EuGH: Kein Bußgeld-Zwang für Aufsichtsbehörden – Datenschutz News KW 39-2024

Moderation:

Was ist in der KW 39 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Entschließung der DSK zur Gesichtserkennung
• Gesichtserkennung in Sachsen ist ein tiefer Eingriff in die Grundrechte
• EuGH: Datenschutzbehörde muss nicht aktiv werden (EuGH, Urteil vom 26.09.2024)
• BVerfG: Hessisches Verfassungsschutzgesetz teilweise verfassungswidrig
• 150.000€ Bußgeld wegen unzureichender Information und verspäteter Datenschutzfolgenabschätzung
• Privacy-Beschwerde von Noyb gegen Tracking Funktion ins Mozialls Firefox

Empfehlungen & Veranstaltungen:

• Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 25.09.2024

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/eugh-kein-bußgeld-zwang-fur-aufsichtsbehorden-datenschutz-news-kw-39-2024/

#TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Ja, kann losgehen. Kann losgehen, okay. Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Wir starten heute wieder. Stimmt, das Fenster ist noch offen. Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update. Wir starten heute wieder gemeinsam ins Wochenende. Mein Name ist Natalia Wozniak und bei mir ist meine Kollegin Laura Druschinski. Hallo Laura. Hallo Natalia. Hi. So, gemeinsam schauen wir beide wieder auf die Woche des Datenschutzes zurück. Hier bei der MIGO Sense behalten wir ja die Neuigkeiten der Woche immer im Blick und fassen das Wichtigste für die Datenschutzpraxis hier zusammen. Heute ist Freitag, der 20. September 2024. Unser Redaktionsschluss war, wie gewohnt, heute um 10 Uhr. Ja, Laura, wir haben wieder einen bunten Straß von Themen mitgebracht. So ist es. Was hast du mitgebracht? Ja, ich habe zum einen mitgebracht einmal die neue Entschließung von der Datenschutzkonferenz zum Thema Gesichtserkennung für Sicherheitsbehörden. Weiter geht es dann bei mir mit einem ganz druckfrischen EuGH-Urteil von gestern Zum Thema Tätigkeit von Aufsichtsbehörden ist ja auch unser Top-Thema heute. Und weiter geht es mit einem ganz interessanten Bußgeldbescheid aus Griechenland. Und zu guter Letzt hätte ich noch für Mitte Oktober einen Veranstaltungshinweis. Das klingt alles sehr spannend. Ich habe mitgebracht einmal die sächsische DSB ebenfalls zum Thema Gesichtserkennung. Ich habe das Bundesverfassungsgericht zum hessischen Verfassungsschutzgesetz. Und ich habe neue Tracking-Funktionen in Firefox. Also ein sehr bunter Strauß. Ich würde sagen, wir legen los. Ja, ich lasse keine Zeit verstreichen. Und zwar hatte die Datenschutzkonferenz in der letzten Woche eine Entschließung zum Thema Einsatz von Gesichtserkennungssystemen für Sicherheitsbehörden veröffentlicht. Diese ist leider am Freitagnachmittag öffentlich geworden, deshalb hatten wir sie nicht mehr in den News von der letzten Woche. Und hierin kritisiert die DSK, dass bestehende strafprozessuale Regelungen keine ausreichend rechtliche Grundlage für solche Systeme bieten und die Freiheitsrechte der Bürgerinnen und Bürger gefährdet sind. Sie kritisieren eben, dass ja auch immer wieder in der politischen Diskussion ist, Gesichtserkennungstechnologien in weiteren Kontexten zu erlauben, was eben jedoch nur unter strengen Bedingungen im Einklang mit nationalen und europäischen Grundrechten geschehen dürften. Als besonders problematisch sieht sie den intensiven Eingriff in die Grundrechte, der mit der Erfassung großer Menschenmengen einhergeht, die eben keinen Anlass zur Überwachung gegeben haben. Auch das Risiko von Fehlererkennung und die heimliche Nutzung solcher Technologien verstärken laut Ansicht der DSK die Problematik. Solche Fehler können eben zu gravierenden Folgen für ungerechtfertigte Freiheitsentziehung führen und auch eben, ja, das hat zur Folge, dass