Wesentliche Änderungen bei der Datenverarbeitung von Google notwendig – Datenschutzaufsicht erlässt Anordnung

Der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit hat in der vergangenen Woche gegenüber der Google Inc. zur Beseitigung von Verstößen gegen das Telemediengesetz und das Bundesdatenschutzgesetz eine Verwaltungsanordnung erlassen. Das US-Unternehmen wird darin verpflichtet, Daten, die bei der Nutzung unterschiedlicher Google-Dienste anfallen, nur unter Beachtung der gesetzlichen Vorgaben zu erheben und zu kombinieren. Nach Auffassung der Datenschutzbehörde greift die bisherige Praxis der Erstellung von Nutzerprofilen weit über das zulässige Maß hinaus in die Privatsphäre der Google-Nutzer ein. Google wird verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, die sicherstellen, dass deren Nutzer künftig selbst über die Verwendung der eigenen Daten zur Profilerstellung entscheiden können.

Die Google Inc. erhält umfängliche Informationen über die Nutzungsgewohnheiten ihrer Kunden. Viele setzen die unterschiedlichen vom Unternehmen angebotenen Dienste in ihrem täglichen Leben regelmäßig und umfassend ein. Dies betrifft sowohl die bei Google registrierten Personen (z.B. Gmail-Nutzer und die meisten Besitzer eines Android-Smartphones) als auch Personen, die Google-Dienste (z.B. die Suchmaschine) unangemeldet verwenden. Die Inhalts- und Nutzungsdaten, die dabei anfallen, verraten bereits viel über den Einzelnen und dessen Interessen, Gewohnheiten und Lebensweise.

Beispielsweise können damit

• detaillierte Bewegungsmuster durch Standortdaten erstellt,

• Rückschlüsse auf spezifische Interessen und Vorlieben durch Auswertung der Nutzung der Google-Suchmaschine getroffen,

• der soziale und der finanzielle Status, der Aufenthaltsort und viele weitere Gewohnheiten des Nutzers durch Analyse der Daten ermittelt und

• etwa Freundschaftsbeziehungen, sexuelle Orientierung sowie der Beziehungsstatus abgeleitet werden.

In den Privatsphärebestimmungen schließt Google die Verknüpfung besonders sensibler personenbezogener Daten lediglich zu Werbezwecken aus. Nichtsdestotrotz kann die Verknüpfung all dieser Informationen aus den verschiedenen Einzeldiensten aussagekräftige und nahezu umfassende Persönlichkeitsbilder entstehen lassen. Die Bildung solcher diensteübergreifender Profile behält sich Google durch die seit März 2012 geltenden Privatsphärebestimmungen ausdrücklich vor. Da für eine derartig massive Profilbildung unter Zusammenführung aller Daten weder im nationalen noch im europäischen Recht eine Rechtsgrundlage existiert, ist dies nur dann zulässig, wenn der Nutzer ausdrücklich und informiert in eine derartige Verarbeitung seiner Daten eingewilligt hat oder – soweit dies gesetzlich vorgesehen ist – er dagegen widersprechen kann.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Zwar konnten wir in zahlreichen Gesprächen mit Google Verbesserungen insbesondere bei der Information der Nutzer erreichen. Bei der wesentlichen Frage der Zusammenführung der Nutzerdaten war Google jedoch nicht bereit, die rechtlich erforderlichen Maßnahmen einzuhalten und substantielle Verbesserungen zugunsten der Nutzerkontrolle umzusetzen. Insoweit wird Google nun per Anordnung dazu verpflichtet. Unsere Anforderungen zielen auf einen fairen, gesetzlich vorgesehenen Ausgleich zwischen den Interessen des Unternehmens und denen seiner Nutzer. Der Ball liegt nun im Spielfeld von Google. Das Unternehmen muss die Daten von Millionen von Nutzern so behandeln, dass deren Recht auf informationelle Selbstbestimmung künftig bei der Nutzung der unterschiedlichen Dienste des Unternehmens hinreichend gewahrt wird.“

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Google-Privatsphärebestimmungen im Rahmen einer europäischen Task Force als Vertreter Deutschlands geprüft und bewertet. Dabei wurden die inhaltlichen Kriterien zwischen den darin vertretenen sechs EU-Mitgliedstaaten intensiv diskutiert, um eine möglichst einheitliche europäische Sichtweise zu gewährleisten. Die konkrete Durchsetzung der datenschutzrechtlichen Anforderungen erfolgt jedoch unabhängig und allein auf Grundlage des jeweiligen nationalen Rechts. Während zum Teil andere Länder aufgrund ihrer nationalen Bestimmungen Verstöße mit Bußgeldern sanktionierten, wurde nach deutschem Datenschutzrecht nun eine Verwaltungsanordnung erlassen.

Quelle: hmbbfdi, 30.9.2014

Datenschutzaufsichtsbehörden der Länder prüfen grenzüberschreitende Datenübermittlungen

In einer koordinierten schriftlichen Prüfungsaktion nehmen zehn deutsche Datenschutzaufsichtsbehörden Übermittlungen personenbezogener Daten in das Nicht-EU-Ausland genauer unter die Lupe. Die Prüfung soll dabei auch der Sensibilisierung von Unternehmen für gerade die Verarbeitungsprozesse dienen, bei denen personenbezogene Daten in Nicht-EU-Länder übermittelt werden – wie es bspw. bei Cloud Computing häufig der Fall ist.

(hmbbfdi, 3.11.2016) In den letzten Jahren haben grenzüberschreitende Übermittlungen von personenbezogenen Daten in der Privatwirtschaft weiter massiv zugenommen. Zu den Ursachen dieser Entwicklung zählen die wirtschaftliche Globalisierung wie auch die stetige Ausbreitung von Dienstleistungen und Produkten des sog. Cloud Computing. Selbst viele kleinere und mittlere Unternehmen in Deutschland verarbeiten personenbezogene Daten (z. B. von Kunden, Mitarbeitern oder Bewerbern) häufig auf Servern externer Dienstleister, oft außerhalb der Europäischen Union. Dies ist vor allem bei Angeboten wie dem sog. Software as a Service der Fall, die standortunabhängig und flexibel genutzt werden können. Viele dieser Dienste stammen von US-Unternehmen. Die bisherige Erfahrung der Datenschutzaufsichtsbehörden zeigt, dass sich Unternehmen bei Nutzung solcher Produkte nicht immer der Tatsache bewusst sind, dass dadurch eine Übermittlung personenbezogener Daten in die USA und/oder in andere Nicht-EU-Staaten stattfindet und entsprechende datenschutzrechtliche Konsequenzen daraus resultieren.

Möchte ein Unternehmen personenbezogene Daten in Länder außerhalb der Europäischen Union übermitteln, so muss es zuerst prüfen, ob überhaupt sichergestellt werden kann, dass die Daten auch nach der Übermittlung noch angemessen geschützt bleiben – andernfalls muss die Übermittlung unterbleiben. Entscheidend ist daher, im Unternehmen frühzeitig eine Sensibilisierung dafür zu erzeugen, ob und ggf. im Rahmen welcher Verarbeitungen das Unternehmen personenbezogene Daten in Nicht-EU-Staaten übermitteln möchte oder vielleicht sogar bereits übermittelt.

Vor diesem Hintergrund werden zehn deutsche Datenschutzaufsichtsbehörden (Bayern, Berlin, Bremen, Hamburg, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz, Saarland und Sachsen-Anhalt) in den nächsten Wochen eine koordinierte schriftliche Prüfungsaktion zur Abfrage von Übermittlungen personenbezogener Daten durch nicht-öffentliche Stellen, d. h. insbesondere Unternehmen, in Nicht-EU-Staaten durchführen. Im Rahmen der Prüfung werden Unternehmen angeschrieben, die nach dem Zufallsprinzip ausgewählt wurden. Die Aufsichtsbehörden haben dabei Wert darauf gelegt, Unternehmen unterschiedlicher Größenordnungen und verschiedener Branchen einzubeziehen.

Ein wichtiges Ziel der Prüfung liegt in der Sensibilisierung der Unternehmen für Datenübermittlungen in Länder außerhalb der Europäischen Union. Um Unternehmen das Auffinden solcher Übermittlungen zu erleichtern, wird auch gezielt nach dem Einsatz von Produkten und Leistungen externer Anbieter gefragt, die – nach bisherigen Erfahrungen der Aufsichtsbehörden – mit einer Übermittlung personenbezogener Daten in Nicht-EU-Staaten verbunden sind. Gefragt wird zum Beispiel nach der Inanspruchnahme externer Leistungen und Produkte in Bereichen wie Fernwartung, Support, Ticketing-Bearbeitung, aber auch Customer Relationship Management oder Bewerbermanagement.

Sofern personenbezogene Daten in Nicht-EU-Staaten übermittelt werden, sind die kontrollierten Unternehmen darüber hinaus aufgefordert anzugeben, auf welcher datenschutzrechtlichen Grundlage die Übermittlungen erfolgen. Mitgeteilt werden muss bspw., ob für das Zielland durch Beschluss der Europäischen Kommission ein angemessenes Datenschutzniveau anerkannt ist (dazu zählt auch der sog. EU-U.S. Privacy Shield), ob Standardvertragsklauseln als Grundlage verwendet werden, ob die Übermittlungen auf Einwilligungen der Betroffenen gestützt werden o.a.

Quelle: HmbBfDI, 3.11.2016

Amtsgericht Hamburg bestätigt Bußgeld gegen Auskunftei

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Bußgeld in Höhe von 15.000 Euro gegen die Bürgel Wirtschaftsinformationen GmbH & Co. KG erlassen. Hintergrund war, dass die Auskunftei auf die Bonitätsanfrage eines Onlineunternehmens zwar keine Auskünfte über die Person geben konnte, aber einen sogenannten Scoringwert über die Wohnanschrift der Person übermittelt hat. Die vermutete Zahlungsmoral wird also, ohne dass der Kunde bekannt ist, allein aus seiner Wohngegend abgeleitet.

Der Datenschutzbeauftragte hält diese Übermittlung von personenbezogenen Daten für ordnungswidrig. Das Bundesdatenschutzgesetz verbietet die Nutzung von Anschriftendaten, wenn nicht weitere Daten des Betroffenen in diesen Scoringwert einfließen. Hintergrund ist, dass sonst eine schlechte Zahlungsmoral der Nachbarschaft Einfluss auf die Kreditwürdigkeit des Betroffenen haben kann, auch wenn er selbst solvent ist.

Bürgel argumentierte dagegen, dass dem Onlinehändler mitgeteilt wurde, dass der Kunde unbekannt ist. Also hätte man auch keine personenbezogenen Daten übermittelt. Diese Argumentation überzeugte die Datenschutzaufsicht jedoch nicht, da der Scoringwert mit den Kundendaten verknüpft wurde.

Mit seinem Urteil vom 16. März 2017 (233 OWi 12/17) hat sich das Amtsgericht Hamburg der Auffassung des Datenschutzbeauftragten angeschlossen. Das Bußgeld wurde in voller Höhe bestätigt.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Das Urteil des Amtsgerichts ist konsequent und entspricht den klaren gesetzlichen Vorgaben, die auch künftig weiterhin gelten werden. Die Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 den Bußgeldrahmen um ein Vielfaches erhöhen. Es ist insoweit zu erwarten, dass durch die weit wirksamere Abschreckung derartige Verfahren in Zukunft nicht mehr zu führen sind.“

Das Urteil ist noch nicht rechtskräftig, da Bürgel Beschwerde dagegen eingelegt hat.

Quelle: (hmbbfdi, 24.3.2017)

Pseudonyme Nutzung bei Facebook weiter ungeklärt

OVG Hamburg lässt Zuständigkeit des Hamburgischen Datenschutzbeauftragten weiter offen

Die Beschwerde des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen den Beschluss des VG Hamburg hatte im Ergebnis keinen Erfolg. Die Entscheidung des Gerichts lässt aber weiterhin offen, ob die Aufsichtsbehörde gegen den Klarnamenzwang von Facebook erfolgreich vorgehen kann. Denn das Gericht folgte der Auffassung der Vorinstanz, dass das deutsche Datenschutzrecht offensichtlich keine Anwendung fände, ausdrücklich nicht.

Der Hamburgische Datenschutzbeauftragte hatte angeordnet, dass Facebook die Sperrung eines unter Pseudonym genutzten Accounts sofort aufzuheben hat. Dieser sogenannte Sofortvollzug war nicht durchsetzbar. Das Gericht wertete, dass das Interesse des Datenschutzbeauftragten und der Nutzerin, deren Facebook-Konto gesperrt wurde, an einem sofortigen Zugang unter einem Pseudonym nicht das Interesse von Facebook an einer Aussetzung der Anordnung überwiege.

Das Gericht sah es aber im Gegensatz zur Vorinstanz als offen an, ob nationales Datenschutzrecht auf die Konstellation, dass ein Mutterkonzern im Unionsgebiet mehrere Niederlassungen habe, anwendbar sei. Dies hänge maßgeblich von der Auslegung der EU-Datenschutzrichtlinie ab.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die Abwägungsentscheidung des OVG beruht auf dessen Zweifeln an der Anwendbarkeit der nationalen Datenschutzregelungen. Diese Frage liegt derzeit beim EuGH. Ein effizienter Schutz der Grundrechte Betroffener gegenüber Eingriffen in ihre Privatsphäre macht eine weite Auslegung der Bestimmung zur Anwendbarkeit nationalen Rechts erforderlich. Das hatte der EuGH bereits in zwei vorangegangenen Entscheidungen klargestellt. Ich gehe davon aus, dass das europäische Gericht die Auffassung aller europäischen Datenschutzbehörden bestätigt und seine bisherige Rechtsprechung weiter verfolgen wird. Das Verfahren zum Klarnamenzwang geht juristisch in die nächste Runde.“

Quelle: (hmbbfdi, 1.7.2016)

Anordnung gegen Massendatenabgleich zwischen WhatsApp und Facebook

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat eine Verwaltungsanordnung erlassen, die es Facebook ab sofort untersagt, Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Facebook wird ferner aufgegeben, bereits durch WhatsApp an das Unternehmen übermittelte Daten zu löschen.

