Office Hours für Beginner vom 01.07.2020

Am 01.07.2020 haben die Office Hours für Beginner stattgefunden. Datenschutz-Coaching-Mitglieder können sich die Aufzeichnung hier anhören bzw. herunterladen: Download der Datei: (MP3) Hier kannst du dir die Audio-Fassung anhören und …

Office Hours für Beginner vom 01.07.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Hinweise zur Teilnahme an Zoom-Webinaren via Browser

Datenschutz-Guru-Webinare werden mit „Zoom“ durchgeführt. Um an einem Webinar teilzunehmen, benötigst du daher die Zoom-App, die du hier herunterladen kannst.

Damit funktioniert die Teilnahme erfahrungsgemäß am besten. Bitte beachte, dass du die Version 5 oder höher benötigst, um an meinen Webinaren teilzunehmen.

Wenn du die Zoom-App nicht installieren möchtest, kannst oder darfst, kannst du an den Webinaren auch einfach mit deinem Browser teilnehmen. Wenn du auf den Link des jeweiligen Webinars klickst, öffnet dein Browser die Startseite des Webinars. Hier kannst du auch auswählen, dass du das Webinar über deinen Browser starten möchtest.

Ich würde dir allerdings für die beste Erfahrung empfehlen, die Zoom-App zu verwenden, da die Teilnahme hier doch etwas verlässlicher funktioniert.

Office Hours für Profis vom 22.06.2020

Heute haben die Office Hours für Profis stattgefunden. Datenschutz-Coaching-Mitglieder können sich hier die Aufzeichnung anhören bzw. als MP3-Datei herunterladen: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: …

Office Hours für Profis vom 22.06.2020 Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Webinaraufzeichnung „Kontrolle von Auftragsverarbeitern“

Vorgestern fand das Webinar „Kontrolle von Auftragsverarbeitern“ für Datenschutz-Coaching-Mitglieder statt. Datenschutz-Coaching-Mitglieder können die Webinaraufzeichnung hier ansehen: Hier kannst du dir die Audio-Fassung anhören und die Audiodatei herunterladen: Download der Datei: …

Webinaraufzeichnung „Kontrolle von Auftragsverarbeitern“ Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

LfDI BW: Fragebogen zur Videoüberwachung

Dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) wurde via „FragDenStaat“ eine Frage zu den von der Aufsichtsbehörde verwendeten Fragebögen gestellt.Die Anfrage lautete sinngemäß: „Bitte senden Sie mir die im Rahmen Ihrer behördlichen Tätigkeit aktuell bei Datenschutzverfahren verwendeten Fragenkataloge zur Prüfung von Umsetzung und Einhaltung des Datenschutzrechts.“

Gestern ist nun die Antwort des LfDI BW auf „FragDenStaat“ hier veröffentlicht worden. Der LfDI BW hat geantwortet, dass nur ein Fragebogen zur Videoüberwachung verwendet werden würde. Und dieser wurde dann ebenfalls hier (PDF) zur Verfügung gestellt.

Und der Inhalt des Fragebogens ist für die Unternehmen (nicht nur in Baden-Württemberg) interessant. Denn so kann man eine Art „Selbstcheck“ vornehmen, ob man im Bereich Videoüberwachung seine Hausaufgaben gemacht und eine Anfrage der Aufsichtsbehörde gut beantworten könnte. Folgende 15 Fragen sind im Fragebogen enthalten:

  1. Trifft es zu, dass Sie eine Videoüberwachungsanlage installiert haben und betreiben? Falls eine Anlage von einer anderen Person oder Organisation (Unternehmen, Betrieb, Verein o. Ä.) betrieben wird, teilen Sie uns deren Name und Anschrift mit.
  2. Wie viele Kameras sind in Betrieb?
  3. Wo sind die einzelnen Kameras installiert und welche räumlichen Bereiche werden mit ihnen jeweils beobachtet? Bitte legen Sie dazu eine Skizze und Fotos der Örtlichkeit (Bilder der Kameras in ihrem Umfeld) sowie für jede einzelne Kamera einen zuordenbares Bildschirmfoto (Screenshot, Bildschirmkopie, fotoähnliche Abbildung der aktuellen grafischen Wiedergabe des Kamera) des Erfassungsbereichs der Kamera vor, damit nachvollzogen werden kann, was die Kameras abbilden. Bitte geben Sie dabei auch an, ob Arbeitsplätze (Welche Art von Arbeitsplätzen? Kurzzeitig genutzte oder dauerhaft genutzte Arbeitsplätze?) von der Kamera erfasst werden.
  4. Nennen Sie bitte die genaue Bezeichnung der verwendeten Kameramodelle. Geben Sie auch Informationen zu ggf. eingesetzten Funktionen wie Zoom, Schwenkbarkeit und Audioübertragung. Legen Sie Ihrer Stellungnahme Darstellungen der Hersteller (technischer Aufbau, Datenblätter, Dokumentationen) der Kameras bei.
  5. Geben Sie für jede Kamera an, ob die Erfassung dauerhaft erfolgt oder nur während bestimmter Zeiträume (z. B. an allen Werktagen von 22 Uhr bis morgens 4 Uhr) oder durch bestimmte Ereignisse (z. B. bewegtes Objekt im Erfassungsbereich) ausgelöst wird. In letzterem Falle teilen Sie uns bitte mit, ob und wie groß die Vor- und Nachlaufzeiten für die Speicherung der Aufnahmen eingestellt sind.
  6. Werden die Aufnahmen der Kameras auf einen/mehrere Überwachungsmonitor/e übertragen? Wenn ja, wer beobachtet diese(n) Monitor(e)? Kann/können der/die Monitor(e) nur von Berechtigten eingesehen werden? Legen Sie uns bitte eine Skizze des Standorts des Überwachungsmonitors vor oder ein Bild des Standorts.
  7. Werden die Aufnahmen (oder ggf. welche Aufnahmen) gespeichert und in welcher Form (z. B. auf Magnetband oder in einem elektronischen Speicher, als Videosequenz oder Einzelbilder)? Wenn ja, wo werden die Aufzeichnungen gespeichert, wer hat unter welchen Voraussetzungen Zugriff?
  8. Falls eine Speicherung erfolgt: Wie lange werden die Aufnahmen gespeichert, wann und wie werden die Daten gelöscht?
  9. Werden Aufnahmen an Dritte übermittelt? Falls ja, an wen, für welchen Zweck und auf welcher Rechtgrundlage?
  10. Besteht eine Zugriffsmöglichkeit auf die Videobilder (live oder aufgezeichnet) von außen, z.B. über eine Smartphone-App per WLAN? Falls ja, warum und unter welchen Voraussetzungen wird von außen zugegriffen?
  11. Beschreiben Sie bitte den Zweck jeder einzelnen Kamera und nennen Sie die Rechtsgrundlage (Gesetz, Verordnung o. Ä.), auf der die Videoüberwachung jeweils erfolgt. Bitte erläutern Sie die Ereignisse, derentwegen Sie die Videoüberwachungsanlage installiert haben (Art des Ereignisses, Zeitpunkt, Tageszeit und Schadenshöhe, ggf. Aktenzeichen der Polizei oder Schadensmeldung bei der Versicherung). Sollte es keine konkreten Vorkommnisse gegeben haben, beschreiben Sie bitte, weshalb der videoüberwachte Bereich so gefährdet ist, dass er zwingend videoüberwacht werden muss.
  12. Wurden mildere Maßnahmen, die für das Recht auf Schutz der personenbezogenen Daten der Betroffenen weniger einschneidend sind (bspw. der Einsatz einer Alarmanlage, häufigere Kontrollen durch Personal, Zutrittssicherungen), in Betracht gezogen? Mit welcher Begründung wurden diese verworfen?
  13. Weisen Sie auf die Videoüberwachung hin, ggf. wo und wie (vgl. § 4 Absatz 2 BDSG i.V. mit Art. 12 ff. DS-GVO)? Bitte legen Sie uns ein Foto des Hinweises vor. Wurden Mitarbeiterinnen und Mitarbeiter, die von der Videoüberwachungsmaßnahme betroffen sein können, darüber unterrichtet? Wenn ja, auf welche Weise? Besteht eine Betriebsvereinbarung? Falls ja, legen Sie uns diese bitte vor.
  14. Bitte legen Sie uns das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO inklusive einer allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO vor. Bezüglich des Inhalts dieser Verfahrensbeschreibung können Sie sich am Wortlaut des Art. 30 Absatz 1 DS-GVO oder den Hinweisen der Datenschutzkonferenz orientieren.
  15. Beabsichtigen Sie, das bisherige Verfahren zu ändern, die Videoüberwachung einzustellen oder die Videokameras zu entfernen?

