Datenschutz – Irland – Facebook: eine never ending Story?
Es lohnt sich immer, einen Blick ins Handesblatt zu werfen. Unter anderem unsere ehemalige Justizministerin, Fr. Katarina Barley, aber auch der Hamburger Landesdatenschützer Hr. Johannes Caspar und die Landesdatenschützerin Schleswig-Holsteins, Fr. Marit Hansen fordern in einem Artikel des Handelsblattes eine europäische Datenschutzbehörde.
Angesichts der Untätigkeit der irischen Datenschutzbehörde gegen große Konzerne wie Facebook, und das aktuelle Verfahren, das als schwerfällig, überbürokratisch und ineffizient kritisiert wird, könnte eine europäische Datenschutzbehörde, unabhängig davon, wo ein Konzern seine Steuern zahlt, frei entscheiden. Eine Einflussnahme der Mitgliedstaaten sei so weitgehend unterbunden. Aktuell kann die federführende Behörde, durch die ihr übertragenen Rechte, jede Aktion gegen große Player zum Erliegen bringen.

Mehr zur App Clearview
Wie bereits im Februar hier berichtet (Schöne neue Welt…), gibt es in Amerika, wo sonst, ein Unternehmen, das eine riesige Fotodatenbank von mehr als drei Milliarden Fotos aus öffentlich zugänglichen Quellen erstellt hat und diese, per App, seinen Kunden zu Verfügung stellt, angeblich nur zur Identifikation von Straftätern. Die Kunden von Clearview seien überwiegend Behörden.
So berichtete die New York Times (NYT).
Nun wurde Clearview gehackt. Unbekannte haben sich Zugang zu Kundenlisten und Nutzerkonten verschafft. Wie das passieren konnte, wird nicht verraten, nur versichert, dass die Server und die Suchverläufe der Kundenkonten unangetastet blieben. Die Schwachstelle des Systems sei inzwischen geschlossen und die Sicherheit der Plattform soll erhöht werden, so ein Anwalt der Firma.
Die Quellen der Fotos, die Clearview zur Verfügung stellt, nämlich Twitter, Facebook, Google (YouTube) und der Mobile-Payment-Service Venmo, mahnten Clearview nun ab. Sie fordern, dass das bisher gesammelte Material gelöscht wird. Das Abgreifen der Fotos verstößt gegen die Nutzungsbedingungen von YouTube, die ausdrücklich die Nutzung zur Identifikation von Personen untersagt.

Mein Auto – mein rollender Computer
Moderne Autos sind informationstechnisch hochgerüstet und verfügen über vielfältige Schnittstellen.
Bereits vor fünf Jahren wurde mit einem Auto-Hack klargestellt, was ein Cyberangriff auf ein vernetztes Auto bedeutet. Bei einem Jeep Cherokee gelang es, während der Fahrt die Kontrolle über Steuer, Lenkung, Gas und Bremse zu bekommen. Die Schwachstelle war eine Funk-Internetverbindung einer unsicheren Schnittstelle des Bord-Entertainment-Systems.
Die Autos haben sich inzwischen weiterentwickelt, aber die Sicherheit auch? Jedes moderne Auto hat über 100 Steuergeräte, die angreifbar sind.
Im November soll endlich die ISO-Norm „Road vehicles – Cybersecurity engineering“ dazu beitragen. Autohersteller werden verpflichtet, ein Cyber-Security Management-System (CSMS) einzuführen. „Security by Design“ in der Produktentwicklung und der Zuliefererkette ist das Ziel. Sicherheitsvorkehrungen werden für alle Systeme und Anwendungen vorgeschrieben, ein zentrales Sicherheitscenter (SOC) soll Vorfälle erkennen und bearbeiten.
Probleme müssen, statt aus dem Auto in die Cloud übertragen zu werden, im Fahrzeug analysiert werden. Das Ergebnis der Analyse soll anonymisiert und verschlüsselt zur Diagnose und Bewertung an ein zentrales Sicherheitscenter übermittelt werden. Das bedeutet, dass das Analysesystem muss im Auto verbaut werden. Ein weiteres Stück IT.
Was noch ungeklärt im Raum steht ist die Frage, wer bei einem Hack die Internetverbindung unterbricht, wie mit Sicherheitsupdates umgegangen werden soll und wer sich nach dem Hack um die Auto-IT kümmert.

Die Datenschutz Zertifizierung kommt
In Art. 42 der DSGVO ist eine Zertifizierung zum Datenschutz, die die Mitgliedsstaaten einführen können, vorgesehen.
Auf der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 13.Februar 2020 wurde per Pressemitteilung veröffentlicht:
„Im Rahmen der Konferenz der 18 unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder haben diese am 29. Januar 2020 in Berlin eine Kooperationsvereinbarung mit der DAkkS über die Akkreditierung von Zertifizierungsstellen im Sinne des Art. 43 DS-GVO geschlossen.“
Damit wird geregelt, dass die DAkkS Zertifizierungsstellen, im Einvernehmen mit den Aufsichtsbehörden, akkreditieren kann.
Der volle Text und eine Übersichtsgrafik der DSK zum Workflow der Akkreditierung von Zertifizierungsstellen, sind hier einzusehen: https://www.datenschutz.saarland.de/fileadmin/user_upload/uds/PM/2020/Kooperationsvereinbarung_Akkreditierung_DAkkS.pdf
Die Akkreditierungen sollen bundesweit gelten, die regionale Zuständigkeit der Aufsichtsbehörden bleibt unverändert.
Die Aufsichtsbehörde wird Mitglieder für den Akkreditierungsausschuss stellen und die Zertifizierungsstellen im Rahmen der Akkreditierung mit der DAkkS zusammen begutachten. Die Zertifizierungsstellen werden regelmäßig durch die Aufsichtsbehörde überprüft.

Seuchen-Überwachung per Handyortung auch in Deutschland?
Das Robert-Koch-Institut und das Heinrich-Hertz-Institut der Fraunhofer Gesellschaft beschäftigen sich mit der Frage, ob unsere Handys dazu beitragen können, die Ausbreitung der Corona-Erkrankung zu beeinflussen.
Südkorea macht es vor. In Südkorea informiert eine App, ob und wo sich Corona-positiv getestete, also infizierte Menschen aufgehalten haben. Die Information kann man vorab abrufen, man wird aber auch zeitnah informiert, wenn man sich einer Infektionsquelle nähert. Die Daten stammen aus Standortdaten der Handys und über die Verwendung von Kreditkarten.
Wäre das bei uns in Deutschland auch möglich? Alle Überlegungen sind in einem frühen Stadium, es muss vieles noch geklärt werden. Die Rechtsgrundlage zum Beispiel. Die Handyortung stellt einen massiven Eingriff in die Privatsphäre dar, wie auch der BfDI Prof. Ulrich Kelber zu bedenken gibt.
Die Nutzung von Funkzellendaten hält er, wegen der im Gegensatz zu GPS-Daten nur groben Lokalisierung, für unverhältnismäßig. Der Erkenntnisgewinn sei zu gering, um die Maßnahme vor dem Grundgesetz zu rechtfertigen.
Eine informierte Einwilligung wäre möglich, wobei sie widerrufen werden kann.
Das Infektionsschutzgesetz (IfSG) bietet mit § 16 eine staatliche Handhabe „alle notwendigen Maßnahmen zur Abwendung der dem Einzelnen oder der Allgemeinheit drohenden Gefahren“ zu treffen. Dazu gehört auch die Zwangsvorführung eines Infizierten beim Gesundheitsamt zur Entnahme von Untersuchungsmaterial z.B. Blutabnahmen. Für invasive Eingriffe muss aber eine Einwilligung eingeholt werden.
Die Medizinische Hochschule Hannover und die Hamburger Firma Ubilabs arbeiten an einer Datenplattform mit App, die dazu beitragen soll, bessere Prävention zu betreiben, um die Ausbreitung der Erkrankung zu verlangsamen.
Sie setzen dabei auf „Datenspenden“ von Infizierten, die den Standortverlauf ihrer Handys anonym zur Verfügung stellen („Spread the app, not the virus“). Es sollen dabei keine Funkzellendaten verwendet werden. Nutzer der App sollen anonymisiert ermitteln können, ob sie Kontakt zu Infizierten hatten. Die App gibt den Grad der Wahrscheinlichkeit in Ampelfarben an, und empfiehlt bei Rot einen Arzt aufzusuchen, bei Gelb, auf Symptome zu achten und gibt mit Grün Entwarnung. Das Projekt soll demnächst über Crowdfunding notwendige Mittel und Interessierte einbringen. Das Projekt wird aktuell nicht von staatlichen Stellen gefördert.

Neues Urteil zur Abmahnfähigkeit von Datenschutzverstößen
Wie an dieser Stelle im Mai 2019 berichtet, hatte der Interessenverband deutscher Online-Unternehmer gegen einen Händler für KFZ-Zubehör geklagt, der seine Ware über die Online-Handelsplattform eBay vertreibt. Er habe versäumt, Betroffene über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten zu unterrichten und verstoße damit gegen § 13 TMG und Art. 13 DS-GVO. Es wurde im Namen von 100 Onlinehändlern ein Unterlassungsanspruch gemäß § 8 Abs.1 UWG i.V.m. §§3,3a UWG geltend gemacht.
Das Landgericht Stuttgart hatte die Klage als zulässig angesehen, aber als unbegründet beurteilt.
Das Oberlandesgicht Stuttgart hat nun die Berufung verhandelt und kam zu folgendem Urteil:
„1. Der Beklagte wird verurteilt, es bei Vermeidung eines vom Gericht in jedem Fall der Zuwiderhandlung festzusetzenden Ordnungsgeldes bis zu 250.000,00 Euro, ersatzweise Ordnungshaft, oder Ordnungshaft bis zu sechs Monaten, zu unterlassen, im geschäftlichen Verkehr mit dem Verbraucher betreffend Kraftfahrzeugzubehör eine Website/Homepage selbst oder durch Dritte zu unterhalten, auf der zu geschäftlichen Zwecken personenbezogene Daten erhoben werden, ohne dass eine Datenschutzerklärung nach Artikel 13 Absatz 1 und 2 Datenschutz-Grundverordnung der EU (DSGVO 2016/679) vom 27. April 2016 in deren Geltungsbereich vorgehalten wird, jeweils wie nachstehend wiedergegeben: <es folgt die Abbildung eines Angebotes bei eBay>
2. Im Übrigen wird die Klage abgewiesen.“
Damit ist nun ist in der zweiten gerichtlichen Instanz festgestellt worden, dass die DSGVO einen Anwendungsvorrang gegenüber dem TMG hat. Ein Verstoß gegen Art. 13 DSGVO wird auch vom OLG bestätigt.
Zur Abmahnfähigkeit hat das OLG eine andere Ansicht als die Vorinstanz. Die DSGVO sei nicht abschließend, sondern könne durch nationale Normen ergänzt werden. Diese sind, wenn sie geeignet sind, die Rechtsdurchsetzung zu erleichtern, zulässig. Als solche sieht das OLG Stuttgart die Möglichkeit des wettbewerbsrechtlichen Vorgehens gegen DSGVO-Verstöße an.
Bestimmungen einer EU-Verordnung seien nicht von sich aus abschließend, vielmehr könne eine europäische Verordnung durch nationale Normen ergänzt werden, wenn dadurch die unmittelbare Anwendbarkeit der Verordnung nicht vereitelt wird. Nationale Normen, welche geeignet sind die Rechtsdurchsetzung zu erleichtern seien nach dem Willen der DSGVO zulässig. Eben solch eine Erleichterung sieht das OLG grundsätzlich in der Möglichkeit des wettbewerbsrechtlichen Vorgehens nach dem UWG gegen DSGVO-Verstöße. § 8 Abs. 1 und Abs. 3 Nr. 2 UWG i.V.m. § 3a UWG bleibt anwendbar, wenn ein Verstoß gegen Marktverhaltensregelung vorliegt.
Dazu das OLG Stuttgart:
„Eine Vorschrift, die dem Schutz von Rechten, Rechtsgütern oder sonstigen Interessen von Marktteilnehmern dient, ist eine Marktverhaltensregelung, wenn das geschützte Interesse gerade durch die Marktteilnahme, also durch den Abschluss von Austauschverträgen und den nachfolgenden Verbrauch oder Gebrauch der erworbenen Ware oder in Anspruch genommenen Dienstleistung berührt wird. Nicht erforderlich ist dabei eine spezifisch wettbewerbsbezogene Schutzfunktion in dem Sinne, dass die Regelung die Marktteilnehmer speziell vor dem Risiko einer unlauteren Beeinflussung ihres Marktverhaltens schützt. Die Vorschrift muss aber zumindest auch den Schutz der wettbewerblichen Interessen der Marktteilnehmer bezwecken.“

Die Datenschutzkonferenz zum Thema Datenschutz in Corona-Zeiten
Aufgrund zahlreicher Anfragen von Arbeitgebern und Dienstherren, wie mit den personenbezogenen Daten von Mitarbeitern, Kunden, Lieferanten und Besuchern im Rahmen der Corona-Pandemie umzugehen ist, hat die Datenschutzkonferenz dazu Informationen zur Verfügung gestellt:
https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5216976