Tätigkeitsbericht

BfDI: Tätigkeitsbericht zum Datenschutz 2019

Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt. Der Bericht kann hier heruntergeladen werden:

Da der BfDI aktuell (noch) nicht für die Kontrolle der Wirtschaft zuständig ist, ist der Berichtsumfang meist überschaubar. So auch in diesem Bericht, der insgesamt gut 90 Seiten lang ist. Inhalte gibt es zu folgenden Kapiteln:

  1. Einleitung
  2. Empfehlungen
  3. Gremienarbeit
  4. Schwerpunktthemen
  5. Gesetzgebung
  6. Sicherheitsbereich
  7. Bundestag
  8. Weitere Einzelthemen
  9. BfDI intern
  10. BfDI als Zentrale Anlaufstelle (ZASt)

Einige Punkte des Tätigkeitsberichts sind mir aufgefallen.

Verschlüsselung von E-Mails

So gibt es Ausführungen zur Erforderlichkeit der Verschlüsselung von E-Mails. Auch der BfDI hält es wie andere Aufsichtsbehörde nicht für zulässig, dass Betroffene in die nichtverschlüsselte Kommunikation einwilligen können.

Ich halte diese Auffassung für rechtlich falsch, denn unverschlüsselte E-Mails haben nichts mit „Zwergenweitwurf“ oder mit Einwilligungen in „Peep Shows“ i.S.d. der entsprechenden verwaltungsgerichtlichen Rechtsprechung zu tun. Denn da ging es um die Menschenwürde. Ich halte die Auffassung des BfDI, dass man in das Unterlassen von Schutzpflichten nicht einwilligen kann, aber zumindest für vertretbar.

Der BfDI meint, dass sich die Pflicht zu einer Verschlüsselung von E-Mails sich aus Art. 5 Abs. 1 lit. f) DSGVO ergeben könne. Richtigerweise sieht man dann auch ein, dass dabei eine Risikoabwägung vorzunehmen ist.

In den gesamten Ausführungen wird dann aber nicht wirklich thematisiert, dass ein Großteil der E-Mails heute schon über TLS transportverschlüsselt werden. Wir haben das mal bei einer Reihe von E-Mail-Servern getestet und nicht in einem einzigen Fall eine Kommunikation gehabt, die nicht TLS-verschlüsselt war.

Im Jahr 2020 also noch pauschal zu behaupten, dass E-Mails den Charakter einer Postkarte haben, trifft es nicht ganz. Passender wäre der Vergleich, dass der Briefumschlag bei einem kleinen Prozentteil der Briefe nicht verklebt ist.

Google Analytics

Im Kapitel 4.5.2 geht es im Tätigkeitsbericht um das Thema „Tracking und Cookies“. Hier ist eine interessante Umkehrschluss-Argumentation aus den Ausführungen des BfDG zur Möglichkeit des Einsatzes von Google Analytics ohne eine Einwilligung möglich.

Allerdings glaube ich, dass die Behörde das wahrscheinlich nur fahrlässig unglücklich formuliert hat. Wörtlich heißt es dort:

Wer eine Internetseite betreibt, möchte z. B. wissen, wie viele Besucher es gab und welche Seiten angeklickt wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter eingebunden werden und diese ebenfalls Daten über die Nutzer erhalten. Verarbeitet der Drittanbieter diese Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür die Einwilligung des Nutzers.

Im Umkehrschluss könnte das bedeuten, dass bei einem Einsatz von Google Analytics in der Variante, in der Google sich nicht die Verarbeitung der Daten für eigene Zwecke vorbehält (d.h. insbesondere ohne die Variante „Google products & services“ bzw. „Google-Produkte und -Dienste“), ein Einsatz von Google Analytics nach Ansicht des BfDI ohne Einwilligung zulässig wäre.

Bei genauer Lektüre der Passage denke ich aber nicht, dass der BfDI das so gemeint hat. Und es bleibt ja noch das Problem der Verwendung von Cookies durch Google Analytics und in der im Zitat erwähnten Einwilligung geht es um die Einwilligung für den Drittanbieter (also z.B. Google).

Ich würde jedenfalls nicht darauf setzen, dass der BfDI das so gemeint hat. Eine klarere Formulierung wäre hier aber wünschenswert gewesen.

LfDI M-V: Tätigkeitsbericht 2019

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) hat heute seinen Tätigkeitsbericht zum Datenschutz (und zur Umsetzung des Informationsfreiheitsgesetzes) veröffentlicht.

Den Tätigkeitsbericht findest du hier: LfDI MV, Fünfzehnter Tätigkeitsbericht zum Datenschutz und Siebenter Bericht über die Umsetzung des Informationsfreiheitsgesetzes (PDF)

Der Berichtszeitraum für das Thema Datenschutz bezieht sich auf das Jahr 2019. Auf den ersten 94 Seiten finden sich Ausführungen zum Datenschutz, gegliedert nach folgenden Kapiteln:

  1. Empfehlungen
  2. Zahlen und Fakten
  3. Entwicklung der Behörde
  4. Zusammenarbeit auf europäischer Ebene
  5. Zusammenarbeit auf deutscher Ebene
  6. Datenschutz und Bildung
  7. Technik und Organisation
  8. Datenschutz in verschiedenen Rechtsgebieten

Was uns Praktiker natürlich immer besonders interessiert, ist die Bußgeldpraxis der Aufsichtsbehörden. Der LfDI MV hat im Jahr 2019 gerade einmal fünf Bußgelder verhängt. Das ist nicht gerade viel.

In acht Fällen hat die Behörde Gebrauch von Anordnungen mit Zwangsgeldandrohung gemacht. Eine Maßnahme, die die Aufsichtsbehörde nach eigenen Angaben als „deutlich wirksameres“ Mittel zur Durchsetzung von Datenschutzanforderungen ansieht.

Die verhängten Bußgelder scheinen auch nicht sonderlich hoch gewesen zu sein. Im Bericht wurde z.B. erwähnt, dass ein Bußgeldbescheid über 500,00 € gegen einen Rentner verhängt wurde, weil dieser Nachbarschaftslisten erstellt und verteilt hat. Das verhängte Bußgeld wurde dann aber nach Angaben des LfDI MV vom AG Schwerin auf 200,00 € herabgesetzt.

Um ganz ehrlich zu sein, habe ich ansonsten nicht viele (für mich) spannende Themen im Tätigkeitsbericht finden können.