überwachung von mehreren hundert Mitarbeitern des H&M-Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nach eigenen Angaben einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Diese Gesellschaft mit Sitz in Hamburg betreibt demnach ein Servicecenter in Nürnberg.

Seit 2014 umfangreichen Erfassungen privater Lebensumstände von H&M-Beschäftigten

Mindestens seit dem Jahr 2014 sei es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände gekommen. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert worden. „Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Team-Leader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.“
Zusätzlich hätten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden angeeignet, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen gereicht habe. Diese Erkenntnisse seien teilweise aufgezeichnet und, digital gespeichert worden und seien mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar gewesen.

H&M-Datenerhebung bekannt geworden durch Konfigurationsfehler im Oktober 2019

Diese Aufzeichnungen seien bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschriebenworden. Die so erhobenen Daten seien neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt worden, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“ Bekannt geworden sei die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar gewesen seien.

H&M hat Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt

Nachdem der HmbBfDI durch Presseberichte informiert worden sei, habe er zunächst angeordnet, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und dann die Herausgabe verlangt. Das Unternehmen sei dem nachgekommen und habe einen Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt.
Vernehmungen zahlreicher Zeugen habe nach Analyse der Daten die dokumentierten Praktiken bestätigt. Die Aufdeckung der erheblichen Verstöße habe die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI sei ein umfassendes Konzept vorgelegt worden, „wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll“.

Neu eingeführtes H&M-Datenschutzkonzept

Zur Aufarbeitung der vergangenen Geschehnisse habe sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folge auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handele sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.
Weitere Bausteine des neu eingeführten Datenschutzkonzepts seien unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

HmbBfDI: Fall schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg

Prof. Dr. Johannes Caspar, HmbBfDI kommentiert: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Ausdrücklich positiv sei das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigten durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienten.

Weitere Infromationen zum Thema:

datensicherheit.de, 16.10.2019
Datenschutzbehörden stellen neuen Bußgeldkatalog offiziell vor

Über diesen Vorfall in Büren wurde im Mai 2020 auf YouTube detailliert berichtet

[datensicherheit.de, 21.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geht in seiner aktuellen Meldung auf einen schweren Datenschutz-Vorfall mit Patientenakten ein. In der Liegenschaft des seit Jahren leerstehenden Krankenhauses in Büren wurden demnach seit 2010 Tausende von Krankenakten ungesichert gelagert. Die ursprünglich für die Akten verantwortliche Krankenhausträgergesellschaft, ein Tochterunternehmen der Marseille Kliniken, habe 2010 Insolvenz angemeldet und danach den Klinikbetrieb im gleichen Jahr eingestellt.

HmbBfDI

Prof. Dr. Johannes Caspar: HmbBfDI legt Beschwerde beim OVG Hamburg ein

Sicherung der Krankenakten im leerstehenden Gebäude in Büren erfolgte über Jahre nicht

Der Insolvenzverwalter habe das Grundstück nach Ende des Insolvenzverfahrens an den ursprünglichen Eigentümer, ein Tochterunternehmen der Marseille Kliniken mit Registersitz in Hamburg, zurückgegeben. Das Krankenhausgelände sei seither zeitweilig durch einen Hausmeister betreut worden. „Eine Sicherung der Krankenakten im leerstehenden Gebäude erfolgte nicht.“
Über diesen Fall sei im Mai 2020 auf YouTube detailliert berichtet worden. Dies habe eine breite Medienwirksamkeit erzielt. „Die öffentliche Berichterstattung führte dazu, dass sich ehemalige Patienten über die frei zugängliche Lagerung ihrer Patientenakten bei der Behörde für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen beschwerten.“ Zudem sei die Liegenschaft in der Folge mehrmals durch unbefugte Personen betreten worden, welche sich aus Neugier oder mit dem Vorsatz, dort Dinge zu entwenden, widerrechtlich Zugang zum Gebäude verschafft hätten.