Eine interessante Liste, mit der man sich selbst ganz gut auf potentielle Fragen einer Aufsichtsbehörde zur Videoüberwachung vorbereiten kann.

DSK: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Die Datenschutzkonferenz (DSK) hat schon am 12.05.2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ (PDF) veröffentlicht.

Diese dienen sozusagen als Ergänzung zur „Orientierungshilfe für Anbieter von Telemedien“ (PDF) und enthält Hinweise zu den Anforderungen des Einsatzes von Google Analytics in Unternehmen.

Die Ausführungen in dem Dokument sind zumindest streitwürdig. So meinen die Aufsichtsbehörden, dass beim Einsatz von Google Analytics keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit vorliege. Das ist zumindest dann schwer nachvollziehbar, wenn der Nutzer von Google Analytics die Variante „Products & Services“ bzw. „Google-Produkte und -Dienste“ deaktiviert hat.

Unter Bezugnahme auf die Nutzungsbedingungen von Google, in denen Google sich die Verarbeitung der Daten auch für eigene Zwecke vorbehalten, meinen die Aufsichtsbehörden dann aber, dass „unter Berücksichtigung der aktuellen Rechtsprechung des EuGH“ eine gemeinsame Verantwortlichkeit vorliege.

Nur haben die Aufsichtsbehörden m.E. hier den Auftragsverarbeitungsvertrag nicht hinreichend berücksichtigt, der zwischen dem Nutzer von Google Analytics und Google geschlossen wird bzw. geschlossen werden kann. Dieser sieht in Ziff. 14 eine Vorrangregelung vor:

14. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, den übrigen Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften; (b) die übrigen Datenverarbeitungsbedingungen und (c) die übrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

Da die Bestimmungen dieser Vorrangregelung die Nutzung der Daten von Google für eigene Zwecke ausschließen, kommen die entsprechenden Regelungen der Google Nutzungsbedingungen gar nicht zur Anwendung.

Damit fällt jedoch das gedankliche Kartenhaus einer gemeinsamen Verantwortlichkeit der DSK sprichwörtlich zusammen.

Das Papier der DSK hat also einen grundlegenden Konstruktionsfehler, der nicht geheilt werden kann.

Wer gleichwohl z.B. aus Gründen des Cookie-Einsatzes, Google Analytics sowieso auf Basis einer Einwilligung einsetzt, findet dann in dem Papier der DSK zum Einsatz von Google Analytics eine Blaupause, an der man sich entlanghangeln kann, wenn man keinen Ärger mit einer Aufsichtsbehörde haben möchte.

So gibt die DSK Hinweise in folgenden Bereichen:

  1. Wie kann eine Einwilligung eingeholt werden?
  2. Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
  3. Transparenz
  4. Kürzung der IP-Adresse

Alle diese Hinweise sind hilfreich und sinnvoll. Nur die grundlegenden Ausführungen zu Auftragsverarbeitung und gemeinsamer Verantwortlichkeit…da müsste die DSK noch einmal in sich gehen. Und wenn sie das täte, würde auch die Einwilligung nicht unbedingt die einzige mögliche Rechtsgrundlage sein. Zumindest nicht bei den Anbietern, die ein performantes Webanalysesystem zum Messen der Wirksamkeit von erheblichen Werbeausgaben zwingend benötigen, weil nur so die Internetseiten erbracht werden können. In diesen Fällen ist eine „unbedingte Erforderlichkeit“ von Cookies annehmbar und damit entfiele das Erfordernis einer Einwilligung. Und dann kann Art. 6 Abs. 1 lit. f) DSGVO sehr wohl als Rechtsgrundlage für den Einsatz in Betracht kommen. Es hängt immer sehr vom Einzelfall ab…

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.

