Neuigkeiten zum Hinweisgeberschutzgesetz

Es gibt Neuigkeiten hinsichtlich der Entwicklung zum Hinweisgeberschutzgesetz. Nachdem das Gesetzesvorhaben Anfang des Jahres nicht die nötige Zustimmung im Bundesrat erhalten hatte und somit die benötigte Mehrheit nicht zustande kam, geht es nun weiter. Die Zustimmung des Bundesrates war nötig, da es sich bei dem Entwurf um ein sogenanntes Zustimmungsgesetz handelte. Die Ablehnung erfolgte, da es sich aus Sicht mancher Länder um Regelungen handele, die über die europäischen Anforderungen hinaus gingen.

Der ursprüngliche Gesetzesentwurf wurde nun in zwei einzelne Entwürfe aufgeteilt:

Der neue Entwurf des Gesetzes für den besseren Schutz hinweisgebender Personen, der die EU Richtlinie 2019/1937 umsetzen soll, nimmt im Wesentlichen das am 16.12.2022 beschlossene Gesetz wieder auf. Als einzige Änderung wird auf die zustimmungsbedürftige Änderung des Beamtenstatusgesetzes verzichtet. Diese wäre erforderlich um auch Beamt:innen Meldungen nach diesem Gesetz zu ermöglichen.

Durch diese Änderung handelt es sich bei dem Entwurf nun nach der Einschätzung der Fraktionen nicht mehr um ein solches Zustimmungsgesetz, da es keine verfassungsrechtlichen Bezüge mehr aufweist.

Der zweite Entwurf ist der Entwurf eines Gesetzes zur Ergänzung der Regelungen zum Hinweisgeberschutzgesetz. Dieser Entwurf passt die beamtenrechtlichen Verschwiegenheitspflichten im Beamtenstatusgesetz an die Erfordernisse des neuen Hinweisgeberschutzgesetzes an. Mit diesem Entwurf wird insbesondere Landesbeamt:innen eine Meldung oder Offenlegung nach dem Hinweisgeberschutzgesetz ermöglicht. Diese Änderungen bedürfen aufgrund des verfassungsrechtlichen Bezuges weiterhin der Zustimmung des Bundesrats.

Sollten am Ende beide Entwürfe das Gesetzgebungsverfahren erfolgreich durchlaufen, dann würde es wohl im Ergebnis zu keinen wesentlichen Änderungen gegenüber des ursprünglichen Entwurfes kommen.

Beide Vorhaben wurden aktuell vorab dem Rechtsausschuss zur weiteren Beratung übergeben.

Die Umsetzung der Richtlinie in nationales Recht hätte eigentlich bereits bis zum Dezember 2021 erfolgen müssen. Dieses Ziel hat die Regierung jedoch verpasst. Als Folge dessen hat die EU-Kommission deshalb mittlerweile ein Vertragsverletzungsverfahren gegen Deutschland auf den Weg gebracht.

USA: Amazon wegen Sammeln von biometrischen Daten verklagt

Amazon betreibt sogenannte Amazon-Go-Shops in den USA und Großbritannien.
Beim Betreten der Shops müssen sich Kunden mit einer App anmelden und teilweise mit Handflächen-Scans identifizieren. Während des Shoppens wird mittels Sensoren verfolgt, was die Kunden kaufen.

Nun wirft eine Sammelklage Amazon vor, nicht ausreichend auf diese Verarbeitung von biometrischen Daten hinzuweisen. Seit 2021 existiert im Bundesstaat New York ein Gesetz, laut dem derartige Verarbeitung von Daten mit für Kunden auffälligen Schildern gekennzeichnet werden muss. Diese Schilder hätte Amazon laut der Sammelklage aber erst ein Jahr später angebracht. Außerdem sollen die Schilder zu klein sein.

Amazon besteht darauf, dass die Kunden sich freiwillig zum Betreten des Stores entscheiden und dass bei der Anmeldung via App auf die Datenverarbeitung hingewiesen wird.

Weitere Informationen finden Sie hier:
https://www.amazon-watchblog.de/kritik/3508-usa-amazon-wegen-sammeln-von-biometrischen-daten-verklagt.html?utm_source=newsletter&utm_medium=email&utm_campaign=ohn

Bundesregierung klagt gegen Verbot ihrer Facebook-Seiten

Seit 2021 fordert der Bundesdatenschutzbeauftragte Ullrich Kelber, dass die Regierung ihre Präsenz auf Facebook einstellt. Der Grund: ein datenschutzkonformer Betrieb sei aufgrund der umfassenden Verarbeitung personenbezogener Daten nicht möglich. Laut Professor Kelber stehen alle Behörden „in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten.“

Eine letzte Frist wurde vor einem Monat gesetzt mit der Aufforderung, die Abschaltung innerhalb von 4 Monaten vorzunehmen. Das Bundespresseamt reagierte mit einer Klage gegen den Beschluss. Das Verwaltungsgericht Köln soll nun den Beschluss prüfen. Die Regierung erwartet sich davon Rechtsklarheit für den Betrieb von Facebook-Seiten.
Eine Sprecherin erklärt: „Die Bundesregierung hat einen verfassungsrechtlich gebotenen Auftrag, die Bürgerinnen und Bürger über die Tätigkeit, Vorhaben und Ziele der Bundesregierung zu informieren. Um die Bürgerinnen und Bürger zu erreichen, müssen wir uns an deren tatsächlicher Mediennutzung orientieren.“ Es herrscht die Auffassung, „dass allein Facebook für seine Datenverarbeitung datenschutzrechtlich verantwortlich ist und insoweit datenschutzrechtliche Fragen allein im Verhältnis zu Facebook zu klären sind.“

Bis die gerichtliche Prüfung abgeschlossen ist, darf die Facebook-Seite der Bundesregierung weiter betrieben werden.

Weitere Informationen finden Sie hier:
https://www.spiegel.de/netzwelt/netzpolitik/bundesregierung-klagt-gegen-verbot-ihrer-facebook-seiten-a-e2459c19-355f-45fe-a672-45e557481068

Abmahnwelle in neuer Form

In letzter Zeit erhalten kleinere und mittlere Unternehmen wieder Abmahnschreiben, in denen Schadenersatz für die Weitergabe der eigenen personenbezogenen Daten nach Amerika (Verstoß gegen Artikel 15, 82 DSGVO) gefordert wird.

Diesmal kommt das Schreiben von der Kanzlei „brandt.legal“ im Auftrag eines „in erheblichen Maßen genervten“ Herrn „Maximilian G.“. Gefordert wird ein Schadensersatz von 1.000,00 €, zuzüglich Anwaltskosten.
Ein Auszug aus dem Schreiben ließt sich wie folgt: „Ergänzend ist darauf hinzuweisen, dass unser Mandant von Verantwortlichen wie Ihnen, die seine datenschutzrechtlichen Rechte nicht beachten, massiv genervt ist. Es nervt unseren Mandanten in erheblichen Maßen, dass er solche Selbstverständlichkeiten nunmehr über einen Rechtsanwalt klären und Zeit sowie Geld investieren muss, damit seine Rechte als betroffene Person gewahrt werden. Auch bei diesem „genervt sein“ handelt es sich um ein emotionales Ungemach, welches einen immateriellen Schaden darstellt.“

Hier kommen zwei separate Vorfälle zusammen:

  • Die ausgebliebene Antwort auf ein zuvor erfolgtes Auskunftsersuch.
    Generell gibt es hier zu bedenken, dass innerhalb eines Monats geantwortet werden muss, wenn Betroffene ihre Rechte nach der DSGVO geltend machen. Auch eine Negativauskunft („Wir verarbeiten keine Sie betreffenden personenbezogenen Daten“) muss erteilt werden.
    Eine Nicht-Reaktion kann zu Schadenersatzansprüchen (und theoretisch zu Bußgeldern) führen.
  • Die Missachtung der datenschutzrechtlichen Rechte – wofür der Mandant einen Schadensersatzanspruch für den „Ärger“ und den Aufwand, einen Anwalt zur Wahrung der eigenen Rechte einzuschalten, geltend machen will.
    Wie von uns bereits in der Vergangenheit bereits berichtet wurde, besteht für „bloßen Ärger“ zunächst mal kein Anspruch auf Schadensersatz.

Was gilt bei einer Datenschutzverletzung beim eigenen Cloudanbieter?

Heutzutage ist eine Auslagerung der Daten, wie z. B. bei einer Cloudnutzung in vielen Firmen und Organisationen mittlerweile Standard.

Gerade die damit verbundene Flexibilität und Einsparungsmöglichkeiten bzgl. Anschaffungskosten und Wartungskosten sind für viele Unternehmen attraktiv.

Was aber, wenn es nun bei einem entsprechenden Cloud-Anbietermal nicht alles wie geplant läuft? Was, wenn beim Cloud-Anbieter ein Datenschutzverstoß vorfällt?

Unternehmen sind generell verpflichtet, die Aufsichtsbehörden und unter bestimmten Umständen auch die Betroffenen bei entsprechenden Datenschutzverstößen zu informieren.

Um diesen Melde- und Benachrichtigungspflichten im Ernstfall gerecht zu werden, ist eine genaue Sachverhaltsaufklärung und zügiges Handeln des Verantwortlichen gefragt.

Hier bestehen aber gerade häufig Verständnisschwierigkeiten, sowohl beim Cloud-Anbieter als auch beim Verantwortlichen.

So werden häufig Meldungen gem. Art 33 DSGVO direkt vom Cloud-Anbieter an eine Datenschutzbehörde durchgeführt, oder der Auftraggeber sieht diese Verantwortlichkeit beim Cloud-Anbieter, da die Datenschutzverletzung ja in „seinem Bereich“ vorgefallen ist.

Aus der Sicht des Cloud-Anbieters wiederum mag eine Meldung von ihm auch zunächst sinnvoller erscheinen, da er logischerweise zunächst mehr benötigte Informationen zu dem evtl. Datenschutzvorfall zur Verfügung hat. Dieser ist ja bei ihm vorgefallen.

Generell ist hier aber zu beachten, dass zwischen dem Auftraggeber und dem Cloud-Anbieter generell ein Verhältnis gem. Art 28 DSGVO vorliegt.

Der Auftraggeber ist und bleibt demnach gem. Art 4 Nr. 7 DSGVO Verantwortlicher für die personenbezogenen Daten im Sinne der DSGVO und der Cloud-Anbieter ist Auftragnehmer gem. Art 4 Nr. 8 DSGVO.

Art 33 DSGVO ist allerdings bzgl. der Meldepflicht eindeutig.

Gem. Art 33 I DSGVO hat der Verantwortliche die Meldung bei der zulässigen Datenschutzbehörde zu veranlassen, weiterhin gibt der Art 33 II DSGVO vor, dass der Auftragsverarbeiter, sobald ihm eine Verletzung personenbezogener Daten bekannt ist, er diese dem Verantwortlichen unverzüglich meldet.

Nach dem Wortlaut des Gesetzes hat also die Meldung vom Verantwortlichen zu erfolgen.

Auch hat der Auftragsverarbeiter alle Informationen, die der Verantwortliche zu einer Beurteilung der Meldepflicht benötigt, unverzüglich zur Verfügung zu stellen. Diese Pflicht ist unter anderem auch in Art 28 III f DSGVO verankert.

Zwar wird ein solcher formeller Fehler selten dazu führen, dass die Behörden die vom Cloud-Anbieter/Auftragsverarbeiter durchgeführte Meldung als ungültig ansehen wird, jedoch entstehen hier erfahrungsgemäß häufig auch andere Fehler in der Durchführung.

So gibt der Auftragsverarbeiter häufig die jeweilige Meldung gem. Art 33 DSGVO nur im eigenen Namen ab, ohne aufzuzeigen, dass man dies eigentlich für seinen Auftraggeber tut.