Wegen wiederkehrenden Einbruchsversuchen in Büren ordnete HmbBfDI sofortige Vollziehbarkeit der Grundverfügung an

„Da die Grundstücksgesellschaft ihren Registersitz und die Muttergesellschaft ihren Hauptsitz in Hamburg hat, wurden die Beschwerden an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) abgegeben.“ Dieser hat nach eigenen Angaben in Abstimmung mit der Stadt Büren als zuständige Ordnungsbehörde weitergehende Sicherungsmaßnahmen eingeleitet. Dennoch sei es zu erneuten Versuchen unbefugter Personen gekommen, sich Zutritt zu den Aktenräumen zu verschaffen. Dies habe die Beauftragung eines 24-Stunden vor Ort befindlichen Sicherheitsdienstes erforderlich gemacht.
Mit Bescheid vom 23. Juni 2020 habe der HmbBfDI gegenüber der Grundstückseigentümerin, einer Schwestergesellschaft der ursprünglichen Krankenhausbetreibergesellschaft, angeordnet, die Krankenakten in einer datenschutzgerechten Weise zu lagern und – um die Rechte von Betroffenen an den Daten zu sichern – diese durch einen Träger der ärztlichen Schweigepflicht in Obhut zu nehmen. „Aufgrund der akuten Gefährdungslage durch wiederkehrende Einbruchsversuche ordnete der HmbBfDI die sofortige Vollziehbarkeit der Grundverfügung an.“

VG Hamburg sieht im bloßen Vorhandensein der Aktenbestände in Büren nur einen Zustand

Dem Antrag der Eigentümerin auf Wiederherstellung der aufschiebenden Wirkung habe das VG Hamburg im einstweiligen Rechtsschutzverfahren nun mit der Begründung stattgegeben, dass es sich bei der streitgegenständlichen Lagerung der Patientenakten „unter keinem rechtlichen Gesichtspunkt um einen (der Antragstellerin) zurechenbaren Verarbeitungsvorgang“ im Sinne der Datenschutzgrundverordnung (DSGVO) handele. Vielmehr sei das bloße Vorhandensein der Aktenbestände in dem Gebäudekomplex der Antragstellerin ein bloßer Zustand. Gefordert sei vom Verarbeitungsbegriff eine relevante Zustandsveränderung, die vorliegend durch das bloße Lagern nicht gegeben sei. Eine datenschutzrechtliche Garantenpflicht kenne das Gesetz nicht.
Dieser Beschluss sei unter datenschutzrechtlichen Gesichtspunkten zu hinterfragen, so der HmbBfDI. Die verengende Auslegung des Begriffs der Verarbeitung sei geeignet, erhebliche Rechtsschutzlücken für Grundrechte betroffener Personen zu hinterlassen. Im Fall der Rechtsnachfolge einer verantwortlichen Stelle reiche demnach bloßes Nichtstun, um die Regelungen des Datenschutzes ins Leere laufen zu lassen: „Betroffene haben nach diesen Bestimmungen weder die Möglichkeit, Auskunft über ihre Daten zu bekommen, noch Widerspruch gegen die Datenhaltung zu erheben oder ihre Löschung zu verlangen.“

HmbBfDI fordert Prüfung: Lagern von Daten in eigenen Räumen in Büren gegenüber Betroffenen ggf. eine Verarbeitung

Betroffene hätten dann weder ein Recht auf Beschwerde bei einer unabhängigen Stelle, noch können sie die Einhaltung der erforderlichen technisch-organisatorischen Sicherungsmaßnahmen verlangen. Die Anwendung des zivilrechtlichen Unterlassungsanspruchs gegen den rechtswidrigen Umgang mit Daten sei „juristisch problematisch“ und dürfte bei fehlender Verantwortlichkeit ohnehin nicht durchsetzbar sein. Eine grundrechtskonforme Auslegung, welche das Verwaltungsgericht vorliegend offenbar nicht in Betracht ziehe, könne hierbei weiterhelfen:
Insoweit wäre zu prüfen, ob nicht das Lagern von Daten in den eigenen Räumen gegenüber den Betroffenen eine Verarbeitung darstellt, worauf auch die englische Wortbedeutung des Begriffs des „Storing“ (Lagerung) hindeute, welcher den Verarbeitungsbegriff in der DSGVO konkretisiere. Im Übrigen begegne es erheblichen Bedenken, dass durch besondere gesellschaftsrechtliche Betriebsaufspaltungen die datenschutzrechtliche Verantwortlichkeit auf einen Rechtsträger verlagert werden könne, der dann insolvenzbedingt untergehen könne, „ohne dass Mutter- oder Tochtergesellschaft datenschutzrechtliche Pflichten treffen“.

Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort in Büren gesichert

„Wir haben in den vergangenen Wochen alles getan, um die Gesundheitsdaten einer großen Zahl von ehemaligen Patienten vor Ort zu sichern. Dafür hatten wir uns mit der Stadt Büren, der Bezirksregierung Detmold, dem Minister für Arbeit, Gesundheit und Soziales des Landes Nordrhein- Westfalen sowie mit unseren Kollegen des LfDI NRW abgestimmt. Dass in dem vorliegenden Fall nun keine Zuständigkeit für eine Aufsichtsbehörde im Bereich des Datenschutzes bestehen soll, kommt nicht nur für uns überraschend“, führt Prof. Dr. Johannes Caspar, der HmbBfDI, aus.
Der Beschluss des VG Hamburg werfe viele Fragen auf, welche insbesondere den weiteren Umgang mit den Patientenakten der Ordnungsbehörden vor Ort und letztlich auch die Durchsetzung der Rechte zahlreicher Betroffener erheblich erschwerten. „Wir haben daher Beschwerde gegen den Beschluss beim OVG Hamburg eingelegt um sicherzustellen, dass das Datenschutzrecht für Patientendaten am Standort Büren gilt“, berichtet Professor Caspar. Gleichzeitig müsse grundsätzlich geklärt werden, „dass ein umfassender Schutz gerade von besonders sensiblen Daten in derartigen Fallgruppen gewährleistet wird, der nicht durch spezifische Konzernstrukturen unterlaufen werden kann“.

Weitere Informationen zum Thema:

ItsMarvin auf YouTube, 29.05.2020
LOSTPLACES: UNGLAUBLICH! DIESES KRANKENHAUS IST 10 JAHRE ZU !

datensicherheit.de, 25.06.2020
EU-Kommission hat DSGVO-Evaluationsbericht vorgelegt

HmbBfDI fordert transparente Antworten zum Datenschutz bei Clearview

[datensicherheit.de, 18.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat nach eigenen Angaben das in den USA ansässige Unternehmen Clearview AI mittels eines formalen Bescheids angewiesen, „ihm Auskunft zu einer Reihe von Fragen zur dortigen Verarbeitung personenbezogener Daten zu geben“. Clearview AI bietet demnach eine Gesichtserkennungs-App an, „die es Kunden ermöglicht, nach Hochladen eines Fotos einer Person sämtliche öffentlich verfügbaren Fotos, auf denen diese Person zu erkennen ist – z.B. aus Profilen in Sozialen Netzwerken und von sonstigen Internetseiten –, zu ermitteln, zusammenzustellen und auszuwerten“. Dazu habe das Unternehmen offenbar mehrere Milliarden von Fotos von Nutzern weltweit aus dem Internet kopiert und diese Daten zu einem gigantischen, leicht durchsuchbaren Archiv von Gesichtern ausgebaut. Die Rechtmäßigkeit dieser Verarbeitung sei in Bezug auf europäische Betroffene angesichts der fehlenden Einwilligung in die Verarbeitung gerade biometrischer Daten überaus zweifelhaft. Das Unternehmen sei verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben – für den Fall der Nichtbereitstellung der geforderten Informationen sei ein Zwangsgeld angedroht worden.

HmbBfDI

Prof. Dr. Johannes Caspar: Clearview verpflichtet, bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben!

Beschwerde gegen Clearview beim HmbBfDI im Februar 2020 eingereicht

Ausgehend von einer Beschwerde gegen Clearview, die beim HmbBfDI im Februar 2020 eingereicht worden sei, habe dieser mit dem Unternehmen bereits mehrfach Kontakt aufgenommen – „Fragen zum Geschäftsmodell und zu den Umständen, die der Beschwerde zugrunde liegen, hat Clearview bislang lediglich ausweichend beantwortet“.
Dabei sei die rechtliche Position vertreten worden, die Datenschutzgrundverordnung (DSGVO) sei für die Verarbeitung durch Clearview insgesamt nicht anwendbar, so dass auch keine Pflicht zur Antwort in der Sache bestehe – „dieser Auffassung tritt der HmbBfDI entgegen“.

Nicht nur Betroffene, sondern auch EU-Kunden von Clearview im Blick

Der räumliche Anwendungsbereich der DSGVO sei über Art. 3 (2) b eröffnet, da die spätere Verhaltensbeobachtung nicht nur die Betroffenen, sondern auch die Kunden von Clearview betreffe. Gerade auch die App-Nutzer, die letztlich im Rahmen ihres Beschäftigungsverhältnisses für Clearview-Kunden, etwa Sicherheitsbehörden oder private Unternehmen, tätig sind, würden durch Cookie-Setzung zu unterschiedlichen Zwecken beobachtet, so z.B. zur Überprüfung ihrer Benutzeraktivitäten oder zur Verbesserung der Benutzererfahrung.
Beschäftigte, die sich dabei in der Europäischen Union befinden, genießen laut HmbBfDI „ebenfalls den Schutz der DSGVO und sind somit Betroffene nach Maßgabe dieser Vorschrift“.

Zwangsgeld gegen Clearview angedroht

Das Unternehmen sei nun verpflichtet, der Aufsichtsbehörde bis Mitte September 2020 umfassend und aussagekräftig Auskunft zu geben. Für den Fall der Nichtbereitstellung der geforderten Informationen sei ein Zwangsgeld in Höhe von je 10.000 Euro für jeden Einzelfall der insgesamt siebzehn Fragekomplexe angedroht worden.
„Geschäftsmodelle, die darin bestehen, massenhaft und anlasslos Bilder im Netz zu sammeln und die Gesichter von Personen durch biometrische Analyse identifizierbar zu machen, gefährden die Privatsphäre im globalen Maßstab“, warnt der HmbBfDI, Prof. Dr. Johannes Caspar. Zum Schutz Betroffener unter der EU-Grundrechtecharta müssten sie anhand der DSGVO kontrolliert, reguliert und nötigenfalls gestoppt werden.

Prof. Caspar geht davon aus, dass Clearview die Fragen beantworten oder Rechtsmittel einlegen wird

In Europa dürfe es keinen Raum für „düstere digitale Dystopien“ geben, in denen der Einsatz von Gesichtserkennungssoftware und biometrische Datenbanken staatlichen, aber auch privaten Stellen eine neue, kaum mehr kontrollierbare Form der Herrschaft über Menschen verschaffte. Die Datenschutzaufsichtsbehörden hätten den Auftrag, hierüber zu wachen. Das gelte auch gegenüber Unternehmen, „die entsprechende Geschäftszwecke von außerhalb der EU verfolgen und damit die Privatsphäre und die informationelle Selbstbestimmung von Menschen in der EU in Frage stellen“.
Professor Caspar betont abschließend: „Um eine datenschutzrechtliche Kontrolle zu ermöglichen, gehe ich davon aus, dass Clearview die dem Unternehmen gestellten Fragen beantworten oder zumindest gegen den Heranziehungsbescheid Rechtsmittel einlegen wird, um so eine rechtliche Entscheidung zu ermöglichen.“

Weitere Informationen zum Thema:

datensicherheit.de, 28.05.2020
Polizei Hamburg: Datenbank zum Gesichtsabgleich gelöscht / Anlässlich der Ermittlungen zu „G20“-Ausschreitungen mit Hilfe von Gesichtserkennung erstellte biometrische Datenbank war heftig umstritten

Bereits im Juni 2020 hatte der HmbBfDI stichprobenartig 100 Gewerbe- und Gaststättenbetriebe aufsuchen lassen

[datensicherheit.de, 14.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geht in seiner aktuellen Stellungnahme auf die in der „Corona“-Krise geführten Besucherlisten ein: „Seit nunmehr rund drei Monaten sind Restaurants und Cafés sowie andere Gewerbebetriebe verpflichtet, die Kontaktdaten ihrer Gäste zu erheben. Noch immer herrscht jedoch vielfach Unsicherheit, wie dies praktisch erfolgen kann, ohne Datenschutzrechte der Besucherinnen und Besucher zu verletzen.“

HmbBfDI

Prof. Dr. Johannes Caspar: Nachkontrollen dort, wo im Juni 2020 datenschutzwidrige offene Listen vorgefunden wurden…

HmbBfDI liegen Berichte über Missbrauch von Telefonnummern vor

Obwohl die Hamburgische „SARS-CoV-2-Eindämmungsverordnung“ ausdrücklich verlange, dass unbefugte Dritte keine Kenntnis von den Kontaktdaten erlangen können dürften, sei genau dies noch viel zu oft der Fall. Nahezu täglich erreichten den HmbBfDI Beschwerden von Bürgern über Restaurants mit offenen, frei zugänglichen Kontaktlisten. Teilweise werde auch vom Missbrauch der Telefonnummern für Flirt-Nachrichten oder ähnliche private Zwecke berichtet.

Stichprobe im Juni laut HmbBfDI mit dem Schwerpunkt Sensibilisierung und Beratung

Um Gastwirte zu sensibilisieren, hat der HmbBfDI nach eigenen Angaben im Juni 2020 stichprobenartig 100 Gewerbe- und Gaststättenbetriebe aufgesucht und die Umsetzung der Kontaktdatenerhebung kontrolliert. „Den Schwerpunkt legten die Mitarbeiterinnen und Mitarbeiter des HmbBfDI auf die Beratung und Sensibilisierung der Verantwortlichen vor Ort bei der Umsetzung der Kontaktdatenverarbeitung nach den Regeln der Datenschutzgrundverordnung (DSGVO).“

HmbBfDI ließ praktische Gefahren erläutern, die durch Missbrauch offen einsehbarer Telefonnummern entstehen

Dabei seien in einem Drittel der Fälle unzulässige offene Listen vorgefunden worden. Die Gastronomen seien seinerzeit jeweils über die Unzulässigkeit informiert worden. „Zudem wurden die praktischen Gefahren erläutert, die durch einen Missbrauch der offen einsehbaren Telefonnummern entstehen können.“ Die Mitarbeiter hätten zudem ausführliches Informationsmaterial inklusive eines Musterformulars übergeben.

