Von privaten Versanddienstleistern, die persönliche Briefe im Wald entsorgen bis hin zu der Frage, ob die mit Animal Cam ausgestattete Katze gegen die DSGVO verstößt. Die letzten 18 Monate wurde Prof. Dr. Kugelmann als Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (kurz LfDI) mit zahlreichen Beschwerden konfrontiert. Die spannendsten Vorfälle werden in diesem Beitrag aufgegriffen und in ihrer datenschutzrechtlichen Relevanz eingeordnet.
Der Inhalt im Überblick
- Hintergrund des Pressegesprächs – nicht nur Digitalisierung und KI
- Glück gehabt! Keine Preiserhöhung für Energiekunden wegen Datenpanne
- Datenschutz für die Katz – „Animal Cam“ als DSGVO-Risiko?
- Verkauf von personenbezogenen Daten nach Angriff auf Hochschule
- Bewerbungsmappe auf Abwegen: Vertrauliche Bewerbung im Gebüsch gefunden
- Weiterhin viele Betroffenenbeschwerden; Hochschulen zunehmend im Fokus von Hacking-Angriffen
Hintergrund des Pressegesprächs – nicht nur Digitalisierung und KI
Während des Pressegesprächs gibt der LfDI zusammen mit seiner Stellvertreterin Dr. Franke in einem knappen Handout Einblicke in die jüngste Arbeit der Datenschutzbehörde. Diese hat sich nach Abklingen der Corona-Problematiken wieder hin zu abstrakteren Fragestellungen rund um Digitalisierung an Schulen und Künstlicher Intelligenz (Stichwort Chat GPT und Verkehrsüberwachungskamera „Mono Cam“) ausrichtet. Neben diesen eher theoretischen Fragestellungen wurde eine Art „Best of“-Liste der kuriosesten Datenpannen zusammengestellt.
Glück gehabt! Keine Preiserhöhung für Energiekunden wegen Datenpanne
Mitarbeiter des Grünflächenamts Speyer machten im Februar 2023 darauf aufmerksam, dass ein Sack mit mehreren hundert Briefen adressiert an Kunden und Kundinnen des Energieversorgers gefunden wurde. In diesen Briefen vom November 2022 sollte die anstehende Strom- und Gaspreiserhöhung ab dem 1.Januar 2023 angekündigt werden. Im Nachgang stellte sich heraus, dass insgesamt knapp 10.000 Briefe nicht zugestellt wurden. Die Briefe wurden dem privaten Keller eines Angestellten des Versanddienstleisters eingelagert. Für die Kunden und Kundinnen eine glückliche Fügung, denn obwohl umstritten ist, ob der Grundversorger Preiserhöhungen brieflich mitteilen muss, nahmen die Stadtwerke die Preiserhöhung wegen der nicht zugestellten Briefe zurück.
Die Stadtwerke selbst gehen nicht davon aus, dass Kundendaten öffentlich geworden sind (Pressebericht v. 16.11.22), die allermeisten Briefe seien ungeöffnet gewesen. Aus datenschutzrechtlicher Sicht also ein eher kleiner Fauxpas, mit für die Kundschaft erfreulichem Nebeneffekt, der die Stadtwerke Speyer aber teuer zu stehen kam.
Datenschutz für die Katz – „Animal Cam“ als DSGVO-Risiko?
Unter dem Stichwort „Katzenspionage“ berichtet der LfDI von einem besorgten Anrufer, der vermutete, dass die mit Videokamera ums Halsband ausgestattete Katze des Nachbarn ihm in seinem Wohnzimmer filmen kann. Fest steht, das die Katze als solche nicht von der DSGVO profitieren kann, denn diese schützt gem. Art. 4 Nr. 1 DSGVO nur Menschen als natürliche Personen. Allerdings könnte der Katzenhalter für die Aufnahmen der „Animal Cam“ verantwortlich gemacht werden, sofern er als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO eingestuft werden kann. Notwendig dafür ist aber, dass er „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Dies wäre nur dann der Fall, wenn er die Fortbewegung der Katze kontrollieren kann.
„Verantwortlicher im Sinne der DSGVO ist, wer „allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.
Der LfDI führte diesen Gedanken fort, indem er Bezug auf ein gescheitertes Spionageprojekt der CIA aus den 60er Jahren mit dem Namen „Acoustic Kitty“ nimmt. Die CIA versuchte damals eine mit Mikrofon im Gehör ausgestattete Katze so zu trainieren, dass sie sich auf Kommando in die Nähe von Spionage-Objekten platzierte. Von dort aus sollte sich die Katze in der optimalen Positionierung für einen akustischen Lauschangriff befinden. Die Pläne wurden aber letztendlich aufgegeben. Es ist nicht gelungen, das Tier so zu trainieren, dass es zuverlässig auf das Spionageziel zulief. Daran anknüpfend müsse man davon ausgehen, dass der Tierhalter eher keine nennenswerte Kontrolle über das Bewegungsmuster der Katze erlangen kann.
Für den LfDI blieb diese Auseinandersetzung aber nur theoretischer Natur. Der Anruf ist nicht in eine offizielle Beschwerde gemündet und die Frage nach der Verantwortlichkeit musste nicht weiter untersucht werden.
Verkauf von personenbezogenen Daten nach Angriff auf Hochschule
Im Juni 2023 war die Hochschule Kaiserslautern von einem Hacking-Angriff auf die IT-Infrastruktur betroffen. Bei diesem Angriff wurden (personenbezogene) Daten der Studierenden und Mitarbeitenden im Darknet entweder veröffentlicht oder zum Verkauf angeboten. Der LfDI geht davon aus, dass 60% der Daten veräußert wurden. Unter diesen befanden sich auch besonders sensible Daten nach Art. 9 Abs.1 DSGVO wie Krankenkassendaten und Daten über Schwerbehinderung.
Gem. Art. 9 Abs.1 DSGVO sind besondere Kategorien personenbezogener Daten „alle Daten, aus denen hervorgeht: die rassische und ethische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.“
Besonders ärgerlich ist der Angriff auf die Hochschule auch deshalb, weil die Frage im Raum steht, ob im Vorfeld des Angriffs die gesetzlichen Löschfristen beachtet wurden oder ob sich unter dem Diebesgut auch solche Daten finden, die eigentlich schon gelöscht sein sollten. Grundsätzlich gilt, dass personenbezogenen Daten nur so lange aufgehoben werden dürfen, wie die Zwecke, für die sie erhoben wurden, es erforderlich machen. Um eine rechtskonforme, geordnete Löschung von personenbezogenen Daten sicherzustellen, sollten die Verantwortlichen ein sog. Löschkonzept entwickeln. Dies ist ein Regelwerk, in dem Verantwortungen zugewiesen werden.
Hierzu mehr in unserem Fachbeitrag über das Recht auf Löschung.
Bewerbungsmappe auf Abwegen: Vertrauliche Bewerbung im Gebüsch gefunden
In Andernach am Rhein wurden vertrauliche Bewerbungsunterlagen aus einem Besetzungsverfahren für eine öffentliche Stelle von einem Spaziergänger im Gebüsch gefunden. Dem Verantwortlichen war der Verlust nicht aufgefallen. Es konnte auch nicht mehr aufgeklärt werden, wie die Unterlagen im Gebüsch gelandet sind. Dies endete damit, dass der LfDI diesen eindeutigen DSGVO-Verstoß förmlich beanstandete und auf die Relevanz der sog. TOM´s (Technische und Organisatorische Maßnahmen) aufmerksam machte.
Er führte dazu aus:
„Unterlagen eines Bewerbungsverfahrens sind in einer Weise zu verarbeiten, dass durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet ist, einschließlich dem Schutz vor unbeabsichtigtem Verlust („Integrität und Vertraulichkeit“)“
Weiterhin viele Betroffenenbeschwerden; Hochschulen zunehmend im Fokus von Hacking-Angriffen
Schon eingangs berichtet der LfDI, dass die Zahl der Beschwerden nicht mehr in erheblichem Maße ansteigt, aber dennoch steigt. Inzwischen kennen viele Bürger und Bürgerinnen ihre Betroffenenrechte, von der Beschwerdemöglichkeit wird gerne Gebrauch gemacht.
Erschreckend ist, dass teilweise gravierende Pannen gerade in der Verwaltung immer noch keine Seltenheit sind. Es sei in diesem Zusammenhang auch beobachtet worden, dass vermehrt Bildungseinrichtungen in das Visier von Hackern geraten, so der LfDI. Es liegt nun an den verantwortlichen Stellen, aus den berichteten Vorfällen zu lernen und ausreichend Vorsorge zu treffen.
Die Bewertung der Verantwortlichkeit bei der „Animal Cam“ finde ich wenig überzeugend. Der Halter der Katze bestimmt Mittel (Kamera um den Hals) und Zweck (Anfertigung von Videoaufnahmen des Blickfelds der Katze) und ist somit Verantwortlicher. Nur weil der Halter keinen Einfluss auf die Bewegung der Katze hat, befreit ihn das nicht von seiner Verantwortlichkeit. Für eine Kamera an einem Heliumballon, dessen Bewegung alleinig vom Wind bestimmt wird, ist trotzdem der Besitzer der Kamera Verantwortlicher. Es sei denn, sie wäre herrenlos.
Das ist ein guter Einwand, letztendlich wollte auch der LfDI sich hier noch nicht endgültig festlegen.
Es kann aber dennoch sinnvoll sein, das Kriterium der Einflussnahme bei der Bestimmung der Verantwortlichkeit heranzuziehen.
Dies stützt auf folgender Überlegung: Videoaufnahmen, die durch eine Animal Cam am Katzenhalsband gemacht werden, sind typischerweise verwackelt, die Auflösung ist nicht hoch. Gefilmt wird oft nur der Boden, auf dem das Tier läuft. Wenn die Katze sich dann einem Menschen nähert, kann es sein, das die Kamera nur auf dessen Beine gerichtet ist.
Bei dem konkreten Anrufer war es so, dass der Betroffene sich Sorgen machte, weil die Katze auf dem Fensterbrett seines Wohnzimmers saß. Ob dabei überhaupt verwertbare Aufnahmen von dem Anrufer entstanden sind, steht nicht fest. Jedenfalls ist es gut vorstellbar, dass der LfDI seine Erwägungen nicht zuletzt darauf stützte, dass bei der Animal Cam nicht von vorne herein davon ausgegangen werden muss, dass verwertbare Aufnahmen von natürlichen Personen entstehen und deshalb auch gefragt werden kann, ob solche überhaupt bezweckt waren.
Das sehe ich genauso.
[Off-Topic. Bitte posten Sie Ihre Frage unter einem themenrelevanten Artikel. Vielen Dank.]