Moderation:
Was ist in der KW 47 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:
Empfehlungen & Lesetipps:
- Datenschutz im Kitaalltag – Gemeinsame Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit und der Senatsverwaltung für Bildung, Jugend und Familie vom 21.11.2024
Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/
Twitter: https://twitter.com/DS_Talk
Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)
Instagram: https://www.instagram.com/datenschutztalk_podcast/
Folge hier kommentieren: https://migosens.de/auskunft-per-self-service-tool-zulassig-datenschutz-news-kw-47-2024/↗
#TeamDatenschutz #TeamInfoSec #DSTalk
Transkript zur Folge:
Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update.
Wir starten heute wieder mit euch gemeinsam ins Wochenende. Heute ist Freitag, der 22.
November 2024. und mein Name ist Heiko Gossen.
Mein Name ist Gregor Wortberg.
Unser Redaktionsschluss war
wie immer um 10 Uhr und ja, es war wieder eine Woche mit ein paar Themen.
Es war jetzt auch nicht so super viel, aber wir hatten ja versprochen,
Gregor, letzte Woche, dass wir nochmal berichten hier zum Wirtschaftspreis und
wir haben ja ein bisschen gefeiert, haben wir ja schon, aber unsere Stimmen
sind doch schon wieder relativ normal klingend heute.
Es reicht für die Aufnahme.
Ja, frei für die Aufnahme, genau. Wir haben zwar nicht den Hauptpreis gewonnen,
aber es war laut Aussage alle Juroren sehr, sehr knapp.
Also wir haben das Ziel nur ganz knapp verfehlt.
Dafür haben wir aber einen Sonderpreis bekommen und das hat uns natürlich auch
sehr gefreut. Und von daher nochmal ganz herzlichen Dank an die Funke Mediengruppe,
die uns diesen Sonderpreis hat zukommen lassen.
Und damit sind wir nicht mit leeren Händen nach Hause gegangen von der Preisverleihung.
Gut, so und damit genug dazu. Kommen wir zu den ernsten Themen des Lebens,
würde ich sagen. Was hast du mitgebracht, Gregor?
Ich habe mitgebracht. Ein Beschluss des Oberlandesgerichts Frankfurt zur Auskunftserteilung
per Self-Service-Tool und Kritik von Bürgerrechtlern an der EU-Kommission mit
Blick auf die Datenübermittlung in die USA.
Was hast du denn in dieser Woche auf dem Zettel stehen, Heiko?
Ja, ein Thema, was es auch in die breiten Medien geschafft hat,
das BGH-Urteil zum Facebook-Daten-Lag.
Dann gucke ich einmal auf eine weitere Sicherheitslücke bei einer Wirtschaftsauskunft
teil und ein kurzes Update zur elektronischen Patientenakte.
Ich habe festgestellt, dass ich ein Kurzzeitgedächtnis habe,
weil ich habe auch noch was aus Indien mitgebracht zu WhatsApp.
Schön.
Hat es auch in die breiten Medien geschafft.
Hat es auch in die breiten Medien geschafft. Hervorragend. Ja,
dann wird uns nicht langweilig, würde ich sagen. Und damit let’s go.
Let’s go. Aber ich fange nicht mit Indien an. Das ist schon mal die gute Nachricht,
dass ich das noch hinbekomme. Wir starten in Frankfurt.
Das Oberlandesgericht hat mit Beschluss vom 2. Juli tatsächlich schon entschieden,
dass Unternehmen das Auskunftsrecht nach Artikel 15 durch ein Self-Service-Tool erfüllen können.
Im ursprünglichen Verfahren vom Landesgericht Hanau hatte der Kläger gegenüber
Twitter versucht, Schadensersatzansprüche wegen behaupteter Verstöße gegen die DSGVO gelten zu machen.
Als kleiner Hinweis schon mal vorab, der Kläger hatte auch ein Account auf der Pläne.
Er verlangte nämlich Auskunft über seine personenbezogene Daten zu erlangen
und Twitter hatte, oder jetzt X.
Hatte dem Kläger seinerzeit zunächst allgemein über die Datenverarbeitung und
Speicherung informiert und wegen konkreter Daten, also wegen seiner konkreter
Daten, dann auf das Self-Service-Tool verwiesen.
Das Landgericht Hanau hatte die Klage auch bereits schon abgewiesen.
Zur Begründung hat es damals schon ausgeführt, dass der Ausgangsanspruch durch
den Verweis auf das Self-Service-Tool der Beklagten dann auch erfüllt sei.
Dies hob das Oberlandesgericht Frankfurt
nun mit dem Verweis auf den Erwägungsgrund 63 auch nochmal hervor.
Aber in Satz 4 heißt es nämlich, Zitat, nach Möglichkeit sollte der Verantwortliche
den Fernzugang zu einem sicheren System bereitstellen können,
der der betroffene Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde.
Also heißt ja quasi dann schon, dass es sogar der gewünschte Weg ist,
den Twitter hier angeboten hat oder X.
Das ist wichtig, und das wurde von dem Gericht dann auch nochmal hervorgestellt,
dass der Verweis auf den Fernzugang im Einzelfall dazu führen kann,
dass der betroffene Person die Auskunft so ein bisschen verweigert bzw.
Untergraben wird, wenn man jetzt analog unterwegs sei und keine entsprechenden
technischen Kenntnisse hätte, ein Online-Tool zu nutzen.
Im vorliegenden Fall sei das aber gar nicht Gegenstand einer Prüfung oder einer
Fragestellung, weil wenn man sich da registriert und das Netzwerk nutzt.
Dann kann man auch davon ausgehen, dass man die Kenntnisse hat,
ein Self-Service-Tool zu bedienen.
Zudem hat das OLG festgestellt, dass dieser pauschal vorgetragene Zustand des
Unwohlseins und der Sorge des Datenmissbrauchs ohne weitere Bereisführung keinen
Anspruch auf einen Schadensersatz begründe.
Nach diesen Hinweisen wurde dann die Berufung auch zurückgenommen.
Ja, ich meine, das funktioniert natürlich so lange, wie ich nur den Standardservice nutze.
Wenn ich dann wahrscheinlich aber den Briefe schreibe oder irgendeine Beschwerde
habe, ist dann die Frage, ob das Self-Service-Tool natürlich auch E-Mail-Korrespondenz
oder andere Informationen, die an anderer Stelle liegen, auch zur Verfügung stellt.
Aber erstmal grundsätzlich, glaube ich, für gerade so Massenmedien oder Massendienste
sicherlich ein, für auch die Unternehmen ja, sinnvoller Weg,
die Datenauskunft bereitzustellen.
Ganz genau.
Der Bundesgerichtshof hat in seiner ersten
Leitentscheidung die Hürden für Schadensersatzforderungen etwas gesenkt.
Der BGH hat die Rechte der betroffenen Nutzerinnen und Nutzer im Falle eines
umfangreichen Datendiebstahls bei Facebook gestärkt, so im Ergebnis,
wie bereits vor zwei Wochen ja von euch berichtet, Gregor.
Da hat sich ja auch Natalia schon über das erstmal grundsätzlich gesprochen,
dass der BGH jetzt eine Leidentscheidung oder das als erste Leidentscheidung nimmt.
Er hat jetzt halt die Möglichkeit genutzt und da auch das Urteil zu gesprochen
und zwar halt in diesem besagten Scraping-Fall bei Facebook,
wo über 500 Millionen User-Daten im Netz gelandet sind.
Zu beantworten war unter anderem die Frage, ist der bloße Verlust der Kontrolle
über die gescrapten und nunmehr mit der Mobilfunknummer des betroffenen verknüpften Daten geeignet,
einen immateriellen Schaden im Sinne von 82 DSGVO zu begründen und falls ja.
Wie wäre der Ersatz für einen solchen Schaden zu bemessen?
Der BGH hat nun entschieden, dass der Anspruch des
Klägers auf Ersatz eines immateriellen Schadens sich
mit der Begründung des Berufungsgerichts nicht verneinen
lässt und dass nach Auslegung von 82 DSGVO und der maßgeblichen Rechtsprechung
des EuGH auch der bloße und kurzzeitige Verlust der Kontrolle über eigene personenbezogene
Daten infolge eines Verstoßes gegen die Datenturzgrundverordnung ein immaterieller
Schaden im Sinne der Norm sei.
Also, was jetzt ein bisschen holprig klingt oder sperrig klingt erstmal,
ist es so, dass weder eine konkrete missbräuchliche Verwendung dieser Daten
zum Nachteil der betroffenen Person erfolgt sein muss, noch bedarf es wohl einer
sonstigen zusätzlichen spürbaren negativen Folge.
Der Bundesgerichtshof hat zudem auch Hinweise zur Bemessung des immateriellen
Schadens erteilt und ausgeführt,
warum unter den Umständen des Streitfalls von Rechts wegen keine Bedenken dagegen
bestünden, so heißt es in der Pressemitteilung, den Ausgleich für den bloßen
Kontrollverlust in einer größten Ordnung von 100 Euro zu bemessen.
Im bisherigen Verlauf, also das war zuerst beim Landgericht Bonn,
dort hatte man die Klage abgewiesen, zumindest überwiegend, aber dem Kläger
einen Schadensersatz in Höhe von 250 Euro zugesprochen.
Daraufhin ging es dann weiter beim
OLG Köln und dort gab es dann aber eine vollständige Abweisung der Klage.
Das ist jetzt halt, wie gesagt, vom Bundesgerichtshof wieder ein Stück weit
zurückgedreht worden und zurückgegeben worden an das OLG Köln,
die jetzt inhaltlich nochmal ein bisschen tiefer reingehen müssen.
Also das heißt, dahingehend ist es noch nicht ganz abgeschlossen und auch diese
100 Euro für den konkreten Fall hier auch noch nicht ganz entschieden.
Also das OLG Köln könnte jetzt hier natürlich auch noch zu anderen Ergebnissen kommen.
Ja, was bedeutet das nun für die Praxis und vor allen Dingen,
wie gesagt, der BGH bezieht sich wohl auf die EuGH-Rechtsprechung.
Nach meinem Verständnis, ich kann es noch nicht so ganz wiederfinden,
weil nach meinem Verständnis der EuGH ja gesagt hat, man muss einen Schaden
nachweisen und der BGH sagt nur, nee, da reicht es wohl alleine schon,
dass halt dieser Kontrollverlust da ist und ich muss keinen Schaden nachweisen,
zumindest nicht für so ein, in Anführungszeichen mal, geringes Schmerzensgeld
oder Schadensersatz von 100 Euro. Tja, ich weiß es nicht.
Also die Facebook-User, das zumindest ist zu anderen Medien auch zu entnehmen,
hatten sich wohl eher so Hoffnungen auf 1000 Euro Schadensersatz gemacht.
Das ist jetzt natürlich dann deutlich weniger.
Wie gesagt, ich bin jetzt noch nicht auf den Volltext gekommen.
Der ist noch nicht veröffentlicht worden vom BGH.
Können wir vielleicht nochmal reingucken und ein bisschen besser auch hoffentlich
verstehen, wie es wirklich dann im Einklang mit der EuGH-Rechtsprechung steht.
Wie gesagt, aus der Pressemitteilung hat es sich für mich ehrlich gesagt noch
nicht richtig erschlossen.
Ja, das wäre wirklich ein interessanter Punkt. Auf den ersten Blick klingt es
ja etwas widersprüchlich.
Aber vielleicht weiß ja einer von unseren Zuhörenden mehr und schreibt uns was
in die Kommentare, vielleicht schon mal als ersten Hinweis.
Vielleicht ist ja auch der Kläger und hat da aus erster Hand die Informationen,
wie der BGH da zu dieser Entscheidung gekommen ist.
Ansonsten üben wir uns natürlich in Geduld und werden berichten,
wenn wir das rausgefunden haben.
Ganz genau. Ja, jetzt blicke ich nach Indien.
Die indische Wettbewerbsbehörde hat entschieden, dass WhatsApp fünf Jahre lang
keine Nutzerdaten zu Werbezwecken in der Konzernmutter Meta mit anderen Gesellschaften
bzw. Anwendungen teilen darf.
Zudem wurde eine kartellrechtliche Geldstrafe in Höhe von umgerechnet ca.
24 Millionen Euro ausgesprochen.
Interessant ist hier übrigens zu wissen, dass WhatsApp, das war mir gar nicht
so bewusst, in Indien weiter umfangreicher genutzt wird, als es jetzt so bei
uns der Fall war, dass man da auch zum Beispiel Supermarktbestellungen über
den Dienst abgeben kann, für denen halt auch Kontodaten benötigt werden und
bei WhatsApp hinterlegt werden.
Das macht das Ganze vielleicht dann auch nochmal einen Blick auf die Verarbeitung
zu Werbezwecken nochmal so ein bisschen interessanter und risikobehafteter.
WhatsApp hat in Indien circa 500 Millionen Nutzer.
Konkret geht es in dem Verfahren oder in dem Verbot dann aber auch erstmal um
den Vorwurf, dass WhatsApp die marktbeherrschende Stellung missbraucht habe.
Im Jahr 2021 hatte WhatsApp seine Nutzungsbedingungen dahingehend geändert,
dass man den Dienst nun weiter nutzen könnte, wenn man einwilligt,
dass eine gemeinsame Datennutzung mit anderen Meta-Unternehmen erfolgt.
Und genau diese Verknüpfung als Bedingung für die Nutzung wurde in der jetzt
veröffentlichten Erklärung als unzulässig beschrieben.
Nach Ablauf der genannten fünf Jahre darf WhatsApp übrigens nicht einfach weitermachen
und weiter Daten nutzen, sondern es muss den Nutzer die Möglichkeit gegeben
werden, sich gegen die Weitergabe von Daten zu entscheiden und den Dienst dann
natürlich trotzdem zu nutzen.
Und zudem, das könnte jetzt auch nochmal für europäische Nutzerinnen und Nutzer
durchaus sehr interessant werden,
wurde WhatsApp dazu aufgefordert zu erläutern, welche Daten konkret zu welchen
Zwecken im Konzern weitergegeben werden und wie diese dann noch weiterverwendet werden.
So letzter Punkt, da bin ich mal sehr gespannt drauf, ob man da was zu erfährt,
was da dann in Indien publik gemacht wurde und könnte ja für europäische Behörden
auch nochmal so ein kleiner Tritt sein, weiter da nochmal aktiv zu werden.
Ja, spannend. Also schönes Beispiel, wo natürlich auch Datenschutz und Wettbewerbsrecht
ein bisschen zusammenspielen.
Aber interessant, fünf Jahre auch mal. Ist ja schon für Facebook,
glaube ich, ein ganz ordentlicher Horizont, wo sie dann wahrscheinlich auf den
einen oder anderen Umsatz vielleicht mehr verzichten müssen,
weil sie nicht mehr so gut personalisieren können.
Da spielen die 24 Millionen Euro wahrscheinlich eher eine kleinere Rolle im
Vergleich zu den Werten, die an anderer Stelle Werbeinhaben dann dahinter stehen dürften.
Ja, gehen wir weiter. Ein Datenleck bei der Wirtschaftsauskunft Teil InfoScore
hat Millionen Bonitätsdaten frei zugänglich gemacht.
Nach verschiedenen Meldungen waren Bonitätsdaten von 8 Millionen Verbrauchern
kurzzeitig frei im Netz zugänglich.
Und zwar die Aktivistin Lilith Wittmann entdeckte wohl die Sicherheitslücke
und berichtete, dass der Zugriff über das Portal ScoreCompass ohne ausreichende
Identitätsprüfung möglich war.
Dabei wurden wohl sensible Informationen wie Kreditscores, Mahnverfahren und
Privatinsolvenzen sichtbar und
Wittmann zeigte wohl auch Schwächen bei der Berechnung dieser Daten auf.
Sie erklärte unter anderem in ihrem LinkedIn-Post, dass sie tausende Anfragen
stellen und umfassende Bonitätsdaten wie Negativmerkmale einsehen konnte.
Da halt der Identifizierungsprozess durch doch einen sehr einfachen Trickvolumen
gegangen werden konnte.
Und sie hat dann kurzerhand selbst eine Programmierschnittstelle erstellt und
so den Score-Algorithmus ein wenig reverse-engineert und fand unter anderem heraus, dass das Alter,
die Wohnsituation und das Geschlecht, die Bonitätsbewertung teils pauschal beeinflussen.
Und das finde ich jetzt persönlich tatsächlich das, was ja in Auskunft Teilen
auch mal so ein bisschen in Verruf gebracht hat, dass sie natürlich genau solche
Daten heranziehen, um die Bonität zu berechnen oder einen Score zu berechnen.
Ja, InfoScore erklärte wohl, der Vorfall habe Systeme von InfoScore nicht direkt
gefährdet, aber man leitet seine Untersuchung ein und Wittmann kritisierte nochmal
die Branche insgesamt und sagt halt auch, dass solche trivialen Sicherheitslücken zeigen,
dass solche Unternehmen wohl nicht geeignet sind, so sensible Daten zu verwalten.
Das kann man daraus ableiten, aber wie gesagt, ich halte es halt eigentlich
noch für deutlich schlimmer, ja, auch aus Datenschutzperspektive,
dass halt wie gesagt auch Daten verwendet werden, die eigentlich für Scoring
meines Erachtens keine bis weniger Relevanz haben sollten.
Das European Digital Rights Network, kurz EEDRI, eine Bürgerrechtsbewegung, hat in einer am 20.
November veröffentlichten Stellungnahme die EU-Kommission heftig bezüglich der
Haltung und Vorgehensweise im Kontext
von Überwachungsmaßnahmen durch US-Strafverfolgungsbehörden kritisiert.
Insbesondere steht die durch die EU-Kommission kürzlich durchgeführte Prüfung
des Angemessenheitsbeschlusses hier in der Kritik.
Hier kam die EU-Kommission zu dem Ergebnis, dass die wesentlichen Inhalte des
EU-US-Data-Privacy-Frameworks umgesetzt worden seien.
Dort am Bericht von Heise gehörten dazu unter anderem die Umsetzung von Garantien,
um den Zugriff der US-Geheimdienste auf personenbezogene Daten auf das erforderliche
und verhältnismäßige Maß zu beschränken.
Und die Einrichtung eines unabhängigen Rechtsbehelfsmechanismus.
Laut ERI würden durch diese Einschätzung die Bedenken bezüglich staatlicher
Überwachung heruntergespielt werden.
Und übersetzt heißt das in der Mitteilung, indem sie die grundlegenden Probleme,
die zur Analyse früherer Abkommen wie Safe Harbor und Privacy Shield geführt haben,
beschönigt, scheint die EU bereit zu sein, bei der Privatsphäre und den individuellen
Freiheiten Kompromisse einzugehen, um einen reibungsloseren transatlantischen
Datenfluss zu gewährleisten und ihre Position in einem zunehmend wettbewerbsorientierten
globalen Umfeld zu stärken.
Ja, das ist eine ganz nette Anschuldigung, die man da so sehen kann.
Also deswegen habe ich es auch ganz schön nochmal zitieren wollen.
Insbesondere laut Heise kommt Edri halt auch nochmal zu dem Schluss,
dass die EU-Kommission gerade deswegen nicht auf ein weiteres Urteil des EuGH
warten solle und da selber auch nochmal mehr aktiv werden müsse.
Nachdem der Abschnitt 702 des Foreign Intelligence Surveillance Act,
also FISA, verlängert wurde, forderte der Europäische Datenschutzausschuss,
dass die Kommission die künftigen Entwicklungen beobachten.
Also bleibt dann auch wirklich weiter zu beobachten, wie es da geht.
Ich meine, Neub hatte da ja auch schon Klage angekündigt und viele andere Institutionen
auch. Mal gucken, wie lange das dann alles so Bestand hat.
Ja, vor allen Dingen, glaube ich, mit Blick auf den Ausgang der Wahlen ist da
auch wahrscheinlich wirklich von der administrativen Seite in den USA eine Verbesserung zu erwarten.
Von daher könnte ich mir schon vorstellen, dass die EU-Kommission gut beraten
wäre, da jetzt nochmal anzusetzen und sich auch darauf einzustellen,
dass wahrscheinlich der AGA dann auch das sehr kritisch sieht,
wenn es dann wieder dort landet.
Ja, da hatte Edri auch noch mal drauf Bezug genommen auf die Ergebnisse der Wahl,
wo die halt schon sehen, dass es sehr wahrscheinlich wird, dass die Rufe für
eine stärkere transatlantische Zusammenarbeit, gerade um gegen China bestehen
zu können, haben dann auch natürlich noch mal stärker werden würden.
Wenn das dann natürlich noch ein weiteres Argument ist, da vielleicht gegen
den Angemessenheitsbeschluss oder die Beschlüsse in dem Angemessenheitsbeschluss
dann vorzugehen oder diese dann irgendwo hinten anzustellen,
ja, das wird dann spannend zu beobachten sein, muss man leider sagen.
Also vielleicht gleich nochmal der Tipp. Wir machen das ja bei unseren Kunden
auch immer, wo es möglich ist, dass wir halt uns grundsätzlich nicht nur auf
das Data Privacy Framework berufen,
sondern dass wir vorsorglich immer für den Fall, dass halt die Voraussetzungen
für das Data Privacy Framework entfallen, sei es zum Beispiel,
weil die Zertifizierung vom Dienstleister nicht aufrechterhalten wird,
dass das Framework gekippt wird, wie auch immer.
Zusätzlich immer auch die Standardvertragsklauseln dann mit abschließen,
sodass man dann direkt darauf zurückfällt, falls das Abkommen aus welchen Gründen
auch immer, wie gesagt, dann wegfallen sollte. Gut, gehen wir weiter.
Der bundesweite Staat der EPA wurde wegen technischer Hürden verschoben.
Eigentlich sollte ja die elektronische Patientenakte, kurz EPA, ab dem 15.
Februar nächsten Jahres bundesweit
allen Versicherten und Leistungserbringern zur Verfügung stehen.
Jetzt hat die Leiterin der Abteilung 5 für Digitalisierung und Innovation im
Bundesgesundheitsministerium, da dem Bundesverband der Gesundheits-IT mitgeteilt,
dass der bisherige Zeitplan trotz aller Anstrengungen und auf allen Seiten nicht zu halten sei.
Ja, unter anderem, weil die bisherigen technischen Voraussetzungen nicht ausreichen
und zunächst Modellregionen wie Franken und Hamburg getestet werden sollen.
Ja, Ärzte, Therapeuten sehen dies wiederum positiv, da sie die IT-Probleme und
bürokratischen Mehraufwand befürchten, ähnlich wie sie das halt bei der Einführung
des E-Rezepts schon feststellen mussten. Wobei, ganz ehrlich,
ich glaube, das wird sich auch nicht ändern, wenn man es später einführt.
Also insbesondere den Mehraufwand, bürokratisch oder nicht, aber wie gesagt,
Ärzte und Therapeuten werden da auch Gas geben müssen.
Ich habe zum Abschluss noch eine kleine Veröffentlichung, auf die wir hinweisen möchten.
In einer gemeinsamen Pressemitteilung der Berliner Beauftragten für Datenschutz
und Informationsfreiheit und der Senatsverwaltung für Bildung,
Jugend und Familie in Berlin wurde der Datenschutz-Wegweiser für Kindertagesstätten vorgestellt.
Der Online-Wegweiser bietet ein FAQ über praktische Hilfestellung bezüglich
datenschutzrechtlicher Fragestellung im Kita-Alltag.
Hat wahrscheinlich eher privaten Nutzen, aber der Link ist wie immer in den Shownotes.
Wunderbar, vielen Dank, Gregor. Ich glaube, damit sind wir durch.
Ganz genau.
In diesem Sinne dir ein schönes Wochenende, aber natürlich unseren Zuhörenden euch auch draußen.
Ein schönes Wochenende. Bleibt uns gewogen und auf bald.
Bis bald.
