Heute folgt der zweite Teil unseres Jahresrückblicks im Datenschutz – von April bis Juni dieses Jahres:
April
Den Hamburgischen Datenschutzbeauftragten beschäftigte Anfang April eine „Open-Air-Lagerung“ von Patientenakten. Spaziergänger hatten in einem offenen Sperrmüll-Container mehrere Kisten von Patientenakten mit Krankheitsgeschichten, Notfallberichten und weiteren sensiblen Gesundheitsdaten konkret betroffener Patienten eines Hamburgischen Krankenhauskonzerns gefunden. Ein TAZ-Autor hatte die Unterlagen eigenhändig aus dem Müll gefischt und darüber berichtet, um auf den Misstand aufmerksam zu machen. Der Bericht über diesen Vorfall sollte als Anlass dazu dienen, die Papierentsorgung im eigenen Unternehmen auf Datenschutzkonformität zu überprüfen.
Kurze Zeit später sorgte die App „Girls around me“ für Aufregung in Datenschutzkreisen. Diese App sollte nach Vorstellung ihres Entwicklers Probleme des intergeschlechtlichen Erstkontakts überwinden helfen. Zu diesem Zweck kombinierte der Dienst öffentliche Daten aus anderen Diensten wie Foursquare, Nutzerprofilen von Facebook und Google Maps miteinander, um für den App-User geeignete Frauen in der Umgebung sichtbar zu machen. So schnell wie die App da war, war sie dann aber auch wieder verschwunden – und mit ihr auch die Gefahr für die potentiellen Opfer quasi einseitiger „Blind Dates“. In diesem Zusammenhang konnte nur wieder an die Privacy by Default -Einstellungen bei Nutzung von Diensten appelliert werden.
Sehr unerfreulich waren auch Ende April wiederkehrende Nachrichten über unerwünschte Telefonanrufe von zwielichten Unternehmen, die mit dem Begriff „Datenschutz“ Bürger dazu bringen wollten, Kontodaten preiszugeben und Geld an diese Firmen zu zahlen. Wir nahmen dies zum Anlass, verschiedene Abwehrmaßnahmen im Zusammenhang mit dem Telefonterrorismus (z.B. Verzicht auf Angabe von Telefonnummern bei Gewinnspielen, „frank-geht-ran“, Robinsonliste) aufzuzeigen.
Mai
Anfang Mai wurde vom Bundesbeauftragten für Datenschutz und die Informationsfreiheit die Diskussion darüber entfacht, ob die sog. Cookie-Richtlinie (2009/136/EG vom 05.12.2009), deren Regelungen die Verwendung von Cookies durch Webseitenbetreiber einschränkt und unter bestimmte Voraussetzungen stellt, in Deutschland unmittelbare Anwendung findet. Da die Cookie-Richtlinie in Deutschland angesichts offener Punkte wie Einwilligung in die Cookie-Setzung nicht rechtzeitige umgesetzt worden war, stellte sich die Frage nach der unmittelbaren Anwendung dieser Richtlinie auf deutsche Webseitenbetreiber. Wegen umstrittener Voraussetzungen für eine unmittelbare Anwendung haben Webseitenbetreiber, die Cookies entgegen der Richtlinie verwenden, zunächst wohl keine Maßnahmen von Aufsichtsbehörden gegen sich zu befürchten.
Furcht, und zwar vor Kündigung, sollten aber solche Arbeitnehmer haben, die ihren Arbeitgeber in sozialen Netzwerken beleidigen. Auch im Mai beschäftigten sich verschiedentlich Gerichte mit abschätzigen Internetbeiträgen von Arbeitnehmern gegenüber Vorgesetzten zum Beispiel bei Facebook. Eine einheitliche Rechtsprechung hierzu fand sich bislang jedoch nicht nicht. Unterschiedliche Auffassungen bestanden hinsichtlich der Verwertbarkeit im Kündigungsverfahren u.a. darüber, ob es einen Unterschied mache, ob ein Posting über den öffentlichen oder den privaten Bereich erfolge und inwiefern der Arbeitnehmer darauf vertrauen könne, dass die Äußerung von Freunden oder Kollegen nicht nach außen getragen würde. Nicht nur mangels einheitlicher Rechtslage, sondern allgemein sollten Arbeitnehmer nach wie vor Vorsicht und Zurückhaltung im Umgang mit Facebook walten lassen.
