Datenschutz-News im Mai: DSGVO-Bußgeldbescheide gegen Unternehmen als Ganzes? +++ Luca-App +++ Schafft Google wirklich das Cookie-Tracking ab? +++ Facebook-Leak

Diese Woche fange ich mal mit dem Problem „Wohnen in Berlin“ an. Da denken Sie vielleicht zuerst an den gescheiterten Berliner Mietendeckel und die jetzt umso mehr angeheizte Enteignen-Initiative. Aber wir sind ja ein Datenschutz-Blog. Die interessante Nachricht war in dem Sinne der Bußgeldbescheid über 14,5 Millionen Euro gegen die „Deutsche Wohnen“, den die Behörde der Datenschutzbeauftragten Maja Smoltczyk gegen Berlins größten privaten Vermieter im Herbst 2019 erlassen hat. Es handelt(e) sich um das bis dato höchste DSGVO-Bußgeld in Deutschland.

Was war geschehen? Das Unternehmen soll persönliche Daten seiner Mieter unerlaubt viel zu lange gespeichert haben: Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder Informationen über finanzielle Verhältnisse von Mietern lager(te)n offenbar noch jahrelang im Archiv des Unternehmens und könnten so weiterhin eingesehen und verarbeitet werden. In der Regel handelte es sich dabei um Unterlagen, die Mietinteressenten vor Abschluss eines Mietvertrags zum Nachweis ihrer Bonität vorlegen müssen: Einkommensnachweise, Schufa-Auskünfte, Arbeitsverträge. Von Rechts wegen müssen diese Unterlagen jedoch mit Abschluss des Mietvertrags vernichtet werden! Darauf hat das Immobilienunternehmen offenbar verzichtet (und ist damit bestimmt nicht alleine – Tipp für alle Vermieter!).

Auch beim Düsseldorfer Wohnungskonzern LEG war im Juli 2019 vorübergehend ein Mieter-Portal abgeschaltet worden, nachdem ein Informatikstudent Sicherheitslücken öffentlich gemacht hatte. Ohne besondere Computerkenntnisse war es möglich, sämtliche Daten anderer Mieter abzurufen. Der Student wurde von der LEG angezeigt. Die massive Speicherung von Mieterdaten kommt offenbar häufiger vor und Vermieter machen sich oftmals wenig Gedanken darüber, ob die Daten überhaupt gespeichert werden dürften. Wohnungsunternehmen haben zwar Vorhaltepflichten, bei den personenbezogenen Daten der Mieter müssen sie aber bestimmte Löschfristen beachten.

Zurück nach Berlin: Die „Deutsche Wohnen“ hatte Einspruch gegen den Bußgeldbescheid eingelegt. Denn es seien keinerlei Daten von Mietern datenschutzwidrig an unternehmensfremde Dritte gelangt, zudem habe man bereits 2017 „umfangreiche personelle und prozessuale Veränderungen eingeleitet, um den aktuellen Datenschutzanforderungen vollumfänglich gerecht zu werden“. Das Landgericht Berlin hat den Bescheid nun vor einigen Wochen für unwirksam befunden, da dieser keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens machen würde. Damit vertritt das Gericht die Ansicht, dass Bußgeldbescheide gegenüber Unternehmen wegen DSGVO-Verstößen grundsätzlich nicht möglich sind – sondern nur gegen Organe der Unternehmen (also nicht gegen juristische, sondern nur gegen natürliche Personen).

Gegen den Beschluss hat die Staatsanwaltschaft wiederum Anfang März Beschwerde eingelegt. Wenn keine Beschwerde eingelegt worden wäre, dann wären in Berlin für die dort tätigen Unternehmen im Hinblick auf Bußgeldrisiken wohl ganz entspannte Zeiten angebrochen. Und natürlich würde so eine Entscheidung auch in anderen Verfahren bei anderen Gerichten für Aufmerksamkeit sorgen. Es bleibt also spannend, wie das Berliner Kammergericht als nächste Instanz entscheiden wird. In Österreich hat sich die Berliner Auffassung auch schon beim dortigen Bundesverwaltungsgericht durchgesetzt. In Deutschland steht der Gang durch die Instanzen noch aus – ggf. bis hoch zum EuGH.

