Der Eigentümerverband Wohnen im Eigentum (WiE) bspw. lehnt die Möglichkeit, Eigentümerversammlungen vollständig online durchführen zu können, ab. Es bestehe die Gefahr, dass „ältere, hörgeschädigte, bildungsbenachteiligte und technisch nicht versierte“ Eigentümer ausgegrenzt werden und somit deren Recht an der Teilnahme an der Eigentümerversammlung als ein Kernrecht aus dem Wohnungseigentum vereitelt werde. Problematisch sei in diesem Zusammenhang insbesondere, dass es keine Rechtspflicht gibt, überhaupt eine E-Mail-Adresse zu haben. Die Ausübung des Rechts auf Teilnahme an der Versammlung wäre im Falle einer Online-Versammlung dann allerdings zwingend daran geknüpft, eine E-Mail-Adresse zu haben und diese auch bekanntzugeben. Es komme zu der widersprüchlichen Rechtslage, dass die Wohnungseigentümergemeinschaft (WEG) einen Anspruch gegenüber jedem Eigentümer hätte, eine E-Mail-Adresse zu verlangen, diese aber (ggf.) nicht weitergeben zu dürfen. Denn zumindest aktuell wird mehrheitlich vertreten, dass Miteigentümer einer WEG von der Verwaltung gerade nicht verlangen können, neben einer ladungsfähigen Postanschrift der anderen Wohnungseigentümer auch deren E-Mail-Adressen zu verlangen (vgl. als Beispiel: LG Düsseldorf, Urteil vom 04.10.2018, Az.: 25 S 22/18). Denn auch unter Berücksichtigung des elektronischen Fortschritts überwiege das schützenswerte Interesse einzelner Eigentümer, nicht von anderen Miteigentümern mittels E-Mail kontaktiert zu werden, welches sich aus dem Recht auf informationelle Selbstbestimmung ergibt. Für den Fall, dass der Beiratsvorsitzende die Wohnungseigentümer zu einer außerordentlichen Eigentümerversammlung zur Abberufung der Verwaltung einladen muss, sei es aber erforderlich, dass der Beirat die E-Mail-Adressen kennt. Schließlich verweist der Verband auch auf die Gefahr technischer Probleme, die eine Teilnahme an einer Online-Eigentümerversammlung vereiteln könnten.
Auch Dr. Oliver Elzer, Richter am Kammergericht, sowie Rechtsanwalt Urs Markus Taube aus Fürth sehen das Vorhaben kritisch. Der Gesetzentwurf verabschiede sich von zwei zentralen Rechtsgrundsätzen im Zusammenhang mit Eigentümerversammlungen, nämlich dem Recht zur Teilhabe an der Entscheidungsfindung in der Eigentümerversammlung sowie vom Grundsatz der Nichtöffentlichkeit. Letzterer insbesondere soweit der Gesetzentwurf darauf verweise, dass sich weniger technikaffine Eigentümer durch Verwandte oder Freunde unterstützen lassen könnten. Ferner sei der Datenschutz problematisch, wenn jeder Wohnungseigentümer gezwungen wäre, online an einer Versammlung teilzunehmen.
Der Verband der Immobilienverwalter Deutschland (VDIV) hingegen begrüßt den Gesetzentwurf. Die geplante Möglichkeit zur Abhaltung von Online-Eigentümerversammlungen bei einem Mehrheitsbeschluss bringe die Digitalisierung im Bereich der Eigentümerversammlung voran. Ausdrücklich begrüßt der Verband auch, dass die konkrete, technische Ausgestaltung virtueller Eigentümerversammlungen im Hinblick auf die schnelllebigen technischen Entwicklungen nicht näher geregelt werden, sondern dies der Praxis und der Rechtsprechung überlassen werden soll. Der VDIV widerspricht (wie bspw. auch Jost Emmerich, Richter am OLG München) den Befürchtungen, ältere und weniger technikaffine Eigentümer könnten an der Wahrnehmung ihrer Mitgliedschaftsrechte gehindert werden, wenn Eigentümerversammlungen komplett online abgehalten werden. Während der Corona-Zeit sei ein Großteil der Gesellschaft im Umgang mit elektronischen Kommunikationsmitteln vertraut gemacht worden. Das gelte für alle Altersklassen, Bildungsgruppen und sowohl für die private als auch die berufliche Umgebung.
Auch die Bundesrechtsanwaltskammer (BRAK) hält es für sinnvoll, die Durchführung reiner Online-Versammlungen beschließen zu können und verweist darauf, dass die geplante Ausgestaltung des Gesetzes die Präsenzversammlung als Regelfall beibehalte. Gleichzeitig regt die BRAK an, im Gesetz aus Datenschutzgründen auch Anforderungen an die für die Online-Versammlung verwendete Software zu definieren.
Mit rein virtuellen Eigentümerversammlungen gehen verschiedene datenschutzrechtliche Probleme einher, die sich insbesondere aus dem Erfordernis der Nutzung von Video- oder Audio-Konferenztechnologien ergeben. Es besteht bspw. die Gefahr, dass unbefugte Personen auf die Versammlung zugreifen und vertrauliche Informationen abfangen können. Daher ist zum einen die Wahl der Plattform für die virtuelle Versammlung entscheidend. Es sollte auf Software-Lösungen im eigenen Netz zurückgegriffen werden (On-Premises-Lösung statt Cloud-Computing-Modell). Zum anderen ist darauf zu achten, dass die Datenverarbeitung nur innerhalb der EU/des EWR stattfindet. Es ist auch wichtig sicherzustellen, dass die gewählte Plattform angemessene Datenschutzmaßnahmen (z. B. End-to-End-Verschlüsselung) implementiert hat. Die Sperrung des Videokonferenzraums durch eine passwortgeschützte Teilnahme trägt ebenfalls zu mehr Sicherheit bei.
Daneben sind möglichst datenschutzfreundliche Voreinstellungen zum Schutz der Integrität und Vertraulichkeit der übertragenen Daten zu treffen. Die Teilnehmer sind zudem darauf hinzuweisen, dass im Hintergrund keine persönlichen oder vertraulichen Dinge sichtbar sein sollten und ein ungestörter Bereich zu nutzen ist, der nicht von anderen Mitgliedern des Haushalts aufgesucht wird.
Im Falle einer Aufzeichnung von virtuellen Versammlungen muss zuvor die Zustimmung der Teilnehmer zur Aufzeichnung eingeholt und sichergestellt werden, dass die Aufzeichnungen angemessen geschützt werden. Bei einer Speicherung von Videodaten sind zudem immer Fragen wie Zugriffsberechtigungen, Löschfristen und die Gewährleistung der Betroffenenrechte zu klären.
Weiterhin ist im Zusammenhang mit Videokonferenzen auf ausreichend Transparenz durch entsprechende Datenschutzerklärungen zu achten.
Der Entwurf wird aktuell in den Ausschüssen beraten. Wegen des kontroversen Meinungsbildes der Experten bleibt die endgültige Entscheidung spannend. Wir halten Sie in unserem Blog zu diesem Thema auf dem Laufenden.
Unabhängig vom Bestehen einer internen Meldestelle ist die Geschäftsführung juristischer Personen (insbesondere AGs und GmbHs) aus Compliance-Sicht dazu verpflichtet, mögliche Compliance-Verstöße aufzuklären und abzustellen. Dies gilt aufgrund der Legalitätspflicht (=Pflicht des Unternehmens sich an geltendes Recht zu halten) insbesondere dann, wenn die Möglichkeit eines fortgesetzten Rechtsverstoßes gegeben ist.
Hinsichtlich des Ob einer internen Ermittlung steht der Führungsebene eines Unternehmens damit regelmäßig kein Ermessen zu. Gestaltungsspielraum ergibt sich jedoch hinsichtlich der konkreten Untersuchungsmaßnahmen und der Untersuchungstiefe.
Interne Untersuchungen sind ein Kernbestandteil des Compliance Managements, bergen aber oftmals selbst erhebliche Gefahren im Hinblick auf Compliance-Verstöße (z. B. Datenschutzverstöße, rechtliche Verwertbarkeit der Untersuchungsergebnisse etc.).
Dieser Beitrag fokussiert sich auf die Organisation interner Ermittlungen und die Voraussetzungen für ein datenschutzkonformes Vorgehen im Zusammenhang mit Auswertungen von (elektronischen) Kommunikationsinhalten der Beschäftigten.
Bevor eine interne Ermittlung initiiert wird, die zu einer Verarbeitung personenbezogener Daten und gegebenenfalls einer Zweckänderung im Sinne des Art. 6 Abs. 4 DSGVO führt, muss die rechtliche Grundlage der Verarbeitung geklärt werden. Bei der Beurteilung der Rechtsgrundlage(n) kommt es dabei stets darauf an, was der Anlass für die interne Ermittlung ist, welche Ziele hiermit verfolgt werden und über welchen Kanal der Verantwortliche (Art. 4 Nr. 7 DSGVO) von einem möglichen Verstoß Kenntnis erlangt hat.
Wird eine interne Ermittlung aufgrund eines plausiblen Hinweises, der an die interne Meldestelle übermittelt wurde, angestoßen, sind erforderliche Verarbeitungen personenbezogener Daten (der Beschäftigten) zur Aufklärung des Verstoßes grundsätzlich gemäß Art. 6 Abs. 1 lit. c DSGVO i.V.m § 10 HinSchG legitimiert. Dies schließt die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) mit ein. Die Meldestelle hat in diesem Fall allerdings gemäß § 22 Abs. 2 BDSG spezifische und angemessene Maßnahmen zur Wahrung der Interessen der betroffenen Person umzusetzen.
Gibt es keine Interne Meldestelle, können die Normen des HinSchG nicht als Rechtsgrundlage der Verarbeitung dienen. Unabhängig davon, ob eine interne Ermittlung aufgrund eines Hinweises an die interne Meldestelle oder aufgrund anderer Anhaltspunkte für einen Compliance-Verstoß eingeleitet wird, ist § 26 Abs. 1 S. 1 BDSG daher als weitere Rechtsgrundlage der Verarbeitung heranzuziehen, sofern die Verarbeitung für die Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Dabei darf die interne Ermittlung niemals „ins Blaue hinein“ erfolgen. Vielmehr bedarf es eines konkreten und plausiblen Verdachtsmoments und der Verstoß muss insgesamt Relevanz entfalten (Bagatellgrenze).
Dient die interne Ermittlung auch dazu mögliche strafbare Handlungen von Beschäftigten aufzudecken, müssen zusätzlich die Voraussetzungen des § 26 Abs. 1 S. 2 BDSG berücksichtigt werden. In diesen Fällen ist ein Anfangsverdacht (tatsächliche Anhaltspunkte) im Sinne des § 152 Abs. 2 StPO erforderlich. Außerdem ist eine Interessenabwägung im Einzelfall vorzunehmen und die Maßnahme unterliegt insgesamt dem Vorbehalt der Verhältnismäßigkeit.
Sollte § 26 Abs. 1 BDSG aufgrund des EuGH-Urteils vom 30.03.2023 C 34/21 (wir berichteten) künftig nicht mehr angewendet werden können, müssten Verarbeitungen (die nicht durch die interne Meldestelle nach § 10 HinSchG erfolgen) alternativ auf entsprechend ausgestaltete Betriebsvereinbarungen (vgl. § 26 Abs. 4 BDSG) oder das berechtigte Interesse gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO gestützt werden. Letzteres gilt auch bezüglich personenbezogener Daten Dritter (z. B. externe Kommunikationspartner*innen). Unzweifelhaft wäre hierbei ein berechtigtes Interesse des Verantwortlichen aufgrund der Legalitätspflicht sowie der Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen anzunehmen. Inwiefern die berechtigten Interessen des Verantwortlichen den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person(en) überwiegen ist hierbei im Einzelfall zu bewerten. Sind in diesem Zusammenhang auch besondere Kategorien personenbezogener Daten betroffen, wäre außerdem Art. 9 Abs. 2 lit. f DSGVO als Rechtsgrundlage der Verarbeitung heranzuziehen.
Gestattet bzw. duldet der Arbeitgeber die private Nutzung des dienstlichen E-Mail-Accounts, ist seit Jahren umstritten inwiefern der Arbeitgeber als Anbieter von Telekommunikationsdiensten (§ 3 TKG) zu werten ist und folglich das Fernmeldegeheimnis zu wahren hat.
Das Fernmeldegeheimnis ist mittlerweile in § 3 Abs. 3 Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) geregelt und Verstöße dagegen sind gemäß § 206 StGB strafbar. Im Hinblick auf das Beschäftigungsverhältnis ist dabei weiterhin nicht höchstrichterlich geklärt, ob der Arbeitgeber das Fernmeldegeheimnis zu wahren hat, sofern den Beschäftigten die private Nutzung des dienstlichen E-Mail-Accounts gestattet ist. Wenngleich vieles dafür spricht, dass Arbeitgeber auch bei erlaubter privater Nutzung des dienstlichen E-Mail-Accounts nicht als Anbieter von Telekommunikationsdiensten (§ 3 TKG) zu werten sind, vertreten Aufsichtsbehörden und teilweise auch Gerichte weiterhin die Auffassung, dass Unternehmen in diesen Fällen das Fernmeldegeheimnis zu beachten haben. Die Folge daraus wäre eine Sperrwirkung für die Auswertung von Kommunikationsinhalten in betrieblichen Kommunikationssystemen des Arbeitgebers, sofern darin private Kommunikationsinhalte enthalten sind. Wäre dies der Fall, würde der Erfolg interner Ermittlungen und die Wirksamkeit der Compliance-Organisation insgesamt erheblich beeinträchtigt.
Ohne die Diskussion um das Fernmeldegeheimnis im Beschäftigtenkontext an dieser Stelle weiter vertiefen zu wollen, sollte stets berücksichtigt werden, dass die Kommunikationsinhalte jedenfalls nicht mehr durch das Fernmeldegeheimnis geschützt sind, sobald der Übertragungsvorgang abgeschlossen ist, der Empfänger die Inhalte zur Kenntnis genommen hat und die Nachricht bewusst im Kommunikationssystem des Arbeitgebers speichert bzw. dort belässt. Dies gilt zumindest dann, wenn das Kommunikationssystem auf eigenen Servern des Arbeitgebers betrieben wird und die Kommunikationsdaten dort gehostet werden. Wird jedoch ein externer Provider eingesetzt, greift das Fernmeldegeheimnis aufgrund der fehlenden Verfügungsgewalt weiterhin (vgl. BVerfG Urteil vom 16.06.2009 – 2 BVR 902/06).
Um eine schnelle und rechtssichere Umsetzung interner Ermittlungen gewährleisten zu können, ist es daher für Unternehmen weiterhin äußerst ratsam die private Nutzung der betrieblichen Kommunikationsmittel strikt zu verbieten oder konkrete Regelungen in einer Betriebsvereinbarung oder Richtlinie zu treffen, die auch die Vorgänge im Falle interner Untersuchung regeln. Soll die private Nutzung in geringem Umfang erlaubt sein, empfiehlt es sich, dies nur unter der Prämisse zu gestatten, dass Beschäftigte in die notwendigen Datenverarbeitungen (Spam- und Virenfilter, Vertretungsregelungen, compliancerelevante Analysen etc.) einwilligen und private Inhalte klar getrennt von den dienstlichen Inhalten ablegen. Wird keine entsprechende Einwilligung erteilt, bleibt die private Nutzung verboten und es ist lediglich die dienstliche Nutzung zulässig.
Übersetzt in konkrete Handlungsempfehlungen bedeutet die Diskussion zu den einschlägigen Rechtsgrundlagen der Datenverarbeitung und dem Fernmeldegeheimnis, dass für die Einleitung einer internen Ermittlung hinreichend plausible Anhaltspunkte für einen relevanten Compliance-Verstoß vorliegen müssen. Diese Anhaltspunkte sollten sodann in einem sogenannten Einleitungsvermerk nachvollziehbar dokumentiert werden und unter Berücksichtigung der Schwere des vermeintlichen Compliance-Verstoßes eine umfassende Verhältnismäßigkeitsprüfung durchgeführt werden.
Ziel ist es hierbei die Untersuchungsmaßnahmen und die Untersuchungstiefe so zu definieren, dass die Verhältnismäßigkeit in Bezug auf den verfolgten Zweck gewahrt bleibt.
Hinsichtlich der Ausgestaltung der Analyse von (elektronischen) Kommunikationsinhalten empfiehlt es sich insbesondere folgende Aspekte zu berücksichtigen:
Gibt es klar definierte Prozesse und Rahmenbedingungen für die Durchführung von internen Untersuchungen, z. B. in Betriebsvereinbarungen, erscheint es sinnvoll für diese Prozesse eine einheitliche Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Da es sich bei internen Untersuchungen im Regelfall jedoch um Ad-hoc-Maßnahmen handelt, wird in Abhängigkeit des Untersuchungsgegenstandes und der Eingriffsintensität der Maßnahme eine Verhältnismäßigkeitsprüfung bzw. einzelfallbezogene Bewertung unumgänglich sein.
Mit Inkrafttreten des Hinweisgeberschutzgesetzes und der Etablierung von internen und externen Meldestellen sowie dem Schutz der hinweisgebenden Personen vor Repressalien, ist damit zu rechnen, dass in den kommenden Jahren die Anzahl interner Ermittlungen weiter steigen wird. Damit die Aufklärungsmaßnahmen und internen Ermittlungen kurzfristig vorgenommen werden können und hierbei (gerichtlich) verwertbare Ergebnisse erzielen werden, ist es essenziell, klare und konsistente Regelungen im Unternehmen zur (privaten) Nutzung betrieblicher Kommunikationsmittel und der Durchführung von internen Ermittlungen zu etablieren. Besteht ein Betriebsrat, ist der Abschluss einer entsprechend ausgestalteten Betriebsvereinbarung äußerst empfehlenswert. Befassen sich Unternehmen im Vorfeld nicht ausreichend mit den rechtlichen Voraussetzungen und Rahmenbedingungen für die Durchführung interner Ermittlungen, gefährdet dies den Erfolg bzw. die Ergebnisse der Maßnahme sowie die Wirksamkeit der Compliance-Organisation insgesamt.
Haben Sie Fragen rund um das Thema Compliance? Brauchen Sie Hilfe beim Aufbau eines Compliance-Managementsystem oder einer internen Meldestelle? Wir helfen Ihnen gerne weiter. Melden Sie sich unter compliance@dsn-group.de.
Jüngst haben wir uns mit der Frage befasst, was von dem Einsammeln von Kontaktdaten auf einer Messe zu halten ist und insbesondere, wie es danach wohl weitergehen kann. Der vorliegende Beitrag beleuchtet die zeitlich davor angesiedelte Phase, in der es auch – wie so häufig – um das „Wie“ geht, aber um ein anderes; nämlich um eine Frage, die auch von unserem Publikum gelegentlich aufgeworfen wird und derer wir uns in diesem Rahmen – freilich, ohne selbigen zu sprengen – anzunehmen gedenken: Wie kann ein passendes Formular zum Erheben von Kontaktdaten ausgestaltet sein? Ist es vom potentiellen Kunden zu unterzeichnen und ggf. in Kopie auszuhändigen? Und was muss man (vielleicht) sonst noch beachten?
Der passende Text für eine Einwilligung im Rahmen einer Messe oder vergleichbaren Veranstaltung ist bisweilen relativ zügig erstellt. So oder ähnlich hat man das sicherlich schon dann und wann zu Gesicht bekommen:
„Ich erkläre mich einverstanden, dass der Veranstalter meine E-Mail-Adresse an den Anbieter xy weitergeben darf, damit dieser mir interessante Angebote und Informationen zu den Dienstleistungen rund um dies-und-das zusendet. Diese Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.“
Mit dem reinen Textvorschlag als solchem ist es aber nicht getan – bei Weitem nicht. Also schauen wir weiter: Muss die Zustimmung unterschrieben werden? Oder reicht das Ankreuzen auf einem Erfassungsbogen?
Oder geht es hier um eine reine Online-Veranstaltung, und gar nicht in Präsenz mit schickem Info-Stand und aufgerolltem Banner an der Seite? Dann müsste umgedacht werden: Checkbox – ja oder nein? Über welches Medium läuft die Anmeldung: die eigene E-Mail, WhatsApp oder ein bereitgestelltes Tablet zum Antippen? Und wie sieht es mit der Protokollierung des Vorgangs (technisch) aus? Und dann sind ja noch, gleich ob analog oder digital, die Informationspflichten nach Art. 13 und Art. 14 DSGVO – ach herrje! Also, wer erhebt die Daten (siehe oben), sprich wer gilt als Veranstalter?
Nun gut, wollen wir mal sortieren: Bei einer Präsenz-Veranstaltung, gewissermaßen „live und in Farbe“, kann ein Merkblatt ausgelegt werden mit allen nötigen Hinweisen des Erhebers. Weist dieses zugleich darauf hin, dass die Daten an einen Dritten (nämlich den o. g. Anbieter) weitergereicht werden, ist alles in Butter. Ist der Platz allzu knapp, kann mit einer abgestuften Information gearbeitet werden – will sagen: ein Schnipsel ‚kurz und knackig‘ auf dem Erfassungsbogen plus weitergehende, ausführliche Hinweise separat als Aushang.
Bewegt man sich überwiegend auf elektronischem Wege, soll ein Medienbruch wahrscheinlich eher vermieden werden. Hier dürfte man bestrebt sein, alle nötigen Infos gleichsam ansprechend wie transparent in einem Dokument gebündelt unterzubringen. Rein praktisch gilt es hier vorrangig das Double-Opt-In-Verfahren zur rechtssicheren Erhebung einer elektronischen Einwilligung zu implementieren. Außerdem muss bedacht werden, ob entweder der „Erst-Erheber“ den späteren (potentiellen) Werbeadressaten bereits umfassend gemäß Art. 13 DSGVO informiert, oder ob eine geteilte Information beider Beteiligten – dann unter Beachtung von Art. 14 DSGVO – erfolgen soll. Je nach technischer Ausgestaltung und Gefälligkeit aus Sicht der Personen, die werblich angesprochen werden sollen, weisen beide Varianten jeweils Vor- und Nachteile auf.
In jedem Fall wird deutlich: Marketingaktivitäten sind stets ein spannendes Feld zur rechtlichen Betätigung. Besonders glänzen können hier praktisch veranlagte Naturen mit dem Blick fürs große Ganze.
Sollen personenbezogene Daten zu einem anderen Zweck als dem ursprünglichen Erhebungszweck verarbeitet werden, ergibt sich die Pflicht, den Betroffenen erneut gem. Art. 13 Abs. 3 DSGVO sowie Art. 14 Abs. 4 DSGVO zu informieren. Diese Informationspflichten gelten sowohl für die Direkterhebung nach Art. 13 DSGVO als auch die Dritterhebung nach Art. 14 DSGVO.
Neben der geänderten Zweckbestimmung muss der Verantwortliche alle Informationen gem. Art. 13 oder Art. 14 DSGVO erneut zur Verfügung stellen, die aufgrund des geänderten Zwecks erforderlich sind. Maßgeblich sind also solche Informationen, hinsichtlich derer sich seit der Datenerhebung Änderungen ergeben haben.
Der betroffenen Person müssen daher die Zweckänderung und die entsprechende Rechtsgrundlage, auf welche sich die neue Verarbeitung stützt, genannt werden. Beabsichtigt der Verantwortliche, die Daten zu übermitteln, damit der Empfänger sie für einen anderen Zweck weiterverarbeiten kann, muss auch über die Empfänger der Daten informiert werden. Geboten sind zudem Informationen über die Speicherdauer der Daten sowie ggf. über das Recht der betroffenen Person zum Widerspruch oder Widerruf ihrer Einwilligung sowie über eine automatisierte Entscheidungsfindung, sofern dies erforderlich ist.
Im Falle einer direkten Datenerhebung muss die betroffene Person auch darüber informiert werden, ob die Zweckänderung von ihrem Willen abhängt. Falls dies der Fall ist, muss der Verantwortliche darüber aufklären, ob eine (vertragliche) Pflicht besteht, die Zweckänderung zu akzeptieren und welche Konsequenzen eine Ablehnung für die betroffene Person haben könnte gem. Art. 13 Abs. 2 lit. e DSGVO.
Vor der geplanten Weiterverarbeitung sind die betroffenen Personen zu informieren. Die Artikel-29-Datenschutzgruppe argumentiert, dass zwischen der Benachrichtigung und der Verarbeitung eine angemessene Zeitspanne liegen sollte und die Verarbeitung nicht unmittelbar nach Erhalt der Benachrichtigung durch die betroffene Person beginnen sollte. Das Fairnessprinzip erfordert, dass die Frist umso länger sein sollte, je tiefgreifender oder unerwarteter die weitere Verarbeitung ist.
Vorgaben zur Form finden sich primär in Art. 12 Abs. 1 und 7 DSGVO. Da die Mitteilung nicht (wie bei der Datenerhebung) zeitlich und sachlich mit anderen Handlungen gegenüber dem Betroffenen verbunden ist, besteht für den Verantwortlichen ein größerer Spielraum dahingehend, wie er die betroffene Person informiert. Auch wenn der Verantwortliche z.B. die Daten mit einem schriftlichen Formular erhoben hat, darf er der betroffenen Person die Informationen über die bevorstehende Zweckänderung elektronisch zur Verfügung stellen. Zudem fordert Art. 13 Abs. 3 DSGVO eine aktive Unterrichtung der betroffenen Person (vgl. Kühling/Buchner, 2020 und Art-29-Datenschutzgruppe WP 260). Die betroffene Person muss tatsächlich in der Lage sein, aufgrund der Information ggf. noch vor der Weiterverarbeitung Einwände zu erheben oder Rechte nach der DSGVO geltend zu machen.
In der Praxis empfiehlt es sich daher die Betroffenen direkt mittels vorhandener Kontaktdaten über die Zweckänderung zu informieren. Dies kann per E-Mail erfolgen oder postalisch. Die Datenschutzinformationen bzgl. der Zweckänderung können auch auf der Webseite angezeigt werden, allerdings sollten die Betroffenen dennoch aktiv auf diese Zweckänderung aufmerksam gemacht werden.
Wird die betroffene Person nicht, nicht vollständig oder nicht zutreffend über die beabsichtigte Zweckänderung informiert, so handelt der Verantwortliche pflichtwidrig. Gemäß Artikel 83 Absatz 5 lit. b DSGVO kann diese Pflichtverletzung mit einer Geldbuße geahndet werden.
„Ganz schön einfach! Mit diesem Passwort schützt Pistorius sein Abhör-Statement“
Hintergrund ist die Abhöraffäre bei der Bundeswehr. Durch das Verteidigungsministerium wurde eine Pressemitteilung veröffentlicht, die über eine NextCloud heruntergeladen werden kann. NextCloud ist eine Software zum Speicher und Teilen von Daten auf dem eigenen Server, wodurch man die Hoheit über seine Daten behält. Die Veröffentlichung erfolgt durch Bekanntgabe des Download-Links und des Download-Passworts.
Am 4.3.2024 sah dies so aus:
Daraufhin wurde die Wahl des Passwortes „1234“ von vielen Stellen moniert, verbunden mit der Hoffnung, dass im Übrigen derartige Passwörter nicht im Verteidigungsministerium genutzt werden.
Die Wahl des Passwortes war definitiv keine gute. Allerdings muss berücksichtigt werden, dass die Datei als Pressemitteilung keinen besonders hohen Schutz genießt und für jeden abrufbar sein soll. Darüber hinaus hängt die Wahl des Passwortes auch mit der Nutzung von Nextcloud zusammen. Das Programm verlangt standardisiert in der Grundeinstellung die Vergabe eines Passwortes, wenn Dateien zum Download bereitgestellt werden.
Zwischenzeitlich wurde das Passwort von Seiten des Verteidigungsministeriums geändert, worüber allerdings nicht mehr berichtet wurde:
Vorwerfbar an der ganzen Geschichte ist allenfalls, dass ein falscher Eindruck von der erforderlichen Komplexität von Passwörtern vermittelt wird. Frei nach dem Motto: Wenn das Verteidigungsministerium ein nummerisches vierstelliges Passwort nutzt, dann wird das sicher sein und ich kann auch ein solches verwenden.
Je kürzer und weniger komplex Passwörter sind, umso leichter können diese erraten werden. Der Schutz, der durch das Passwort eigentlich erreicht werden wollte, ist damit Makulatur.
Gute Passwörter sollten mindestens 8 bis 12 Zeichen lang sein und aus den 4 Zeichenarten (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) bestehen. Eine sehr gute Übersicht hält das Bundesamt für Sicherheit in der Informationstechnik bereit.
Um sich solche komplexen Passwörter zu merken, bietet sich beispielsweise die Akronym-Methode an. Bei dieser wird ein längerer Satz, in dem auch Ziffern und Sonderzeichen vorkommen, gewählt. Aus den Anfangsbuchstaben der Wörter, Ziffern und Sonderzeichen ergibt sich dann das Passwort. Der entscheidende Vorteil: Man muss sich lediglich den Satz merken – das ist einfacher als das entsprechende Passwort: Der Satz „Ich muss mir schon wieder ein Passwort mit 8 Zeichen merken!“ ergibt z. B. das Passwort „ImmswePm8Zm!“
Wer für den Versand von Passwort geschützten Dokumenten „mal eben“ ein Passwort benötigt, wird schnell im Internet fündig. Verschiedene Universitäten bieten auf Ihren Seiten die Möglichkeit, Passwörter mit individuellen Kriterien zu generieren, beispielsweise die Uni Münster:
Wenn dann die passwortgeschützte Datei per Mail versendet werden, ist es jedoch ganz wichtig, dass das Passwort auf einem anderen Kommunikationsweg (bspw. Telefon) mitgeteilt wird, um es potentiellen Angreifern nicht zu einfach machen.
Für alle, die es noch nicht oder nur am Rande mitbekommen haben: Sora ist eine neuartige sogenannte KI-basierte Software, die es ähnlich wie schon ChatGPT gestattet, mittels Sprachbefehlen neue Inhalte zu generieren – in diesem Fall Videos. Da das Programm noch nicht für die breite Öffentlichkeit verfügbar ist, gibt es bislang erst wenige ausgesuchte, gleichwohl beeindruckende Beispiele ihrer „Schaffenskunst“. Das Ganze funktioniert sowohl mit einem gewissermaßen „weißen Blatt Papier“ – will sagen: man erteilt vorm leeren Bildschirm einen mehr oder weniger ausführlichen Sprachbefehl und erhält quasi auf Knopfdruck das fertige Video – oder aber mit vorgefertigtem Material, welches das Programm fortführen und weiterentwickeln kann.
Die Filmindustrie scheint bereits in leichte Hab-Acht-Stellung überzugehen, und freilich können auch die gesellschaftlichen Auswirkungen einer solchen Technologie immensen Umfang einnehmen. Doch auch für den Datenschutz und die Informationssicherheit ergeben sich spannend-brisante Perspektiven: Angefangen bei Abschätzungen des möglichen Energieverbrauchs für den Einsatz der Software über die knifflige Zuteilung von rechtlichen Verantwortlichkeiten bis hin zur beinahe schon selbstverständlich relevant werdenden Frage, ob denn die in den automatisiert produzierten Filmen sichtbaren Personen auch jeweils ihre Zustimmung gegeben haben.
Mehr denn je bietet sich hier die Chance, sich zu profilieren für guten und gelebten Datenschutz. Wenn ein Jeder – sei es als Anwender oder noch viel mehr als Hersteller bzw. Vertreiber solcher Systeme – ein stärkeres Auge auf die Abschätzung möglicher Folgen der damit einhergehenden Verarbeitung von Daten hätte, ließe sich manch ein Skandal klein halten, gar vermeiden im Idealfall. Zu Recht wird deshalb darauf verwiesen, dass es angesichts von bereits bestehenden Schutzmechanismen einige der Videomanipulationen zulasten bestimmter prominenter Persönlichkeiten aus der jüngsten Vergangenheit eigentlich gar nicht hätte geben dürfen. Eigentlich. Und doch gibt es sie: Die Rede ist von dem Bestreben, einzelnen Leuten ein vorgetäuschtes Handeln oder eine Aussage anzudichten, die sich so in Wahrheit nie ereignet haben – Deepfakes.
Neben den himmlischen Möglichkeiten für Filmschaffende und andere Kreative sowie den Risiken, die mit der Verbreitung von Falschmeldungen (sog. Fake News) einhergehen, wollen wir den Blick auf die Videoüberwachung richten und uns der Frage zuwenden: Werden wir auch hier der obwaltenden Gefahr von Manipulation und schwindender Rechtssicherheit aufsitzen?
Die eindeutige Antwort lautet: Ja. Wenn man als Zuschauer nicht selbst die Zeit(!) und die technischen Ressourcen zur forensischen Analyse eines Videos aufbringen kann, wird man auf externe Hilfe angewiesen sein. Und wo es die nicht gibt, wird man aufgeschmissen, ergo außerstande sein, ein gefälschtes Video von echten Inhalten zu unterscheiden – diese Rechnung ist so schlicht wie folgenreich. Zwar stellt man seitens des Herstellers in Aussicht, Videos mit einer Art digitalem Wasserzeichen zu versehen – wie auch immer das zustande kommen mag – räumt aber im gleichen Atemzug ein, dass ein solches Kennzeichen ebenso relativ leicht wieder entfernt werden könne. Sonderlich aussichtsreich klingt das nicht.
Nun sind sog. Fake News oder Deepfakes auch und bereits in anderen Zusammenhängen – wie bereits gesehen – ein großes Problem unserer (Kommunikations-)Zeit. Ein ebenso fortwährend wie heiß gebackener „Klassiker“ der Datenschutz-Menükarte ist die Videoüberwachung. Oftmals zur Sicherung des eigenen Betriebsgeländes oder zum Schutz von Gesundheit oder Eigentum herangezogen, wird sich hier in Zukunft gleichsam die Frage stellen: Ist das, was wir zu sehen bekommen, echt? Hat es sich wahrlich so ereignet wie Bildaufnahmen es uns glauben machen wollen?
Man stelle sich vor, auf einem Fabrikgelände hat sich ein Diebstahl ereignet, der mittels Kameraaufzeichnung festgehalten worden ist. Durch entsprechende hochwertige Manipulation des gespeicherten Bildmaterials erscheint es nunmehr möglich, die dort sichtbaren Personen zu entfernen oder sogar andere Figuren stattdessen einzuarbeiten. Mit stetiger Verbesserung der zu diesem Zweck gebrauchten (oder missbrauchten) Techniken sind solche Manipulationen nur noch mit forensischen Mitteln und per Einzelbildanalyse mit einer Lupe möglich.
Hier öffnet sich das Tor für den Datenschutz als Trumpfkarte. Oftmals als „Betriebsbremse“ verschrien, gilt es hier den Blick zu schärfen für eine Vorschrift, die zwar eher nur am Rande beachtet zu werden scheint, dafür aber gehörigen technischen Einschlag bietet. Seit Geltung der DSGVO im Jahre 2018 haben Verantwortliche gemäß Artikel 25 stärker als zuvor datenschutzfreundliche Techniken und Voreinstellungen zu berücksichtigen und in die Tat umzusetzen. Dass dies nicht ohne die Hersteller entsprechender (Kamera-)Systeme gehen kann, liegt auf der Hand, und wird seit jeher diskutiert.
Wer bspw. E-Mails via S/MIME oder PGP signiert und/oder verschlüsselt, kennt diesen Spaß: Der Empfänger bekommt in seinem Mail-Programm automatisch und ohne großes Zutun angezeigt, ob eine Nachricht echt (d. h. vom korrekten Absender stammend) ist und ggf. ob sie zwischenzeitlich verändert worden ist. So oder ähnlich sollte es auch für Videosysteme absehbar praktikabel sein, entsprechende Sicherungsmaßnahmen zur digitalen Signierung vorzusehen – und zwar standardmäßig, vom Werk aus.
Wenn man dazu bedenkt, dass über die Jahre hinweg das Einbinden etwa von PGP in die eigene E-Mail-Kommunikation dergestalt vereinfacht worden ist, dass man die Installation ähnlich einem Browser-Plugin mit ein paar wenigen Mausklicks vornehmen kann, anstelle komplexe Textbefehle in eine vergleichsweise schmucklose Kommandozeile einzuhacken, dann stimmt das zuversichtlich.
Datenschutzbewusste Anwender und Betriebe können diese Entwicklung durch entsprechende Nachfrage bei der Anschaffung und Konfiguration von Videoüberwachungsanlagen sicher beschleunigen.
Der größte Unterschied zwischen dem „klassischen“ Phishing und dem Spear-Phishing liegt darin, dass die Inhalte der versandten E-Mail genau auf die Empfänger angepasst sind. Cyberkriminelle nehmen sich viel Zeit – teilweise mehrere Monate – um ihre Opfer auszuspionieren und deren individuelle Gewohnheiten und Präferenzen kennenzulernen. Häufig handelt es sich dabei um hochrangige Beschäftigte, die über erweiterte Zugriffsrechte verfügen.
Informationen über die Beschäftigten werden aus sozialen Medien und anderen öffentlichen Quellen (z. B. die vom Opfer erstellten Bewertungen anderer Unternehmen) gesammelt. Anhand der erworbenen Informationen werden die Nachrichten so formuliert, dass die Inhalte auf den ersten Blick authentisch wirken. Hierbei ist darauf hinzuweisen, dass sich das Spear-Phishing nicht nur auf E-Mails beschränkt. Phishing-Nachrichten werden auch über andere Kommunikationswege – bspw. über soziale Medien – versandt.
In der wie maßgeschneidert formulierten Nachricht geben sich die Betrüger bspw. als Online-Händler, Vertreter eines Finanzinstituts, Geschäftspartner, Bekannte, Vorgesetzte oder Kollegen aus und machen auf persönliche Informationen oder aktuelle Entwicklungen im Unternehmen aufmerksam, um das Vertrauen des Empfängers zu gewinnen.
Zusätzlich zu den vorbezeichneten Mitteln werden psychologische Tricks angewandt, damit der Adressat wichtige Daten preisgibt. Dazu gehören insbesondere:
Die Künstliche Intelligenz (KI) erleichtert den Hackern die Phishing-Angriffe, da die Betrüger mit ihrer Hilfe schneller an die im Netz veröffentlichten Informationen über mögliche Empfänger gelangen.
Zudem können Tools wie ChatGPT das Verhaltensmuster einer Person verstehen und glaubwürdig wirkende Nachrichten verfassen. Laut der Studie von Singapurs Government Technology Agency sind die Inhalte der von der KI erstellten Nachrichten glaubwürdiger, als derjenigen, die von Menschen verfasst wurden. Aus diesem Grund ist nicht auszuschließen, dass in absehbarer Zukunft Massen von überzeugenden, individualisierten Phishing-Mails versandt werden.
Anderseits gehen viele Security-Experten davon aus, dass bald KI dazu eingesetzt wird, KI-generierte Texte offenzulegen und das Spear-Phishing zu bekämpfen.
Um sich gegen verschiedene Cybersecurity-Attacken zu schützen, sollten Unternehmen prinzipiell angemessene Informationsmaßnahmen – z. B. regelmäßige Software-Updates, Audits sowie Penetrationstests – durchführen. Da sich jedoch die Methoden von Cyberkriminellen ständig weiterentwickeln, können nicht alle Phishing-Mails von den automatisierten E-Mail-Filtern abgefangen werden.
Erfahrungsgemäß bleibt bei jedem (Spear-)Phishing-Angriff der Mensch die größte Schwachstelle. Aus diesem Grund ist es unabdingbar, die Beschäftigten zu schulen und dadurch für das Thema Betrugsversuche im Arbeitsalltag zu sensibilisieren. Die Security-Awareness-Trainings können mit weiteren Maßnahmen, u. a. mit Phishing-Simulationen, kombiniert werden. Die Effizienz der jeweiligen Hilfsmittel ist jedoch im Einzelnen zu prüfen.
Darüber hinaus sollte weitestmöglich vermieden werden, potenziell sensible Informationen über interne Prozesse, die interne Unternehmensstruktur oder Verantwortlichkeiten öffentlich zugänglich zu machen. Zwei-Faktor-Authentifizierungen helfen dabei, unberechtigte Zugriffe zu verhindern, insbesondere wenn im Rahmen von erfolgreichen Phishing-Angriffen Anmeldedaten erbeutet wurden. Zudem ist es notwendig, dass Unternehmen regelmäßig den generellen Stand der implementierten Maßnahmen zur Informationssicherheit überprüfen, um den möglichen Schaden im Falle von erfolgreichen Phishing-Angriffen auf ein Minimum zu begrenzen.
According to Law 1581, „databases“ are organized sets of personal data subject to processing. The process of identifying and describing databases is similar to the „record of processing activities“ (ROPA) under the GDPR. However, whereas ROPAs in the European Union are primarily for internal use and should only be provided to authorities upon explicit request, in Colombia, databases are to be registered in a public registry called the “Registro Nacional de Bases de Datos” (RNBD), overseen by the data protection authority. Importantly, what is subject to registration is not the data contained in the database, but information about the database itself, such as the number of data subjects therein contained and the legal basis applicable. In other words, data subjects’ information is not registered. Controllers must annually update information about their databases in this registry. This includes uploading privacy policies, those of their processors („encargados“ in Colombian law), contact information for the person or department overseeing data protection, and channels for exercising data subject rights.
As per Decree 090 of January 18, 2018, companies processing personal data in Colombia with total assets exceeding 100,000 Tax Value Units (Unidades de Valor Tributario) are obligated to register. Currently, this threshold amounts to 4,706,500,000 Colombian pesos or around 1,101,900 euros.
In case of significant changes in databases, controllers must promptly update the RNBD within the first 10 business days of the month following the change. Additionally, the registration of a new database in the RNBD must occur within two months of its creation, irrespective of the time of year.
In addition to database registration, controllers have further obligations. By the first 15 bank days of February and August, a report detailing data subject requests („reclamos“) received during the previous semester must be submitted through the RNBD system of the SIC. This report should encompass complaints directed at both the Controller and the processors.
Finally, data breaches affecting the registered databases must be reported in the RNBD 15 bank days after their detection.
Businesses operating in Colombia, particularly those meeting the asset threshold, must promptly fulfill their responsibilities. This not only ensures legal compliance but also fosters trustworthy and transparent business management and relationships with data subjects. Failure to comply with data protection rules in Colombia may lead to fines of up to 2,600,000,000 Colombian pesos or around 608,800 euros plus the invaluable value of reputational loss.
Weiterhin erforderlich ist bei der Erstellung eines Accounts lediglich die Angabe der Mobilnummer. Diese Nummer ist nur für den Login notwendig. Nach dem (erstmaligen) Öffnen der App wird man auf die neuen Funktionen hingewiesen.
Im Weiteren können Anwender sich einen Nutzernamen zulegen, der um eine Zufallsnummer ergänzt wird.
Zur Zufallsnummer gibt Signal folgende Information an die Nutzer:
Über das Avatar-Bild kann der aktuelle Benutzername angezeigt und ein QR-Code oder Link generiert werden. Der QR-Code bzw. Link kann weitergegeben oder veröffentlicht werden. Wird der QR-Code gescannt oder der Link angeklickt, kann ein Chat (auch ohne Kenntnis der jeweiligen Nummer) gestartet werden.
Über das App-Menu „Datenschutz“ → „Telefonnummer“ ist es zudem möglich, verschiedene Einstellungen zur Auffindbarkeit vorzunehmen:
Die neuesten Funktionen stellen einen wichtigen Schritt in Bezug auf Datenschutz bei Instant Messengern dar. Die Möglichkeit, die Sichtbarkeit der eigenen Telefonnummer zu kontrollieren, ist eine entscheidende Änderung für Nutzer, die ihre Privatsphäre (mehr) schützen wollen. Durch die Einschränkung der Sichtbarkeit der Telefonnummer wird das Risiko unerwünschter Kontaktaufnahmen erheblich reduziert.
Die Einführung der neuen Datenschutz-Einstellungen bei Signal, mit Nutzer genau festlegen können, wer sie über ihre Telefonnummer finden kann, ist ein nächster Schritt zur Stärkung der Kontrolle der Nutzer über ihre persönlichen Daten.
Im Google Consent Mode („Einwilligungsmodus“) können Websitebetreibende Google über den Einwilligungsstatus ihrer Nutzer*innen informieren, sodass das Verhalten der Google-Tags unter Berücksichtigung der jeweiligen Einstellungen angepasst wird.
Dieser Beitrag fasst kurz zusammen, in welchen Varianten der Google Consent Mode eingesetzt werden kann und wie diese datenschutzrechtlich zu beurteilen sind.
Nicht jeder, der Google-Dienste einsetzt, muss den Google Consent Mode implementieren. Allerdings stehen ohne Implementierung des Modus künftig gewisse Funktionen nicht mehr zur Verfügung, wie z. B. Remarketing-Listen, Zielgruppenfunktionen in Google Analytics 4 oder Customer Matches. Wenn diese Funktionen nicht genutzt werden oder genutzt werden sollen, dann sollte der Google Consent Mode V2 auch nicht aktiviert werden.
Der Google Consent Mode V2 dient, wie bereits erwähnt, primär der Steuerung von Google-Tags, durch die die einzelnen Google-Dienste ausgespielt werden. Er ermöglicht es, diese Tags abhängig davon anzupassen, ob eine Einwilligung für Google-Cookies/-Tools über das Einwilligungsbanner (Cookie-Banner) abgegeben worden ist oder nicht. Eine Übersicht zu den beiden Varianten des Consent Mode stellt Google hier und hier zu Verfügung.
Grundsätzlich gibt es zwei Einbindungsmöglichkeiten:
Wer den Google Consent Mode V2 einsetzt, sollte sich mit den datenschutzrechtlichen Auswirkungen beschäftigten und den*die Datenschutzbeauftragte*n hinzuziehen. Zum jetzigen Zeitpunkt ist aus datenschutzrechtlicher Sicht der Basic Mode eindeutig vorzuziehen. Der Advanced Mode birgt hingegen erhebliche Restrisiken.
Nun hat die DSK sechs Jahre später am 24. Januar 2024 eine aktualisierte Version dieser Orientierungshilfe veröffentlicht. So viel sei bereits jetzt verraten: Sehr viel hat sich nicht geändert – vereinzelt gibt es redaktionelle Anpassungen; aber auch neue und weiter ausgeführte Themen sowie einen Musterfragebogen zur Einholung von Selbstauskünften bei Mietinteressent*innen, die sog. „Mieterselbstauskunft“, in der Anlage der Orientierungshilfe.
Im Folgenden sollen die wesentlichen Änderungen aufgegriffen werden.
Unter diesem Punkt in der Orientierungshilfe (vgl. Seite 7 f.) wurden einerseits Ausführungen zur weiteren Einholung von Nachweisen über die Bonität von den Mietinteressent*innen gestrichen, wie bspw. die Vorlage von Quittungen über geleistete Mietzahlungen an Vorvermieter*innen. Die Abfrage solcher Nachweise dürfte somit nicht mehr zulässig sein.
Andererseits gibt es in der neuen Version eine konkretisierende Anpassung und zusätzliche thematische Ausführungen zu vergangenen und möglichen zukünftigen Pflichtverletzungen während eines Mietverhältnisses.
So stellt die neue Version darauf ab, dass Fragen nach erheblichen Pflichtverletzungen, die eine Kündigung rechtfertigen, nur begrenzt zulässig seien und Pflichtverletzungen als erheblich gelten, wenn sie auch noch in Zukunft zu erwarten seien. Diese Version hat die bloße Pflichtverletzung somit sprachlich zu einer erheblichen Pflichtverletzung konkretisiert und den Begriff der Erheblichkeit erläutert – auch wenn es inhaltlich zur vormaligen Version keinen großen Unterschied gibt.
Neue Ausführungen gibt es hier auch insofern, als dass den Mietinteressent*innen die Möglichkeit gegeben werden soll, „[…] Gründe vorzutragen, weshalb eine gleichartige Pflichtverletzung im neuen Mietverhältnis nicht zu erwarten ist […]“, für welche Fragen die Erheblichkeitsschwelle gilt oder wann die Erheblichkeitsschwelle überschritten ist.
Es findet ein Verweis auf zulässige Fragen in der Anlage der Orientierungshilfe statt.
Im neuen und letzten Abschnitt der Orientierungshilfe (vgl. Seite 9 f.) wird darauf eingegangen, …
wann die personenbezogenen Daten der Mietinteressent*innen zu löschen sind:
in welchen Fällen Daten länger gespeichert werden können:
und wann eine weitere Speicherung unzulässig ist:
Die Orientierungshilfe geht auf die verschiedenen Zeitpunkte in einem Vermietungsprozess und die Zulässigkeit der dort jeweils zu erhebenden Daten der Mietinteressent*innen ein: Besichtigungstermin, vorvertragliche Phase und Entscheidung. Diese Aufteilung dient auch als Grundlage für den neu als Anlage beigefügten Musterfragebogen zur Einholung von Selbstauskünften bei Mietinteressent*innen.
Der Fragebogen soll lediglich als Leitfaden dienen und auf den vorliegenden Zeitpunkt im Vermietungsprozess und das jeweilige Mietverhältnis durch die Vermieter*innen angepasst werden. Die Aufteilung in unterschiedliche Zeitpunkte im Vermietungsprozess der Orientierungshilfe findet sich daher auch im Musterfragebogen wieder und gibt den Vermieter*innen eine entsprechende Hilfestellung.
Ebenfalls enthält der Musterfragebogen Hinweise für die Mietinteressent*innen, was beim Ausfüllen des Fragebogens und Bereitstellen von Unterlagen beachtet werden sollte.
Folgende Daten werden bspw. abgefragt:
Die Orientierungshilfe zu aktualisieren war – nach sechs Jahren – sicher keine schlechte Idee und es wurden einige hilfreiche Informationen ergänzt.
Insbesondere ist positiv zu bewerten, dass nun auch Hinweise zur Löschung der personenbezogenen Daten, die während eines Vermietungsprozesses gesammelt werden, in der aktuellen Orientierungshilfe enthalten sind, um dem einen oder der anderen möglicherweise bestehende Unsicherheiten zu nehmen.
Der Musterfragebogen sollte darüber hinaus auch als ein solcher behandelt und die von der DSK direkt am Anfang der Anlage gegebenen Hinweise von den Vermieter*innen zur Kenntnis genommen und umgesetzt werden.
Insbesondere gilt für das Ausfüllen eines solchen Fragebogens durch die Mietinteressent*innen: Unzulässige Fragen müssen grundsätzlich nicht beantwortet werden. Hier könnte der Druck für die Mietinteressent*innen jedoch ggf. doch zu hoch sein, wenn zu befürchten ist, Vermieter*innen entscheiden sich eher für andere Bewerber*innen, die bereitwillig alle Daten über sich zur Verfügung stellen.
Für diesen Fall wäre es für die Mietinteressent*innen aber immerhin unschädlich, bei unzulässigen Fragen wahrheitswidrige Antworten zu geben. Vermieter*innen haben dementsprechend nichts gewonnen, wenn sie solche Frage stellen.
Grundsätzlich sind bei der Einführung von KI-Anwendungen, die mit personenbezogenen Daten in Berührung kommen, ein paar Punkte zu beachten. Unternehmen, die solche Anwendungen nutzen wollen, benötigen in jedem Fall:
Grundsätzlich ist der Einsatz von Microsoft Copilot nicht per se datenschutzrechtlich ausgeschlossen, sondern durchaus denkbar. Was Microsoft vorliegend mit dem „Microsoft Copilot with commercial Data Protection“ macht, wird aber vermutlich viele Unternehmen überraschen, die die „geschenkte“ Anwendung nicht ganz so genau unter die Lupe nehmen.
Denn alleine die Prüfung des ersten Punktes der oben genannten Mindestanforderungen führt zu dem Ergebnis, dass „Microsoft Copilot with commercial Data Protection“ wohl nicht für die Verarbeitung personenbezogener Daten eingesetzt werden darf. Denn überraschenderweise schließt Microsoft in Bezug auf diese konkrete Ausprägung seines Copiloten keine Verträge zur Auftragsverarbeitung. Stattdessen wird die Anwendbarkeit des globalen Microsoft Vertrags zur Auftragsverarbeitung (DPA) sogar ausgeschlossen. Aus Kundensicht ist dies aber nur schwer nachvollziehbar, denn ein solcher Ausschluss ergibt sich nur aus einem der zahlreichen Microsoft-Dokumente, die man prüfen muss, wenn man Microsoft-Dienste einsetzen möchte. Konkret wird man in den sogenannten Privacy & Security Terms fündig, in denen Microsoft unter der Überschrift „Online Services excluded from the DPA“ auch „Microsoft Copilot with commercial data protection“ aufzählt.
Statt in der Rolle des Auftragsverarbeiters sieht sich Microsoft beim „Copilot with commercial Data Protection“ sogar in der Rolle des Verantwortlichen im datenschutzrechtlichen Sinne. Der Einsatz für personenbezogene Daten ist daher datenschutzrechtlich nicht möglich.
Wer Microssoft Copilot dennoch mit personenbezogenen Daten in Berührung bringen und nicht bereits bei dem ersten Prüfpunkt der datenschutzrechtlichen Grundvoraussetzungen ausscheiden möchte, der muss eine Lizenz abschließen, zu der Microsoft auch einen Vertrag zur Auftragsverarbeitung anbietet. Konkret geht es dann in den meisten Fällen wohl um die Lizenz „Copilot for Microsoft 365“, die jedoch mit derzeit 28,10 Euro zzgl. MwSt. pro Benutzer und Monat im Jahresabonnement zu Buche schlägt und dann aber auch noch weitere Funktionen mit sich bringt.
Im Fazit kann man feststellen, dass man den Einsatz von KI-Anwendungen in der Praxis gründlich prüfen muss. Insbesondere bei kostenlosen Varianten verbergen sich häufig Fallstricke, selbst wenn der Name suggeriert, dass Geschäftsdaten geschützt und nicht zweckfremd verarbeitet werden.
Das Geschäftsmodell beim AGG-Hopping besteht darin, Stellenanzeigen nach Verstößen gegen das AGG zu durchforsten, etwa, wenn die ausgeschriebene Position nicht geschlechtsneutral ausgeschrieben wurde (m/w/d) und dann Schadensersatz wegen Diskriminierung nach § 15 AGG zu fordern. Es gibt also kein ernsthaftes Interesse an der ausgeschriebenen Position, wohl aber an der Entschädigung, die sich am Monatsgehalt der Stelle orientiert und schnell mehrere Tausend Euro betragen kann.
Ein aktuelles Beispiel ist der Fall eines Wirtschaftsjuristen. Er bewarb sich auf Stellen, die ausschließlich für Frauen ausgeschrieben waren und forderte Schadensersatz von den Unternehmen.
Ein Unternehmen wollte nicht zahlen, worauf der Wirtschaftsjurist versuchte, Schadensersatz vor dem Landesarbeitsgericht (LAG) Hamm (Urteil vom 05.12.2023, Az. 6 Sa 896/23) einzuklagen.
Das Gericht wies die Klage ab, da es ein rechtsmissbräuchliches Vorgehen in der Bewerbung sah. Es begründete dies auch mit dem Vorbringen des beklagten Unternehmens. Die Beklagte hat den Rechtsmissbrauch u. a. auf die Vielzahl von Verfahren in Bezug auf Diskriminierung wegen des Geschlechts zurückgeführt.
Der Kläger war jedoch der Meinung, dass diese Verfahren nicht in den Prozess eingeführt hätten dürfen, da sie einem datenschutzrechtlichen Verwertungsverbot unterlägen.
Das Gericht gab dem Kläger insoweit recht, als dass die Verwertung von grundrechtswidrig erlangten Beweisen unzulässig sein könnte. Hier sah das Gericht aber keine grundrechtswidrigen Eingriffe.
Das Gericht entschied, dass die Angaben über das Bewerbungs- und Prozessverhalten des Klägers personenbezogen sind und der Vortrag der Beweise durch die Beklagte eine Datenverarbeitung darstellt. Das Gericht sah aber in Art. 6 Abs. 1 lit. f DSGVO für die Beklagte die rechtmäßige Rechtsgrundlage zur Datenverarbeitung. So habe die Beklagte ein berechtigtes Interesse an der Datenverarbeitung, da sie im Rechtsstreit die Beweise beibringen muss, die auf einen Rechtsmissbrauch des Klägers hindeuten. Die Beklagte habe keine rechtswidrigen Maßnahmen zur Recherche ergriffen. Das Gericht hatte keine Bedenken hinsichtlich der Recherche in allgemein zugänglichen Quellen wie juristischen Datenbanken, in denen die entsprechenden Urteile der Gerichte verzeichnet sind. Das Gericht hat ausdrücklich keine Bedenken, wenn die Beklagte andere Unternehmen kontaktiert hat, um weitere Informationen zu erhalten. Insgesamt musste das Interesse des Klägers an der Nichtverarbeitung seiner Daten daher zurückstehen.
Der Fall ist bisher nicht zu Ende. Der Kläger hat Revision beim Bundesarbeitsgericht (BAG) eingelegt (Az. 8 AZR 21/24). Ob sich an der datenschutzrechtlichen Bewertung beim BAG etwas ändert, bleibt abzuwarten.
Tatsächlich ist die Interessenabwägung des LAG Hamm etwas dünn geraten. So muss die Erwartung der betroffenen Person bzw. die Absehbarkeit der Datenverarbeitung und die Beziehung zum Verantwortlichen näher in den Blick genommen werden. Im konkreten Fall ist es von Bedeutung, wie die Gewichtung der Interessen des Verarbeiters und die Intensität der Einschränkung von Grundrechten, Grundrechten oder Grundfreiheiten des Betroffenen zusammenhängen. Dies ist in der Urteilsbegründung etwas zu kurz gekommen.
Ob aber datenschutzrechtliche Aspekte für das BAG ausschlaggebend sein werden, darf bezweifelt werden. In der Vergangenheit hat es sich hier sehr pragmatisch in der Anwendung gezeigt.
Oft nerven Cookie-Banner, will man doch „nur“ eine bestimmte Webseite besuchen. Doch sie schützen davor, dass bestimmte Daten ohne unsere Einwilligung ausgelesen werden. Demnach ist die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugang zu Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Hierfür ist es erforderlich, dass bereits auf der Ebene, auf der die Einwilligung erteilt werden kann auch eine Alternative angeboten wird, mit der das Banner geschlossen werden kann, also eben keine Einwilligung erteilt wird. Nur so besteht eine tatsächliche Wahlmöglichkeit, bevor die Daten etwaig verarbeitet werden.
Das BayLDA nahm neben den Webseiten die verschiedensten Apps unter die Lupe. Dabei waren beispielsweise Anbieter von Kundenbindungssystemen, von Unterhaltungs- und Freizeitservices bis hin zur Versicherungsbranche. Bei nahezu allen der geprüften Apps wurden einwilligungspflichtige Vorgänge festgestellt, bei denen keine notwendige Einwilligung eingeholt wurde.
Die Websites konnten ohne großen Aufwand über ein automatisiertes Tool geprüft werden. Dieses ermöglicht es, Websites automatisiert daraufhin zu überprüfen, ob neben der Option „Alle Akzeptieren“ auch eine gleichwertige Möglichkeit auf erster Ebene gegeben ist, das Banner ohne Erteilung einer Einwilligung zu schließen. Es muss den Website-Besuchern möglich sein, die Ablehnung genauso einfach durchzuführen wie die Zustimmung, d. h. die beiden Wahlmöglichkeiten müssen gleichwertig ausgestaltet werden.
Sofern Unstimmigkeiten festgestellt wurden, bekamen die Webseitenbetreiber die Chance zur Stellungnahme. Auch die verantwortlichen App-Betreiber wurden aufgefordert Stellung zu nehmen. Abhängig vom weiteren Verlauf muss mit Bußgeldern und Abhilfemaßnahmen gerechnet werden. Wie es nun weitergeht, kann hier mitverfolgt werden. Abschließende Ergebnisse der Prüfverfahren werden im weiteren Jahresverlauf erwartet.
Und wo bekomme ich als App- oder Webseitenbetreiber nun Hilfe? Wie solche Banner zu gestalten sind, kann der „Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien“ entnommen werden. Hierbei unterstützen kann auch ein neu zur Verfügung gestelltes Tool des EDSA (Europäische Datenschutzausschuss), das im Rahmen der Webseitenanalyse eingesetzt werden kann und erkennt, ob die Ausgestaltung rechtskonform ist. Das Tool kann sowohl von juristischen und technischen Prüfern bei Datenschutzbehörden als auch von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern verwendet werden, die ihre eigenen Websites testen möchten. Das Tool ist eine freie und quelloffene Software und steht hier zum Download bereit, dort ist auch der Quellcode verfügbar. Zudem stellt das BayLDA ein Informationsblatt zur Verfügung, wie der Einsatz von Drittdiensten bei Apps rechtskonform eingebunden werden kann.
Es ist also zu empfehlen, sich die betriebenen Websites oder Apps einmal genau hinsichtlich dieser Thematik anzuschauen. Dies gilt übrigens auch für alle außerhalb von Bayern, denn auch die britische Aufsicht ICO weist darauf hin, dass sie ihre im letzten Jahr begonnenen automatisierte Prüfung von Webseiten fortsetzen wird und hat sich für 2024 eine solche Prüfung auf die Fahnen geschrieben.
Dazu hatte sich der EuGH bereits in der Vergangenheit kritisch geäußert. Nun äußerte sich der EuGH im Urteil zur Rechtssache C‑687/21 erneut zu der Frage, ob ungute Gefühle einen Schadensersatzanspruch im Rahmen der DSGVO begründen können.
Dass beim Kauf von Haushaltsgeräten bei einem Elektrohändler mal etwas schieflaufen kann, ist so trivial wie menschlich. In diesem Fall gab es auch eine datenschutzrechtliche Komponente.
Ein Käufer wollte bei einer Filiale von Saturn ein Elektrohaushaltsgerät kaufen. Dazu schloss er einen Kauf- und Kreditvertrag ab. Zu den personenbezogenen Daten im Vertrag gehörten der Name des Käufers, seine Anschrift, der Name des Arbeitgebers, die Einkünfte des Käufers und seine Bankdaten.
Der Vertrag wurde ausgedruckt, unterschrieben und zur Warenausgabe weitergeleitet. Allerdings händigte der dortige Mitarbeiter die Unterlagen aus Versehen an einen anderen Filialbesucher aus, der sich dort vorgedrängelt hatte und die Unterlagen mitnahm. Sofort wurde der Irrtum bemerkt und eine halbe Stunde später wurden dem Käufer die Unterlagen von dem Saturn-Mitarbeiter übergeben.
Der Kläger befürchtete jedoch, der falsche Adressat könnte eine Kopie der Unterlagen gemacht haben. Er sah darin das Risiko für einen Kontrollverlust über seine personenbezogenen Daten, was Unbehagen in ihm auslöste. Daher klagte er gegen Saturn auf Schmerzensgeld – zunächst vor dem Amtsgericht Hagen. Dieses hatte Zweifel, wie die DSGVO im konkreten Fall auszulegen ist und stellte dem EuGH Fragen zur Auslegung der DSGVO. Dazu gehörte auch die Frage, ob ein befürchteter Kontrollverlust, der in der Zukunft zum Datenmissbrauch führen könnte, zu Schmerzensgeld berechtigt, auch wenn der falsche Empfänger die Daten nicht zur Kenntnis genommen hat.
Kurz gefasst: Der EuGH sagt, Befürchtungen und Unwohlsein reichen nicht aus. Der Kläger muss den Schaden nachweisen. Ein rein hypothetisches Risiko der missbräuchlichen Verwendung durch einen unbefugten Dritten kann nicht zur Entschädigung führen. Hier ist das Risiko hypothetisch, weil der falsche Adressat die Daten erwiesenermaßen nicht zur Kenntnis genommen hat und der Nachweis oder zumindest Anhaltspunkte einer unbefugten Kopie nicht erbracht wurden.
Überdies hat der EuGH noch einige andere Punkte bestätigt, die bereits Gegenstand anderer Urteile waren:
So hat der EuGH bestätigt, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen nach Art. 32 DSGVO zum Schutz der personenbezogenen Daten treffen und auch dafür den Nachweis erbringen muss. Wenn ein Dokument irrtümlich an einen unbefugten Dritten herausgegeben wird, kann dies Fahrlässigkeit sein bzw. einen Organisationsmangel darstellen. Allerdings reicht der Umstand, dass ein Mitarbeiter ein Dokument irrtümlich herausgegeben hat, für sich genommen nicht aus, um davon auszugehen, dass die Maßnahmen nach Art. 32 DSGVO nicht geeignet waren.
Außerdem weist der EuGH darauf hin, dass der Schadensersatzanspruch aus Art. 82 DSGVO – anders als Sanktionen der Aufsichtsbehörden – keine Straffunktion hat, sondern eine Ausgleichsfunktion, wodurch der erlittene Schaden ausgeglichen werden soll.
Schließlich ist für den Schadensersatzanspruch die Schwere des begangenen Verstoßes gegen die DSGVO durch den Verantwortlichen unerheblich. Zusätzlich muss die Person, die Schadensersatz verlangt, sowohl den Verstoß gegen die DSGVO nachweisen als auch, dass ihr durch den Verstoß ein Schaden entstanden ist.
Unwohlsein, theoretische Möglichkeiten – all dies kann keinen Schadensersatz begründen. Wer Schadensersatz einklagen möchte, muss den Schaden konkret begründen und auch nachweisen. Dies wird Geschäftsmodelle, die Sammelklagen zum Gegenstand haben, zunehmend unattraktiver gestalten.