[datensicherheit.de, 09.02.2021] Gemeinsam haben die Datenschutzbeauftragte von Berlin und Rheinland-Pfalz „haltlose Attacken auf das Informationelle Selbstbestimmungsrecht“ zurückgewiesen und dabei betont: „Der Datenschutz ist eine europäische Erfolgsgeschichte!“ Laut einer Meldung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) vom 5. Februar 2021 haben sich in ihrem Meinungsbeitrag die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, und Prof. Dr. Dieter Kugelmann (LfDI RLP) gegen die jüngsten Attacken auf den Datenschutz gewandt: Die „Pandemie“ zeige, wie der Datenschutz als „Sündenbock“ herhalten muss, wenn Dinge schief gehen. „Es vergeht kein Tag, an dem nicht behauptet wird, dass die Pandemie leicht in den Griff zu bekommen sei, wenn wir nur den Datenschutz zurechtstutzen würden“, so ihre Kritik.

Abbildung: LfDI RLP

Maja Smoltczyk und Prof. Dr. Dieter Kugelmann fordern: „Schluss mit den Attacken auf den Datenschutz!

Behauptung, Datenschützer würden Kindern das Lernen verbieten…

Richtung und Unterton einer Reihe von Beiträgen zur gesellschaftlichen Debatte böten Anlass zu großer Sorge und wichtige Tatsachen würden nicht ausreichend wahrgenommen. „Problematisiert wird nicht, dass die Gesundheitsämter noch immer nicht alle an die digitale Infrastruktur angeschlossen sind.“
Problematisiert werde ferner nicht, „dass US-amerikanische Dienste es sich vorbehalten wollen, die Daten von Kindern für eigene, meist kommerzielle Zwecke zu verarbeiten“. Behauptet werde stattdessen, dass die Datenschützer den Kindern das Lernen verbieten wollten.

Grundrecht Datenschutz steht gesellschaftlichen Herausforderungen nicht im Wege!

Der Datenschutz stehe gesellschaftlichen Herausforderungen nicht im Wege, betonen Smoltczyk und Professor Kugelmann. Es gehe darum, die Errungenschaften der Digitalisierung und die bürgerlichen Grundrechte, welche die Grundlage unserer freiheitlich-demokratischen Gesellschaft seien, zu schützen.
„Der Datenschutz ist kein Supergrundrecht, das über anderen Grundrechten steht, aber er ist ein Grundrecht. Und als Grundrecht steht er in einer ständig neu auszutarierenden Wechselwirkung mit den anderen Grundrechten. Dass die Entscheider es sich damit nicht leichtmachen, ist gut so, denn diese Anforderung stellt ein freiheitlicher Rechtsstaat, auch und gerade in Krisenzeiten.“

Angemessener Datenschutz darf Corona nicht zum Opfer fallen!

Ein angemessener Datenschutz dürfe dem Virus nicht zum Opfer fallen, stellen Smoltczyk und Professor Kugelmann klar. Der Datenschutz sei kein Verhinderer, sondern ein wichtiger Regulator und Steuerungsfaktor:
Er trage zu Akzeptanz und Vertrauen in der Bevölkerung bei. „Der Datenschutzstandard in der Europäischen Union, der weltweit nachgeahmt wird, muss als Erfolg gefeiert werden. Auf diesen Erfolg kann man stolz sein.“

Weitere Informationen zum Thema:

Der Landesbeauftragte für den DATENSCHUTZ und die INFORMATIONSFREIHEIT Rheinland-Pfalz
Gastbeitrag von Prof. Dr. Dieter Kugelmann, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, und Maja Smoltczyk, der Berliner Beauftragtenfür Datenschutz und Informationsfreiheit / Schluss mit den Attacken auf den Datenschutz!

datensicherheit.de, 04.02.2021
Datenschutz: Privatsphäre beim Surfen im Internet schützen

[datensicherheit.de, 17.07.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, fordert in ihrer aktuellen Stellungnahme zur Entscheidung des Europäischen Gerichtshofs (EuGH), das „EU-US Privacy Shield“ für ungültig zu erklären, die datenverarbeitenden Stellen in Berlin auf, in den USA gespeicherte personenbezogene Daten nach Europa zu verlagern.

BlnBDI: Personenbezogene Daten dürfen nicht mehr wie bisher in die USA übermittelt werden

Der EuGH hatte in seiner Entscheidung „Schrems II“ (C-311/18) am 16. Juni 2020, festgestellt, dass US-Behörden zu weitreichende Zugriffsmöglichkeiten auf Daten europäischer Bürger hätten.
Daraus folgt demnach, dass personenbezogene Daten bis zu einer Änderung der Rechtslage in aller Regel nicht mehr wie bisher in die USA übermittelt werden dürften. Ausnahmen bestünden vor allem in den gesetzlich vorgesehenen Sonderfällen, etwa bei Hotelbuchungen in den USA.

