Eine klassische Situation, wo „der Datenschutz“ nur Kopfschütteln auslöst: In Bayern haben zwei Männer falsch geparkte Autos fotografiert und Anzeige gegen die Halter bei der Polizei erstattet – aber daraufhin selbst eine Verwarnung inkl. 100 Euro Bußgeldforderung vom bayrischen Landesamt für Datenschutzaufsicht bekommen. Sie hätten nämlich personenbezogene Daten rechtswidrig verarbeitet, da auf den Fotos auch gewisse Zusatzinformationen enthalten sein könnten (!), z.B. andere Verkehrsteilnehmer, Lackschäden, Sticker am Auto. (Die Strafe fürs Falschparken beträgt übrigens selten mehr als 55 Euro!)
Um einen Falschparker zu melden, meinte die Behörde im Rahmen der Verhandlung vor dem Verwaltungsgericht Ansbach, würde es aus datenschutzrechtlicher Sicht ausreichen, der Polizei den Ort, das KFZ-Kennzeichen und die Uhrzeit mitzuteilen. Ob Polizei und Ordnungsamt nur anhand dieser Angaben aktiv werden, kann man bezweifeln – zumal die Polizei die beiden Männer nach deren Aussage sogar aufgefordert hatte, die Parksituation zum Beweis mit Fotoaufnahmen möglichst genau zu dokumentieren. Und obwohl die Angeklagten darauf achteten, dass auf ihren Fotos keine Menschen zu sehen sind und die Fotos ausschließlich mit den zuständigen Behörden geteilt werden, hat die Polizei dann selbst die Vorgänge an die Datenschutzbehörde gemeldet!
Das Gericht hatte nun zu klären, wie das „berechtigte Interesse“ der Beteiligten auszulegen sei – ob dafür eine persönliche Betroffenheit vorliegen muss (wobei auch das vorliegend der Fall gewesen zu sein scheint, da z.B. Radwege blockiert waren) oder ob es insgesamt im Interesse der Allgemeinheit liegt, wenn man solche Verstöße meldet. Das Verwaltungsgericht urteilte letztlich, dass es sich um eine rechtmäßige Datenverarbeitung gehandelt hat. Die konkrete Urteilsbegründung liegt bisher noch nicht vor, auch rechtskräftig ist das Urteil noch nicht. Das Urteil stellt einen Präzedenzfall dar, gilt allerdings erst einmal nur in Bayern.
Da es einiges an Neuigkeiten in letzter Zeit gab, folgen nun mehrere kleine Meldungen:
US-Präsident Joe Biden hat am 7. Oktober die „Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities” unterzeichnet. Sie soll den Datenschutz auf Drängen der EU in den USA stärken, sodass bald ein Nachfolger für „Privacy Shield“ auf den Weg gebracht werden kann. Der Entwurf für dessen Nachfolger trägt den Arbeitstitel „EU-U.S. Data Privacy Framework“ und könnte im Frühling 2023 in Kraft treten. Das heißt aber, erst deutlich nach Auslaufen der EU-Standardvertragsklauseln am 27. Dezember 2022! Hier gibt es einen Überblick zum aktuellen Stand beim Datenschutz zwischen der EU und den USA.
Allerdings besteht wohl nicht die Gefahr, dass CIA & Co. herumspionieren, sondern auch z.B. Apple, das wohl einfach die eigenen Datenschutz-Richtlinien bei internen Apps ignoriert. Dass es auch bei Twitter drunter und drüber geht, ist Ihnen sicher nicht entgangen. Unklar ist, wohin die Reise unter Elon Musk geht und wie es um den Datenschutz oder auch den Umgang mit Hate Speech geht. Der Bundesdatenschutzbeauftragte Ulrich Kelber hat sich von Twitter nun komplett verabschiedet und nutzt Mastodon nun als Hauptkanal.
Kürzlich hat der BfDI auch neue Empfehlungen zum Datenschutz von Kindern veröffentlicht. Gerade vor Weihnachten eine Lektüre wert, wenn wohl wieder zahlreiche neue Gadgets unter dem Tannenbaum liegen. Aktuelle Studien zeigen auch, dass das Wissen bzw. die Sorge um Datenschutz bei Kindern und Jugendlichen stark abgenommen hat. In einer aktuellen Schweizer Studie gaben nur 60% der befragten Jugendlichen an, ihre Privatsphäre im Netz zu schützen, sodass beispielsweise Fotos oder Videos nur für bestimmte Kontakte sichtbar sind – ein Minus von 24% gegenüber 2012! Allerdings sind heute auch Apps mit sich selbst zerstörenden Nachrichten wie Snapchat deutlich populärer als vor zehn Jahren, als Facebook noch dominant war. Kommunizieren, Recherchieren und Lernen mittels digitaler Tools müssen Azubis nicht mehr „lernen“, aber im Umgang mit Datensicherheit haben sie großen Nachholbedarf. Das Institut der deutschen Wirtschaft kam neulich zu dem Ergebnis, dass nur 16% der Azubis gute Vorkenntnisse zu Datenschutz und -sicherheit mitbringen würden.
Da es andererseits wohl unglaubliche 90% aller Apps mit dem Datenschutz nicht so genau nehmen und personenbezogene Daten von Nutzern erheben, ohne dass diese eingewilligt haben, ist es zu begrüßen, dass immerhin schon sieben von zehn Unternehmen in Deutschland ihre Mitarbeiter zum Thema Datenschutz schulen. So ist es kaum verwunderlich, dass viele Menschen in der EU Unternehmen in Sachen Datenschutz kaum vertrauen. Positiv wird aber auch z.B. der DSGVO zugerechnet, dem Themenfeld eine viel größere Aufmerksamkeit verschafft zu haben.
So haben 14 Bürgerrechtsorganisationen kürzlich die Kampagne „Stop Scanning Me“ gestartet, die sich gegen die Pläne der EU-Kommission wendet, Chats auf Darstellungen sexualisierter Gewalt gegen Kinder automatisiert zu durchleuchten. Die Pläne zur „Child Sexual Abuse Regulation” (CSAR) sehen vor, dass Messengerdienste die privaten Nachrichten ihrer Nutzer, auch verschlüsselte, abgreifen (sog. „Client Side Scanning“) oder aber die Verschlüsselung selbst brechen müssen. Kritiker bemängeln, dass die EU damit eine Überwachungsinfrastruktur von bisher ungekanntem Ausmaß errichten würde, statt in den Kinderschutz zu investieren und die zuständigen Behörden finanziell wie personell besser auszustatten. Ein Pilotprojekt in Irland führte in 8 von 10 Fällen nämlich zu Falschmeldungen und damit sogar noch zu erheblichen Mehrbelastungen der Behörden. Womöglich eröffnet diese Maßnahme auch den Vorwand, irgendwann für andere Zwecke mitzulesen…
Apropros Messenger: Der „Digital Markets Act“ und der „Digital Services Act“ sind in Kraft getreten. So wird z.B. den Messengerdiensten in der EU Interoperabilität verordnet. Bald muss es möglich sein, über WhatsApp auch Kontakte zu erreichen, die nur Telegram, Signal oder Threema haben. Andererseits sollen Nutzer ohne WhatsApp auch mit eben solchen kommunizieren dürfen. Für WhatsApp und Facebook gibt es aber noch eine Übergangsfrist von zwei Jahren, für WhatsApp-Gruppenchats sogar vier Jahre. Telegram hat übrigens gerade ein Bußgeld in Höhe von fünf Millionen Euro kassiert, weil es das neue Netzwerkdurchsetzungsgesetz nicht umsetzt und z.B. keine der im Gesetz vorgeschriebenen Meldewege für strafrechtlich relevante Inhalte implementiert. Und die Pläne von Mark Zuckerberg für das Metaversum heben das Thema Datenschutz auch nochmal auf ein ganz neues Level.
Dass Katar nicht nur bei den Menschenrechten, sondern auch in Sachen Datenschutz rund um die Fußball-WM kein Vorreiter ist, kommt jetzt wahrscheinlich nicht überraschend. Durchaus beeindruckend (nicht im positiven Sinne) ist auch, wie viele Daten Vermieter und Makler heutzutage immer noch im Rahmen von Wohnungsbesichtigungen und -vergaben von potenziellen Mietern einfordern – teilweise kann man den Eindruck gewinnen, der Wohnungsmarkt wäre ein datenschutzfreier Raum. Gut, dass jetzt Hamburgs Datenschutzbeauftragter Thomas Fuchs die Datensammelwut ins Visier nimmt und z.B. Bewerbungsbögen für Mietwohnungen genau unter die Lupe nehmen will. Das Verlangen einer Schufa-Auskunft schon bei der Bewerbung um eine Wohnung wertet er als eindeutig rechtswidrig. Grenzwertig sei z.B. auch die Forderung nach einem Gehaltsnachweis schon beim ersten Kontakt. Ich bin gespannt auf die Ergebnisse seiner Untersuchungen.
Im Juni gab es übrigens auch ein Urteil vom Oberlandesgericht Schleswig-Holstein, wonach die Schufa Schuldnerdaten nur zeitlich begrenzt verwerten und Daten über Insolvenzen nicht länger speichern darf, als die Daten im Insolvenzregister gespeichert werden. Es verurteilte die Schufa, ihre zum Kläger gespeicherten Daten zu löschen und dessen Score-Wert künftig so zu berechnen, dass keine Informationen zu seinem früheren Insolvenzverfahren berücksichtigt werden.
Und vielleicht noch ein Tipp vor Weihnachten, falls Sie vorhaben, auszumisten: Wer personenbezogene Daten auf einem Computer nicht löscht und diesen weiterverkauft, verstößt – Sie ahnen es – gegen die DSGVO. Konkret hat eine Computer-Firma auf einem gebrauchten Gerät, das sie von einem Kunden zurückgesendet bekommen hat, die personenbezogenen Daten vor dem Weiterverkauf nicht gelöscht. Sie musste nun 800 Euro Schmerzensgeld an den Erstbesitzer des Geräts zahlen, obwohl sie ihn darauf hingewiesen hatte, dass Daten von der Festplatte selbstständig zu löschen seien. Laut Gericht kann man sich so aber nicht seiner Verantwortung für eine rechtmäßige Datenverarbeitung entziehen.
Nun denken Sie aber auch mal an etwas anderes als Datenschutz. ;-)
Ich wünsche Ihnen und Ihren Lieben eine schöne Adventszeit, frohe Weihnachten und dann einen guten Rutsch ins neue Jahr!