Datenschutz-News im Januar:

Klingelschilder in Wien bleiben +++ Kundenansprache beim Metzger tabu? +++ Erstes DSGVO-Bußgeld +++ Apple Pay in Deutschland gestartet +++ neuer Bundesdatenschutzbeauftragter +++ Chinas Social Credit System +++ neue EU-ePrivacy-Verordnung

Liebe Leser/-innen,

sind Sie gut ins neue Jahr gekommen? Ich möchte mich an dieser Stelle für Ihre Treue bedanken und hoffe, Sie weiter als Leser unterhalten und informieren zu dürfen. Bevor wir ins Jahr 2019 starten, möchte ich noch auf ein paar Datenschutz-Neuigkeiten hinweisen:

Es tut sich etwas in Wien: Letzten Monat hatte ich ja geschrieben, dass an über 200.000 städtischen Wiener Wohnungen die Klingelschilder entfernt werden sollen. Eine einzelne Person hatte sich beschwert, dass ihr Name dort öffentlich einsehbar sei und sich auf eine Verletzung des Datenschutzes gemäß der DSGVO berufen. Zunächst hatten die städtischen Datenschützer die Haltung des klagenden Mieters unterstützt und Anfang November mit dem Austausch der Schilder begonnen. Nun rudert die Stadt wieder zurück, da es zu dem Thema unterschiedliche rechtliche Auffassungen gebe und viele Menschen ihre Namensschilder behalten wollten. Auch die EU-Kommission, die Schöpferin der DSGVO, teilte mit, dass ihrer Meinung nach eine Namensnennung erlaubt sei. Dennoch will „Wiener Wohnen“ bei neu einziehenden Mietern künftig nur noch Nummern anbringen. Die Mieter können dann selbstständig ihren Namen ergänzen.

Womöglich handelt es sich nur um eine regionale Posse, dennoch war ein ähnlich gelagerter Fall in einer bayerischen Metzgerei kürzlich bundesweit in den Medien: Dort werden die Stammkunden mit Namen angesprochen – oberste Regel der Kundenbindung, so der Chef. Ist doch auch praktisch, wenn man als Stammkunde mit Stammwünschen gar nicht mehr zu sagen braucht, was man will – oder?! Eine Frau beschwerte sich nun aber darüber, dass nun auch die umstehenden Kunden ihren Namen kennen würden. Das gehe laut DSGVO nicht. Das ist so nicht korrekt. Man kann davon ausgehen, dass die Kundin ihren Namen früher einmal selbst mitgeteilt hat. Damit hat sie ihrer Namensnennung „konkludent eingewilligt“, kann dies jedoch natürlich widerrufen. Dies war jedoch schon immer so und hat nichts mit der DSGVO zu tun. Schließlich hat die Fleischerei den Namen der Kundin ja nicht auf intransparenten Wegen recherchiert. Marketing-Experten raten: Kundenwünsche immer berücksichtigen – egal, ob darauf ein Rechtsanspruch besteht oder nicht.

Tatsächlich gegen die DSGVO verstoßen hat das Social-Media-Portal „knuddels.de“. Zum ersten Mal wurde in Deutschland ein Bußgeld gemäß DSGVO verhängt: Knuddels muss 20.000 Euro Strafe zahlen, weil es die Passwörter seiner 330.000 Nutzer als Klartext (nicht verschlüsselt und nicht verfremdet/gehasht) gespeichert hat. Damit verstieß das Unternehmen laut dem zuständigen baden-württembergischen Landesbeauftragten für Datenschutz und Informationsfreiheit „wissentlich gegen seine Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gem. Art. 32 Abs. 1 a DSGVO“. Die Passwörter wurden bei einem Hackerangriff erbeutet und veröffentlicht. Anschließend kam Knuddels aber umgehend den Pflichten der DSGVO nach und informierte sowohl seine Nutzer als auch die Behörde über die Datenpanne. Danach wurden die Sicherheitsstandards deutlich erhöht und eine sechsstellige Summe in die IT-Sicherheit investiert. Der Datenschutzbeauftragte würdigte diese Maßnahmen und verhängte daher nur ein vergleichsweise mildes Bußgeld von 20.000 Euro (entspricht ca. 1% des Jahresumsatzes von Knuddels) – schließlich wolle man den Datenschutz verbessern, und nicht Unternehmen finanziell ruinieren. Ein gutes Zeichen!