die Nutzung von Gesichtserkennungstechnologien immer sorgfältig geprüft und geregelt sein sollte. Ich glaube, das ist für uns wenig überraschend, oder, dass die DSK sich hier auf diese Seite schlägt? Das ist tatsächlich nicht überraschend und entspricht eigentlich auch dem, was auch aktuell die sächsische Datenschutz- und Transparenzbeauftragte Frau Dr. Juliane Hundert aktuell veröffentlicht hat bzw. Kundgetan hat. Das heißt nicht nur die DSK hat sich des Themas angenommen. Aktuell in Sachsen, anlässlich dessen Gesetzgebungsverfahren bewegendlichen Asyl- und Sicherheitspaketes, weist Dr. Juliane Hundert auf die aktuelle Situation in Sachsen hin. Dort werden nämlich für strafprozessuale Ermittlungsverfahren stationäre und mobile Kameras eingesetzt. Mit dieser Technik lassen sich Bildaufzeichnungen hoher Qualität anfertigen. Und soweit ihr aktuell bekannt ist, findet ein automatisierter biometrischer Abgleich von aufgezeichneten Gesichtsbildern mit zuvor hinterlegten Referenzbildern statt. Bisher zwar nur in ausgewählten Fällen und ausschließlich auf richterliche Anordnung, aber dennoch. Denn die Maßnahme erreicht eine Eingriffstiefe, die nach Dr. 100 nicht ansatzweise von den aktuell geltenden Ermittlungsbefugnissen in der Strafprozessordnung gedeckt ist, jedenfalls dann, wenn Unbeteiligte beim Passieren der Videokameras erfasst werden und von ihren Gesichtern biometrische Muster erstellt werden. Dies bezüglich appelliert Dr. Hundert an die Sicherheitsbehörden im Freistaat, die Verhältnismäßigkeit und Rechtsstaatlichkeit bei der Anwendung von Gesichtserkennungssystemen beizubehalten. Konkret wendet sie sich an die Polizei und Staatsanwaltschaften in Sachsen, solche Maßnahmen nicht zu beantragen, sowie an die Gerichte, solche Maßnahmen nicht anzuordnen. Die sächsische Datenschutz- und Transparenzbeauftragte verfügt über keine Interventionsmöglichkeiten bei polizeilichen Maßnahmen, die richterlich angeordnet wurden. Gerichte unterliegen ebenfalls nicht ihrer Aufsicht. Insofern sind auch keine datenschutzaufsichtsbehördlichen Anordnungen gegen polizeiliche Datenverarbeitung möglich, die die Polizei aufgrund richtlicher Beschlüsse durchführt. Insofern können wir tatsächlich hoffen, dass ja das Appellieren von Dr. 100 hier irgendwo auch mit berücksichtigt wird bei den Polizeibehörden, Staatsanwaltschaften und auch bei den Gerichten und vielleicht auch irgendwann eine Rechtsänderung auch eintritt. Genau, also das ist ja das, was auch die DSK eben sagt, dass hier die nationalen Regelungen einfach noch eindeutiger sind und auch die entsprechenden Stellen auch bei ihrer Bewertung eben verschiedenste Dinge betrachten müssen, sei es die Intensität, aber auch die Art der ausgewerteten Daten, die eingesetzte Technik. Ich glaube, da spielt ja sehr viel mit rein. Ja, wie gerade in der Zusammenfassung schon angekündigt, habe ich ein ganz neues Urteil vom Europäischen Gerichtshof mitgebracht. Er kam gestern zum Ergebnis, dass Aufsichtsbehörden nicht verpflichtet sind, Datenschutzverstöße immer zu ahnden, beispielsweise mit einem Bußgeld. Vorangegangen war ein Datenschutzverstoß bei einer hessischen Sparkasse. Hier hatte eine Angestellte unberechtigt auf persönliche Daten eines Kunden zugegriffen. Der Vorfall ist bekannt geworden und die Sparkasse hatte verschiedenste mitigierende Maßnahmen ergriffen, sodass der deutsche Datenschutzbeauftragte zum Ergebnis kam, dass eine Meldung an die betroffene Person nicht erfolgt, da eben ein hohes Risiko für deren Rechte und Freiheiten nicht identifiziert werden konnten. Was jedoch erfolgt ist, ist in dem Zusammenhang eine Meldung an den Landesdatenschutzbeauftragten. Wie der Zufall so will, das ist ja manchmal so, hat der betroffene Kunde jedoch dennoch Kenntnis von dem Vorfall erlangt, sodass er eben den Vorfall selbst bei der Behörde nochmal meldete und Beschwerde einreichte. Nachdem die Datenschutzbehörde die Sparkasse konsultiert hatte, kam diese zu dem Ergebnis und hat dem Kunden gegenüber bestätigt, dass sie keine Abhilfemaßnahmen gegen die Sparkasse erfordert. Erforderlich findet oder dass es dort weitere Abhilfemaßnahmen geben muss und dass auch eben sie nicht vorhat, hier ein entsprechendes Bußgeld zu verlangen. Mit dem Ziel, den Landesdatenschutzbeauftragten zum Einschreiten gegen die Sparkasse zu zwingen oder zu verpflichten, insbesondere eine Geldbuße zu verhängen, klagte der Kunde beim Verwaltungsgericht Wiesbaden und dieser wiederum hat nun den EuGH angerufen im letzten Jahr. Der Europäische Gerichtshof ist in seinem Urteil zu dem Ergebnis gekommen oder hat festgestellt, dass Datenschutzbehörden eben Datenschutzverstöße nicht immer zwingend sanktionieren müssen. Ein Einschreiten sei für ihn nur erforderlich, wenn es nötig ist, um den Verstoß zu beheben und die vollständige Einhaltung der Datenschutzgrundverordnung sicherzustellen. Laut dem EuGH räumt die DSGVO den Aufsichtsbehörden einen Ermessensspielraum bei der Wahl der Maßnahmen ein. Also falls die Verantwortliche nach bekannt werdendes Verstoß selbstständig geeignete Maßnahmen ergreift, um diese zu beheben und künftig Wiederholung zu verhindern, kann eben auf Sanktionen verzichtet werden. Das Ermessen der Behörden ist jedoch zwar dann wiederum auch durch die DSGVO begrenzt, eben um ein gleichbleibend hohes Schutzniveau für personenbezogene Daten zu gewährleisten. Ob der Landesdatenschutzbeauftragte diese Grenzen nun eingehalten hat, wird jetzt weiter natürlich final vom Verwaltungsgericht in Wiesbaden geprüft. Also da haben wir auch weiterhin ein Auge drauf, wie das am Ende final entscheidet. Ich glaube, wir werden das Thema weiter im Auge behalten, weil tatsächlich die Frage, ob die Aufsichtsbehörden, wie sie tätig werden müssen, kann eigentlich nur im Einzelfall von der Aufsichtsbehörde angesichts des konkreten Falls betrachtet werden. Und jetzt ein Zwang zum Einschreiten oder zur Verhängung von Bußgeldern, das wäre ja nicht so schön. Ist jetzt mal ein ganz anderer Twist, weil sonst haben wir ja immer das Thema Schadensersatz auf dem Tisch. Also inwieweit kann da Schadensersatz von Betroffenen gefordert werden? Aber es ist ja jetzt mal was ganz anderes, dass eben Betroffene darauf plädieren, dass eben ein Bußgeld verhängt wird. Spannend, spannend. Ich komme zu meinem nächsten Thema. Das Bundesverfassungsgericht hat sich zum Hessischen Verfassungsschutzgesetz geäußert. Das Hessische Verfassungsschutzgesetz beschäftigt sich mit nachrichtendienstlichen Maßnahmen. Im Urteil vom 17. Juli 2024, allerdings veröffentlicht erst letzte Woche am 23. September, hat das Bundesverfassungsgericht bestimmte Abschnitte des Hessischen Verfassungsschutzgesetzes, kurz HVSG, als verfassungswidrig befunden. Das Gericht hat damit der Beschwerde teilweise stattgegeben. Die Beschwerdeführer wendeten sich mit ihrer Verfassungsbeschwerde gegen einzelne Vorschriften des HSVG, zunächst in der Fassung von 2018 und nach Änderung des HSVG im Jahr 2023 gegen die aktualisierte Version. Die Beschwerde erhielt sogar Unterstützung von Bürgerrechtsorganisationen. Eine engmaschige Überwachung von Mobilfunkgeräten, die Einholung von Reiseinformationen von Betroffenen, der Einsatz verdeckter Mitarbeitender zur Aufklärung und Weitergabe nachrichtendienstlich erhobener Daten an Strafverfolgungsbehörden sind alles Befugnisse, die das HVSG vorsieht. Das Bundesverfassungsgericht hat einzelne Paragraphen des Hessischen Verfassungsschutzgesetzes zu Datenerhebungs- und Übermittlungsbefugnissen wegen Verstoßes gegen das allgemeine Selbstbestimmungsrecht nach Artikel 2 Absatz 1 in Verbindung mit Artikel 1 Absatz 1 des Grundgesetzes vernichtig oder mit diesem für unvereinbar erklärt. Bis zu einer Neuregelung längstens bis zum 31. Dezember 2025 gelten die für mit dem Grundgesetz unvereinbar erklärten Vorschriften nur unter den durch das Verfassungsgericht in dem Urteil aufgestellten restriktiven Maßnahmen fort. Das heißt zum Beispiel sei demnach nur eine punktuelle, nicht längerfristige Nachverfolgung der Bewegungen des Mobilfunkgerätes möglich. Besondere Auskunftsersuchen sollen auch nur bei tatsächlichen Anhaltspunkten, dass Schutzgüter des Verfassungsschutzes konkret bedroht sind, zulässig sein. Eine Neuregelung ist damit erneut für spätestens 2025 erforderlich. Wir werden schauen, wie das dann geregelt sein wird. Ob es dann eben Anpassungen geben wird? Ob es Anpassungen geben wird, wie die Anpassungen ausfallen, ob es dann vielleicht eine neue Klage geben wird, je nachdem wie die ausfallen. Das Datenschutzrecht bleibt spannend. Absolut. Ich habe als nächstes ein ganz interessantes Bußgeld mitgebracht. So viele Detailinformationen habe ich dazu leider nicht, weil mein Griechisch ist zu schlecht. Aber nichtsdestotrotz fand ich es ganz spannend, denn auf einer bekannten Seite, wo es die Übersicht über Bußgelder gibt im internationalen Bereich, Daraus ist bekannt geworden, dass die griechische Aufsichtsbehörde für ihr Ministerium für Bürgerschutz ein Bußgeld ausgesprochen hat in Höhe von 150.000 Euro. Und zwar, weil unter anderem eine Datenschutzfolgenabschätzung zu spät erfolgte. Ich finde es persönlich ganz spannend. Wie gesagt, 150.000 Euro sind hier fällig, wohl laut dieser Nachricht. Konkret ging es hier um den Prozess zur Einführung neuer Personalausweise für griechische Staatsangehörige. Und diesen Prozess hatte sich eben die Aufsicht genauer angesehen. Finde ich persönlich ganz spannend. Gemäß Artikel 35 ist ja eher die DSFA vorab erforderlich. Aber ich glaube, den genauen Zeitpunkt bis auf dieses Vorab ist meines Wissens jetzt nicht bekannt, oder? Halt vor der Verarbeitung oder Natalia, wie siehst du das? Verarbeitung, also vorab heißt ja, bevor die Verarbeitung personenbezogene Daten beginnt. Ich finde, das ist ein sehr schöner Fall, der zeigt, dass die erforderliche Dokumentation auch tatsächlich vorliegen muss und nicht erst nachgezogen werden sollte, wenn sich die Aufsichtsbehörde bei einem Unternehmen meldet. Wir sehen ja auch hier vorab, vorab heißt einfach vorher und nicht irgendwann später oder danach. Ja, das ist ja eben dafür da, entsprechende Risiken aufzudecken und danach kann es halt zu spät sein. Danach kann es zu spät sein. Genau. So, ich komme zum nächsten Thema, zum Tracking bei Mozilla Firefox. None of Your Business, NEUB, eine zivilgesellschaftliche Organisation von Max Schrems, ich glaube, die kennt inzwischen jeder unserer Zuhörer. Hat sich bei der Datenschutzbehörde Österreichs gegen oder wegen Mozilla beschwert. Eine neue Funktion im Mozilla Firefox Browser, das Privacy Preserving Attribution, kurz PPA, die angeblich datenschutzfreundlich ist, ist der Grund für die Beschwerde. Das Tracking wird nun mit dieser Funktion hauptsächlich vom Browser übernommen und nicht mehr von einzelnen Webseitenbetreibern. Damit soll eigentlich ein datenschutzfreundlicheres Ausspielen von Werbung ermöglicht werden. Herzstück des PPA ist ein Aggregationsserver, der zwischen Werbeanbietern und den Daten der Anwender steht. Er soll die Informationen der individuellen Webbrowser anonymisieren und erst dann stellt die Zwischeninstanz die aggregierten Daten den teilnehmenden Werbekunden zur Verfügung. Soviel zur Theorie. Neub behauptet nun, dass eine Verbesserung gegenüber dem noch invasiveren Cookie-Tracking wäre, die es jedoch nicht, insbesondere der Firefox-Mitte-Technologie, das Verhalten von Nutzern verfolgen kann. Aber auch, da die Nutzer nie gebeten werden oder wurden, diese Funktion zu aktivieren. Mozilla habe diese Funktion bei der Installation des Software-Updates auf Version 128 standardmäßig aktiviert. Daher werde die Datenschutz-Grundverordnung verletzt, so Neub. Neub fordert daher die österreichische Datenschutzbehörde auf, das Vorgehen von Mozilla zu untersuchen. Mozilla solle den Betroffenen und alle anderen Nutzer ordnungsgemäß über sämtliche Datenverarbeitungsmöglichkeiten informieren und die Funktion standardmäßig ausschalten. Darüber hinaus soll das Unternehmen alle unrechtmäßig verarbeiteten Daten löschen. Soweit die Forderung von Neub, wie es ausgeht und wie sich die österreichische Aufsichtsbehörde dazu aufstellt, das werden wir dazu noch sehen. Genau. So ist es. Ja, ich habe zu guter Letzt eine Veranstaltungsempfehlung mitgebracht. Eine kostenlose Veranstaltung und zwar mal so ein ganz neues Format. Und zwar ist es eine Kino- und Diskussionsveranstaltung. Also Film gucken und reden in einem. Und zwar am Donnerstag, den 17. Oktober ab 18 Uhr gibt es hier eine Veranstaltung in Mainz, denn der Rheinland-Pfälzische Landesdatenschutzbeauftragte lädt hier zu aktuellen Palantir-Dokumentationen Watching You ein. Und vor dem Film diskutiert er mit dem Präsidenten des Landeskriminalamts Mario Germano und dem Autor Adrian Lobe über das Spannungsverhältnis von Freiheit und Sicherheit. Also sie stellen sich den Fragen, wie viel Einschränkung individueller Freiheiten zugunsten staatlich garantierter Sicherheit können, wollen und dürfen wir uns leisten. Aber auch geht es um die polizeilichen Befugnisse, Verfassungsschutz und Geheimdienste. Insbesondere beim Thema beispielsweise Mitlesen privater Kommunikation und Chatdiensten. Dem Thema wollen sie sich annehmen. Die Veranstaltung ist kostenfrei, deshalb hier die liebe Empfehlung dafür. Man muss sich wohl auf der Kinoseite zwar schon anmelden, aber sonst grundsätzlich finde ich das ganz toll. Ich persönlich hatte schon die Möglichkeit, die Dokumentation zu Palantir zu sehen. Also kann ich nur jedem Datenschützer, der noch die Möglichkeit hat, ans Herz legen, sich diese mal anzuschauen. Also schon faszinierend, wie so eine der größten digitalen Überwachungsfirmen so agiert. Aber deshalb hier auch, wie gesagt, der liebgemeinte Veranstaltungshinweis. Das klingt super spannend. Also ich werde versuchen, irgendwie nach Mainz zu kommen, um mir das anzuschauen. Also ich finde gerade diesen Abgleich, was hatten wir 1984, George Orwell und was ist wirklich 40 Jahre später daraus geworden? Was ist wirklich so eingetroffen, wie vor 40 Jahren gedacht oder befürchtet oder schon mal vorausgeahnt und wo stehen wir jetzt? Was kommt in 40 Jahren später? So ist es. Ja, sonst darüber hinaus keine extra Veröffentlichung, aber wir packen natürlich das eine oder andere Dokument aus unseren News heute hier mit rein, sei es die DSK-Entschließung, aber natürlich auch das Bußgeld aus Griechenland und natürlich auch die Verlinkung zu dem Firefox-Thema und Neub. Ich glaube dennoch wird es nicht langweilig, auch wenn nicht noch was obendrauf kommt. Nee, langweilig wird es nicht. Ja, und damit sind wir aber auch am Ende von unserer Folge. Wir hoffen, es hat Ihnen gefallen. Wir hoffen, Sie haben die Gelegenheit, sich am Wochenende mit den Themen vielleicht tiefer zu beschäftigen. Dem einen oder dem anderen, dem es Spaß macht. Und wir wünschen euch allen, unseren Zuhörern, ein schönes Wochenende, wenn ihr das heute am Freitag noch hört. Oder einen guten Start in die Woche, wenn ihr es nächste Woche reinhört. Und wir sagen, bis zum nächsten Mal. Bis zum nächsten Mal.