Schlussantrag zu Fingerabdruckpflicht – Datenschutz News KW 26/2023

Moderation:

Was ist in der KW 26 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?
Wir geben einen kurzen Überblick der aktuellen Themen:

• Bußgeld für Benetton-Gruppe: Unrechtmäßige Verarbeitung von Kundendaten
• Bußgeld für Medienunternehmen Bonnier News wegen unzulässigem Profiling
• VG Hannover: Keine Ausschreibung von Landesbeauftragten für Datenschutz (VG Hannover, Beschluss vom 22.06.2023 – 13 B 3358/23)
• Sachsen-Anhalt ohne Datenschutzbeauftragten
• Irische Datenschutzaufsicht plant Gesetzänderung zur Transparenz
• Überwachungsvideo trotz Datenschutzbedenken als Beweis zulässig (BAG, Urteil vom 29.06.2023 – 2 AZR 296/22)
• USA: Klage gegen OpenIA und Microsoft wegen Diebstahl
• EuGH Schlussanträge: Personalausweise mit Fingerabdrücken erlaubt (EuGH, Schlussanträge vom 29.06.2023 – C-61/22)

Empfehlungen und Lesetipps:

• BfDI: Arbeitspapier zu Authentifikation im Telekommunikationsbereich
• LfD Niedersachsen veröffentlicht neue Handreichung zum Datenschutz im Verein
• Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom 21. Juni 2023

Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

Twitter: https://twitter.com/DS_Talk

Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/
(als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

Instagram: https://www.instagram.com/datenschutztalk_podcast/

Folge hier kommentieren: https://migosens.de/schlussantrag-zu-fingerabdruckpflicht-datenschutz-news-kw-26-2023

