Nach dem Schufa-Urteil des EuGH vom Dezember 2023 will die Bundesregierung das Bundesdatenschutzgesetz (BDSG) ändern und stärker beschränken, welche Faktoren Auskunfteien für die Berechnung ihrer Scores heranziehen dürfen. So sollen u.a. die Wohnadresse bzw. Postleitzahl („Geo-Scoring“) und wie oft man umzieht, der Name und die (ggf. vermutete) ethnische Herkunft, personenbezogene Daten aus der Nutzung sozialer Netzwerke, Gesundheitsdaten und Informationen über Ein- und Ausgänge von Zahlungen auf und von Bankkonten nicht mehr genutzt werden dürfen. Letzteres wäre eine Möglichkeit gewesen, die der EuGH in seinem Urteil noch offen gelassen hatte. Weiterhin sollen laut Gesetzesentwurf Auskunfteien wie die Schufa verpflichtet werden, auf Antrag der Verbraucher in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ unter anderem mitzuteilen, welche personenbezogenen Daten sie genutzt haben, wie diese gewichtet wurden und welche den Score am stärksten beeinflusst haben.
In letzter Zeit haben sie bestimmt schon einmal Werbung von der neuen chinesischen Online-Plattform Temu gesehen. Abgesehen davon, dass die niedrigen Preise dort sicher zulasten der Qualität gehen, ist auch aus Datenschutz-Sicht Vorsicht geboten. Es gibt Gerüchte, dass das Unternehmen bisher nur rote Zahlen schreibt und erst einmal nur aufs Datensammeln aus ist. Die App will z.B. Zugriff auf Kamera, Mikrofon die Fotogalerie und das Adressbuch. Es gibt auch Beobachtungen, dass das Tracking nicht ausgeschaltet werden kann und (wenn auch nicht eindeutig belegte) Anschuldigungen, dass Temu unbemerkt Screenshots macht, um die Nutzenden zu überwachen und selbstständig weitere Apps aufs Handy lädt. Die App der Mutterfirma von Temu namens Pinduoduo wurde aufgrund von Malware, die Schwachstellen von Android-Handys ausnutzt und den Zugriff auf private Nachrichten, das Ändern von Sicherheits-Einstellungen, das Einsehen von Daten anderer Apps und das Verhindern der Deinstallation ermöglichte, als bösartig eingestuft und aus dem Google Play Store entfernt. Im Vergleich dazu fordert Temu zwar weit weniger Berechtigungen – aber hinter beiden Apps stecken praktisch dieselben Entwickler. All das sollte man im Hinterkopf behalten und Vorsicht walten lassen – auch aus Gründen der Sicherheit, der Haftung und wegen drohender Importzölle.
Zuletzt widmen wir uns noch dem andauernden Datenschutz-Streit beim Organisationsverein des Berliner Christopher Street Day. So wollen einige Mitglieder vom Vorstand eine Mitgliederliste haben, um eine außerordentliche Mitgliederversammlung einberufen zu können (und dort eventuell notwendige Quoren zu erfüllen). Der Streit landete vor Gericht – und dieses ordnete die Herausgabe der Daten an. Wohl vor diesem Hintergrund weist die Berliner Datenschutzbeauftragte nun darauf hin, was Vereine und Parteien bei der Herausgabe eben jener Mitgliederlisten beachten müssen: Denn die Offenlegung solcher Daten ist datenschutzrechtlich besonders brisant, da die Information über die Mitgliedschaft Rückschlüsse auf politische Haltungen, die Gesundheit, religiöse oder weltanschauliche Überzeugungen, die sexuelle Orientierung oder auch die Zugehörigkeit zu einer Gewerkschaft oder sonstige besonders geschützte personenbezogene Daten zulassen kann. Dies schließt Kontextdaten mit ein, zum Beispiel bei Selbsthilfevereinen von suchtkranken Personen oder Menschen mit bestimmten Krankheiten. In all diesen Fällen ist die Weitergabe der Daten nach der DSGVO grundsätzlich untersagt. Mitglieder von politisch aktiven Vereinen und Parteien haben ein Recht darauf, dass Informationen zur Mitgliedschaft vertraulich behandelt und nicht leichtfertig offenbart werden – auch nicht gegenüber anderen Mitgliedern. Einzige Lösung des Streits ist, dass die Mitglieder eine freiwillige Einwilligung der Mitglieder zu einem konkreten Zweck einholen. Sie darf nicht einfach in der Satzung versteckt sein. Was man dort aber unterbringen sollte, sind Schlichtungsmöglichkeiten für den Fall eines Konflikts. Alternativ könnten die Daten noch an einen Treuhänder herausgegeben werden, wo durch rechtliche Bindung und technische Qualifikation sichergestellt wird, dass die Daten zweckgemäß verwendet und danach gelöscht werden.