Wetter-Webcam verstößt gegen Datenschutz – DS News KW 10/2025

Transkript zur Folge:

Ich könnte jetzt also loslegen, ne?
Ja, wir laufen. Du kannst loslegen.
Warte, ich laufe eben zum Fenster.
Ah, gute Idee.
Herzlich willkommen bei unserem Datenschutz-Talk, eurem wöchentlichen Datenschutz-Podcast.
Mein Name ist Natalia Wozniak und bei mir ist mein lieber Kollege David Schmidt.
Hallo Natalia.
Hi David. Ja, wir sind heute hier. Heute ist Freitag, der 7.03.2025,
das erste Wochenende nach dem Karneval.
Und unser Redaktionsschluss war heute um 9.30 Uhr.
Wir haben mal wieder ein paar Themen für euch mitgebracht. Einen bunten Strauß.
David, was hast du dabei?
Ja, ich habe mitgebracht ein Urteil des Bundesgerichtshofs.
Da ging es um Werbee-E-Mails und um Schadenersatz nach der Datenschutz-Grundverordnung.
Dann gab es in Österreich Streit um eine Wetter-Webcam, dazu möchte ich berichten.
Und zuletzt habe ich noch eine skurrile Sicherheitslücke mitgebracht,
die beim Bundesamt für Migration und Flüchtlinge bestand.
Klingt alles spannend.
Wie sieht es bei dir aus?
Ich habe auch drei Themen, auch bunt gemischt. Ich habe einmal den ETSA.
Der ETSA leitet konkrete Durchsetzungsmaßnahmen für das Jahr 2025 ein.
Dann habe ich eine massive Sicherheitslücke bzw.
Viele massive Sicherheitslücken bei Access Management Systemen.
Und ich habe eine Info über den Kurswechsel bei der EU-Kommission.
Und dann haben wir, glaube ich, noch unsere Veröffentlichungs- und Lesehinweise.
Die dürfen natürlich nicht fehlen.
Die dürfen nicht fehlen. Alles klar, dann lass uns loslegen.
Dann lege ich mal los mit dem Bundesgerichtshof. Dieser hat eine Revisionsentscheidung
veröffentlicht, in der es um eine Zahlung eines immateriellen Schadenersatzes
nach Artikel 82 Absatz 1 ging.
In dem zugrunde liegenden Fall hatte der Kläger bei dem Unternehmen einen Aufkleber
bestellt und der Verarbeitung seiner Daten für Werbezwecke widersprochen.
Dennoch hat er dann infolge seiner Bestellung Werbe-E-Mails erhalten und begehrte
deshalb Schadenersatz aus Artikel 82 DSGVO in Höhe von 500 Euro.
Das Gericht schloss sich erst einmal dem Urteil der Voreinstanz an bezüglich
des Verstoßes gegen die DSGVO im Sinne des Artikel 82,
weil es für die Verarbeitung im Rahmen der Werbemails keine Rechtsgrundlage sah.
Zudem sah es den Verstoß auch auf die Verarbeitung gerichtet,
wie vom EuGH als zusätzlich ungeschriebene Voraussetzungen definiert.
Der Anspruch scheiterte laut Einschätzung des Gerichts jedoch letztlich am eingetretenen
Schaden, den der Kläger nicht darlegen konnte.
Zwar betonte der BGH, dass es beim Schaden keine Bagatellgrenze gibt.
Die Voreinstanz hatte den Anspruch nämlich deswegen scheitern lassen.
Allerdings ist die bloße Befürchtung eines Kontrollverlusts kein Schaden.
Anders wäre es laut dem Gericht, wenn zum Beispiel die E-Mail-Adresse dritten
zugänglich gemacht worden wäre.
Ich glaube, das ist sehr auf Linie mit der Rechtsprechung des EuGH und als Fazit
kann man daraus mitnehmen,
dass unerlaubte Werbung ein Verstoß gegen den Grundsatz der Rechtmäßigkeit der
Verarbeitung sein kann, Dass
daraus aber nicht automatisch ein Schadenersatzanspruch begründet wird.
Der Schaden muss im Einzelfall konkret durch den Geschädigten nachgewiesen werden.
Das heißt aber natürlich nicht, dass man da freie Fahrt hat und das Thema auf
die leichte Schulter nehmen sollte,
denn eine behördliche Sanktionierung für Werbung ohne Rechtsgrundlage ist natürlich
trotzdem möglich und auch im Rahmen des Wettbewerbsrechts gibt es ja Rechtsmittel,
die dort eingelegt werden können.
Ich finde es schön, dass wir hier nochmal vom BGH nochmal die Rechtsprechung,
die wir ja in der letzten Zeit ja immer wieder zu dem Thema Schadensersatzanspruch
haben, nochmal bekräftigt wurde.
Ich glaube, wir können das langsam als ständige und beständige Rechtsprechung
annehmen und damit auch eigentlich ganz gut arbeiten.
Und ich muss sagen, in dem Fall, wenn der Schaden nicht richtig dargelegt werden
konnte durch den Kläger, dann ist es natürlich auch nachvollziehbar,
dass der BGH hier auch so geurteilt hat.
Absolut.
So, dann komme ich zu meinem nächsten Thema oder meinem ersten Thema für heute.
Und zwar hat der ETSA, also der Europäische Datenschutzausschuss,
vorgestern, also noch druckfrisch, am 5.
März, seine europaweit koordinierten Durchsetzungsmaßnahmen im Rahmen des Coordinated
Enforcement Framework, kurz CEF, für 2025 eingeleitet.
Das CEF dient der besseren Durchsetzung des Datenschutzes und der Förderung
der Zusammenarbeit zwischen den Datenschutzbehörden.
Für das Jahr 2025 wurde auf Vorschlag des Landesbeauftragten für Datenschutz
und Informationsfreiheit Baden-Württemberg die Umsetzung des Rechts auf Löschung,
also das Recht auf Vergessenwerden gemäß Artikel 17 DSGVO, als Thema ausgewählt.
Hintergrund ist oder die Begründung, warum gerade dieses Recht ausgewählt wurde,
ist, dass dies eines der am häufigsten ausgeübten Datenschutzrechte ist und
die Datenschutzbehörden häufig Beschwerden von Einzelpersonen diesbezüglich erhalten.
An der diesjährigen Initiative werden sich Stand jetzt 32 europäische Datenschutzbehörden beteiligen.
In Deutschland alleine nehmen die Landesdatenschutzaufsichtsbehörden aus Baden-Württemberg,
Brandenburg, Mecklenburg-Vorpommern, Niedersachsen, NRW, Rheinland-Pfalz und
der Bundesbeauftragte teil.
Insofern auch einige. Das Kerninstrument der Aktion ist dabei ein europaweit
abgestimmter Fragebogen zur Umsetzung des Rechtsauflöschung durch die verantwortlichen Stellen.
Das heißt, im nächsten Schritt werden sich die teilnehmenden Datenschutzbehörden
mit den Verantwortlichen aus verschiedenen Sektoren und Branchen in Verbindung
setzen und eben diese Fragebögen zum Ausfüllen versenden.
Es soll dann anhand der Fragebögen geprüft werden, wie die für die Verarbeitung
Verantwortlichen mit den bei ihnen eingehenden oder eingegangenen Löschungsanträgen
umgehen und wie sie darauf reagieren.
Vor allem auch, wie sie die Bedingungen
und Ausnahmen für die Ausübung des Rechts auf Löschung anwenden.
Die Ergebnisse aus den Fragebögen sollen anschließend zusammengeführt werden
und an den ETSA berichtet werden, sodass dann im Anschluss in einem Bericht
die Ergebnisse dann veröffentlicht werden können.
Die Ergebnisse sollen auch dazu genutzt werden, die praktische Umsetzung des
Rechts auf Löschung in den Mitgliedstaaten zu verbessern.
Und LDI NRW hat hierzu auch geschrieben, sie können zudem in neue Verlautbarungen
der Aufsichtsbehörden münden oder Anlass geben, bestehende Leitlinien oder anderweitige
Veröffentlichungen anzupassen, was an sich ein erfreulicher Hinweis ist.
Das heißt, die Praxis würde sich irgendwo oder würde irgendwo in den veröffentlichten
Aufsichtsbehörden sich potenziell noch besser widerspiegeln können.
Insofern kann den Unternehmen tatsächlich empfohlen werden, sich jetzt schon
die eigenen Prozesse zur Löschung anzuschauen bzw.
Zur Löschung, zum Umgang mit der Anspruch auf Löschung anzuschauen und auch
selbst schon mal durchzugehen und zu prüfen, wie die funktionieren und ob sie
denn auch wirklich so funktionieren, wie sie sollen.
Vielleicht nochmal ein Hinweis, etwas Erfreuliches nochmal bei dem Thema,
nochmal zusätzlich. Professor Dr.
Keber erklärte, man wolle helfen, die Rechte der Bürgerinnen und Bürger zu stärken
und Verantwortlichen auch Hilfestellungen
dazu geben, wie das Recht auf Löschung umgesetzt werden kann.
Dazu werde man in diesem Jahr mit Veranstaltungen und Handreichungen zum Recht
auf Löschung zusätzliche Unterstützung anbieten.
Insofern finde ich es sehr gut. Und für die Unternehmen, die sich da vielleicht
noch nicht so mit beschäftigt haben, können diese zusätzlichen Handreichungen,
Veranstaltungen, die angekündigt wurden, von Professor Keber sicherlich hilfreich sein.
Und wir sind dann natürlich gespannt, was bei der Aktion rauskommt und was in
dem Abschlussbericht drinstehen wird.
Wir sind richtig gespannt, ja.
Dann komme ich zum Thema Wetterwebcams. Die Nachricht, die es heute auch geschafft
hat, zu unserer Titelnachricht zu werden, kommt aus Österreich.
Die österreichische Datenschutzbehörde hat entschieden, dass eine Wetterwebcam
in Zwettl in Niederösterreich gegen den Datenschutz verstößt,
da sie das Haus eines Anwohners erfasst.
Die besagte Wetterwebcam zeigt seit 2017 ein Panorama der Stadt,
einschließlich Straßen, Häusern und einem Bahnübergang.
Ein Anwohner hatte sich bei der Datenschutzbehörde beschwert,
da sein neu gebautes Wohnhaus, seine Autos und gegebenenfalls brennendes Licht
in seinem Haus zu sehen waren.
Die Datenschutzbehörde gab der Beschwerde statt.
Und forderte den Betreiber auf, die Kamera so einzustellen, dass das Haus des
Beschwerdeführers nicht mehr erfasst wird.
Da dies aber laut dem Betreiber nicht umsetzbar sei, müsse die Webcam nun abgeschaltet werden.
Zudem sei die Entscheidung für den Betreiber nicht nachvollziehbar,
da viele Webcams ähnliche Panorama zeigen würden.
Das typische Argument machen ja alle so.
Und er plant jetzt deshalb, den Bescheid vom Bundesverwaltungsgericht prüfen
zu lassen. Die Auflösung der Webcam-Bilder sei extra bewusst niedrig gehalten,
sodass weder Kennzeichen noch Personen identifizierbar seien.
Dieser Fall zeigt, wie sensibel das Thema Datenschutz in Bezug auf öffentliche Webcams sein kann.
Betreiber solcher Camps sollten sich bewusst machen, dass es vollkommen irrelevant
ist, was der eigentliche Zweck der Videoübertragung ist.
Sofern Personen, Fahrzeuge oder Wohnhäuser gefilmt werden oder auch nur die
bloße Gefahr besteht, dass solche gefilmt werden könnten, gelten selbstverständlich
die datenschutzrechtlichen Bestimmungen.
Es ist daher immer ratsam, vor der Installation einer Webcam eine Prüfung der
datenschutzrechtlichen Bestimmungen für den Einzelfall durchzuführen.
Maßnahmen wie eine geringe Auflösung oder auch eine Teilmaskierung der Kamera
können zwar helfen, machen diese Verarbeitung aber keinesfalls automatisch legal.
Ich finde das hier tatsächlich sehr spannend, weil wir sehen hier,
dass auch wenn es tatsächlich so sein sollte, dass die Kamera eine geringe Auflösung
hat, sodass keine Kennzeichen mehr erkennbar sind oder Personen erkennbar sind,
ist ja allein die Tatsache, dass ich sehen kann,
ist der Betroffene zu Hause, weil sein Auto in der Einfahrt steht oder ist sein
Licht gerade an oder nicht aus, ist das ja auch schon etwas,
was datenschutzrechtlich relevant ist.
Ich kann ja allein dadurch ja irgendwo ein Profil von der Person erstellen.
Ich könnte tatsächlich, wenn ich zu Hause sitze und über die Webcam das Haus
des Betroffenen anschaue, könnte ich seine Gewohnheiten nachvollziehen und auch
sehen, ist der Mensch zu Hause oder nicht zu Hause.
Von daher, ich kann tatsächlich in dem Fall gut nachvollziehen,
dass der Betroffene hier sich dagegen gewehrt hat und dass das Ergebnis aber
auch so ausgegangen ist zu seinen Gunsten.
Ja, das Ganze geht jetzt natürlich noch vor das Gericht, aber mich würde wundern,
wenn da dann eine andere Entscheidung fällt.
Vielleicht werden wir dazu mal in einem Follow-up berichten können. Mal schauen.
Okay, ich komme zu jetzt wirklich einem nächsten Thema und zwar zu den massiven
Sicherheitslücken bei Access Management Systemen, kurz AMS.
Und zwar haben die Forscher des IT-Sicherheitsunternehmens Modat herausgefunden,
dass eine erschreckend hohe Anzahl von Access-Management-Systemen falsch konfiguriert ist.
Diese Systeme, die eigentlich ja den Zutritt zu Gebäuden kontrollieren sollen,
werden so zu einem Ziel für Cyberkriminelle
und bieten eben nicht die Sicherheit, die sie bieten sollten.
Die Studie umfasst dabei fast rund 50.000 fehlerhaft konfigurierte AMS in verschiedenen
Ländern und Branchen, auch im Baugewerbe, im Gesundheitswesen,
bei Bildungseinrichtungen,
aber auch in der Fertigungsindustrie und sogar bei staatlichen Einrichtungen, also bunt gemischt.
Zu den wesentlichen Risiken, die Modat herausgefunden hatte,
zählen insbesondere unzureichende Konfigurationen, aber auch veraltete Protokolle
und unzureichende Überwachungsmechanismen.
Das Hauptproblem laut Modat seien jedoch fehlerhafte Authentifizierungs- und
Autorisierungsprozesse.
Das bedeutet, dass unbefugte Personen nicht nur in Gebäude eindringen könnten
oder können, sondern auch Zugriff auf sensible Daten enthalten können.
Zu den gefährdeten Daten gehören zum Beispiel Mitarbeiterfotos,
aber auch Namen, Identifikationsnummern, Zugangskartendaten,
biometrische Daten, beispielsweise ein Fingerabdruck, der für den Zutritt genutzt
wird, und sogar Arbeitspläne, also je nachdem, welche Daten in dem jeweiligen
System vom jeweiligen Verantwortlichen erfasst wurden.
Besonders besorgniserregend ist hier tatsächlich der Zugriff auf biometrische
Daten, die auch für Identitätsdiebstahl und für andere Betrugsformen missbraucht werden könnten.
Die Studie macht tatsächlich keine Angaben zu den Herstellern,
sodass wir gar nicht genau sagen können, welche Hersteller sind jetzt diejenigen
mit den besseren oder mit den schlechteren Systemen.
Durch die hohe Anzahl ist davon auszugehen, dass jeder Verantwortliche,
der ein AMS betreibt, sich dieses auch nochmal genauer anschauen sollte.
Denn die Auswirkungen der Gefährdung, die hier festgestellt wurden von dem Unternehmen,
reichen von finanziellen Verlusten, zum Beispiel durch Schadensersatzansprüche
möglicherweise, zu Bußgelder, die gemäß der DSGVO verhängt werden könnten durch Aufsichtsbehörden.
Insbesondere die unbefugten Zugriffe, die ermöglicht werden und auch der Identitätsdiebstahl
kann dazu führen, dass die finanziellen Verluste entsprechend höher liegen.
Nehmen wir da jetzt eigentlich mit. Ja, die Studie sollte tatsächlich ein Weckrufunternehmen
und Organisation sein bzw.
Als ein solcher verstanden werden. Sie sollte zum Anlass genommen werden,
die Sicherheit der eigenen Gebäudezugangssysteme bzw.
Zutrittssysteme zu überprüfen und dabei auch sicherzustellen,
dass sie korrekt konfiguriert sind.
Dazu gehört neben der Implementierung von starken Authentifizierungsmethoden
auch die regelmäßige Aktualisierung von Software und nicht zu vergessen auch
die Schulung von Beschäftigten im Umgang mit sensiblen Daten.
Auch sollte regelmäßig überprüft werden bzw.
Auch die Aktualisierung der Sicherheitsprotokolle von Zugangsystemen und Zutrittsystemen
sichergestellt werden, um potenzielle
Bedrohungen schon im Vorfeld oder frühzeitig abwehren zu können.
Und auch ganz wichtig, wo wir vorhin über die Daten gesprochen haben,
sollte auch geprüft werden, dass nur solche Daten gespeichert werden in den
Zutritts- oder Zugangssystemen, die für den Zugriffs- und Zutrittszweck tatsächlich erforderlich sind.
Das heißt, wenn ich biometrische Daten gar nicht brauche, weil das System vielleicht
gar keinen Fingerabdruckscanner hat, dann sollten die auch nicht erfasst werden.
Ich glaube, man kann es mit einem Wort zusammenfassen. Seien Sie wachsam und
überprüfen Sie Ihre Access Management Systeme und schauen, ob da vielleicht
noch etwas verbessert werden kann.
Ums Thema Löschen geht es auch bei meiner Sicherheitslücke, allerdings hier
nicht um das Löschen von personenbezogenen Daten, zumindest nicht unmittelbar, sondern um Testdaten.
Der IT-Security-Forscher Tim Philipp Schäfers hat beim Bundesamt für Migration
und Flüchtlinge eine Sicherheitslücke entdeckt.
Hintergrund ist, dass beim BAM veraltete Testkonten scheinbar nicht ordnungsgemäß
deaktiviert oder gelöscht wurden.
Dies ermöglichte es dem Sicherheitsforscher nach einer Analyse der öffentlich
verfügbaren Anleitung zu der Konfiguration des Systems, das beim BAMF im Einsatz
ist, sich Zugriff auf sensible Daten zu verschaffen.
Konkret gelang es dem Forscher, mit alten E-Mail-Adressen, die für Konfiguration
genutzt wurden, über die Passwort-Vergessen-Funktion sich einzuloggen.
Die Adressen wurden durch den Dienstleister, der die Konfiguration durchgeführt
hatte, nach einer gewissen Zeit wieder freigegeben und dann durch den E-Mail-Dienstleister
zur Neuvergabe geöffnet.
Der Sicherheitsforscher registrierte eine freigewordene Adresse,
die auf Max Mustermann lautet, neu und erhielt so Zugriff auf die mit dem BAMF-System verknüpften Konten.
Das zeigt, dass das Versäumnis inaktive oder veraltete Nutzerkonten zu verwalten
nicht nur ein Verstoß gegen die DSGVO ist.
Sondern auch tatsächlich erhebliche Risiken für die Sicherheit personenbezogener
Daten und auch die IT-Sicherheit einer Organisation darstellen kann.
Behörden und Unternehmen sollten
daher ein striktes Identitäts- und Zugriffsmanagement implementieren,
das unter anderem auch die regelmäßige Überprüfung und Deaktivierung inaktiver
Konten und Implementierung eines Offboarding-Prozesses umfasst.
Dabei sollten nicht nur die Nutzerkonten im Fokus stehen aus dem Produktivsystem.
Sondern auch an gegebenenfalls bestehende Testkonten, die noch an das System
angebunden sind, gedacht werden.
Mir kommt gerade der Gedanke, gerade bei den Testkonten, dass eigentlich,
wenn ich jetzt ein Max-Muster mal als User anlege,
sollte ich diesen doch eigentlich nur mit Testdaten verknüpfen,
indem die Berechtigung einrichten, dass auf bestimmte Testdaten zugegriffen
werden kann und nicht auf Echtdaten.
Und das ist ja auch einer der Punkte hier, glaube ich, die auch dazu geführt
haben, dass einfach ein Testkonto mit Echtdaten verknüpft wurde und die Berechtigung,
wie auch immer umfassend, eben auch für Echtdaten gewährt wurde,
statt nur für Testdaten.
Das heißt Trennung Testdaten und Echtdatensystem.
Genau, das sollte der Grundsatz sein. In einigen Fällen geht das nicht,
aber wenn das ausnahmsweise mal nicht geht, dann sollte man unbedingt darauf
achten, dass danach träglich diese Verbindung gelöscht wird.
Auf jeden Fall. So, ich komme zu einem nächsten Thema und zwar zur EU-Kommission.
Die EU-Kommission hat nämlich ihr Arbeitsprogramm für das Jahr 2025 angenommen.
Ziel des Arbeitsprogramms für dieses Jahr ist es, Europa wettbewerbsfähiger
zu machen, sicherer und wirtschaftlich widerstandsfähiger.
Dabei stehen statt neue Rechtsakte zur Digitalisierung für das Jahr 2025 aber
eher die Vereinfachung und Evaluierung auf der Agenda.
Insbesondere soll es dabei um mehr Chancen gehen, um Innovation und Wachstum
für Bürger und Unternehmen und auch darum, dass die EU sicherer und wohlhabender werden soll.
Datenschutzrechtlich relevant für uns ist in dem Zusammenhang allerdings,
dass mit der E-Privacy-Verordnung ein zentrales Regulierungsvorhaben der letzten
Jahre aufgegeben wurde.
Die E-Privacy-Verordnung sollte eigentlich zeitgleich mit der DSGVO in Kraft
treten und sollte den Datenschutz im Bereich der elektronischen Kommunikation
europaweit harmonisieren.
Nun wird der Entwurf jedoch nicht weiterverfolgt. Ob dies abschließend ist oder
ob das Thema eventuell nochmal im nächsten Jahr oder später weiterverfolgt wird,
ist aktuell nicht ganz klar.
Im Ergebnis ist die E-Privacy-Richtlinie aus dem Jahr 2002, diese bleibt weiterhin in Kraft,
ebenso wie die nationalen Regelungen wie das Deutsche Telekommunikations-Digitale
Dienste-Datenschutzgesetz, kurz T3G.
TDDDG, das weiterhin zu beachten ist, ebenso wie unseren beliebten Cookie-Banner.
Insofern haben wir ein bisschen Sicherheit gewonnen oder erfahren,
dadurch, dass wir wissen, es ändert sich nichts an der aktuellen Rechtslage,
die E-Privacy-Richtlinie bleibt, unser T3DG bleibt und unser Cookie-Banner bleibt ebenfalls.
Von daher, wir arbeiten weiter mit dem, was wir haben.
Ist ja nicht so, als wäre das gar nichts. Ist ja genug.
Wir haben ja was da, von daher passt schon. So, und ich glaube,
jetzt kommen wir auch schon zu unseren Veröffentlichungen und Lesehinweisen. Kann das sein?
Genau, wobei diese Woche singular richtig ist.
Ich habe nämlich einen Veröffentlichungstipp mitgebracht. Für diejenigen,
die vielleicht über das sonnige Wochenende noch was zum Lesen suchen,
kann ich empfehlen, das Review des Europäischen Datenschutzbeauftragten für die Jahre 2020 bis 2024.
Es handelt sich um eine Zusammenfassung der Top-Themen und Tätigkeiten dieses
Zeitraums und ja, ich denke, darin lässt sich ja durchaus dann auch eine positive
Entwicklung nachlesen.
Spannend, spannende Lektüre. So, wir sind damit am Ende von unserer heutigen
Podcast-Folge. Wir hoffen, es hat euch gefallen.
Wir hoffen, ihr bleibt uns treue Zuhörer.
Wir wünschen euch viel Spaß beim Zuhören, falls ihr das heute hört und noch
ein schönes Wochenende vor euch habt.
Wir wünschen euch einen guten Start in die neue Woche, wenn ihr das erst am Montag hört.
Und wir sagen Tschüss und bis zum nächsten Mal. David, ich danke dir.
Ich danke dir, Natalia. Bis bald.
Bis bald.