TeamDatenschutz #TeamInfoSec #DSTalk

Transkript zur Folge: Quasi der Datenschutz kostet des Jahres. Ja, ich glaube, so können wir das abhaken. Herzlich willkommen zum Datenschutztalk. Im Podcast für die Themen Datenschutz und Informationssicherheit. Heute ist Freitag der dreißig. Juni und wir begrüßen Sie wieder ganz herzlich zu einer neuen Ausgabe unseres Podcasts Redaktionsschluss war wie üblich um zehn Uhr. Mein Name ist David Schmidt und mir zugeschaltet ist mein Kollege Gregor Wortberg. Grüß dich Gregor. Hallo David. Gregor, welche tollen Themen hast du uns heute mitgebracht? Erzähl doch mal. Ja, es ist ein bisschen die Sommerloch-Folge, Ich verkünde das heute schon mal und vorab, wenn ich da nicht zu viel versprechen darf, aber ich habe drei dann doch ganz spannende Themen mitgebracht. Ähm einmal, um die neue Datenschutzbeauftragte in Niedersachsen beziehungsweise der darf jetzt benannt werden. Ein neues Gesetz gegen die Transparenz in Irland steht vor der Verabschiedung und, Jetzt habe ich mein erstes Thema vergessen, Bußgeld habe ich auch noch mitgebracht aus Italien mal wieder. Ja. Bußgeld. Da würde ich mich anschließen, meins kommt allerdings aus Schweden. Dann schauen wir nicht nur nach Niedersachsen, sondern auch auf die DSB-Situation in Sachsen-Anhalt, Dann habe ich noch einen ähm interessantes Urteil mitgebracht vom Bundesarbeitsgericht und wir schauen kurz auf den Schlussantrag der Generalanwältin vor dem EuGH, geht es um die Fingerabdruckpflicht auf Personalausweis, wo eine Entscheidung ansteht. Da haben wir ein bisschen was zusammengestellt, dann fange ich auch mal direkt an, Bußgelder hat man schon gesagt und zwar gegen die Bennet Group. Kennen wir ja die Modekette, United Colours of Beneton unter anderem. Hat von der italienischen Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 240.000 Euro bekommen. Hintergrund ist im Großen und Ganzen das Thema Marketing. Und zwar wurden Kundendaten durch das, das E-Commerce-Dienstes, des Treueprogramms und des Newsletters gesammelt und, unbegrenzt gespeichert, obwohl eigentlich über eine Löschung von 24 Monaten oder eine Speicherdauer von 24 Monaten informiert wurde und die Informationen wurden dann auch noch unrechtmäßig, Zum Beispiel nach Widerruf äh durch die betroffene Person für Marketingzwecke sowie auch noch zum Profiling verwendet, Darüber hinaus äh waren dann auch die technischen organisatorischen Maßnahmen äh nicht sonderlich angemessen und zwar konnte ich konnte man sich dann quasi in der Filiale anmelden und die Daten von allen Kunden. Quasi einhalb Europa einsehen, nämlich in allen sieben Ländern, die dann mitgemacht haben. Das ganze System war dann für eine Filiale auch nur mit einem einzigen Passwort gesichert und alle Mitarbeiter haben dann denselben Account genutzt. Das ist, glaube ich, ein Thema. Da kann man in der Praxis, Links und rechts gucken und äh im eigenen Unternehmen schauen, ob das ob man da die die Speicherung oder die Speicherfristen auch einhält. Äh das kann im Endeffekt zu einem Bußgeld führen. 240.000 Euro in Italien. Guter Tipp und ob man ähm ob irgendwo Accounts geteilt werden, das ist ja auch eine beliebtes Thema, Dann springe ich schon nach Schweden. Ich habe ein Bußgeld der schwedischen Datenschutzbehörde mitgebracht ähm in Höhe von umgerechnet 1,1 Millionen Euro wurde dieses gegen die. Abi verhängt. Ich hoffe, ich habe das richtig ausgesprochen. Wenn nicht, dann werde ich’s jetzt noch ein paar Mal falsch aussprechen. Ähm Aber darum geht’s ja gar nicht. Was war passiert? Die Bonier AB ist ein internationales Medienunternehmen mit Sitz in Stockholm den Schwerpunkt der Geschäftstätigkeit bilden Buch und Zeitschriftenverlage, Außerdem besitzt der Konzern Beteiligung an verschiedenen Fernsehkanälen. Ermittlungen der Behörde, die als Folge diverser Beschwerden eingeleitet wurden, ergaben, dass die Bonier AB über mehrere Monate hinweg Daten, ihrer Kunden unter anderem zum Surfverhalten und getätigten Käufen auf den Webseiten ihrer zahlreichen Tochtergesellschaften sammelte. Teilweise wurden diese Informationen durch zusätzlich erworbene personenbezogene Daten angereichert, wie dem Geschlecht oder statistischen Angaben zu Kaufkraft oder der Lebensphase basierend auf dem Wohnort der jeweiligen Person. Erstellten Profile wurden zum Zweck des Marketings inklusive kommerzieller Telefonanrufe und personalisierter