HmbBfDI sieht nun Einschreiten mit aufsichtsbehördlichen Mitteln für geboten an

Der HmbBfDI hatte demnach seinerzeit explizit erklärt, dass Sanktionen in diesem ersten Schritt jedoch nicht zu befürchten seien, da die Branche „pandemiebedingt“ ohnehin schon schwere Nachteile erleiden müsse. Dort aber, wo im Juni 2020 „datenschutzwidrige offene Listen vorgefunden wurden“, seien nun Nachkontrollen durchgeführt worden. Diese hätten ergeben, dass die weit überwiegende Anzahl der Gaststätten erfreulicherweise den Hinweisen auf die Rechtslage gefolgt und die Praxis erfolgreich umgestellt habe. In vier Restaurants bestanden laut HmbBfDI jedoch nach wie vor dieselben Missstände. Nachdem die erste Stichprobenaktion primär auf die Beratung und Sensibilisierung im Hinblick auf die neuen rechtlichen Anforderungen gerichtet gewesen sei, „ist nun ein Einschreiten mit aufsichtsbehördlichen Mitteln geboten“.

HmbBfDI leitet gegen unwillige Betriebe Bußgeldverfahren ein

„Die pandemiebedingten erheblichen wirtschaftlichen Schwierigkeiten der Gastronomiebranche rechtfertigen es nicht, wenn nach direkter Ansprache durch die Datenschutzbehörde weiter daran festgehalten wird, die Anschriften und Telefonnummern Hunderter oder gar Tausender Besucher öffentlich auszulegen.“ Gegen die betroffenen Betriebe würden daher nun Bußgeldverfahren eingeleitet.

HmbBfDI-Nachprüfung zeigt: Etwa ein Siebtel der Betriebe immer noch mit fehlerhafter Erfassung der Kontaktdaten

Professor Caspar kommentiert: „Unsere Nachprüfung hat gezeigt, dass etwa ein Siebtel der Betriebe die Kontaktdatenerfassung auch nach behördlicher Ansprache immer noch fehlerhaft durchführen. Woran die datenschutzkonforme Umsetzung gescheitert ist, konnten die betroffenen Gaststättenbetreiber nicht plausibel darlegen. Bedauerlicherweise haben sich die Betriebe auch in der Nachkontrolle nicht einsichtig gezeigt. Ich appelliere in diesem Zusammenhang an alle Stellen, die nach der CoV-2-Eindämmungsverordnung verpflichtet sind, Kontaktdaten zu erheben: Bitte behandeln sie die Kontaktdaten vertraulich!“

HmbBfDI stellt klar, dass Regeln zum Datenschutz keine unverbindlichen Empfehlungen sind

Die Regeln zum Datenschutz seien eben keine unverbindlichen Empfehlungen: „Sie sind zum Schutz der Kunden und Gäste einzuhalten“, betont der HmbBfDI. Dies sollte im Interesse aller verantwortlichen Stellen liegen, nicht zuletzt, auch um Bußgelder, die bei Verstößen drohen, zu vermeiden. Abschließend ruft er auf: „Bei Fragen zur Behandlung von Kontaktdaten besuchen Sie unsere Informationsseiten oder fragen Sie direkt an!“

Weitere Informationen zum Thema:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Mustervorlage zur Erfassung von Kontaktdaten der Kunden nach der Hamburgischen SARS-CoV-2-Eindämmungsverordnung (HmbSARS-CoV-2-EindämmungsVO)

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 24.06.2020
Datenschutz und Infektionsschutz gehen Hand in Hand

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, 15.05.2020
Datenschutz in Zeiten von Covid-19

datensicherheit.de, 04.08.2020
Corona: HmbBfDI fordert, Kontaktdaten vertraulich zu behandeln / HmbBfDI Prof. Dr. Johannes Caspar sieht Bundesgesetzgeber in der Pflicht

datensicherheit.de, 25.07.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung

HmbBfDI Prof. Dr. Johannes Caspar sieht Bundesgesetzgeber in der Pflicht

[datensicherheit.de, 04.08.2020] Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) kritisiert in seiner aktuellen Stellungnahme, dass ganz offensichtlich Kontaktdaten, die zum Zweck der behördlichen Nachverfolgbarkeit von Infektionsketten erhoben werden sollen, zusehends durch die Polizei zum Zweck der Verfolgung von Straftaten verwendet würden.