Facebook und WhatsApp sind selbstständige Unternehmen, die die Daten ihrer jeweiligen Nutzer auf Grundlage ihrer eigenen Nutzungs- und Datenschutzbedingungen verarbeiten. Nach dem Erwerb von WhatsApp durch Facebook vor zwei Jahren haben sie öffentlich zugesichert, dass die Daten der Nutzer nicht miteinander ausgetauscht werden. Dass dies nun doch geschieht, ist nicht nur eine Irreführung der Nutzer und der Öffentlichkeit, sondern stellt auch einen Verstoß gegen das nationale Datenschutzrecht dar. Denn ein solcher Austausch ist nur dann zulässig, wenn sowohl auf Seiten des Unternehmens, das Daten liefert (WhatsApp) als auch bei dem empfangenden Unternehmen (Facebook) eine Rechtsgrundlage dafür vorliegt. Facebook hat allerdings weder eine wirksame Einwilligung von den Nutzern von WhatsApp eingeholt, noch ist eine gesetzliche Grundlage für den Datenempfang vorhanden. Dass Facebook die Regelungen des deutschen Datenschutzrechts respektieren muss, ist klar, nachdem im Juli der EuGH in einem Urteil bestätigt hat, dass nationales Datenschutzrecht anwendbar ist, wenn ein Unternehmen im Zusammenhang mit einer nationalen Niederlassung Daten verarbeitet. Dies tut Facebook in Deutschland durch seine Niederlassung in Hamburg, die das deutschsprachige Werbegeschäft betreibt.

Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar:

„Die Anordnung schützt die Daten der ca. 35 Millionen WhatsApp-Nutzer in Deutschland. Es muss ihre jeweilige Entscheidung sein, ob sie eine Verbindung ihres Kontos mit Facebook wünschen. Dazu muss Facebook sie vorab um Erlaubnis fragen. Dies ist nicht geschehen.

Dazu kommen noch viele Millionen Personen, deren Kontaktdaten aus den Adressbüchern der Nutzer zu WhatsApp hochgeladen wurden, ohne dass diese etwas mit Facebook oder WhatsApp zu tun haben müssen. Diese gigantische Menge von Daten hat Facebook zwar nach eigenem Bekunden noch nicht erhoben. Die Antwort von Facebook, dass dies lediglich zur Zeit noch nicht erfolgt sei, gibt jedoch Anlass zur Sorge, dass das Ausmaß des Datenverstoßes noch massivere Auswirkungen nach sich ziehen wird.“

Quelle: hmbbfdi, 27.9.2016

Hamburgs Datenschutz der Zukunft wird europäisch

Mit der Geltung der Vorschrift der Datenschutz-Grundverordnung (DSGVO) ab Ende Mai 2018 wird das Datenschutzrecht europaweit vereinheitlicht. Die Aufgaben und Pflichten sowie die Funktion und Bedeutung einer Aufsichtsbehörde wie die des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) werden durch die neuen Regelungen tiefgreifend verändert und gegenüber der bisherigen Situation massiv ausgeweitet. Einen wesentlichen Teil seiner Aufgaben wird der HmbBfDI künftig funktional quasi als eine europäische Behörde wahrnehmen müssen. Um hierfür adäquat gerüstet zu sein, bedarf es einer nachhaltigen Verstärkung der Hamburger Datenschutzbehörde.

Zur Ermittlung des Mehraufwands haben die Aufsichtsbehörden der Länder den renommierten Datenschutzexperten Prof. Dr. Alexander Roßnagel von der Universität Kassel mit einem Gutachten beauftragt. In seiner umfassenden Ausarbeitung hat er die künftigen Funktionen und die Bedeutung der Aufsichtsbehörden analysiert. Hinsichtlich der durchschnittlichen zusätzlichen Arbeitsbelastung anhand der Anforderungen der DSGVO hat Herr Prof. Dr. Roßnagel einen Mehrbedarf von jeweils 24 bis 33 Stellen für eine Behörde wie den HmbBfDI ermittelt. Zudem wird nach Auffassung des Gutachters auch die Behördenleitung einen Bedeutungszuwachs erfahren, der mit der Leitung von Rechnungshöfen bzw. der ministeriellen Verwaltung gleichzustellen ist. Die angemessene Ausstattung mit personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen ist eine Verpflichtung, die der europäische Gesetzgeber den Mitgliedsstaaten und – als Träger der Aufsichtsbehörden – gerade auch den Bundesländern gemäß DSGVO auferlegt. Der gestiegene Arbeitsaufwand ergibt sich aus folgenden Aufgaben und Pflichten:

1. Datenschutzprüfungen und -anordnungen

Die Aufsicht über Unternehmen und Behörden wird aufwändiger, da unbestimmte Rechtsbegriffe und widersprüchliche Regelungen der DSGVO höheren Interpretationsaufwand mit sich bringen werden. Künftig unterliegt der HmbBfDI engen Fristen für die Befassung mit Datenschutzbeschwerden; die Bürger können eine zeitnahe Bearbeitung ihrer Beschwerden gerichtlich erzwingen. Die Anzahl der Fälle wird deutlich ansteigen, da das sog. Marktortprinzip die Zuständigkeit des HmbBfDI auch auf Unternehmen ausweitet, die keine Niederlassung in Hamburg und der EU besitzen. Im öffentlichen Bereich werden erstmals Eingriffsbefugnisse gegen staatliche Behörden geschaffen, was zu einem fundamentalen Wandel der Behandlung von Missständen im öffentlichen Bereich führen wird.

2. Kooperation in der Europäischen Union

Die in der DSGVO vorgesehene Kooperation der europäischen Aufsichtsbehörden erfordert einen organisatorischen und personellen Neuaufbau innerhalb des HmbBfDI. Bei grenzüberschreitender Datenverarbeitung, die im Zuge der Europäisierung der Wirtschaft stetig zunehmen wird, ist künftig die Abstimmung mit den weiteren betroffenen Behörden innerhalb enger Fristen vorgeschrieben. Dies wird Stellungnahmen und teilweise Verhandlungen in fremden Sprachen nach sich ziehen, zudem die Einarbeitung in andere Rechtsordnungen erfordern und einen administrativen Mehraufwand bedeuten. Kommt es hierbei zu keiner Einigung, wird oftmals das Kohärenz-, Streitbeilegungs- und Dringlichkeitsverfahren vor dem Europäischen Datenschutzausschuss zu durchlaufen sein. Dessen Entscheidungen wirken präjudiziell für die eigene Aufsichtspraxis, sodass sie zu beobachten und in Abstimmung mit den Behörden der Länder zu beeinflussen sind.

3. Datenschutzkommunikation

Der präventiven Beratung von Unternehmen und Behörden sowie dem Bildungsauftrag zu Medienkompetenz und Datenschutzrisiken räumt die DSGVO einen hohen Stellenwert ein. Dafür ist der HmbBfDI künftig auch gesetzlich verpflichtet, permanent die technologische und praktische Entwicklung der Datenverarbeitung zu beobachten. Hinzu kommt die Pflicht, Unternehmen bei der Durchführung der Datenschutz-Folgenabschätzung zu unterstützen und hier geeignete Maßnahmen zu empfehlen – der Konsultationsbedarf wird voraussichtlich erheblich sein. Gleiches gilt für die Zertifizierung von Verfahren und Produkten, die der HmbBfDI anzuregen und zu fördern hat.

4. Verfahrensmanagement

Für die Aufsichtsbehörden ist auch die Funktion als Genehmigungs-, Akkreditierungs- und Zertifizierungsbehörde neu. Bei der Zertifizierung wird die Datenschutzkonformität eines Verarbeitungsvorgangs überprüft und beschieden. Die Akkreditierung betrifft die Zulassung von Überwachungsstellen bzw. Gutachtern, während die Genehmigung sich auf branchenweite Verhaltensregeln bezieht. Es sind dabei langwierige Abstimmungsprozesse bis zur abschließenden Einigung zu erwarten. Zuvor sind jeweils Verwaltungsverfahren zu konzipieren und Kriterien festzulegen.

5. Justiziariat, Beschwerde- und Sanktionsstelle

Das Risiko, Gerichtsverfahren zu führen, wird erheblich ansteigen, da die DSGVO eine Fülle von Verpflichtungen und Ermächtigungen enthält, rechtsmittelfähige Verwaltungsakte zu erlassen. Das gilt insbesondere gegenüber öffentlichen Stellen. Zudem erzeugt die teilweise Unbestimmtheit der DSGVO viele Auslegungsfragen, die Betroffene der Verwaltungsakte oft gerichtlich klären lassen werden. Die Zahl gerichtlicher Bußgeldverfahren wird zunehmen, da die DSGVO die Zahl der Bußgeldtatbestände ebenso wie die Bußgeldhöhe anhebt. Gemessen am bisherigen Bußgeldrahmen können sich die Bußgelder um das 67-fache erhöhen. Dies alles erfordert die Etablierung eines bisher nicht beim HmbBfDI eingerichteten Justiziariats.

Quelle: hmbbfdi, 23.2.2017

Widerspruchsbescheid erlassen – Mehr Kontrollrechte für Google-Nutzer gefordert

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat mit Erlass eines Widerspruchsbescheids das im vergangenen Jahr in die Wege geleitete Verwaltungsverfahren gegen die Google Inc. beendet. Das Unternehmen wird damit verpflichtet, die notwendigen Änderungen vorzunehmen, um die Verarbeitung der Daten seiner deutschen Nutzer auf eine zulässige Rechtsgrundlage zu stellen. Google muss danach die Daten, die bei der Nutzung der unterschiedlichen Dienste des Unternehmens anfallen und zu Profilen kombiniert werden, auf das zulässige Maß begrenzen oder die Nutzer um entsprechende zusätzliche Einwilligungen bitten.

 

Die dem Widerspruchsbescheid zugrundeliegende Anordnung wurde vom Hamburgischen Datenschutzbeauftragten im September 2014 erlassen. Grund dafür waren die von Google 2012 in Kraft gesetzten neuen Datenschutzbestimmungen, in denen Google mitteilt, Dienste übergreifend die Daten der Nutzer ohne deren Einwilligung zu umfassenden Profilen zusammenzuführen.

 

Gegen diese Anordnung hat Google Widerspruch eingelegt, der nun abschließend beschieden wurde. Dabei wurden zwar einige der von Google vorgebrachten rechtsförmlichen Einwände aufgegriffen und die Anordnung insoweit angepasst, in der Hauptsache wurde der Widerspruch aber zurückgewiesen. Die Anordnung wird nun rechtskräftig, wenn das Unternehmen nicht innerhalb von einem Monat Klage beim Verwaltungsgericht gegen sie erhebt.

 

Google hat jedoch bereits jetzt dem Hamburgischen Datenschutzbeauftragten und weiteren europäischen Datenschutzbehörden gegenüber signalisiert, dass substantielle Änderungen an den Diensten erfolgen sollen, um die Anforderungen des Datenschutzrechts zu erfüllen. Diese Pläne hat Google bereits Ende März den europäischen Datenschutzbehörden präsentiert, die sich im Rahmen der Art.29-Gruppe zu einer Task Force zur Abstimmung der Vorgehensweise gegen Google zusammengefunden haben. Dies lässt erkennen, dass die gemeinsamen Anstrengungen der Aufsichtsbehörden auf europäischer Ebene bei dem US-Unternehmen Wirkung zeigen.

 

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Google hat es nun in der Hand, unsere Vorgaben umzusetzen, etwa durch einen transparenten Konsens-Mechanismus bei der Verarbeitung von Nutzerdaten. Ich erwarte, dass dies weiter im Rahmen eines konstruktiven Dialogs mit uns erfolgt und am Ende eine klare Stärkung der Rechte der Nutzer von Google-Diensten auch europaweit erreicht wird.“

Quelle: (hmbbfdi, 8.4.2015)

Europäischen Datenschutz nicht durch nationale Rechtsvorschriften schwächen!

 

Die Bundesregierung hat einen Entwurf für ein Datenschutz-Anpassungs- und -Umsetzungsgesetz vorgelegt, mit dem u.a. die Europäische Datenschutzgrundverordnung (DSGVO) für Deutschland konkretisiert wird. Dieser Entwurf begegnet erheblichen Bedenken.

 

Das vom europäischen Gesetzgeber für alle Mitgliedstaaten festgelegte Datenschutzniveau wird darin zum Teil deutlich abgesenkt. Hierfür gibt es keine Veranlassung, und es widerspricht teilweise dem EU-Recht. Die Datenschutzbeauftragten der Länder haben daher Vorschläge für eine europarechtskonforme und datenschutzgerechte Regelung vorgelegt, die drohende Defizite verhindern soll. Im weiteren Verlauf des Gesetzgebungsverfahrens sollten diese Vorschläge vom Bundesrat aufgegriffen werden.

 

Diese Vorschläge beziehen sich u.a. auf folgende Bereiche:

 

Die Betroffenenrechte werden über Gebühr beschnitten!

Die Rechte des Betroffenen, über die Verarbeitung seiner Daten Auskunft zu erlangen, sowie auch die Möglichkeit, die Löschung seiner Daten zu erreichen, sind maßgebliche Ausprägungen des Grundrechts auf informationelle Selbstbestimmung. Der Gesetzentwurf der Bundesregierung räumt den verantwortlichen Stellen indes eine Vielzahl von Möglichkeiten ein, die Betroffenenrechte unerfüllt zu lassen, und weicht vom Schutzstandard der DSGVO ohne hinreichende Rechtsgrundlage ab. So darf nicht der Aufwand oder eine bloße zeitliche Verzögerung für den Verantwortlichen zum Maßstab dafür gemacht werden, Informationen zu verweigern. Auch kann der Aufwand nicht dazu führen, dass einer Löschpflicht nicht nachgekommen werden muss.

 

Eine effektive Beteiligung der Bundesländer im Europäischen Datenschutzausschuss fehlt!

In den Fällen, in denen die Datenschutzaufsichtsbehörden der Länder für die Kontrolle von Unternehmen zuständig sind, die europaweit Daten verarbeiten, müssen sie in der Lage sein, ihre Erkenntnisse direkt in den Europäischen Datenschutzausschuss einzubringen. Dass die zuständige Behörde, die ein Verwaltungsverfahren initiiert hat, im Rahmen des gemeinschaftsweiten Verfahrens die Entscheidungskompetenzen verliert, führt zu einer sachlich nicht gerechtfertigten Fragmentierung des Verwaltungsverfahrens. Eine Vertretungsregelung, die das Verhandlungs-mandat über aufsichtsbehördliche Maßnahmen künftig auf die Ebene des Bundes verlagert und zusätzlich zu den ohnehin komplexen Regeln des europäischen Verwaltungsverfahrens noch einen langwierigen Abstimmungsprozess zwischen den Aufsichtsbehörden auf nationaler Ebene vorsieht, widerspricht der Unabhängigkeit der Datenschutzbehörden und behindert den Verwaltungsvollzug. Damit wird der Datenschutz nicht gestärkt, sondern geschwächt. Die Datenschutzbeauftragten der Länder haben eine Alternative formuliert, die den künftigen Rechtsvollzug auf eine unbürokratische und verlässliche Regelung stellt.

 

Keine beiläufige Einführung des „Videoüberwachungsverbesserungsgesetzes“!

Zukünftig sollen private Stellen personenbezogene Daten aus einer Videoüberwachung verarbeiten dürfen, wenn dies zu Zwecken der öffentlichen Sicherheit erforderlich ist. Es kann nicht Aufgabe der Privatwirtschaft sein, die Sicherheit der Bevölkerung zu gewährleisten; hierfür sind allein die Sicherheitsbehörden zuständig, die mit ausreichenden landes- und bundesgesetzlichen Rechtsgrundlagen ausgestattet sind. Für eine Ausweitung der Eingriffsmöglichkeiten privater Stellen in das informationelle Selbstbestimmungsrecht der betroffenen Passanten ist zudem nach der DSGVO keine Rechtsgrundlage ersichtlich.

 

Stellen, die einer Geheimhaltungspflicht unterliegen, müssen auch weiterhin durch eine effektive unabhängige Datenschutzaufsicht kontrolliert werden können!

Mit der Neuregelung soll den staatlichen Datenschutzaufsichtsbehörden der Zugang zu Informationen sowie zu den Geschäftsräumen von Geheimhaltungsverpflichteten wie z.B. Rechtsanwälten, Ärzten oder Angehörigen von Kranken-, Unfall- oder Lebensversicherungen verwehrt sein, wenn dies zu einem Verstoß gegen die Geheimhaltungspflichten dieser Personen führen würde. Ohne derartige Überprüfungsbefugnisse ist jedoch die Kontrollkompetenz der staatlichen Datenschutzaufsichtsbehörden erheblich eingeschränkt. So könnte vielen Beschwerden der Bürgerinnen und Bürger nicht mehr nachgegangen werden. Mit Verweis auf die Verschwiegenheitspflicht könnten sich die geheimhaltungspflichtigen Stellen der Durchsetzung des Datenschutzes entziehen. Die Aufsichtsbefugnisse müssen daher uneingeschränkt fortbestehen. Zum Schutz des jeweiligen Berufsgeheimnisses reicht es aus, die Verschwiegenheitspflicht auf die Datenschutzbehörden zu erstrecken.

 

Hierzu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Die Bundesregierung hat einen Gesetzesentwurf zusammengestellt, der an sehr vielen Stellen den Datenschutz aufweicht. Die Realisierung der eigenen Rechte Betroffener wird dadurch ebenso behindert wie die effektive Kontrolltätigkeit der staatlichen Datenschutzaufsichtsbehörden erschwert. Darüber hinaus wird die Vollzugskompetenz der Bundesländer auf europäischer Ebene unangemessen eingeschränkt. Diese sind für den Vollzug des Datenschutzrechts gegenüber nahezu allen nicht-öffentlichen verantwortlichen Stellen in Deutschland zuständig. Datenschutz ist ein Markenkern Europas, durch den die Selbstbestimmung, die Freiheit und die Gleichheit der Menschen gerade auch in Zeiten des digitalen Umbruchs und der allgegenwärtigen Gefahr des Terrors gewahrt werden. Die Umsetzung der europäischen Datenschutzstandards sollte daher auf einem hohen nationalen Niveau im Geiste der Gemeinsamkeit erfolgen und nicht auf möglichst niedrige einzelstaatliche Standards setzen. Der Gesetzesentwurf der Bundesregierung dient weder der Verbesserung der Wettbewerbsfähigkeit noch der Steigerung der Sicherheit in Deutschland, sondern führt zu mehr anlassloser Überwachung und einem Abbau von Verbraucher- bzw. Betroffenenrechten. Es ist daher zu hoffen, dass der Bundesrat die erforderlichen datenschutzfreundlichen und europarechtskonformen Änderungen vornimmt. Die Vorschläge hierfür liegen auf dem Tisch.“

Quelle:  (hmbbfdi, 15.2.2017)

Klarnamenpflicht bei Facebook bleibt vorerst

Die Anordnung des HmbBfDI zur Durchsetzung des Rechts auf pseudonyme Nutzung bei Facebook kann zunächst nicht vollzogen werden

 

Das Verwaltungsgericht Hamburg hat in seiner Eilentscheidung vom 3.3.2016 die Anwendbarkeit des nationalen Rechts zur pseudonymen Nutzung bei Facebook abgelehnt. Damit bestätigt es zunächst die aufschiebende Wirkung eines Widerspruchs des Konzerns gegen die Anordnung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, die Kontensperrung einer betroffenen Nutzerin wegen der Verwendung eines Pseudonyms aufzuheben. Zur Begründung führt das Gericht aus, dass trotz der Existenz einer deutschen Niederlassung, die überwiegend im Bereich der Werbung aktiv ist, deutsches Recht keine Anwendung finden würde und Facebook somit allein irisches Datenschutzrecht zu beachten habe. Ein entsprechendes Recht auf pseudonyme oder anonyme Nutzung existiert im irischen Recht allerdings nicht.

 

Der EuGH hatte zuvor in zwei Entscheidungen zu Google Spain und Weltimmo in 2014 und 2015 eine weite Auslegung der Anwendbarkeit mitgliedstaatlicher Datenschutzbestimmungen vertreten. Eine Anknüpfung an die Niederlassung sei auch möglich, ohne dass es der Verarbeitung von Nutzerdaten durch diese bedürfe. Es reiche aus, dass die Niederlassung lediglich zur Rentabilität des Internetangebots beitrage oder durch Lobbytätigkeit die verantwortliche Stelle unterstütze. Diese wirtschaftliche Untrennbarkeit zwischen Werbeeinnahmen, Lobbytätigkeit und der Datenverarbeitung wurde ebenfalls vom Brüsseler Gericht erster Instanz bereits im November letzten Jahres und durch die Art. 29 EU-Datenschutzgruppe, dem Gremium der Datenschutzbeauftragten der EU-Mitgliedstaaten und des Europäischen Datenschutzbeauftragen, im Anschluss an die Rechtsprechung des EuGH bestätigt. Vor wenigen Tagen hat zudem das Bundesverwaltungsgericht zur Frage der Zulässigkeit von Facebook-Fanpages das Verfahren zunächst ausgesetzt und die Frage des anwendbaren Rechts auf die Datenverarbeitung bei Facebook dem EuGH zur Entscheidung vorgelegt.

 

Dazu stellt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, fest: „Die Auffassung, wonach das Recht desjenigen Mitgliedstaats der EU anzuwenden ist, in dem sich diejenige Niederlassung befindet, mit deren Tätigkeit die streitige Datenverarbeitung am engsten verbunden ist, vermag nicht zu überzeugen. Das Ziel der EU-Datenschutzrichtlinie, einen umfassenden und wirksamen Schutz der Grundrechte, insbesondere des Rechts auf Achtung der Privatsphäre und des Datenschutzes zu gewährleisten, wird durch diese enge Auslegung im Beschluss verfehlt. Wir werden uns daher weiterhin für das Recht auf pseudonyme Nutzung einsetzen und die erforderlichen Schritte prüfen.“

Quellen: (hmbbfdi, 4.3.2016)

Informationsfreiheit für den NDR schaffen!

Zur gemeinsamen Erklärung der Informationsfreiheitsbeauftragten der NDR-Trägerländer

Obwohl für Hamburg als Sitzland des NDR seit nunmehr zehn Jahren informationsfreiheitsrechtliche Regelungen gelten, bleibt Bürgerinnen und Bürgern ein voraussetzungsloser Anspruch auf Informationszugang zum NDR bislang verwehrt. Dabei ist ein Informationsinteresse hier durchaus vorhanden: In den letzten Monaten hat der NDR zum Beispiel über seine Kunstsammlung informiert oder über Grundstücke, die in Hamburg in seinem Eigentum stehen. Diese Informationen kamen aber nicht aufgrund einer gesetzlichen Verpflichtung in die Öffentlichkeit, sondern aufgrund von parlamentarischen Anfragen. Und selbst hier konnte sich der NDR auf Verschwiegenheitsverpflichtungen berufen, die Vertragspartnern gegenüber abgegeben worden seien.

Dazu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar: „Zu einem transparenten Rechtsstaat gehört auch ein transparenter öffentlicher Rundfunk. Der NDR sollte denselben informationsfreiheitsrechtlichen Anforderungen unterliegen wie alle anderen öffentlichen Stellen auch, selbstverständlich unter Wahrung der journalistisch-redaktionellen Besonderheiten. Eine gesetzliche Verpflichtung zur Auskunftserteilung wird den NDR nicht schwächen, sondern seine Akzeptanz in der beitragspflichtigen Bevölkerung nachhaltig stärken. Die Trägerländer sind daher auch nach Meinung ihrer Informationsfreiheitsbeauftragten gefordert, entsprechende Regelungen in den Staatsvertrag aufzunehmen. Transparenz und Offenheit sind das Markenzeichen der Berichterstattung des NDR, dies sollte künftig auch für dessen innere Struktur gelten.“

Quelle: (hmbbfdi, 26.9.2016)