Werbung im Internet verwendet. Das hier verletzte Recht ist laut DSGVO Portal. Welches wir hier als Quelle herangezogen haben, Artikel sechs, Absatz eins, DSGVO, irgendwas stimmte also mit der äh Rechtsgrundlage nicht. Konkretere Infos standen dort leider nicht. Aber ich würde jetzt einfach mal vermuten, dass hier die erforderlichen Einwilligungen für das Profiling, Gar nicht eingeholt wurden oder zumindest mal unzulänglich eingeholt wurden. Sind so bisschen die Evergreens. Ich will Marketing. Etwas, ne? Etwas, ja. Na ja, weg von den Datenschutz Bußgeldern, hin zu den Datenschutzaufsichtsbehörden in Deutschland, insbesondere, Nach Niedersachsen genauer gesagt, wie vorhin schon angekündigt, ähm dort ist die nach fast acht Jahren aus dem Amt scheiden eine Landesdatenschutzbeauftragte Bauer Thiel, mit dem Versuch gescheitert durch einen beim Verwaltungsgericht Eilantrag die Ernennung ihres Nachfolgers zu verhindern. Zusammengefasst ähm bemängeltil, das ist kein öffentliches Ausschreibungsverfahren ähm für die Position gegeben habe, und äh somit für sie auch keine Möglichkeit, sich für eine weitere Amtszeit zu bewerben, Darüber hinaus ähm zweifelt sie auch noch in dem Eilantrag die Qualifikation des avisierten Nachfolgers aufgrund mangelnder Erfahrung im Datenschutz. An. Ähm die Wahl von äh Dennis Lehmkemper, also dem avisierten Nachfolger fand bereits am 3. Mai statt. Die Ernennung ähm wurde aufgrund des Eisantrags zurück erstmal zunächst erstmal zurückgestellt. Das Verwaltungsgericht ähm hat den, erwähnten Eilantrag nun abgelehnt. Eine Ausschreibung habe es nach den einschlägigen Regelungen der DSGVO nicht bedurft und außerdem verstoße das Auswahlverfahren auch nicht gegen. Sich aus der DSGVO ergebene Transparenz gebot. Zudem wurde der Kandidatenvorschlag der Landesregierung halt auch vorher öffentlich gemacht. Äh öffentlich bekannt gemacht und der Wahlvorgang habe ja auch in einer öffentlichen Sitzung stattgefunden. Dementsprechend kein Verstoß gegen das Transparenzgebot und mit Verweis auf langjährige Tätigkeiten der Landesverwaltung und der Tatsache, dass der Kandidat Volljurist sei wurde ebenso ein Qualitätsmangel verneint. Mal sehen, ob’s da noch eine weitere Runde geht. Da der gegen den Beschluss einer Beschwerde beim Oberverwaltungsgericht in Niedersachsen auch äh zulässig ist. Ich, So ein bisschen über den Qualitätsqualifikationsmangel, der nicht näher beschrieben wurde oder die Qualifikation, die auch nicht näher bestätigt wurde. Gespannt, wenn ich das so sagen kann. Also das ist ja auch wieder sehr interessant. Was ist die Qualifikation und bin ich jetzt qualifiziert, weil ich Volljurist bin? Ist natürlich spannend zu bewerten ähm und ich glaube, dass das letzte Wort auch noch nicht gesprochen. Es scheint ja generell so ein bisschen so eine, Hinterzimmeraktion gewesen zu sein. Also ich glaube, der Einwand von Frau Thiel ist nicht ganz unbegründet, Aber wie gesagt, mal schauen. Ich denke, das geht noch in die nächste Runde. Quasi der Datenschutz kostet des Jahres. Ja, ich glaube, so können wir das abhaken und ähm wir bleiben auch so ein bisschen beim Thema Gossip. Würde ich mal sagen und wir bleiben auch bei der Besetzung der Landesdatenschutzbeauftragten springen allerdings nach Sachsen-Anhalt. Es ist schon ein wenig absurd, dass in Niedersachsen über die Besetzung derartige Diskussion geführt werden und gleichzeitig in Sachsen-Anhalt seit Jahren schon erfolglos versucht wird, die Stelle des DSB zu besetzen, obwohl der Landtag hier eigens das Verfahren, zugeändert hatte, ist die Wahl eines neuen Landesdatenschutzbeauftragten am Donnerstag, erneut gescheitert. Das berichtete Heise, Demnach kann sich die Regierungskoalition aus CDU, SPD und FDP weiterhin nicht auf einen Kandidaten verständigen beziehungsweise erreichte der jetzt vorgeschlagene Kandidat nicht die erforderlichen Stimmen. Die Position ist in Sachsen-Anhalt seit Ende 2020 nur komissarisch besetzt, erneute Scheitern der Wahl ist jetzt natürlich ähm ja nicht nur aus Sicht des Datenschutzes zu bedauern, sondern könnte jetzt auch zu einer, Grundsätzlichen Krise in der Zusammenarbeit der Landesregierung. Aber da sind wir wieder beim Thema Gossip, was wir gerne auch schnell wieder zumachen können. Oder hast du noch mehr Gossip Gregor, weil ich bei deiner bei deiner nächsten Meldung geht es ja auch so ein bisschen um nicht ganz