BlnBDI betont Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz

Der EuGH habe unter anderem festgestellt, „dass in den USA staatliche Überwachungsmaßnahmen bestehen, die mit einer massenhaften Sammlung personenbezogener Daten ohne klare Beschränkungen einhergehen“. Dies widerspreche der EU-Grundrechtecharta (Rn. 180 ff. des Urteils).
Weiter habe er festgestellt, dass europäische Bürger keine Möglichkeit hätten, Überwachungsmaßnahmen von US-Behörden gerichtlich überprüfen zu lassen. Dadurch sei der Wesensgehalt des europäischen Grundrechts auf effektiven Rechtsschutz verletzt.

BlnBDI erläutert Zulässigkeit der Standardvertragsklauseln unter bestimmten Bedingungen

Übermittlungen personenbezogener Daten in Drittländer seien nur dann zulässig, „wenn diese ein Datenschutzniveau aufweisen, das den europäischen Grundrechten der Sache nach gleichwertig ist“. Da dies nach den Feststellungen des höchsten europäischen Gerichts in den USA weitgehend nicht der Fall sei, hatte der EuGH in seiner Entscheidung das „EU-US Privacy Shield“ für ungültig erklärt, auf dessen Grundlage eine Übermittlung personenbezogener Daten in die USA bisher in vielen Fällen erfolgte.
Die sogenannten Standardvertragsklauseln, die europäische Unternehmen mit Anbietern in Drittländern abschließen könnten, um das europäische Datenschutzniveau auch in den Drittländern zu wahren, habe der EuGH dagegen unter bestimmten Bedingungen für grundsätzlich zulässig erklärt, in diesem Zusammenhang jedoch betont, dass sowohl die europäischen Datenexporteure als auch die Datenimporteure in Drittländern verpflichtet seien, vor der ersten Datenübermittlung zu prüfen, „ob im Drittland staatliche Zugriffsmöglichkeiten auf die Daten bestehen, die über das nach europäischem Recht Zulässige hinausgehen“ (Rn. 134 f., 142 des Urteils).

BlnBDI unterstreicht: Reiner Abschluss von Standardvertragsklauseln reicht für Datenexporte nicht aus

Bestünden solche Zugriffsrechte, könnten auch die Standardvertragsklauseln den Datenexport nicht rechtfertigen. Bereits ins Drittland übermittelte Daten müssten zurückgeholt werden.
Anders als bisher verbreitet vertreten, genüge der reine Abschluss von Standardvertragsklauseln nicht, um Datenexporte zu ermöglichen (Rn. 126 ff. des Urteils).

BlnBDI stellt klar: Unzulässige Datenexporte zu verbieten

Der EuGH betone ausdrücklich, dass die Datenschutz-Aufsichtsbehörden verpflichtet seien, nach diesen Maßstäben unzulässige Datenexporte zu verbieten (Rn. 135, 146 des Urteils), und dass betroffene Personen Schadensersatz für unzulässige Datenexporte verlangen könnten (Rn. 143 des Urteils).
Dieser dürfte insbesondere den immateriellen Schaden („Schmerzensgeld“) umfassen und müsse nach dem europäischen Recht eine abschreckende Höhe aufweisen.

BlnBDI: Nutzer von Cloud-Diensten sollten zu EU-Anbieter wechseln

Die BlnBDI fordert daher nach eigenen Angaben „sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten. Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln“.
Der EuGH habe in „erfreulicher Deutlichkeit“ ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen könne, sondern die Grundrechte der Menschen im Vordergrund stehen müssten, unterstreicht Smoltczyk. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen Kostenersparnissen in die USA übermittelt werden konnten, seien nach diesem Urteil vorbei: „Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.“

Laut BlnBDI nicht nur USA von EuGH-Entscheidung betroffen

Die BlnBDI schließt ihre Stellungnahme mit einem klaren Bekenntnis: „Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an.“
Dies betreffe natürlich nicht nur Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt habe. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien werde zu prüfen sein, „ob dort nicht ähnliche oder gar größere Probleme bestehen“.