HmbBfDI

HmbBfDI Prof. Dr. Johannes Caspar: Warnung vor negativen Folgen für eigentlichen Zweck der Datenerhebung

HmbBfDI: Jeder konkrete Fall bedarf einer Einzelabwägung

Die Möglichkeit, dass Strafverfolgungsbehörden diese Daten zu eigenen Zwecken nutzen, werde durch die Strafprozessordnung und das Bundesdatenschutzgesetz weitgehend unbeschränkt zugelassen. Zwar müsse eine entsprechende Datenverarbeitung, soweit sie zur Ermittlung oder Ahndung von Straftaten oder Ordnungswidrigkeiten erfolgt, dem Verhältnismäßigkeitsgrundsatz entsprechen – dies sei jedoch stets eine Frage des konkreten Falles und bedürfe insoweit einer Einzelabwägung, „die einen Einschätzungs-Spielraum eröffnet und auch häufig vom Vorverständnis des Rechtsanwenders getragen ist“.

HmbBfDI befürchtet Vertrauensverlust bei Betroffenen

Das führe dazu, dass die eigentlich zu Infektionszwecken erhobenen Daten, die vor dem Besuch von insbesondere Gaststätten, Beherbergungsbetrieben, Freizeiteinrichtungen oder von Veranstaltungen und Konzerten von den Betroffenen anzugeben sind, bei Bedarf in vielen Fällen im Rahmen von polizeilichen Ermittlungen genutzt würden. Das Vertrauen der Betroffenen, ihre Daten würden zur Infektionsbekämpfung und nicht zu anderweitigen Zwecken genutzt, werde so deutlich in Frage gestellt.

Laut HmbBfDI regelmäßige Kontrolle der Fälle unmöglich

Eine Kontrolle der Fälle, in denen die massenhaft auf Vorrat anfallenden Daten als willkommene Hilfe für die Aufgabenerfüllung der Strafverfolgungsbehörden genutzt werden, sei durch die örtlichen Datenschutzbehörden regelmäßig nicht möglich, da es oft schon an der Kenntnis über die Fälle der Zweckänderung fehle.

HmbBfDI fordert Bundesgesetzgeber zum Handeln auf

„Eine Lösung dieser unbefriedigenden und rechtlich unsicheren Situation liegt in der Hand des Bundesgesetzgebers. Er allein kann den Zugriff der Strafverfolgungsbehörden, der durch Bundesgesetz geregelt ist, begrenzen“, betont der HmbBfDI, Prof. Dr. Johannes Caspar. Der Rechtsstaat werde keinen Schaden erleiden, „wenn nicht bei jedem Bagatelldelikt der Zugriff der Strafverfolgungsbehörden auf die erfassten Daten von Kunden, Gästen oder anderweitigen Besuchern eröffnet ist“.

HmbBfDI betont Bedeutung der Akzeptanz der Datenerfassung und der Ehrlichkeit der Bürger

Hierbei sollte ein legislatives Maßhalten dem Grundsatz nach gelten und überlegt werden, einen Zugriff auf Fälle von Straftaten mit zumindest erheblicher Bedeutung zu beschränken. Anderenfalls würden die Akzeptanz der Datenerfassung und die Ehrlichkeit bei der Angabe des Namens durch Bürger untergraben. „Negative Folgen für den eigentlichen Zweck der Datenerhebung, die Nachverfolgbarkeit von Infektionsketten, sind programmiert“, warnt Professor Caspar.

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2020
Corona-Gästelisten: Kritik an Polizei-Zugriff / Prof. Dr. Dieter Kugelmann fordert „hohe Hürde“ zur Herausgabe der Kontaktdaten an die Polizei

datensicherheit.de, 28.06.2020
Berlin: Musterformulare für Corona-Kontaktdatenerhebung / Maja Smoltczyk betont Notwendigkeit zur Einhaltung der DSGVO in der Gastronomie und anderen Dienstleistungsbetrieben