Dementsprechend ist also auch der Verantwortliche nicht bei der Behörde angegeben.

Weiterhin kann es sein, dass sich die zuständige Behörde des Auftragsverarbeiters von der des Verantwortlichen unterscheidet.

Die Zuständigkeit der Behörde richtet sich nämlich gem. Art 55, 56 DSGVO vornehmlich nach dem Hauptsitz des Verantwortlichen.

Weiterhin bestehen häufig Missverständnisse bzgl. einer Benachrichtigungspflicht gem. Art 34 DSGVO. So bewerten viele Auftragnehmer diese Vorschrift dahingehend, dass sie lediglich ihre eigenen Kunden informieren müssen.

Diese sind aber logischerweise meistens nicht deckungsgleich mit den Kunden des Verantwortlichen. Bis dieses Missverständnis dann aufgeklärt wurde, ist dann die 72-Stundenfrist, die auch für Art. 34 DSGVO gilt, bereits häufig verstrichen.

Es macht daher bereits Sinn, bei Inanspruchnahme eines Cloud-Anbieter ein derartiges Vorgehen bereits im Auftragsverarbeitungsvertrag zu klären und festzuhalten. Erfahrungsgemäß kann hier ein wenig Vorarbeit im Ernstfall viel Ärger ersparen.

Sollten Sie diesbezüglich Hilfe benötigen, können Sie sich natürlich wie immer gerne an uns wenden.

Nicht eingesetzte Polizei-Software kostet Millionen

Die bayrische Polizei will die umstrittene Software Palantir unter dem Namen „Verfahrensübergreifende Recherche- und Analyseplattform“ zum Einsatz bringen.

Ob dieser Einsatz wirklich vertretbar ist, wurde in einer umfassenden Schwachstellenanalyse durch das Fraunhofer Institut für Sichere Informationstechnologie durchgeführt. Rein technisch wurde die Software durch die Untersuchung als unbedenklich eingestuft.
Bestehen bleiben jedoch datenschuztrechtliche Bedenken, denn Palantir führt Datenbanken aus verschiedenen Quellen zusammen und schafft so ganz neue Möglichkeiten, zur Profilierung und Überwachen von Menschen.

Als solches ist noch unklar, wann die Software überhaupt zum Einsatz kommt. Was dagegen klar ist, sind die Kosten, die Palantir allein durch den Vetragsabschluss im Mai 2022 verursachte (rund 3,2 Millionen Euro Lizenzgebühren). Hinzu kommen 430.000 Euro für die zuvor genannte Untersuchung, sowie bis zu 25 Millionen Euro für die ersten 5 Jahre im Einsatz.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/palantir-in-bayern-nicht-eingesetzte-polizei-software-kostet-millionen/

FAQ zu TrustPID

Auf der Webseite des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI) wurde ein überschaubares FAQ zu TrustPID, einem Projekt der großen Mobilfunkanbieter Vodafone und Telekom, veröffentlicht.

Bei TrustPID handelt es sich um eine Webseite, welche Telefonnummern und IP-Adressen von Nutzern in pseudonymisierten Profilen speichert. Aus diesen Profilen werden dann weitere Pseudonyme zur Kennung von Marketing für die Partnerwebseiten von TrustPID geleitet werden. Basierend auf diesen Nutzungsprofilen wird dann durch die Partner personalisierte Werbung geschaltet, welche (theoretisch) nicht mit einer realen Person in Verbindung gebracht werden.

Es sei jedoch in den Raum gestellt, wie wünschenwert eine Maßnahme ist, die weiterhin persönliche Nutzerdaten abgreift, wenn diese auch nicht an außereuropäische Konzerne wie Google oder Meta weitergegeben werden.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Positionen/FAQ-TrustPID.html?nn=251928

Shopify – Praktischer Helfer oder praktisch ein Bußgeldrisiko?

In diesem Artikel soll es um den Anbieter Shopify und dessen Konformität mit der DSGVO gehen. Denn der Anbieter erfreut sich aktuell größter Beliebtheit, ist jedoch nicht ganz unumstritten.

Zuerst einmal die Frage: was ist denn Shopify genau?

Shopify ist in jüngerer Zeit sehr beliebt bei Betreibern von Onlineshops. Es handelt sich bei diesem Anbieter um eine Software as a Service Lösung (SaaS), die es dem Nutzer ermöglicht den gesamten Shop für diesen zu hosten. Der jeweilige Kunde „shoppt“ dann also auf dem Server von Shopify und nicht auf dem eigenen.

Was ist das Problem bezüglich Shopify?

Im Prinzip hat die Entscheidung der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz den Stein der Verunsicherung ins Rollen gebracht. Der Kern des Problems ist auch hier, wie so oft, die (potentielle) Datenübertragung in die USA.

Shopify selbst gibt an, Daten nur nach Kanada zu übertragen. So weit so gut, denn aus europäischer Perspektive stellt Kanada ein sicheres Drittland dar. Ab diesem Punkt wird es jedoch problematisch, denn von Kanada aus werden die Daten wiederum in weitere Drittländer übertragen, unter anderem die USA. Die mögen aus kanadischer Sicht sicher sein, bekannter weise aber nicht aus der europäischen Sichtweise. Denn aus dieser müssten die Standardvertragsklauseln abgeschlossen werden – und genau diese bietet Shopify nicht an. Die Datenweitergabe erfolgt über Content Delivery Networks (CDN) wie Cloudflare oder Cloudfront. Dieses ist quasi eine Art zweiter dazwischengeschalteter Server, der es ermöglicht, dass die Daten nicht immer vom eigentlichen Shopify Server geladen werden müssen. Genau diese Einstellung lässt sich jedoch seitens Shopify nicht deaktivieren. Der  europäische Nutzer kann dieser „Falle“ also auch durch eigene Einstellungen nicht entkommen.

Im Gegenteil: Shopify selbst verharrt auf dem Standpunkt, dass der Dienst DSGVO-konform sei und ohne Bedenken genutzt werden könne.

Welche Folgen sind zu erwarten?

Die juristische Antwort ist: es kommt drauf an. Wie eine Behörde im Einzelfall entscheidet, ist leider nicht vorauszusehen. Die Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz verbleibt zum Beispiel trotz Ihrer Negativentscheidung dabei, dass jeder Einzelfall für sich selbstständig zu bewerten ist.

Dennoch sollten Sie aus dieser Entscheidung mitnehmen, dass Shopify solange ein Bußgeldrisiko in sich trägt, bis die Möglichkeit der Abschaltung der CDNs durch Shopify eingeräumt wird. An dieser Stelle der Vollständigkeit halber auch noch einmal die Erinnerung, dass diese Bußgelder durchaus sehr empfindlich sein können – bis zu 20 Millionen Euro bzw. 4% des weltweiten Vorjahresumsatz.

Die Nutzung des Dienstes sollte also – zumindest aktuell – gut überlegt sein!

Bundesländer fordern Personenkennziffer für alle

Laut Berichten der Funke-Mediengruppe wünschen sich alle 16 Bundesländern eine praktikable Authentifizierungsmöglichkeit für Deutsche gegenüber dem Staat in Form einer „einheitlichen, nutzerfreundlichen, deutschlandweit gültigen Bürger-ID“.
Diese Personenkennziffer soll im Zuge der „Volldigitalisierung aller Verwaltungsprozesse“ eingeführt werden, um die „Zettelwirtschaft und vergilbte Karteikartenmentalität in deutschen Behörden“ zu beenden.

Zu Personenkennziffern sei gesagt, dass sie verfassungsrechtlich umstritten sind.
Das Mikrozensus-Urteil von 1969 sieht darin einen Widerspruch zur menschlichen Würde, da es den Menschen zum bloßen Objekt im Staat machen würde.
Ferner sieht das Volkszählungsurteils des Bundesverfassungsgerichtes den möglichen Verstoß gegen das Grundrecht auf informationelle Selbstbestimmung.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2023/buerger-id-bundeslaender-fordern-personenkennziffer-fuer-alle/