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns

datensicherheit.de, 16.07.2020
EuGH-Entscheidung: Privacy Shield suspendiert / Umetikettierung des Vorgängerinstruments des Privacy Shield – Safe Harbor – mit nur marginalen Verbesserungen führte zu keinem Umdenken der Regierung der USA

[datensicherheit.de, 28.06.2020] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, weist Berliner Gewerbetreibende darauf hin, „dass bei der Erhebung von Kontaktdaten von Kundinnen und Kunden zur Nachverfolgung von ,Corona‘-Kontakten der Datenschutz stets zu wahren ist“. So seien laufende Listen, auf denen die Kontaktdaten der Gäste offen für Dritte einsehbar sind, unzulässig. Als Hilfestellung stellt die Berliner Aufsichtsbehörde für den Datenschutz auf ihrer Website Musterformulare zur Verfügung.

Abbildung: BlnBDI

BlnBDI: Ein Formular-Blatt pro Person!

Einträge in laufende Listen unzulässig

Die „SARS-CoV-2-Infektionsschutzverordnung“, welche die „SARS-CoV-2-Eindämmungsmaßnahmenverordnung“ ablöst, verpflichtet demnach Gastronomiebetriebe, Betriebe des Friseurhandwerks und viele andere Stellen in Berlin, Informationen zur Kontaktnachverfolgung von Gästen oder Kunden zu erheben.
In der Praxis würden Restaurantgäste oder Kunden anderer Gewerbebetriebe bei Eintritt in das Geschäft häufig dazu aufgefordert, sich mit ihrem Namen und ihren Adressdaten in laufende Listen einzutragen, auf denen sie auch die Kontaktdaten Dritter einsehen könnten. Dieses Vorgehen sei unzulässig.

Corona-Krise: Kontaktdaten sicher verwahren und fristgerecht vernichten

Bei der Datenerhebung müssten die Verantwortlichen strikt darauf achten, dass die Kunden „keinen Einblick in die personenbezogenen Daten anderer Gäste erhalten“. Um das zu gewährleisten, sollte sich jede Person auf einem gesonderten Blatt eintragen können. Die ausgefüllten Formulare dürften auch nicht offen herumliegen, sondern müssten für den Zeitraum der Aufbewahrung sicher vor dem Zugriff Dritter verwahrt bleiben.
Es empfiehlt sich laut BlnBDI, beispielsweise eine verschließbare Box aufzustellen, in welche die ausgefüllten Formulare eingeworfen werden. Diese sollte dann täglich geleert werden, um die Formulare ohne Zusatzaufwand nach Tagen sortiert aufbewahren und fristgerecht vernichten zu können.

Gäste und Kunden über Datenverarbeitung und Rechte informieren

Für eine datenschutzkonforme Umsetzung der Maßnahme müssten die Gäste zudem gemäß Artikel 13 der Datenschutz-Grundverordnung (DSGVO) ausreichend über die Verarbeitung ihrer Daten und ihre Rechte informiert werden. Dies könne in Form einer kurzen Datenschutzerklärung erfolgen, die entweder per Aushang im Eingangsbereich gut sichtbar angebracht oder als Informationsblatt einzeln ausgehändigt wird.
Aus dieser Erklärung müsse insbesondere hervorgehen, wer für die Datenverarbeitung verantwortlich ist und auf welche Rechtsgrundlage sie gestützt wird, für welchen Zweck und für wie lange die Daten erhoben werden, wer darauf zugreifen kann und welche Rechte die Betroffenen haben.

Rechtswidrige Datennutzung mit Bußgeld bewehrt

Die ausgefüllten Bögen müssten sicher aufbewahrt und nach Ablauf der Aufbewahrungsfrist „taggenau sicher vernichtet“ werden, etwa mittels eines Aktenvernichters. Es genüge nicht, die Formulare von Hand zu zerreißen.
Verantwortliche müssten unbedingt beachten, dass die erhobenen Daten ausschließlich zum Zweck der Kontaktnachverfolgung im Falle von bekanntgewordenen Infektionen verarbeitet und ggf. an das zuständige Gesundheitsamt übermittelt werden dürfen. Eine Nutzung der Daten zu sonstigen Zwecken, wie zum Beispiel Werbung, wäre rechtswidrig und könne mit Bußgeldern geahndet werden.

Vertrauen in der Corona-Krise Voraussetzung für sachgerechte Mitwirkung

„Wie bei der digitalen Kontaktnachverfolgung mittels Warn-App ist auch bei Maßnahmen, die der manuellen Nachverfolgung von möglichen Infektionsketten dienen, Vertrauen eine wichtige Voraussetzung. Wer befürchten muss, dass seine Daten nicht gut aufgehoben sind, ist eher dazu geneigt, Falschangaben zu machen. Mir ist bewusst, dass der Umgang mit so vielen Kundendaten nicht zum Kerngeschäft von Restaurantbetrieben oder Friseurgeschäften gehört und die gesetzlichen Vorgaben daher einige Unsicherheiten sowohl bei den Verantwortlichen als auch bei den Betroffenen hervorrufen“, so Smoltczyk.
Zur Unterstützung hat ihre Behörde Musterformulare auf der eigenen Website zur Verfügung gestellt. „Ich empfehle Berliner Verantwortlichen, diese zu verwenden oder sich inhaltlich daran zu orientieren.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Kontaktdatenerhebung durch Gewerbetreibende – Musterformulare der BlnBDI

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Hinweise zum Datenschutzgemäß Art. 13 Datenschutz-Grundverordnung (DS-GVO)zur verpflichtenden Kontaktnachverfolgung im Sinne derSARS-CoV-2-Infektionsschutzverordnung

datensicherheit.de, 26.05.2020
Personen-Listen in Gaststätten: Pro Gast ein Blatt

[datensicherheit.de, 06.05.2020] Nach Ansicht der Berliner Beauftragten für Datenschutz und Informationsfreiheit hat die sog. Corona-Krise deutlich gemacht, „dass es vor allem im Bereich der öffentlichen Verwaltung noch weitgehend am Einsatz sicherer und grundrechtsfreundlicher digitaler Kommunikationsmittel wie Messenger-Diensten und Videokonferenzsystemen fehlt“. Die in der aktuellen „Ausnahmesituation“ gemachten Erfahrungen müssten dazu führen, „dass nunmehr mit vollem Einsatz die digitale Eigenständigkeit der öffentlichen Verwaltung bei modernen Kommunikationsmitteln vorangebracht“ werden sollte, so Maja Smoltczyk.

In der Ausnahmesituation oft unsichere Angebote genutzt

Die Vorsorgemaßnahmen zur Eindämmung der „Corona-Pandemie“ hätten in nahezu allen Bereichen des täglichen Lebens zu Einschränkungen und Änderungen gewohnter Abläufe geführt. Smoltczyk: „Hierzu gehörte für große Teile der Bevölkerung auch das weitgehende Arbeiten und Lernen von zuhause aus. Dies galt und gilt auch für öffentliche Einrichtungen bei der Erfüllung ihrer Aufgaben.“

Zur Sicherstellung des Betriebs sei dabei mangels erkennbarer Alternativen nur allzu häufig auf Dienste und Software zurückgegriffen worden, „die unsicher und datenschutzrechtlich nicht akzeptabel sind“.

Warnung vor der Verstetigung der Nutzung

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit zeigt zwar Verständnis: In einer Zeit der extrem beschleunigten und teilweise auch überstürzten Digitalisierung von Arbeit und Schule aufgrund einer Ausnahmesituation sei dies „nachvollziehbar“ – die aktuelle Ausnahmesituation dürfe aber nicht zur Verstetigung der Nutzung derart bedenklicher Dienste und zu einer Reduzierung datenschutzrechtlicher Standards in der Zukunft führen.

Wo die Dringlichkeit aktuell zu ergreifender Maßnahmen den Schutz der personenbezogenen Daten nicht im notwendigen Umfang habe berücksichtigen können, müsse daher nun „kontinuierlich nachgebessert“ werden. Sollten datenschutzrechtliche Unwägbarkeiten oder gar Missstände auftreten, seien diese umgehend zu beheben.

Betroffene Institutionen bei Umstellung nicht alleinlassen

Die Verantwortlichen seien aufgefordert, „kurzfristig eingesetzte, aber nicht datenschutzgerechte Lösungen sobald wie möglich durch datenschutzgerechte zu ersetzen“. Im öffentlichen Bereich seien hierzu in besonderer Weise die Hauptverwaltungen in der Verantwortung, zentral für entsprechend datenschutzgerechte Angebote zu sorgen.

„Schulen, Fachverwaltungen und sonstige öffentliche Einrichtungen, die auch in dieser Krisenzeit ihre Kernaufgaben erfüllen müssen, dürfen bei der dringend gebotenen Umstellung auf datenschutzkonforme Lösungen nicht allein gelassen werden“, betont Smoltczyk. Angefangen bei Messenger-Diensten bis hin zu Videokonferenz- und E-Learning-Tools sollte der Berliner Senat dafür sorgen, dass datenschutzgerechte, anwendungsfreundliche und sichere Kommunikationsmittel bereitstehen, auf die jede öffentliche Stelle bei Bedarf zugreifen kann.

Chance, digitale Technik von Anfang an datenschutzgerecht einzusetzen

Die aktuelle Situation sollte auch als Chance begriffen werden, „Arbeitsverfahren angesichts der während der ,Corona‘-Krise gemachten Erfahrungen jetzt von Grund auf neu zu gestalten und die Möglichkeiten der digitalen Technik von Anfang an datenschutzgerecht einzusetzen“.

Berlin habe sich auf den Weg gemacht, E-Government-Hauptstadt zu werden. Hierzu gehört laut Smoltczyk auch die Ausgestaltung der für eine moderne Verwaltung erforderlichen Technik in datenschutzgerechter Form („privacy-by-design“).

Gerade in der Verwaltung sei es möglich und wünschenswert, dass entsprechende Dienste selbst mit Hilfe des jeweiligen IT-Dienstleisters des Landes betrieben werden: So könnten z.B. Videokonferenzdienste von Anfang an datenschutzgerecht gestaltet werden, „so dass sie bei Bedarf zur Verfügung stehen und sofort nutzbar sind, ohne rechtliche Kompromisse eingehen zu müssen“.

Datenschutzregeln dienen Grundrechtschutz der Betroffenen

„Die bestehenden Datenschutzregeln sind kein Selbstzweck, sondern dienen dem Grundrechtschutz der Betroffenen“, unterstreicht Smoltczyk. Gerade wenn es sich dabei um Schulkinder, Arbeitnehmer oder um Menschen handelt, die von staatlichen Leistungen abhängig sind, könne es nicht – wie in diesen Tagen vereinzelt gefordert – die Lösung sein, das Datenschutzniveau abzusenken.

Denn Betroffene könnten in diesen Fällen nicht frei entscheiden, „ob sie mit der Nutzung dieser Dienste ihre persönlichen Daten wenig greifbaren Anbietern zur Verfügung stellen wollen oder nicht, ohne zu wissen, was mit ihren Daten letztlich geschieht“. Daher müsse es jetzt vielmehr darum gehen, alle erforderlichen Anstrengungen zu unternehmen, um eine tragbare und datenschutzgerechte Infrastruktur für die moderne Kommunikation zu schaffen.

Politik aufgefordert, digitale Eigenständigkeit des öffentlichen Dienstes voranzutreiben

Zu prüfen wäre, ob diese Lösungen auch gemeinnützigen Organisationen zur Verfügung gestellt werden könnten, „die angesichts der aktuellen Situation vor denselben Herausforderungen stehen“. Smoltczyk kritisiert: „Die Forderung der Datenschutzbehörden, Plattformen und Angebote, die die Grundrechte der Menschen achten, zu fördern oder selbst bereitzustellen, wurde in Deutschland seit Jahren nicht gebührend beachtet. In der aktuellen Krise fällt uns das auf die Füße. Im Bereich von Kommunikations-Tools sind öffentliche Einrichtungen weitgehend auf sich selbst gestellt. Das kann nicht sein.“

Die Politik sei nun mehr denn je aufgefordert, die digitale Eigenständigkeit des öffentlichen Dienstes voranzutreiben. Smoltczyk begrüßt nach eigenen Angaben „die ersten Schritte, die das Land Berlin bei der Bereitstellung von Diensten für die Kommunikation und Zusammenarbeit jüngst unternommen hat“. Ihre Behörde beteiligt sich demnach sehr gerne an der Prüfung derartiger Angebote, um eine schnelle Bereitstellung für möglichst viele Anwendungsfälle zu unterstützen. „Es ist nicht zu spät, Verpasstes nachzuholen, denn eine datenschutzkonforme und datensichere Kommunikation wird auch dann noch wichtig sein, wenn diese Krise überstanden ist.“

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Über uns / Zur Person: Maja Smoltczyk

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Veröffentlichungen: Orientierungshilfen / Merkblätter

datensicherheit.de, 14.11.2019
Analyse-Dienste für Webseiten nur mit Einwilligung zu nutzen

[datensicherheit.de, 14.11.2019] Mehrere Datenschutzbeauftragte der Länder haben sich am 14. November 2019 zu Wort gemeldet und Stellung zu Analyse-Diensten für Webseiten genommen. Wer solche für seine eigenen Webseiten einbindet, sollte dringend überprüfen, ob damit nicht gegen geltendes Datenschutzrecht verstoßen wird.

Detaillierte Daten über Nutzungsverhalten, Interessen und Standorte

Vielen Internet-Nutzern sei offensichtlich nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut werde, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten könnten. Besonders bekannt seien Analyse-Dienste, welche das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten („Tracking“). Nicht jeder Webanbieter habe bei der Einbindung solcher Dienste das Datenschutzrecht im Blick.
„Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten – das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Unter welchen Bedingungen nach der aktuellen Rechtslage Analyse-Dienste auf Webseiten eingebunden werden dürfen, habe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Frühjahr 2019 veröffentlicht. „Ein Großteil der Webanbieter muss dringend nachbessern, um nicht gegen das Datenschutzrecht zu verstoßen!“ Hansens Appell: Wer Analyse-Dienste auf den Webseiten einbindet, soll dies bitte dringend überprüfen!

Die meisten Cookie-Banner erfüllen gesetzlichen Anforderungen nicht

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont: „Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt ,Google Analytics‘.“
Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürften danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt laut Smoltczyk, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden könne es demgegenüber, wenn ein Webseiten-Betreiber eine Reichweitenerfassung durchführt und dafür die Zahl der Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter dürfe allerdings die Daten nicht zu eigenen Zwecken verwenden, „wie es sich mittlerweile der Anbieter von ,Google Analytics‘ vorbehält“.
Viele Webseiten-Betreiber beriefen sich bei der Einbindung von „Google Analytics“ auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die „Google Analytics“ einsetzen. Das Produkt „Google Analytics“ sei in den vergangenen Jahren so fortentwickelt worden, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstelle. Smoltczyk: „Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von ,Google Analytics‘ erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.“
Webseiten-Betreiber sollten ihre Website umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, müsse entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung sei nur dann wirksam, wenn der Nutzer „der konkreten Datenverarbeitung eindeutig und informiert zustimmt“. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, sei unzureichend. Dasselbe gelte für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung sei eindeutig, und der Europäische Gerichtshof habe sie in seinem Urteil vom 1. Oktober 2019 ausdrücklich bestätigt.
Was eine wirksame Einwilligung ist, werde in Artikel 4 Nummer 11 der Datenschutz-Grundverordnung (DSGVO) definiert. Danach ist eine „,Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO seien Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher „nicht als Einwilligung anzusehen“.
Smoltczyk: „Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

15.000 Websites von Betreibern in Rheinland-Pfalz setzen „Google Analytics“ rechtswidrig ein

Auch Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI) berichtet, dass er eine Vielzahl von Beschwerden über Websites erhalte, welche die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom März 2019 missachteten.
Insbesondere liege ein Hinweis vor, „der nahelegt, dass auf rund 15.000 Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz ,Google Analytics‘ rechtswidrig eingesetzt wird“. Der LfDI prüfe diese und habe bereits Verfahren gegen Unternehmen eingeleitet. Diese Zahl werde sich künftig noch erheblich erhöhen, da der LfDI zukünftig gezielt Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz überprüfen werde. Website-Betreiber, die unzulässig Dritt-Inhalte einbinden, müssten nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androhe.

Weitere Informationen zum Thema:

DSK Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, März 2019
Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 14.11.2019
Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen

datensicherheit.de, 26.10.2016
Kritik zu Googles 18. Jahrestag: Von der Suchmaschine zum Überwachungsimperium

[datensicherheit.de, 20.09.2019] Im August 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach eigenen Angaben „Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren“ gegen einen Lieferdienst erlassen. Diese Entscheidung sei rechtskräftig. Damit würden diverse datenschutzrechtliche Einzelverstöße dieses Unternehmens geahndet. Die Mehrzahl der Fälle habe die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch betroffen.

Konten ehemaliger Lieferdienst-Kunden nicht gelöscht

Nach den Feststellungen der Berliner Datenschutzbeauftragten habe dieser Lieferdienst in zehn Fällen Konten ehemaliger Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.
Acht ehemalige Kunden hätten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, welcher der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen habe, erhielt demnach dennoch weitere 15 Werbe-E-Mails.
In weiteren fünf Fällen habe das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst nach dem Einschreiten der Berliner Datenschutzbeauftragte erteilt.

DSGVO-Betroffenenrechte wichtiges Instrumentarium für jeden Einzelnen

Die Betroffenenrechte der Datenschutz-Grundverordnung (DSGVO) bildeten ein „wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung“.
Dem europäischen Gesetzgeber sei es bei der DSGVO-Verabschiedung „ein wichtiges Anliegen“ gewesen, die Betroffenenrechte der Bürger zu stärken.
Jedes personenbezogene Daten verarbeitende Unternehmen müsse daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Lieferdienst gab als Begründung technische Fehler bzw. Mitarbeiterversehen an

Der o.g. Lieferdienst habe gegenüber der Aufsichtsbehörde einige der Verstöße mit „technischen Fehlern“ bzw. „Mitarbeiterversehen“ erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen sei jedoch von „grundsätzlichen, strukturellen Organisationsproblemen“ auszugehen.
Trotz vielfacher Hinweise der Aufsichtsbehörde seien über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, welche die pflichtgemäße Erfüllung der Rechte der Betroffenen hätten sicherstellen können.
Die Geldbußen seien in zwei Bescheiden ergangen, da ein Teil der Verstöße noch nach dem vor Wirksamwerden der DSGVO geltenden Datenschutzrecht zu beurteilen gewesen sei. „Maßgeblich für die Frage, ob ein Verstoß nach alter oder neuer Rechtslage zu bewerten ist, ist der Tatzeitpunkt.“

Maßnahmen um Folgen des Verstoßes abzuwenden oder abzumildern berücksichtigt

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag habe die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DSGVO genannten geprüft.
Insbesondere seien in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes eingeflossen. Ferner seien auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt worden.
Zum 1. April 2019 sei der Lieferdienst von einem niederländischen Konzern übernommen worden. Die dem Verfahren zugrundeliegenden Verstöße seien allesamt vor dieser Übernahme begangen worden. Der neue Eigner habe die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt. Gegenüber der Aufsichtsbehörde habe er erklärt, „größten Wert auf die Einhaltung des Datenschutzrechts zu legen“. Das Verfahren sei zum Anlass genommen worden, die Prozesse noch einmal gründlich zu überprüfen.

Erstes beträchtliches Bußgeld im März 2019 gegen Online-Bank verhängt

Bereits im März 2019 hatte die Berliner Beauftragte für Datenschutz und Informationsfreiheit nach eigenen Angaben „ein erstes beträchtliches Bußgeld“ nach den Maßstäben der DSGVO in Höhe von 50.000 Euro gegen eine Online-Bank festgesetzt. Dieses junge Unternehmen habe zu Zwecken der Geldwäscheprävention die Namen ehemaliger Kunden auf eine Schwarze Liste gesetzt, unabhängig davon, ob diese tatsächlich der Geldwäsche verdächtig gewesen seien.
Auch diese Bank habe die Geldbuße akzeptiert und gegenüber der Berliner Datenschutzbeauftragten eine Reihe von Maßnahmen angekündigt, um bisherige organisatorische Mängel zu beseitigen und dadurch den Schutz der Daten ihrer zu verbessern.
Insbesondere habe sie zugesagt, ihr Personal im Bereich Datenschutz umfassend aufzustocken und zu schulen.

Bußgelder sollen auf andere Unternehmen mahnende Wirkung entfalten

Insgesamt habe die Berliner Beauftragte für Datenschutz und Informationsfreiheit seit der neuen Rechtslage 27 Bußgelder nach der DSGVO sowie zwei Bußgelder nach dem neuen Berliner Datenschutzgesetz erlassen.
„Das Thema Datenschutz wurde in vielen Unternehmen lange stiefmütterlich behandelt, obwohl es im Digitalen Zeitalter ein besonders wichtiges Grundrecht ist“, so Maja Smoltczyk. Die DSGVO wirke dem entgegen. Bei den genannten Unternehmen sei die Bereitschaft zur Aufarbeitung von Mängeln mittlerweile erkennbar.
Smoltczyk: „Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.“ Noch in der Gründungsphase befindlichen Berliner Unternehmen empfiehlt Smoltczyk, ihre zweimal monatlich stattfindende Start-Up-Sprechstunde aufzusuchen, um datenschutzrechtliche Fragen frühzeitig zu klären.

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
Wirtschaft/Verwaltung / Start-ups

datensicherheit.de, 25.07.2019
facebook-Bußgeld mit Signalwirkung

datensicherheit.de, 03.05.2019
re:publica: Berliner Datenschutzbeauftragte beim Netzfest

[datensicherheit.de, 30.07.2019] Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, hat am 30. Juli 2019 ihr nach eigenen Angaben „vollständig überarbeitetes medienpädagogisches Angebot“ veröffentlicht. Auf der Website „data-kids.de“ finden Grundschulkinder, Lehrkräfte und Eltern demnach „umfangreiche Materialien, die dabei helfen, sich in der Welt des Datenschutzes besser zurecht zu finden“.

Abbildung: Screenshot von data-kids.de

Data-Kids: Homepage mit Angeboten für Grundschulkinder, Eltern und Lehrkräfte

Data-Kids: So früh wie möglich Bewusstsein für eigenen Datenschutz wecken

Die BlnBDI habe es sich zum Ziel gesetzt, bei Kindern so früh wie möglich das Bewusstsein für den Schutz ihrer Daten zu wecken. Um dies zu erreichen, habe die Behörde im Frühjahr 2018 ein „bisher einzigartiges medienpädagogisches Angebot“ gestartet, um gezielt Kinder im Grundschulalter und deren Eltern und Lehrkräfte anzusprechen. Die dort angebotenen Materialien seien 2019 gründlich auf den Prüfstand gestellt und mithilfe des Feedbacks von Schülern vollständig überarbeitet und erweitert worden.
In neuem farbenfrohen Design enthalte das erweiterte Angebot nun auch interaktive Webmodule, Spiele und Mitmachhefte zum Ausdrucken. Neu entwickelte Figuren führten Kinder in die komplexe und abstrakte Welt des
Datenschutzes ein. Ein kindgerechtes, anschauliches Lexikon erkläre die wichtigsten Begriffe rund um das Grundrecht auf informationelle Selbstbestimmung.