Das Ganze zeigt aber, dass es sich grundsätzlich lohnt, gegen Bußgeldbescheide oder auch sonstige Sanktionen von Aufsichtsbehörden gerichtlich vorzugehen. Wenn jetzt die Entscheidung des Landgerichts nicht noch revidiert wird, dann kann die Berliner Aufsichtsbehörde den bereits per Bußgeldbescheid sanktionierten behaupteten Verstoß nicht noch einmal mit einem Bußgeld belegen. Insoweit gilt der Grundsatz, dass man nicht zweimal wegen derselben Tat angeklagt bzw. bestraft werden darf.

Darüber hinaus hat die Vergangenheit, z.B. das Verfahren gegen 1&1, gezeigt, dass im Gerichtsverfahren das ursprüngliche Bußgeld häufig reduziert werden kann. Ärgern kann sich hingegen beispielsweise H&M, dass sein Bußgeld über gut 35 Millionen Euro einfach hingenommen hat, ohne dies gerichtlich prüfen zu lassen.

Auch Booking.com muss eine DSGVO-Strafe zahlen – jedoch vergleichsweise geringe 475.000 Euro – weil ein Meldefall den Behörden erst nach 22 Tagen gemeldet wurde (statt binnen 72 Stunden). Konkret hatten hier Hotels Ende 2018 aus Versehen Kontodaten von 4000 Kunden an Betrüger weitergegeben.

Um die Corona-Nachrichten kommen wir auch diesen Monat nicht herum – ich versuche sie aber kurz zu halten: In Wien waren in einer Teststraße die Zugangsdaten für Mitarbeiterkonten für Besucher mit freiem Auge ersichtlich. Die unsicheren Login-Informationen gewährten einen Zugriff auf Gesundheitsdaten aus über 200.000 Testungen.

Und auch die zwischenzeitlich stark gehypete App „Luca“ als Alternative bzw. Ergänzung zur offiziellen Corona-Warn-App taugt datenschutzrechtlich nicht so recht, da sie deren größten Trumpf, die dezentrale Speicherung und die Transparenz des Quellcodes aushebelt. So sind sogar Bewegungsprofile mit einfachen Programmierkenntnissen auslesbar – der Chaos Computer Club forderte polemisch eine „Bundesnotbremse“ für die App. Die Datenschutzkonferenz der Bundesländer konnte sich immerhin darauf einigen, Nachbesserungen zu fordern.

Mal etwas vermeintlich Positives von Google: Die Suchmaschine schafft das Cookie-Tracking ab, also das Sammeln von Daten zu Werbezwecken – aber ganz uneigennützig ist das natürlich nicht: „Menschen sollten nicht akzeptieren müssen, im gesamten Web getrackt zu werden, um die Vorteile relevanter Werbung zu genießen“, so die Google-PR.

Cookies werden bei Webseiten-Besuchen automatisch heruntergeladen und schicken Daten des Nutzers zurück an die Seitenbetreiber. Dies dient Konzernen dazu, Profile ihrer User zu erstellen, mit denen sich zielgerichtet personalisierte Werbung schalten lässt.

Tatsächlich tritt zukünftig wohl der Browser selbst an die Stelle der Cookies beim Thema Datensammeln – und Google Chrome ist der am weitesten verbreitete Browser. Wäre ja auch zu schön, wenn das Tracking ohne doppelten Boden tatsächlich abgeschafft werden würde…

Anstelle von individuellen Profilen sollen Gruppen von Menschen Werbung auf Basis ihrer Interessen angezeigt bekommen. Dafür werden „Kohorten“ mit ähnlichen Interessen gebildet, auf die Werbung zugeschnitten werden soll. Die Merkmale der Kohorten sollen breit genug zugeschnitten sein, damit die Anonymität des/der Einzelnen darin gewahrt bleibt. Die Daten sammeln künftig also nicht mehr Cookies, sondern der Browser. Jede URL einer Webseite, jeder aufgerufene Inhalt kann dann in einen Targeting-Algorithmus von Google einfließen. Der Algorithmus teilt dann Nutzer*innen in eine Kohorte von Menschen mit ähnlichen Interessen ein. Diese Zuteilung soll lokal auf dem Rechner der Betroffenen passieren, so dass keine Daten mehr im Internet landen.

Während also Cookies von Drittparteien langsam aus dem Netz verschwinden dürften, ersetzt Google sie fast nahtlos durch ein System, das der Konzern fast vollständig kontrolliert. Und das verkaufen sie uns dann wiederum als datenschutzfreundliche Verbesserung…

Ein Dauergast meines Blogs fehlt noch: Richtig, Facebook! Mal wieder sind Telefonnummern, E-Mail-Adressen, Geburtsdaten und andere Daten von hunderten Millionen Usern dort entdeckt worden, wo sie nicht hingehören: in einem Hacker-Forum. Laut dem Unternehmen handelte es sich um „alte Daten“ aus dem Sommer 2019. Das Problem: Wenn solche Daten im Umlauf sind, lassen sich mit den Informationen z.B. realistischere Spam-E-Mails verschicken, auf die Nutzer dann eher hereinfallen. Sind diese durch „Scraping“ gewonnenen Daten erstmal online gesammelt und veröffentlicht, kann ihre Verbreitung im Netz kaum noch gestoppt werden. Die geleakten Daten ermöglichen potenziellen Tätern außerdem, Betroffene mit Anrufen zu belästigen oder sogar deren Aufenthaltsort auszuspähen. Auch rund 50 Bundestagsabgeordnete waren wohl betroffen – wurden aber erst acht Tage nach Bekanntwerden des Leaks gewarnt, ebenso wie andere Betroffene. Wie war das noch gleich mit der 72-Stunden-Frist?

Facebook selbst hat angekündigt, die Nutzerinnen und Nutzer nicht über den Vorfall zu benachrichtigen – da es sich nicht um einen Hack, sondern eben um „Scraping“ handele. Irland hat daraufhin ein Verfahren eröffnet. Facebook argumentiert, der Leak ginge auf das „Sammeln von Daten, die öffentlich verfügbar sind“, zurück. Herauszufinden, ob dies tatsächlich so stimmt, wird Teil der Untersuchung der irischen Datenschutzbehörde sein.

Derweil hat der Hamburger Datenschutzbeauftragte ein Eilverfahren wegen der WhatsApp-Nutzungsbedingungen eingeleitet, damit Facebook keine Daten von WhatsApp-Nutzern mehr erheben und zu eigenen Zwecken verarbeiten darf. Eine Entscheidung soll noch vor der mehr oder weniger verpflichtenden Zustimmungsfrist am 15. Mai fallen.

Manche Betroffene nehmen es derweil selbst in die Hand: Die irische Bürgerrechtsorganisation Digital Rights Ireland hat eine Massenklage angekündigt. Alle EU-Bürger, die von dem Datenleck betroffen sind, können sich ihr anschließen, um eine Entschädigung nach der DSGVO zu erstreiten und ein Zeichen gegen Datenkraken zu setzen.

Denn die Konkurrenz ist auch nicht besser: Kurz nach dem Facebook-Leak tauchten auch 500 Millionen Daten von LinkedIn in einem Hackerforum auf. Auch diese wurden wohl durch „Scraping“ zusammengestellt.

Zu guter Letzt: Ach, da war ja noch was… der Datenschutz!“: Der Bundesbeauftragte Ulrich Kelber hat der Bundesregierung vorgeworfen, seine Behörde bei Gesetzgebungsvorhaben erst in letzter Minute einzubinden – und Stellungnahmen teilweise binnen vier Stunden oder von Samstag auf Sonntag zu erwarten. Leider verfährt die Bundesregierung zunehmend auch in anderen Bereichen, nicht nur im Datenschutz so. Liegt es in der Natur des Menschen? Denn auch in KMU handelt es sich (leider) um eine gern angewandte Strategie, den Datenschutzbeauftragten ein schon beschlossenes Konzept am Ende einfach nur pro forma abnicken zu lassen. Besser: Von Anfang an einbeziehen, damit es gut und sicher wird. Dafür können Sie uns gerne anfragen.