BfDI: Tätigkeitsbericht zum Datenschutz 2019

Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt. Der Bericht kann hier heruntergeladen werden:

Da der BfDI aktuell (noch) nicht für die Kontrolle der Wirtschaft zuständig ist, ist der Berichtsumfang meist überschaubar. So auch in diesem Bericht, der insgesamt gut 90 Seiten lang ist. Inhalte gibt es zu folgenden Kapiteln:

  1. Einleitung
  2. Empfehlungen
  3. Gremienarbeit
  4. Schwerpunktthemen
  5. Gesetzgebung
  6. Sicherheitsbereich
  7. Bundestag
  8. Weitere Einzelthemen
  9. BfDI intern
  10. BfDI als Zentrale Anlaufstelle (ZASt)

Einige Punkte des Tätigkeitsberichts sind mir aufgefallen.

Verschlüsselung von E-Mails

So gibt es Ausführungen zur Erforderlichkeit der Verschlüsselung von E-Mails. Auch der BfDI hält es wie andere Aufsichtsbehörde nicht für zulässig, dass Betroffene in die nichtverschlüsselte Kommunikation einwilligen können.

Ich halte diese Auffassung für rechtlich falsch, denn unverschlüsselte E-Mails haben nichts mit „Zwergenweitwurf“ oder mit Einwilligungen in „Peep Shows“ i.S.d. der entsprechenden verwaltungsgerichtlichen Rechtsprechung zu tun. Denn da ging es um die Menschenwürde. Ich halte die Auffassung des BfDI, dass man in das Unterlassen von Schutzpflichten nicht einwilligen kann, aber zumindest für vertretbar.

Der BfDI meint, dass sich die Pflicht zu einer Verschlüsselung von E-Mails sich aus Art. 5 Abs. 1 lit. f) DSGVO ergeben könne. Richtigerweise sieht man dann auch ein, dass dabei eine Risikoabwägung vorzunehmen ist.

In den gesamten Ausführungen wird dann aber nicht wirklich thematisiert, dass ein Großteil der E-Mails heute schon über TLS transportverschlüsselt werden. Wir haben das mal bei einer Reihe von E-Mail-Servern getestet und nicht in einem einzigen Fall eine Kommunikation gehabt, die nicht TLS-verschlüsselt war.

Im Jahr 2020 also noch pauschal zu behaupten, dass E-Mails den Charakter einer Postkarte haben, trifft es nicht ganz. Passender wäre der Vergleich, dass der Briefumschlag bei einem kleinen Prozentteil der Briefe nicht verklebt ist.

Google Analytics

Im Kapitel 4.5.2 geht es im Tätigkeitsbericht um das Thema „Tracking und Cookies“. Hier ist eine interessante Umkehrschluss-Argumentation aus den Ausführungen des BfDG zur Möglichkeit des Einsatzes von Google Analytics ohne eine Einwilligung möglich.

Allerdings glaube ich, dass die Behörde das wahrscheinlich nur fahrlässig unglücklich formuliert hat. Wörtlich heißt es dort:

Wer eine Internetseite betreibt, möchte z. B. wissen, wie viele Besucher es gab und welche Seiten angeklickt wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter eingebunden werden und diese ebenfalls Daten über die Nutzer erhalten. Verarbeitet der Drittanbieter diese Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür die Einwilligung des Nutzers.

Im Umkehrschluss könnte das bedeuten, dass bei einem Einsatz von Google Analytics in der Variante, in der Google sich nicht die Verarbeitung der Daten für eigene Zwecke vorbehält (d.h. insbesondere ohne die Variante „Google products & services“ bzw. „Google-Produkte und -Dienste“), ein Einsatz von Google Analytics nach Ansicht des BfDI ohne Einwilligung zulässig wäre.

Bei genauer Lektüre der Passage denke ich aber nicht, dass der BfDI das so gemeint hat. Und es bleibt ja noch das Problem der Verwendung von Cookies durch Google Analytics und in der im Zitat erwähnten Einwilligung geht es um die Einwilligung für den Drittanbieter (also z.B. Google).

Ich würde jedenfalls nicht darauf setzen, dass der BfDI das so gemeint hat. Eine klarere Formulierung wäre hier aber wünschenswert gewesen.

LfDI M-V: Tätigkeitsbericht 2019

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) hat heute seinen Tätigkeitsbericht zum Datenschutz (und zur Umsetzung des Informationsfreiheitsgesetzes) veröffentlicht.

Den Tätigkeitsbericht findest du hier: LfDI MV, Fünfzehnter Tätigkeitsbericht zum Datenschutz und Siebenter Bericht über die Umsetzung des Informationsfreiheitsgesetzes (PDF)

Der Berichtszeitraum für das Thema Datenschutz bezieht sich auf das Jahr 2019. Auf den ersten 94 Seiten finden sich Ausführungen zum Datenschutz, gegliedert nach folgenden Kapiteln:

  1. Empfehlungen
  2. Zahlen und Fakten
  3. Entwicklung der Behörde
  4. Zusammenarbeit auf europäischer Ebene
  5. Zusammenarbeit auf deutscher Ebene
  6. Datenschutz und Bildung
  7. Technik und Organisation
  8. Datenschutz in verschiedenen Rechtsgebieten

Was uns Praktiker natürlich immer besonders interessiert, ist die Bußgeldpraxis der Aufsichtsbehörden. Der LfDI MV hat im Jahr 2019 gerade einmal fünf Bußgelder verhängt. Das ist nicht gerade viel.

In acht Fällen hat die Behörde Gebrauch von Anordnungen mit Zwangsgeldandrohung gemacht. Eine Maßnahme, die die Aufsichtsbehörde nach eigenen Angaben als „deutlich wirksameres“ Mittel zur Durchsetzung von Datenschutzanforderungen ansieht.

Die verhängten Bußgelder scheinen auch nicht sonderlich hoch gewesen zu sein. Im Bericht wurde z.B. erwähnt, dass ein Bußgeldbescheid über 500,00 € gegen einen Rentner verhängt wurde, weil dieser Nachbarschaftslisten erstellt und verteilt hat. Das verhängte Bußgeld wurde dann aber nach Angaben des LfDI MV vom AG Schwerin auf 200,00 € herabgesetzt.

Um ganz ehrlich zu sein, habe ich ansonsten nicht viele (für mich) spannende Themen im Tätigkeitsbericht finden können.

Gutes Erklärvideo zur Funktionsweise von heutigem Online-Advertising

Über ein Retweet des geschätzten Ralf Bendrath auf Twitter bin ich auf dieses Video aufmerksam geworden. Das Video ist von Dr. Johnny Ryan, der Chief Policy & Industry Relations Officer bei der Brave Software, Inc. („Brave“) ist. Und es erklärt, wie heutige Online-Werbung funktioniert.

Dieses Video ist für Procter & Gamble aufgenommen worden und soll dort das heutige, im Online-Advertising verwendete „Real Time Bidding“ (RTB) erklären. RTB ist sicher alles andere als trivial und viele Datenschutzbeauftragte und Juristinnen und Juristen verstehen nicht, wie das Ganze funktioniert. In diesem Video wird ab Minute 4:28 in großartig einfacher Weise erklärt, wie RTB funktioniert und warum es aus Datenschutzsicht besonders relevant ist.

Die rechtlichen Bewertungen, die Dr. Johnny Ryan, dann daraus zieht, teile ich nicht bzw. nicht ganz. Insbesondere die Ausführungen zu Art. 5 Abs. 1 lit. f) DSGVO sind m.E. etwas pauschal. Das ändert aber nichts daran, dass RTB hier einmal einfach und gut erklärt wird.

Office Hours für Beginner vom 02.06.2020

Wir schreiben den Monat Juni 2020 und heute haben die Office Hours für Beginner stattgefunden. Etwas über 30 Minuten Fragen und Antworten können Datenschutz-Coaching-Mitglieder hier nachhören:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden