BfDI kritisiert rechtswidrige Datenverarbeitung und Gesetzgebung

Zwei aktuelle Urteile durch das Bundesverfassungs- und des Bundesverwaltungsgericht nimmt der BfDI, Professor Kelber, zum Anlass, Kritik an der Praxis von Gesetzgebern und Verwaltungen zu üben. Gleichzeitig will er darauf hinweisen, wie wichtige eine Beratung durch die zuständigen Behörden für Datenschutz ist.

Professor Kelber kritisiert dabei die Unart der letzten Jahre, dass neu geschaffene Möglichkeiten zur Datenerhebung für Behörden immer wieder vor Gerichten als rechtswidrig eingestuft und gestoppt werden.

Die jüngsten zwei Beispiele:

  • Dass das Bundesamt für Migration und Flüchtlinge digitale Datenträger von Geflüchteten (z. B. deren Handys) pauschal auswerten dürfen, wurde bereits 2017 kritisiert und mittlerweile vom Bundesverwaltungsgericht als unzureichend erklärt.
  • Die automatisierte Datenanalyse durch die Polizei in Hessen und Hamburg wurde durch das Bundesverfassungsgericht gestoppt.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/05_Kritik_Datenverarbeitung.html?nn=251944

BfDI untersagt Betrieb der Fanpage der Bundesregierung

Die Facebook-Fanpage der Bundesregierung, welche vom Bundespresseamt geführt wird, muss eingestellt werden. So die Anweisung vom Bundesbeauftragten für Datenschutz und Informationsfreiheit, Professor Kelber, per Bescheid, welcher innerhalb von 4 Wochen umgesetzt werden muss.

Behörden, so Kelber, hätten eine Vorbildfunktion und müssten einer Verantwortung nachkommen, sich an Recht und Gesetz zu halten, bei der die Grundrechte der Bürger und Bürgerinnen gewahrt bleiben. Aufgrund der Verarbeitung von personenbezogenen Daten, welche bei der Nutzung einer Fanpage erhoben werden, ist dies jedoch nicht möglich.

Den kompletten Kurzbeschluss, der zu diesem Thema veröffentlicht wurde, finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DSK/DSKBeschluessePositionspapiere/103DSK_Beschluss-zum-Kurzgutachten-Facebook.html?nn=251944

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Pressemitteilungen/DE/2023/06-Untersagung-Betrieb-Fanpage-BReg.html

Das Transatlantic Data Privacy Framework (TDPF)

Im Dezember 2022 wurde der Entwurf für einen Angemessenheitsbeschluss zur Datenübermittlung in die USA vorgelegt. Damit ist der Startschuss für die Verabschiedung gelegt.
Der Angemessenheitsbeschluss soll eine DSGVO-konforme Möglichkeit schaffen, personenbezogene Daten in Drittländer, also Länder, die nicht Mitgliedglied der EU sind, zu übermitteln.

In den Entscheidungsablauf sind involviert:

  • die EU-Kommission
  • ein Ausschuss bestehen aus Vertretern aller EU-Mitgliedsstaaten
  • die EDSA (Europäischer Datenschutzausschuss)

Die EU-Kommission verfasst also den Entwurf und legt ihn vor. Es folgt eine förmliche Beschlussfassung durch die EU-Kommission, gefolgt von einer Veröffentlichung des Entwurfs im EU-Amtsblatt.

Der Ausschuss der Mitgliedsstaatenvertreter entscheidet schlussendlich über die Verabschiedung – dabei muss eine Zustimmung durch mindestens 55 % (also 15 der 27 Mitgliedsstaaten) erreicht werden.

Die EDSA bekommt den Entwurf des Angemessenheitsbeschlusses durch die EU-Kommission vorgelegt und gibt eine Stellungnahme dazu ab. Anschließend leitet die EDSA den Entwurf zur Abstimmung an den Mitgliedstaatenausschuss weiter.
Die Stellungnahme hat keine bindende Funktion, kann aber die Wahlentscheidung der einzelnen Vertreter fachlich beeinflussen.

Während diverse Institutionen der USA in die Erstellung des Entwurfs involviert waren, handelt es sich bei der Abstimmung übrigens um eine rein EU-interne Angelegenheit. 

Voraussichtlich ist mit einer Abstimmung und der finalen Veröffentlichung im Mai oder Juni diesen Jahres zu rechnen.

Durch den Angemessenheitsbeschluss wird nun vorgesehen, dass das DoC (US-Department of Commerce) eine öffentlich zugängliche TDPF-List (Data Privacy Framework List) führt. In diese Liste können sich amerikanische Unternehmen eintragen lassen, wenn sie den Datenschutz-Anforderungen gemäß des Angemessenheitsbeschlusses entsprechen. Hierfür müssen sie zuvor in die Privacy Shield Liste eingetragen gewesen sein oder alternativ einen Entwurf ihrer geplanten Datenschutzregelung vorlegen.

Die Aufnahme in die TDPF-List kommt einer Zertifizierung gleich, die jedes Jahr durch einen Antrag erneuert werden muss.
Für europäische Unternehmen ist daher wichtig, mit amerikanischen Geschäftspartnern vertraglich zu regeln, dass diese Erneuerungsanträge regelmäßig (und rechtzeitig) gestellt werden. Geschieht dies nicht, müssten vorhandene Daten zurück übermittelt oder gelöscht und weitere Datenübertragung eingestellt werden.

Sowohl USA- wie auch Europa-seitige Unternehmen sollten sich jetzt schon auf die Angemessenheitsentscheidung einstellen und sich mit den Geschäftspartnern austauschen, Hinweisverpflichtungen nachkommen und den betroffenen Personen anspruchsvolle Wahlmöglichkeiten einräumen.

Ferner soll nach der Etablierung des Angemessenheitsbeschlusses ein „informelles Gremium“, bestehend aus nationalen Aufsichtsbehörden der Mitgliedsstaaten, eingerichtet werden. Dessen Aufgabe wird es sein, „Empfehlungen“ an US-Unternehmen zum Umgang mit Datenschutz-Beschwerden zu geben.
Diese Empfehlungen gehen mit hoher Verbindlichkeit einher, – kommt das Unternehmen ihnen nicht innerhalb von 25 Tagen nach, unterrichtet das Gremium zuständige US-Behörden wie etwa die FTC (Federal Trade Commission), um weitere Maßnahmen einzuleiten.

Rekordbelohnung – Whistleblower erhält 200 Millionen Dollar

Ein Whistleblower, der zur Aufdeckung des Libor-Skandals, bei dem die Deutsche Bank und andere Geldhäuser 2011 im großen Stile Zinsmanipulation betrieben haben, erhält nun zur Belohnung für seine Aufklärungsarbeit 200 Millionen Dollar.
Bei dem Libor handelt es sich um einen Referenzzins für den internationalen Finanzmarkt.

Weitere Informationen finden Sie hier:
https://www.welt.de/wirtschaft/article234583876/Rekordbelohnung-Whistleblower-erhaelt-200-Millionen-Dollar.html

Bun­desrat stoppt Hin­weis­ge­ber­schutz­ge­setz

Da es zu diesem Thema bereits mehrere Anfragen gegeben hat:

Laut der aktuellen Fassung des Hinweisgeberschutzgesetzes gem. § 14 II HinschG können sich mehrere private Beschäftigungsgeber mit in der Regel 50 bis 249 Beschäftigten
für die Entgegennahme von Meldungen eine gemeinsame Stelle einrichten und betreiben. Die Pflicht,
Maßnahmen zu ergreifen, um den Verstoß abzustellen, und die Pflicht zur Rückmeldung
an die hinweisgebende Person verbleiben aber bei dem einzelnen Beschäftigungsgeber.

Dadurch, dass sich kleinere Unternehmen für das Betreiben einer internen Meldestelle zusammenschließen
können, soll es ihnen ermöglicht werden, Ressourcen zu schonen und eine kostengünstige und wenig
aufwendige Lösung zu finden. Hierdurch soll eine ökonomische Überlastung von kleinen bis mittelständischen Organisationen vermieden werden.

Weitere Informationen finden Sie hier:

Verwalter einer Miteigentümergemeinschaft erhält ein Bußgeld i.H.v Bußgeld 1.500 EUR

Die nationale Datenkommission in Luxemburg erhielt zwei Beschwerden gegen eine Gesellschaft in ihrer Funktion als Verwalter einer Miteigentümergemeinschaft. Gerügt wurde die Weitergabe personenbezogener Daten an Dritte ohne Genehmigung und ohne angemessene Sicherheits- und Vertraulichkeitsmaßnahmen an Dritte weitergegeben habe, sowie Nichteinhaltung des Rechts auf Information und Zugang zu ihren Daten.

Die Behörde stellte die gerügten Verstöße gegen Art. 5 I DSGVO Art. 6 I DSGVO sowie gegen die Verpflichtungen aus Art. 12 und 15 DSGVO fest und verhängte ein Bußgeld in Höhe von 1.500 EUR gegen den Datenverantwortlichen.

Weitere Informationen finden Sie hier:
https://cnpd.public.lu/content/dam/cnpd/fr/decisions-avis/2023/dlibration-18-fr-2022-du-13-dcembre-2022.pdf

Bußgeld wegen Unterlassen einer Meldung nach Art 33 DSGVO Uni Magdeburg

Im Uniklinikum Magdeburg kam es vermutlich zu einem Datendiebstahl durch eine ehemalige Mitarbeiterin. Ihr wird vorgeworfen, personenbezogene Adress- und Meldedaten unbefugt über ihren dienstlichen Zugang abgefragt und weitergegeben haben. Die Tat soll aus politisch motivierten Gründen erfolgt sein. Bei den betroffenen Daten soll es sich vor allem um Meldeangaben von Personen, mit Bezug zu einer Bundestagspartei gehandelt haben. Der Vorfall soll ebenso im Zusammenhang mit einem Überfall auf eine Leipziger Immobilienmaklerin im Jahr 2019 stehen.

Nachdem diese Datenpanne aufgrund des vermuteten unbefugten Zugriffs durch eine ehemalige Mitarbeiterin des Universitätsklinikums Magdeburg bekannt geworden ist, drohen der Klinik nunmehr weitere Konsequenzen durch die zuständige Behörde. Dem Vorstand der Klinik wird unter anderem vorgeworfen, dass er die zuständige Landesdatenschutzbehörde in Sachsen-Anhalt über diesen Sicherheitsvorfall nicht rechtzeitig informiert hat. Diese wussten spätesten seit dem 15. Mai 2021, dass Ermittlungen gegen die Mitarbeiterin aufgenommen wurden. Eine Meldung an die Behörde ist jedoch erst im Oktober erfolgt. Das Verschweigen wurde mit einem Bußgeld in Höhe von 9.000 EUR sanktioniert.

Dieser Vorfall zeigt wieder auf, dass eine rechtzeitige Meldung bei der jeweiligen Datenschutzbehörde nicht vernachlässigt werden sollte, um eine schlimme Situation nicht noch weiter eskalieren zu lassen.

Weitere Informationen finden Sie hier:
https://www.landtag.sachsen-anhalt.de/ad-datenskandal

Millionen-Geldbuße für ein Opfer von Ransomware

Bei einem ohnehin großen Schaden durch eine Ransomware-Attacke kam es bei der Firma Interserve Group Limited in Großbritannien zusätzlich zu einer hohen Geldbuße. Dem Unternehmen konnte durch die Datenschutzaufsicht nachgewiesen werden, dass sie selbst am Erfolg des Angriffs schuld waren.
Die erfolgreiche Ransomeware-Attacke auf Interserve führte dazu, dass Daten von 113.000 aktuellen und früheren Arbeitnehmern monatelang nicht mehr zugänglich waren. Hierbei waren vor allem die besonderen Kategorien der personenbezogenen Daten (Art. 9 DSGVO) im Fokus. Die Datenschutzaufsicht verhängte an das betroffene Unternehmen eine Geldbuße (gemäß Art. 83 Datenschutz-Grundverordnung (DSGVO)) in Höhe von 4.440.000 £. Das entspricht etwa 5 Millionen €.

Der Ransomware-Angriff
Der Angriff erfolgte in Form einer Phishing-Mail. Diese beinhaltete eine „dringende Zahlungsangelegenheit“ und ging in das gemeinsame Konto eines Teams ein. Die Mail wurde von hier aus an den zuständigen Mitarbeiter für etwaige Angelegenheiten weitergeleitet. Dieser öffnete die Mail, lud sich den Angang runter, entpackte sie und öffnete die in ihr erhaltene Script-Datei. Diese Script-Datei führte zur Installation einer Schadsoftware und verschaffte dem Angreifer Zugriff auf den Arbeitsplatz-Computer des Mitarbeiters.
Der Mitarbeiter verfügte über seinen Sitz im Homeoffice über eine Split-Tunnelung, welches ihm die Nutzung zu einem besonders geschützten VPN-Zugang zum System verschaffte, wie auch zum allgemeinen Internet. Der geschützte Zugang ist mit einem System zur Erkennung von Schafsoftware ausgestattet. Der Angestellte nutzte in diesem Fall jedoch das allgemeine Internet.
Als die Schadsoftware von einem Endpoint Security System erkannt wurde, veranlasste das System die Entfernung einiger Schad-Dateien. Dieser Prozess war laut System erfolgreich, doch blieben Schad-Dateien auf dem Arbeitsplatz-Computer des Angestellten zurück und der Angreifer behielt seinen Zugriff. Der Angreifer erhielt nach und nach Zugriffe auf Systeme im Bereich Human Ressource, wo es ihm gelang umfangreiche Datenbestände zu verschlüsseln.
Laut Datenschutzaufsicht wurde hier gegen die Pflicht der Wahrung der Integrität und Vertraulichkeit von personenbezogenen Daten (Art. 5 Abs. 1 Buchstabe f DSGVO) verstoßen. Hierzu zählte unter anderem die Nutzung eines nicht mehr unterstützten Microsoft-Systems, die fehlende Verwendung eines ausreichenden Endpoint Security Systems sowie die fehlende Datenschutzschulung von einem der betroffenen Mitarbeitern. Diese Punkte führten dazu, dass sich die Sicherheit der Verarbeitung nicht auf dem Stand befand, welche der Art. 32 der DSGVO vorschreibt.

Das Ergebnis
Interserve Group Limited war kooperativ und wandte sofort nach dem Vorfall erhebliche Mittel auf, um die Sicherheitsschwachstellen zu beseitigen. Die Datenschutzaufsicht verhängte dennoch durch die erheblichen Folgen, die der Vorfall für betroffene Personen nach sich zog, die Geldbuße von 4.440.000 £.

Scraping: Unterschiedliche Entscheidungen zum Schadensersatz

In letzter Zeit müssen sich Gerichte vermehrt mit dem Thema „Scraping“ auseinander setzen.

Unter „Scraping“ versteht man das Übertragen von öffentlich zugänglichen Informationen einer Webseite in eine Datenbank. Dies kann auf manuellem Wege geschehen oder mithilfe verschiedenster Softwares.
Besonderes Augenmerk wird auf das Scraping bei Social-Media-Plattformen gelegt.

Beispiel 1: Es besteht kein Schadenersatzanspruch
Verfahren vor dem Landgericht Essen:
Der Kläger nutzte die Social Media Plattform des Beklagten (Facebook), um mit Freunden zu kommunizieren und private Fotos zu teilen. Diese vom Kläger veröffentlichten Daten wurden von Dritten gescrapt und im Internet veröffentlicht.
Bei den gescrapten personenbezogenen Daten des Klägers handelt es sich um Daten, die auf der Plattform ohnehin ohne Zugangskontrolle oder Überwindung technischer Zugangsbeschränkungen für jeden frei einsehbar sind. Dies geht aus den Datenverwendungsrichtlinien der Plattform hervor, über welche der Kläger bei der Anmeldung informiert wurde.
Aus Sicht des Gerichts war der Beklagte nicht verpflichtet, die Daten vor der Verarbeitung von Scrapern zu schützen – dies sei ohnehin nicht möglich komplett zu unterbinden.
Der Nutzer der Plattform/Kläger trägt in diesem Fall letztendlich selbst das Risiko, da er sich eigenverantwortlich der Nutzung der Plattform entschlossen und die Zustimmung der Datenschutzrichtlinien gegeben hat.

Weitere Informationen finden Sie hier:
https://rewis.io/urteile/urteil/hyl-10-11-2022-6-o-11122/

 

Beispiel 2: Es besteht Schadenersatzanspruch
Verfahren vor dem Landgericht Paderborn:
Dieses Verfahren beruht auf dem gleichen Tatbestand wie das vor dem Landgericht Essen. Das Landgericht Paderborn wiederum war in diesem Fall der Ansicht, dass der Beklagte keine ausreichenden Sicherheitsmaßnahmen getroffen hat und das Schutzniveau dementsprechend nicht angemessen gewährleistet werden konnte. Der Beklagte hätte entsprechend mit Scraping-Fällen rechnen müssen und die Schutzmaßnahmen anpassen müssen. Als Resultat musste er an den Kläger 500 € nebst Zinsen zahlen. Wie gut an beiden Beispiel-Fällen zu sehen, sind bei gleichartigen Fällen die Gerichte noch unterschiedlicher Meinung.
Die Erfolgschancen bei Scraping-Klagen sind daher weiter ungewiss.

Weitere Informationen finden Sie hier:
https://www.justiz.nrw.de/nrwe/lgs/paderborn/lg_paderborn/j2022/3_O_99_22_Urteil_20221219.html

Kein Schadensersatzanspruch bei bloßem Ärger

Der Generalanwalt verneint vor dem EuGH in seinem Schlussantrag vom 6.10.2022 (C-300/21), den immateriellen Schadensersatz bei bloßem Ärger über einen Datenschutzverstoß.

Grund für diese Einschätzung war folgender Sachverhalt:
Eine beklagte Adresshändlerin verknüpfte, ohne eine entsprechende Einwilligung der betroffenen Person, Daten von Umfrageinstituten und Wahlstatistiken, um in ihrer Kartei die Informationen zu speichern, an welcher Werbung die jeweilige Person interessiert sein könnte. Der betroffene Kläger war verärgert über diesen Vorgang und die ihm zugeordnete Einschätzung. Als einziger Schadensgrund wurde von Klägerseite sein „ Ärger“ angegeben.

Nach dem Vorschlag des Generalanwaltes sollte der Schadensersatzanspruch nach Art 82 DSGVO zukünftig wie folgt ausgelegt werden:

  1. Für die Anerkennung eines Anspruches auf Ersatz des Schadens, den eine Person infolge eines Verstoßes gegen die DSGVO erlitten hat, reicht die bloße Verletzung der Norm als solcher nicht aus, wenn mit ihr keine entsprechenden materiellen oder immateriellen Schäden einhergehen.
  2. Der in der DSGVO geregelte Ersatz immaterieller Schäden erstreckt sich nicht auf bloßem Ärger, zu dem die Verletzung einer Vorschrift bei der betroffenen Person geführt haben mag. Es ist Sache der nationalen Gerichte, herauszuarbeiten, wann das subjektive Unmutsgefühl aufgrund seiner Merkmale im Einzelfall als immaterieller Schaden angesehen werden kann.

Sollte sich diese Ansicht vor dem EuGH durchsetzen, müsste für Art 82 DSGVO also ein Schaden konkret nachgewiesen werden können. Dabei reicht dann ein Kontrollverlust eben nicht per se aus, um einen Schaden zu bejahen. Weiterhin macht dann auch nicht jedes negative subjektive Empfinden einen solchen nachweisbar.