Juni
Pünktlich zum Beginn der Fußball-Europameisterschaft wurden zum generellen Problem wiederkehrender Ausschreitungen in Fußballstadien neue Maßnahmen zur Durchsetzung von Stadionverboten diskutiert. Neben der bereits existenten Verbunddatei „Gewalttäter Sport“ riefen in Rede stehende Maßnahmen wie ein genereller Datenabgleich mittels Gesichtsscanner sowie Geotracking durch Fußfesseln Datenschützer auf den Plan. Im Ergebnis ging es darum, dem verständlichen und nachvollziehbaren Bedürfnis an Sicherheit in Fußballstadien mit rechtlich zulässigen und insbesondere verhältnismäßigen Maßnahmen unter Berücksichtigung des Grundrechts auf informationelle Selbstbestimmung Rechnung zu tragen.
Des Weiteren sorgte im Juni ein von der Schufa geplantes Forschungsprojekt zur Nutzung von Daten aus sozialen Netzwerken zur Prognose über die Zahlungsfähigkeit für Aufregung. In diesem Zusammenhang forderten Datenschützer sowie das Justizministerium eine Offenlegung der Faktoren für die Ermittlung der Zahlungsfähigkeit anhand der Daten aus sozialen Netzwerken. Infolge massiver Kritik aus Datenschutzkreisen sowie Politik hatte das von der Schufa beauftragte Hasso-Plattner-Institut der Universität Potsdam kurzer Hand den zugrundeliegenden Forschungsvertrag wieder gekündigt, so dass das Projekt damit abgesagt war.
Schließlich wurde auch der Datenschutz aus Unternehmerperspektive unter Berücksichtigung der Entscheidung des EuGH vom 24.11.2011 (Az.: C-468/10) nochmals unter die Lupe genommen. Festzuhalten war nach dieser Entscheidung, dass generelle Verbots- oder Erlaubnisregelungen hinsichtlich der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten in Folge fehlender Abwägung gegen Art. 7 Buchst. f) der sog. Datenschutz-Richtlinie (95/46/EG vom 24.10.1995) verstoßen. Denn Art. 7 Buchst. f) der sog. Datenschutz-Richtlinie sieht stets eine Abwägung der Interessen von Betroffenen mit den Interessen der verantwortlichen Stelle vor. Zugunsten von Unternehmen bedeutet dies, dass beispielsweise besondere Schwierigkeiten für Aufsichtsbehörden bestehen, bestimmte Maßnahmen im Unternehmen ohne jegliche Interessenabwägung per se für unzulässig zu erklären.
Keine Rolle spielt, ob der Nutzer diese (heimlich gesetzten) Cookies (relativ) leicht wieder löschen kann. Sie dürfen ohne Einwilligung gar nicht erst gesetzt werden. Wenn mit dem Setzen der Cookies die Absicht verbunden ist, Werbeeinnahmen zu generieren oder zu optimieren, kann das Setzen als solches schon mit Geldstrafe oder sogar Freiheitsstrafe bis zu zwei Jahren geahndet werden ($$ I BDSG) Das erwähnte “Re-spawning” führt außerdem dazu, dass auf dem Nutzerrechner gelöschte Cookie-Dateien heimlich wieder aktiviert werden. Durch das Löschen zeigt der Nutzer, dass das jeweilige Cookie gerade nicht genutzt werden darf.. Eine Einwilligung in “Re-spawning” ist also ausgeschlossen. Reaktivieren gelöschter Cookies auf dem Nutzerrechner stellt damit eine rechtswidrige und strafbare Datenveränderung dar (§ 303 a I StGB). Das dargestellte strenge Enwilligungserfordernis gilt übrigens mit Wirkung seit dem 25.5.2011 EU-weit (richtlinie 2009/136/EG, die in die Vorgängerrichtlinie 2002/22/EG die Regelung des Art. 5 II Satz 2 eingefügt hat).