Bewerbungen ab sofort: BlnBDI bietet Schulen Projektstunden

Als besonderes Angebot anlässlich des Relaunchs der Website könnten sich Berliner Grundschulen im ersten Schulhalbjahr 2019/2020 für von der BlnBDI für Schulen angebotene Projektstunden bewerben, um gemeinsam mit den Kindern und Lehrkräften die neuen Materialien zu entdecken. Sowohl Schüler als auch Lehrkräfte könnten dabei ihre Fragen rund um das Thema Datenschutz loswerden und Anregungen für das medienpädagogische Angebot der Datenschutzbeauftragten geben, das „stetig weiterentwickelt und an die Bedürfnisse der Zielgruppen angepasst“ werden soll. Interessierte Grundschulen könnten ihre Bewerbung ab sofort per E-Mail an medienkompetenz [at] datenschutz-berlin [dot] de senden.
„Datenschutz ist ein Grundrecht, das für Kinder und Erwachsene gleichermaßen gilt. In einer von ,Big Data‘ geprägten Welt ist Datenschutz eine Schlüsselkompetenz in unserer Gesellschaft. Es ist mir daher ein wichtiges Anliegen, das Thema Datenschutz so früh wie möglich schon Grundschulkindern zu vermitteln. Ich bin sicher, dass unser neues Angebot auch Lehrkräfte und Eltern bei diesem Ziel sehr gut unterstützen wird“, so Smoltczyk.

Weitere Informationen zum Thema:

Data-Kids
< Homepage >

datensicherheit.de, 03.05.2019
re:publica: Berliner Datenschutzbeauftragte beim Netzfest

datensicherheit.de, 19.09.2016
Zehn Jahre Informationsfreiheitsgesetz

[datensicherheit.de, 03.08.2016] In einer Mitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Maja Smoltczyk, wird auf die Verabschiedung eines Arbeitspapiers zu Privatsphäre- und Sicherheitsaspekten bei Internettelefonie (Voice over IP – VoIP) und ähnlichen Kommunikationstechnologien, wie z.B. „Instant Messaging“ und Video-Telefoniediensten, eingegangen: Die von ihr geleitete Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation war zu ihrer 59. Sitzung am 24. und 25. April 2016 in Oslo (Norwegen) zusammengekommen.

Empfehlungen betreffen alle Arten von Multimedia-Angeboten

Dieses Arbeitspapier enthalte Empfehlungen zur Verbesserung des Schutzes der Privatsphäre und der Datensicherheit bei diesen Diensten für alle relevanten Akteure – Gesetzgeber und Regulierungsbehörden, VoIP-Anbieter, Softwareentwickler, Hardwarehersteller und Nutzer.
Die Empfehlungen betreffen demnach „alle Arten von Multimedia-Angeboten“ sowohl traditioneller Telekommunikationsanbieter als auch von sogenannten „over-the-top“-Anbietern.

Herausforderungen für Privatsphäre und Datensicherheit

Das neue Arbeitspapier „Aktualisierung zu Privatsphäre- und Sicherheitsaspekten bei Internettelefonie (Voice over IP – VoIP) und ähnlichen Kommunikationstechnologien“ ergänze die in einer früheren Veröffentlichung enthaltenen Empfehlungen – vor zehn Jahren habe die Arbeitsgruppe ein Arbeitspapier zu Internettelefonie-Anwendungen veröffentlicht, in dem die Herausforderungen durch solche Anwendungen für die Privatsphäre und die Datensicherheit untersucht worden seien. Seitdem habe die Internet-Telefonie weitverbreitete Anwendung in Organisationen und bei Endnutzern gefunden.
Die erneute Bewertung sei durch verschiedene Entwicklungen in der Zwischenzeit motiviert worden, einschließlich der Enthüllungen von Edward Snowden über das Ausmaß des Zugriffs von Sicherheitsbehörden und Geheimdiensten auf Internetdienste, Fortschritte bei den Standardisierungsprozessen und die Entwicklung von Mobilfunktechnologien sowie WiFi-Netzwerken mit großer Bandbreite.

Weitere Informationen zum Thema:

Berliner Beauftragte für Datenschutz und Informationsfreiheit
International Working Group on Data Protection in Telecommunications (IWGDPT)