so zufriedenstellende Zusammenarbeit. Ja so kann man das sagen. Äh Gossip ist es nämlich eigentlich dann aber auch leider nicht mehr ähm was äh da aus Irland jetzt äh, Geworden ist, nennen wir’s mal so. Die äh DPC, also die irische Aufsichtsbehörde, ähm ist da ja in der Vergangenheit schon eher mit ihrer, zögerlichen Art gegenüber den Big Tech-Unternehmen aufgefallen, äh ist ja zuständig für die großen Google Meta Microsoft, et cetera und ähm künftig, wird es wohl für uns eher schwieriger über Neuigkeiten zu Ermittlungsverfahren der irischen Datenschutzaufsichtsbehörde zu berichten. Also eher weniger Gossip für uns, dass die schlechte Nachricht, weil. Die irische Regierung jetzt der Rückendeckung gibt, wenn man so will und zwar, Ist eine kurzfristige äh Gesetzesänderung gegeben, ganzen, Normales Verwaltungsgesetz, was da wohl äh verabschiedet werden sollte und da wurde jetzt ähm ein Gesetz Änderungsantrag kurzfristig nochmal eingereicht und der wird offenbar die Transparenz von den Datenschutzverfahren in Zukunft behindern. Wie neu und heiße jetzt berichteten wurde dann ein Abschnitt einfach hinzugefügt und dieser schränkt dann die Informationsweitergabe bezüglich betreffend laufender Verfahren ein Verfahren, könnten damit nämlich seitens der DBC als vertraulich eingestuft werden und das hätte dann zur Folge, dass Informationen nicht mehr weitergegeben werden dürften, und Verstöße gegen diese Regelung äh sind mit einer Geldstrafe von 5000 Euro zu ahnden, So, letzten Endes werden wir hier wieder drüber berichten, dann hat irgendwo jemand in Europa 5000 Euro bezahlt. Wahrscheinlich. Oder spätestens für uns ganz teuer. Oder spätestens für uns kommt zur Arbeit ähm ist natürlich da weiß man auch nicht so ganz wo man anfangen soll, ne? Also ist schon ein ein hartes Stück. Ist schon schon dicks. Das das ist. Äh drüber wundern, aber ob das Ganze dann tatsächlich so in die Tat umgesetzt werden kann, ähm das bleibt ja abzuwarten, weil da Ähm außer den Iren natürlich auch die anderen Mitgliedsstaaten ein Wörtchen mitzusprechen. Das ist natürlich erstmal muss das Parlament zustimmen, ne, da gibt’s jetzt auch schon Aufrufe von verschiedenen Organisationen, dass äh die doch bitte das ablehnen sollen. Dann ist natürlich immer noch die Frage, ob’s überhaupt europarechtskonform ist. Aber alleine über den Vorschlag ähm kann man sich tatsächlich nur wundern. Aber es soll nichts geben, was es nichts gibt, so. So sieht’s nämlich aus, lieber Gregor und ähm ein bisschen gewundert, vielleicht nicht ganz so sehr, aber trotzdem gewundert habe ich mich auch über die Entscheidung des Bundesarbeitsgericht zur Verwertbarkeit einer nicht, Datenschutzkonform Videoaufnahme. Was war passiert? Eine Mitarbeiter einer Gießerei wurde vorgeworfen, er habe Arbeitszeitbetrug begangen. Nachdem ein entsprechender anonymer Hinweis eingegangen war, Aufnahmen von einer Videokamera ausgewertet, die am Tor zum Werksgelände montiert war. Auf den Aufnahmen war zu sehen, wie der Beschuldigte das Werksgelände vor Beginn seiner Schicht wieder verlassen hat, Daraufhin erfolgte die Kündigung des Arbeitsverhältnisses. Diese Kündigung wehrte sich der Beschuldigte dann und führte an, die Videos dürften nicht als Beweis verwertet werden, weil diese nicht datenschutzkonform aufgezeichnet wurden. Die Bedenken richteten sich insbesondere gegen die Speicherdauer der Videos also weniger gegen die Zulässigkeit als solche, auch die Informationen waren wohl alle so, wie sie sein sollten, aber die Videos wurden relativ lange gespeichert und in seiner Entscheidung hat es hat sich das Gericht es nach meiner persönlichen Einschätzung jetzt ziemlich einfach gemacht und entschieden, dass in einem Kündigungsschutzprozess grundsätzlich kein Verwertungsverbot im Bezug auf solche Aufzeichnungen besteht. Soweit diese vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen sollen, gelte auch dann, wenn die Überwachungsmaßnahmen des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts stehe. Ohne jetzt die Details zu kennen, weil der Volltext hier noch nicht veröffentlicht ist, ähm erscheint mir die Einordnung irgendwie fragwürdig, Weil daraus ergibt sich ja schon das Gefahrenpotenzial, das Datenschutz und Beweislage von Unternehmen abgewogen werden und gerade das ist nach meinem Verständnis ja die Aufgabe der Rechtssprechung das Ganze dann zu bewerten. Zudem gibt es ja auch im BDSG ein Erlaubnistatbestand und sicher dann auch im, Beschäftigungsdatenschutzgesetz, wenn es irgendwann mal da ist, Herangezogen werden kann für die Verarbeitung, personenbezogener Daten zur Aufdeckung von Straftaten und das muss meines Erachtens dann auch dogmatisch schon ordentlich durchgeprüft werden, Was auch mein Tipp für die Praxis wäre, also bitte das jetzt nicht als Freifahrtsschein verstehen. Alle Prinzipien über Bord werfen, bitte nicht. Bitte, bitte tun Sie das nicht. So, da wird Jay ich mit meinen äh Nachrichten schon durch bin und nur noch einen Lesetipp mitgebracht habe, leite ich doch einfach mal zu deinem nächsten Thema über. Ich glaube, du hast da noch einen Schlussantrag für uns mitgebracht. Ja tatsächlich, ähm ein Schlussantrag ähm der Generalanwältin vor dem EuGH und es geht darum, ob die ähm Fingerabdrücke auf Personal ausweisen, erfasst werden dürfen. Ob dies erlaubt ist, die seitdem, Jahr 2021 bestehende EU weit bestehende Verpflichtung hierzu in jedem neuen Personalausweis, Fingerabdrücke aufzunehmen ist laut Generalanwältin, Leyla, Medina, nämlich rechtens. Dies wird insbesondere mit der zusätzlichen Vereinheitlichung und der Fälschungssicherheit verargumentiert, Gleichzeitig seien die Daten auch gut genug geschützt und damit sei garantiert, dass die in einem neu ausgestellten Ausweis gespeicherten biometrischen Daten ausschließlich dem Ausweisinhaber zur Verfügung stehen. Urteil des EuGH hierzu ähm steht noch aus, Wobei dieser ja erfahrungsgemäß in den allermeisten Fällen zumindest den Anträgen der Generalanwälte folgt Zweifel an der Verordnung hatte jedenfalls das ähm Verwaltungsgericht Wiesbaden an den Europäischen Gerichtshof herangetragen. In der hessischen Landeshauptstadt hatte nämlich ein deutscher Staatsbürger gegen die Aufnahme seiner Fingerabdrücke auf dem Ausweis geklagt, Verwaltungsgericht zweifelte daraufhin an der Europarechtskonformität der Verordnung und, dementsprechend den EuGH um Prüfung. Wir warten also gespannt auf das Urteil und schauen uns dies dann im Detail an, sobald es uns vorliegt, Dann kommen wir aber zu den Lesetipps Gregor, was hast du mitgebracht? Zunächst habe ich ein Arbeitspapier mitgebracht, das äh der BFTI veröffentlicht hat, im Kontext des, Telekommunikationsbereichs und zwar geht’s da konkret in diesem Arbeitspapier um die Authentifikation im Telekommunikationsbereich. Auf Basis von Praxiserfahrung hat der BFT dieses äh Arbeitspapier veröffentlicht und für dieses führt dann Parameter auf, Welche für eine sichere Authentifikation, also für angemessene technische, organisatorische Maßnahmen dann letzten Endes wichtig sind. Insbesondere soll äh damit sichergestellt werden, dass äh künftig, missbräuchliche Aktivitäten wie also die betrügische Übernahme von fremden SIM-Karten äh unterbunden wird beziehungsweise gegen diese vorgegangen werden kann und da sicherlich für den ein oder anderen interessante, Drin. Über die äh Datenschutzaufsicht in Niedersachsen haben wir heute schon kurz gesprochen, Dieser hat jetzt eine neue Handreichung zum Datenschutz im Verein veröffentlich, Ja Vereinsarbeit jetzt grade im Sommer natürlich wieder ein Thema und da gibt es ja auch die ein oder andere Frage, ähm die sich aus der Datenschutzgrundverordnung ergibt, die Handreichung ist jetzt mit einigen Beispielen angereichert, die man sich anschauen kann und sie richtet sich vor allem an Vereinsvorstände, die verantwortlich für die Einhaltung der Datenschutzbestimmungen sind. Zu guter Letzt möchten wir noch auf eine Stellungnahme der Konferenz der unabhängigen Datenschutzbehörden Deutschlands hinweisen. Die DSK hat sich in einer äh hat sich geäußert Zum politischen Targeting mit dem Titel Datenschutz sichert freie politische Willensbildung. Eine Positionierung zur Absicherung der Einwilligung durch gesetzliche Verkehrung im Zusammenhang mit dem Verordnungsvorschlag über die Transparenz und das Targeting politischer Werbung. Zusammengefasst. Super. Ich glaube, dann sind wir durch für heute oder hättest du noch was. Nein, nichts weiter mitgebracht. Gregor, dann ähm verabschiede ich dich und unsere Zuhörerinnen und Zuhörer ins Wochenende, bedanke mich wie immer für die Unterstützung bei dir und natürlich auch fürs Zuhören, Hoffe, dass uns alle treu bleiben und dass wir uns beim nächsten Mal wiederhören. Dir auch ein schönes Wochenende und bis bald.