Heute folgt der zweite Teil unseres Datenschutz-Jahresrückblicks für die Monate April bis Juni 2019.
Der Inhalt im Überblick
April, April, der macht was er will
Los ging es mit einem Paukenschlag: Deutschland überwindet auch im Datenschutz endlich die Kleinstaaterei. Das Bundesamt für Datenschutz (BAfD) kommt! Vorbei die Selbstherrlichkeit der (Datenschutz-) Lokalfürsten. Denn wenn sich deutsche Aufsichtsbehörden schon nicht auf einen Standpunkt einigen können, wie soll das erst auf europäischer Ebene klappen? Doch April, April, leider nur ein Scherz unsererseits, Fake News gewissermaßen, allerdings mit aufrichtigem Anliegen, so lässt sich etwa eine ähnliche Forderung auch im Gutachten der Datenethikkommission wiederfinden (S. 103).
Die Datenschutzkonferenz sorgte hingegen wirklich für einen Knaller: Tracking mit Cookies, Fingerprinting & Co. in der Regel nur noch mit einer Einwilligung zulässig! Was die DSK da am letzten Arbeitstag im März ganz nüchtern als „Orientierungshilfe für Anbieter von Telemedien“ veröffentlichte, erscheint im Nachhinein wie ein Vorspiel zur Planet 49-Entscheidung des EuGH im Oktober.
Anders als der EuGH einige Monate später sieht die DSK zwar noch die Möglichkeit, Tracking aufgrund berechtigten Interesses ohne Einwilligung durchzuführen. Sie macht aber am Beispiel einer Interessenabwägung klar, dass die Einwilligung der Nutzer erforderlich ist, wenn bei Besuch einer Webseite personenbezogene Daten auch an die Anbieter von Tracking-Software wie Google-Analytics, Facebook-Pixel/Like-Button & Co. gehen. Also nicht nur der Webseitenbetreiber die Daten erhält. Denn dann besteht die Möglichkeit der Profilbildung durch die Drittanbieter.
Als wäre das nicht schon genug, legte die DSK gleich wenige Tage später mit der Hambacher Erklärung nach. Der geschichtsträchtige Name verheißt Großes und so ist es denn auch: Ziel der Erklärung ist nichts geringeres als die Menschenwürde auch in Zeiten der Digitalisierung und der Entwicklung künstlicher Intelligenz zu schützen. Oberste Prämisse dabei ist, dass der Mensch nicht zum Objekt der KI werden darf. Der Mensch soll also auch in Zukunft über Maschinen entscheiden und nicht umgekehrt. Den rechtlichen Rahmen hierzu leitet die DSK aus den Regelungen der DSGVO ab.
Dann folgte der nächste Akt eines nicht enden wollenden Dramas – Hauptdarsteller: Facebook – machte nach Cambridge Analytica erneut zweifelhafte Schlagzeilen: 540 Millionen Datensätze von Facebook-Nutzern u.a. auch Passwörter wurden von einem App-Anbieter in einem ungesicherten Bereich der Amazon Cloud gespeichert. Der Fall verdeutlichte noch einmal, dass Facebook keine direkte Kontrolle darüber hat, wie Drittanbieter mit den Daten der Facebook-Nutzer umgehen. Der Vorfall standen zudem den kurz zuvor veröffentlichen (Lippen-) Bekenntnissen Facebooks zu mehr Datenschutz diametral entgegen.
Doch als wäre der April nicht schon turbulent genug gewesen drohte zudem eine alte Gewissheit – das Postgeheimnis – ins Wanken zu geraten: Wertet die Deutsche Post in Zukunft unsere Briefe aus? Erfasst das im Internet omnipräsente Tracking nun auch auf die gute alte Deutsche Post. Der Sachverhalt drehte sich hier um das E-Postbrief-Verfahren. Dabei handelt es sich um eine Kombination aus digitaler und analoger Welt. Während der Empfänger nach wie vor einen physischen Brief erhält, lädt der Versender diesen auf die Server der Deutschen Post und die Deutsche Post, versendet den Brief dann auch in digitaler Form, schneller als den Postbrief, an das E-Post-Konto des Empfängers. Das Problem dabei, die Post erstellt eine digitale Kopie der Briefe. Adressaten von E-Post, die noch kein E-Post-Konto haben, sollen zudem von der Post herausgefiltert und angeschrieben werden. Der Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) prüft die Wahrung des Telekommunikations- und Postgeheimnisses.
Mai – Ein Jahr DSGVO-Irrsinn
Anfang Mai setzten sich Katharina Nocun und Lars Hohl auf der Medienkonferenz re:publica mit dem „DSGVO-Armageddon“ auseinander. Fazit hierzu war: Die Welt steht zwar immer noch vor dem Abgrund, die DSGVO scheint aber gar nicht schuld zu sein. In einem Vortrag wurde eine kurzweilige Sammlung aus dem Kuriositätenkabinett vorgestellt. Dazu gehörte das sogenannte „Klingelgate“ (ab 15:26 im Video), wonach Namensschilder an Klingeln plötzlich rechtswidrig sein sollten. Selbst die damalige Bundesdatenschutzbeauftragte sah sich gezwungen Stellung zu nehmen und das Ganze als Hysterie zu deklarieren.
Schlagzeilen machte auch eine EuGH-Entscheidung, wonach Arbeitgeber europaweit zur systematischen Zeiterfassung verpflichtet werden sollen, denn nur so könne die täglich geleistete Arbeitszeit der Mitarbeiter zuverlässig gemessen werden. Die Pflicht leitete der EuGH aus der Charta der Grundrechte der Europäischen Union und der Arbeitszeitrichtlinie ab.
Im Mai kam es zu einem weiteren Akt bei der Frage, ob DSGVO Verstöße abmahnfähig sind. Mit diesem Thema hatten wir uns zuvor schon in einem Beitrag und in unserem Podcast beschäftigt. Nun gab auch das Landgericht Stuttgart seinen Senf dazu. Das Gericht vertritt die Meinung, dass die DSGVO eine abschließende Regelung der Sanktionen enthält und auch keine wettbewerbsschützende Zielrichtung habe. DSGVO Verstöße seien also nicht abmahnfähig. Eine Vermischung aus wettbewerbsrechtlichen und datenschutzrechtlichen Sanktionsmöglichkeiten würde zudem dem Schutzzweck der DSGVO entgegenstehen. Die Frage bleibt jedoch umstritten und wird wohl erst durch den EuGH endgültig geklärt werden.
Juni – Sommerloch? Noch nicht in Sicht
Ulrich Kelber, der neue Bundesbeauftragte für Datenschutz und Informationssicherheit, ist ein vielfaches kommunikationsfreudiger als seine Vorgängerin und so konnten wir im Juni gleich dreimalmal Interviews mit ihm auf datenschutzbeauftragter-info.de veröffentlichen.
Es ging zunächst um den Europäischen Datenschutzausschuss. Er betonte, dass es für ein Gelingen der DSGVO entscheidend sei, dass eine Harmonisierung der Standpunkte der Aufsichtsbehörden gelingt. Das Problem ist das sogenannte „One Stop Shop Verfahren„, wonach die sog. federführende Aufsichtsbehörde alleiniger Ansprechpartner der dort ansässigen Unternehmen ist. Das führt dazu, dass 45 Prozent der Verfahren sich auf eine Handvoll Länder wie Irland, Luxemburg oder Malta verteilen, die gerade einmal 6 Mio. EU-Bürger repräsentieren und deren Aufsichtsbehörde mit relativ wenig Personal ausgestattet sind.
Ein weiteres Thema, das der Bundesdatenschutzbeauftragte schon im Juni thematisiert hat, ist die gefährliche Abhängigkeit fast aller Unternehmen und Behörden in Deutschland von Microsoft. Das mit Windows 10 und Office 365 in fast allen Unternehmen und Behörden omnipräsent ist wie kein zweites. Problematisch ist insbesondere das beide Programme verschlüsselte „Telemtriedaten“ an Server in den USA schicken. Insgesamt sollen zwischen 23.000 und 25.000 verschiedene Events/Nutzeraktionen regelmäßig von Office an Microsoft-Server verschickt werden. Seitens Windows 10 soll es sich immerhin noch um ca. 2.000 Ereignistypen handeln. Auch der Bundesdatenschutzbeauftragte Ulrich Kelber sieht seine eigene Behörde mangels Alternativen im Lock-In von Microsoft. Da zum Jahreswechsel der Support für Windows 7 eingestellt wird, spitzt sich das Problem gerade zu.
Zudem äußerte sich Herr Kelber zu der Debatte zum Dateneigentum. Hintergrund war ein Strategiepapier des ehemaligen Verkehrsministers Alexander Dobrindt, in dem dieser ein Recht auf Dateneigentum forderte. Bundeskanzlerin Angela Merkel unterstützte damals den Vorstoß und versprach es „fair zu gestalten“. Kritiker hingegen warnten davor, dass Menschen mit einer Übereignung die Hoheit über ihre persönlichen Daten endgültig verlieren könnten, die eigentlich grundrechtlich geschützt seien. Auch Herr Kelber sieht darin die Absicht, das Datenschutzrecht zurückdrängen, und fordert dazu auf, das doch einfach sein zu lassen, weil es eine Sackgasse sei.
Auch im Juni sorgte Facebook wieder mal für Aufregung mit der Ankündigung der seiner neuen Digital-Währung Libra. Mit einer breiten Allianz an Unterstützern wie Vodafone, Ebay, Spotify, Paypal, Uber, Visa und andere bekannte Unternehmen stellte Facebook seine Pläne vor. WhatsApp könnte dann als weltweit genutzte Geldbörse dienen. Ein Datenschutzalptraum, wenn man bedenkt, dass Facebook heute schon zu den größten Datensammlern gehört. Zudem steigt die Anzahl der Behördenanfragen bei Facebook. Allein in Deutschland kam es im Zeitraum von Juli bis Dezember 2018 zu über 6802 Anfragen.
Ganz abseits der Schlagzeilen hat unsere IT-Forensik Abteilung zudem für alle IT-Interessierten die Reihe „Daten verraten“ aufgesetzt. In einer Reihe von Beiträgen wird anschaulich erläutert, was unser Computer alles über uns, seine Nutzer, verrät. Fragen wie, wer hat wann welche Dateien geöffnet, wurde ein USB Stick genutzt oder hat ein Fernzugriff stattgefunden, lassen sich schon über einfache forensische Untersuchung gut nachvollziehen. Das ist gerade für Unternehmen interessant, denn meistens sind es sog. Innentäter, die Daten klauen.
Morgen geht es weiter mit den Monaten Juli bis September im Jahresrückblick 2019 – Teil 3.