Vielleicht es ist Ihnen beim Weihnachts-Shopping aufgefallen: Mehrere Supermärkte werben damit, dass man jetzt auch mit PayPal bei Ihnen bezahlen könne. Zur gleichen Zeit wurde ApplePay endlich auch im bargeldverliebten Deutschland eingeführt. Google war bereits ein halbes Jahr schneller. Allerdings sind in beiden Systemen nur eine Handvoll Banken dabei, Google lässt aber immerhin auch PayPal als Zwischen-Dienstleister zu. Immerhin 60 Prozent der Kassen im Einzelhandel sind hierzulande mit NFC (Near Field Communication)-Technologie ausgestattet und können somit theoretisch für mobiles bzw. kontaktloses Bezahlen genutzt werden. In Deutschland zeigen sich jedoch fast zwei Drittel der Bevölkerung skeptisch gegenüber der neuen Technik, vor allem aus Gründen der Datensicherheit. Aus demselben Grund betreiben auch heute noch 40 (!) Prozent der Deutschen kein Online-Banking. Finden Sie hier die genaue Analyse zum Datenschutz bei Apple Pay und bei Google Pay und fällen Sie dann Ihr eigenes Urteil…

Das war noch einmal der Blick in den Rückspiegel. Nun ein kleiner Vorausblick auf 2019:

Ab 07. Januar gibt es einen neuen Bundesdatenschutzbeauftragten. Nach Ablauf der fünfjährigen Amtszeit von Andrea Voßhoff (CDU) tritt nun Ulrich Kelber (SPD) dieses Amt an. Seine Hauptaufgabe liegt in der Überwachung aller Datenschutz-Vorschriften in Deutschland. Er erklärt auch mögliche Risiken bei der Verarbeitung personenbezogener Daten. Kelber ist seit 2005 mit politischen Aufgaben im Bereich Verbaucherschutz vertraut und war u.a. vier Jahre lang Staatssekretär in diesem Bereich. Auf seiner Webseite hat Ulrich Kelber seine Agenda schon einmal grob umrissen.

Wussten Sie, dass auch die UN einen Sonderberichterstatter für das Recht auf Datenschutz und Privatsphäre haben? Das Amt wurde 2015 auf Betreiben Deutschlands und Brasiliens vom UN-Menschenrechtsrat geschaffen als Reaktion auf die Enthüllungen Edward Snowdens – der, soweit man weiß, übrigens immer noch im Exil in Russland lebt. Das Amt des globalen Datenschutzbeauftragten wird von Joseph Cannataci aus Malta ausgeübt. Netzpolitik.org hat ihn zum Interview getroffen, das Sie hier nachlesen können. Es geht u.a. um seine 5 Top-Prioritäten beim Datenschutz, die globale (jedoch verblassende) Vorreiter-Rolle Deutschlands und den Einfluss der Digitalisierung auf den Datenschutz, die Demokratie und digitale Grundrechte.

Letzter Punkt kann insbesondere in autoritären Staaten zu erheblichem Datenmissbrauch führen. So führt China gerade landesweit ein digitales „Social Credit System“ ein, das jeden Chinesen wie eine Rating-Agentur bewertet – eine Dystopie scheint hier Realität zu werden.

Eine Utopie hingegen plant die EU: Die neue ePrivacy-Verordnung soll die Privatsphäre bei der Online-Kommunikation in Europa stärken und so die DSGVO vollenden. Wir erinnern uns: Ziel der DSGVO ist es, dass jeder Herr seiner eigenen Daten ist. Privatsphäre soll zur Standard-Einstellung werden: User sollen bereits im Browser das Speichern von Cookies von Dritten blockieren können. Dadurch wird Tracking durch Datensammler ein Riegel vorgeschoben. Große Tech-Firmen laufen Sturm dagegen, da ihre Goldgrube, die personalisierte Werbung, so unmöglich werden würde. Österreich, das den Ratsvorsitz der EU bis zum Jahreswechsel innehatte, ist nach Recherchen von netzpolitik.org sehr offen für die Ohren der Lobbyisten und hat die Verordnung ausgebremst und verwässert. Und Nachfolger Rumänien ist nicht gerade als Datenschutz-Vorreiter bekannt. Es bleibt spannend. Ich halte Sie auf dem Laufenden.

Quellen: