07

Kernpunkte:

  • Sensible Ortsinformationen
  • Wearables
  • Medienkompetenz

 

7    Neue Medien

7.1          EuGH-Verfahren zu Facebook-Seiten

Das seit 2011 laufende Verfahren um die datenschutzrechtliche Verantwortlichkeit von Betreibern von Facebook-Seiten wurde im Februar 2016 vor dem Bundesverwaltungsgericht in Leipzig verhandelt. Entschieden wurde jedoch nichts: Stattdessen legte das Bundesverwaltungsgericht dem Gerichtshof der Europäischen Union (EuGH) sechs Fragen vor, in denen es um die korrekte Interpretation des Datenschutzrechts geht. Diese Fragen betreffen neben der europaweiten Kooperation der Aufsichtsbehörden vor allem die Verantwortlichkeit der Seitenbetreiber.

In dem zugrunde liegenden Sachverhalt haben sich die Betreiber der Facebook-Seiten bewusst für die Nutzung von Facebook entschieden und ihr Angebot dort aufgebaut. Das ULD hatte zuletzt deutlich darauf hingewiesen, dass die fehlende Kontrolle über die Facebook-Seiten kein Argument gegen eine Verantwortlichkeit der Seitenbetreiber sein kann. Auch kann es keine Rolle spielen, dass zwischen Seitenbetreiber und Facebook kein mustergültiger Auftragsdatenverarbeitungsvertrag besteht. Mit diesen Argumenten hatten die Vorinstanzen den Bescheid des ULD noch für rechtswidrig erklärt.

Die Einbindung Dritter in die eigene Datenverarbeitung ist im deutschen Recht genauso wie in der EU-Datenschutz-Richtlinie von 1995 sowie in der ab Mai 2018 geltenden Datenschutz-Grundverordnung weitgehend identisch geregelt: Verantwortlich ist stets der, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Die Seitenbetreiber verfolgen mit den von ihnen betriebenen Facebook-Seiten eigene Marketing- und Kundenkommunikationsinteressen und wählen dafür das Instrument der Facebook-Seiten, statt beispielsweise konkurrierende Webseiten-Hosting-Dienste zu bemühen. Facebook verarbeitet folglich die Daten der Seitenbesucher im Interesse des Seitenbetreibers. Nach dem Wortlaut des europäischen Rechts genügt dies, um eine Verantwortlichkeit des Seitenbetreibers zu begründen.

Verantwortlichkeit für Datenschutz

Bezüglich der Verantwortlichkeit von Webseitenbetreibern für die von ihnen gewählten Webseitenhoster (z. B. Facebook als Anbieter der Facebook-Seiten) gibt es Auslegungsprobleme des deutschen Rechts, das teilweise andere Schlussfolgerungen nahelegt, als es die europarechtlichen Vorgaben tun. Dem EuGH liegen ausgehend von dem seit 2011 laufenden Gerichtsverfahren des ULD nun entsprechende Fragen zur Klärung vor. Eine Entscheidung des EuGH wird für Ende 2017 erwartet.

Das aktuelle deutsche Datenschutzrecht hingegen enthält im Wortlaut des § 3 Abs. 7 BDSG eine leicht abweichende Formulierung, die nahelegt, dass zusätzlich zu der Verarbeitung, die Facebook für die Seitenbetreiber durchführt, auch konkrete formelle und tatsächliche Voraussetzungen erfüllt werden müssen. Die Voraussetzungen sind nach Überzeugung des ULD im Europarecht allerdings lediglich Folge der Verarbeitung, nicht jedoch Bedingung für eine Verantwortlichkeit. Die fehlende Kontrolle und die fehlende vertragliche Fixierung der Weisungsrechte eines Verantwortlichen entlassen ihn auch in anderen Fällen nicht aus der datenschutzrechtlichen Verantwortlichkeit, sondern stellen im Gegenteil vielmehr für sich genommen bereits Verstöße gegen datenschutzrechtliche Vorgaben dar.

Ebendiese Abweichungen zwischen europäischen Vorgaben und deutschem Recht sind nun Gegenstand der Vorlagefragen an den EuGH. Die mündliche Verhandlung soll am 27. Juni 2017 stattfinden; mit einer Entscheidung des Gerichtshofs ist noch im Jahr 2017 zu rechnen.

 

7.2          Rundfunkbeitragsstaatsvertrag – Meldedatenabgleich und (zunächst) keine Adresskäufe

Im Jahr 2016 wurde der Rundfunkbeitragsstaatsvertrag der Länder geändert. Das ULD nahm zu den beabsichtigten Neuregelungen Stellung (Landtagsumdruck 18/6050). Zur Sicherstellung der Aktualität des Datenbestands soll demnach zum 1. Januar 2018 ein neuer Meldedatenabgleich durchgeführt werden, wobei zu jeder volljährigen Person der Familienname, Vornamen, frühere Namen, Doktorgrad, Familienstand, Tag der Geburt, gegenwärtige und letzte Anschrift von Haupt- und Nebenwohnungen einschließlich aller vorhandenen Angaben zur Lage der Wohnung und der Tag des Einzugs in die Wohnung an die Landesrundfunkanstalten übermittelt werden sollen. Die Datenübermittlung soll bis zum 31. Dezember 2018 abgeschlossen sein. Dies wird damit begründet, dass vor dem Hintergrund einer größtmöglichen Beitragsgerechtigkeit und der Vermeidung von Vollzugsdefiziten der Datenbestand in seiner Qualität erhalten werden solle.

Ist dieser geplante Meldedatenabgleich wirklich erforderlich? Bereits im Zuge der Umstellung des Rundfunkbeitrags im Jahr 2013 wurde ein vollständiger Meldedatenabgleich vorgenommen. Gleichwohl gehen die Rundfunkanstalten von einem jährlichen Verlust von rund 200.000 beitragspflichtigen Wohnungen aus, was sich nach deren Hochrechnung im Zeitraum bis 2020 zu einem Ertragspotenzial der dann nicht mehr im Bestand befindlichen Wohnungen zu einer Größenordnung von 750 Mio. Euro aufaddiere. Die genannten Zahlen sind allerdings nicht verifizierbar. Nach Auffassung des ULD ist zu berücksichtigen, dass zur Ermittlung der Beitragsschuldner mehrere Handlungsmöglichkeiten zur Verfügung stehen. Hierzu zählen die bußgeldbewehrte Anzeigepflicht der Inhaber einer Wohnung, einer Betriebsstätte oder eines beitragspflichtigen Kraftfahrzeugs. Weiterhin übermitteln die Meldebehörden dem NDR zum Zweck der Einziehung der Rundfunkbeiträge im Falle der Anmeldung, Abmeldung oder des Todes zu volljährigen Einwohnern einen Datensatz, der die folgenden Daten umfasst: Vor- und Familiennamen, frühere Namen, Doktorgrad, Tag der Geburt, gegenwärtige und letzte frühere Anschriften (Haupt- und Nebenwohnung), Tag des Ein- und Auszugs, bei Ehe oder Lebenspartnerschaft den Familienstand und gegebenenfalls den Sterbetag. Für einen zusätzlichen Meldedatenabgleich im Jahr 2018 besteht daher unserer Meinung nach keine Notwendigkeit.

Im geänderten Rundfunkstaatsvertrag wird auch bestimmt, dass die Landesrundfunkanstalten bis zum 31. Dezember 2020 keine Adressdaten privater Personen ankaufen dürfen und bis dahin keine Einholung von Auskünften bei Vermietern erfolgen darf. Nach diesem Datum aber schon. Doch da die Meldebehörden ohnehin im Falle der Anmeldung, Abmeldung oder des Todes eine Datenübermittlung vornehmen, ist nicht erkennbar, warum es überhaupt eine Option für Landesrundfunkanstalten geben soll, Adressdaten anzukaufen. Dabei ist auch zu berücksichtigen, dass die Datenbestände privater Adresshändler nicht per se aktuell sind. Im Rahmen von Beschwerden bei den Datenschutzaufsichtsbehörden wäre es den Bürgerinnen und Bürgern nicht vermittelbar, warum der Zentrale Beitragsservice im Auftrag der Rundfunkanstalten die Befugnis haben soll, Adressdaten auf dem freien Markt anzukaufen.

Was ist zu tun?
Bei Beratungen der Länder zu Änderungen im Rundfunkbeitragsstaatsvertrag sollte der Landtag sich für eine vollständige Streichung der Option einsetzen, dass der NDR Adressdaten bei privaten Stellen ankaufen darf. Weiterhin sollten zusätzliche Meldedatenabgleiche nicht mehr erlaubt werden, zumal im Melderecht in Schleswig-Holstein bereits eine Bestimmung zur Datenübermittlung an den NDR besteht.

 

7.3          WhatsApp im Einsatz bei datenverarbeitenden Stellen

Über das Jahr 2016 hinweg erreichten das ULD sowohl Beschwerden von Betroffenen als auch Beratungsanfragen zum Einsatz von WhatsApp durch Unternehmen. Die Nutzung von Messenger-Diensten hat nicht nur klassische SMS und Sprachnachrichten in der Alltagskommunikation verdrängt, sondern wird auch im Unternehmensumfeld nachgefragt. WhatsApp ist als einer der weltweit verbreitetsten Messenger-Dienste dabei oft die naheliegende Wahl.

Das ULD hat wie andere Aufsichtsbehörden bisher die Nutzung von WhatsApp im Unternehmenseinsatz jedoch aus unterschiedlichen Gründen untersagt. Dabei waren anfangs die fehlende Inhaltsverschlüsselung und der generelle Zugriff auf Kommunikationsinhalte durch US-Behörden die entscheidenden Kriterien. Einen solchen generellen Zugriff hatte der EuGH im Schrems-Urteil aus dem Jahr 2015 (Tz. 11.1) als eine Verletzung des Wesensgehalts von Grundrechten gewertet. Zudem hatte WhatsApp in seinen Nutzungsbedingungen bisher die Nutzung zu kommerziellen Zwecken ausgeschlossen, sodass der Dienst nicht den datenschutzrechtlichen Anforderungen an die Verfügbarkeit der Datenverarbeitung genügte.

Nach einer längeren Testphase setzt WhatsApp hinsichtlich der Inhalte der Nachrichten seit April 2016 eine Ende-zu-Ende-Verschlüsselung ein und hat sich nach einer Änderung der Nutzungsbedingungen im August 2016 zudem für den kommerziellen Einsatz geöffnet. Die früheren Kritikpunkte sind damit in gewissem Umfang bearbeitet worden, neue sind jedoch hinzugekommen.

So wurden im Januar 2017 Bedenken hinsichtlich der Verfahren der Schlüsselerzeugung und -verteilung laut, die Voraussetzung für die seit 2016 implementierte Ende-zu-Ende-Verschlüsselung sind. Die bei WhatsApp durch den Nutzer kaum kontrollierbare Verteilung der Schlüssel lasse es laut den Berichten denkbar erscheinen, dass WhatsApp zu einer für den Nutzer unbemerkten Weiterleitung der Nachrichten an Dritte verpflichtet werden könne.

Zudem wurde mit der Änderung der Nutzungsbedingungen nicht nur der kommerzielle Einsatz ermöglicht, sondern gleichzeitig auch eine vielfach kritisierte und bereits europaweit aufsichtsrechtlich untersuchte Datenweitergabe an den Facebook-Mutterkonzern bekannt gegeben. Diesbezüglich betonen jüngere EuGH-Urteile zunehmend die wachsende Bedeutung des Schutzes von sogenannten Metadaten für die Privatsphäre von Kommunikationsteilnehmern. Daten darüber, wer wann mit wem und wie lange kommuniziert, erlauben schwerwiegende Eingriffe in die Grundrechte der Kommunikationsteilnehmer – eine solche Auswertung wird durch Inhaltsverschlüsselung nicht verhindert. Im Gegenteil: WhatsApp liest die Informationen aus dem gesamten Smartphone-Adressbuch des Teilnehmers aus. Die Nutzungsbedingungen verdeutlichen dies: „Du stellst uns regelmäßig die Telefonnummern von WhatsApp- Nutzern und deinen sonstigen Kontakten in deinem Mobiltelefon-Adressbuch zur Verfügung. Du bestätigst, dass du autorisiert bist, uns solche Telefonnummern zur Verfügung zu stellen, damit wir unsere Dienste anbieten können.“ Eine wirksame Autorisierung aller Kontakte wird in den seltensten Fällen vorliegen. Mit Blick auf die insoweit noch immer unsichere Rechtslage hinsichtlich des WhatsApp-Messengers bleibt das ULD hinsichtlich des Einsatzes zur Kommunikation mit Kundinnen und Kunden sowie unter Mitarbeiterinnen und Mitarbeitern weiterhin kritisch.

Derzeit wird auf europäischer Ebene zudem eine neue Verordnung über Privatsphäre und elektronische Kommunikation diskutiert, die voraussichtlich zusammen mit der Datenschutz-Grundverordnung ab Mai 2018 Geltungskraft erlangen wird und erstmals ausdrücklich auch Messenger wie WhatsApp erfasst. Die darin bisher im Entwurf geregelten Vorgaben hinsichtlich der Vertraulichkeit der Kommunikation sowie der Verarbeitung von Metadaten werden auch eine Neubewertung bei WhatsApp nötig machen. Für Unternehmen und Organisationen bleibt es daher derzeit weiter ratsam, sich hinsichtlich neuer Kommunikationsmittel nur rechtskonformer Dienste zu bedienen.

Was ist zu tun?
Technische und rechtliche Veränderungen bei WhatsApp haben zwar dazu geführt, dass frühere Hürden für den Unternehmenseinsatz reduziert wurden, neue Kritikpunkte sind jedoch hinzugekommen. Auch die voraussichtlich ab Mai 2018 geltende EU-Verordnung über Privatsphäre und elektronische Kommunikation lässt vermuten, dass ein rechtskonformer Einsatz von WhatsApp weiterhin nicht möglich ist. Dies müssen Unternehmen und öffentliche Stellen berücksichtigen.

 

7.4          „Pokémon Go“ und was Ortsinformationen verraten

Ortsinformationen

Viele Smartphone-Anwendungen geben Ortsinformationen an die Anbieter weiter. Achtung: Orts- und Bewegungsdaten können viel über den Nutzer verraten: typische Aufenthaltsorte zu Hause, bei der Arbeit, bei Freunden und über Hobbys, Verkehrsmittel, Beziehungen usw. Dies betrifft nicht nur die eigenen personenbezogenen Daten des Nutzers, sondern verrät auch etwas über dessen Kontakte. Das können sogar sehr sensible Daten sein, z. B. wenn ein Arzt Hausbesuche macht, eine Apotheke Medikamente ausliefert, ein Journalist seine Informanten trifft oder Polizisten zu Einsatzorten gerufen werden. Diese Daten dürfen nicht in falsche Hände geraten – und schon gar nicht an außereuropäische Anbieter gelangen, die sich weitreichende Auswertungen vorbehalten.

Der Sommer 2016 war geprägt von „Pokémon Go“, einem Smartphone-Spiel von der Firma Niantic aus den USA. Der Spieler bewegt sich hierbei durch die normale Welt, fängt dabei virtuelle Fabelwesen (sogenannte Pokémons) ein und besucht Sehenswürdigkeiten, die im Spiel zu „Pokestops“ und „Arenen“ werden, um sich dort aufzurüsten und kleinere Kämpfe zu absolvieren. Uns erreichten zahlreiche Fragen von Bürgern und der Presse, wie es um den Datenschutz bei dem Spiel bestellt ist.

Insbesondere wird dauerhaft die Ortsinformation des Spielers ausgewertet und an den Anbieter übermittelt. Die Datenschutzbestimmungen lassen dabei dem Betreiber weitgehende Nutzungsmöglichkeiten. Auch eine nachträgliche Löschung der Daten ist allenfalls eingeschränkt möglich. Von der Nutzung des Spiels in der Dienstzeit muss somit (nicht nur aus Datenschutzgründen) abgeraten werden: Selbst wenn man gerade nicht aktiv Pokémons fängt, überträgt das Spiel Ortsinformationen. Auch Privatnutzer sollten sich die Gefahr der ständigen Überwachung ihres Aufenthaltsorts bewusst machen. Außerdem sollten sie überdenken, ob sie das Spiel mit ihrem auch für andere Anwendungen benutzten (Google-)Konto verwenden oder lieber ein neues Konto nur für diesen Zweck anlegen.

Was ist zu tun?
Ortsinformationen sind sensibel, denn sie geben Einblick in viele Lebensbereiche einer Person und können auch weitere Personen betreffen. Das Bewusstsein darüber ist nicht nur im Privatleben angeraten, sondern auch im Arbeitsleben nötig. Es fehlt nicht nur an Transparenz, sondern Hersteller und Entwickler sollten insgesamt ihre Anwendungen so gestalten, dass nur die für den jeweiligen Zweck erforderlichen Daten übertragen und sie nicht zu anderen Zwecken ausgewertet werden.

7.5          Länderübergreifende Untersuchung von Wearables

Fitnessarmbänder und Smart Watches (sogenannte Wearables) erfassen inzwischen bei vielen Menschen umfassend ihre Aktivitäten und den Gesundheitszustand. Unter der Federführung der Kollegen des Bayerischen Landesamts für Datenschutzaufsicht und zusammen mit weiteren Datenschutzaufsichtsbehörden hat sich das ULD an einer bundesweiten Prüfung dieser Geräte beteiligt. Insgesamt wurden 16 Wearables von Herstellern, die ca. 70 % des Marktanteils in Deutschland abdecken, untersucht. Neben den Geräten wurden auch die zugehörigen Apps einer technischen und rechtlichen Analyse unterzogen.

Das ernüchternde Ergebnis: Kein Gerät erfüllt im Ergebnis vollständig die datenschutzrechtlichen Anforderungen. So hapert es schon an der Transparenz und Nachvollziehbarkeit der Datenverarbeitung. Viele Geräte übertragen die Daten der Nutzer über das Internet an unterschiedliche Stellen. Die oftmals nur pauschalen Datenschutzerklärungen liefern für die Betroffenen keine ausreichenden Informationen über Datenübermittlungen, Weitergaben an Dritte oder auch Verarbeitungszwecke. Dies ist umso gravierender, da es sich teilweise um besonders sensible Gesundheitsdaten handelt, die Aussagen über den Fitnesszustand des Nutzers ermöglichen und teilweise sogar Herzschläge erfassen. Viele Hersteller schweigen sich über Löschungsmöglichkeiten der Daten aus, was zumindest für die Fälle wichtig wäre, in denen ein Gerät verloren geht oder der Nutzer aus anderen Gründen die Datenerfassung beendet möchte.

Die Ergebnisse der gemeinsamen Prüfung können hier nachgelesen werden:

https://www.datenschutz-mv.de/datenschutz/themen/beschlue/91_DSK/Entschl-Wearables.pdf

Was ist zu tun?
Die Verbreitung von Wearables, insbesondere in Form von Smart Watches, nimmt zu. Es ist wichtig, dass die Hersteller der Geräte und Betreiber der Anwendungen die rechtlichen und technischen Anforderungen des Datenschutzes nachvollziehbar umsetzen und die Nutzerinnen und Nutzer über bestehende Risiken informieren.

 

7.6          Medienkompetenz für Schülerinnen und Schüler

Medienkompetenz gehört mittlerweile zu den notwendigen Kernkompetenzen in unserer Gesellschaft. Ein wesentlicher Bestandteil von Medienkompetenz ist Datenschutz: Wie kann man sich in der Informationsgesellschaft vor Risiken schützen? Und wie vermeidet man, dass man selbst zu einem Risiko für andere wird? Dies kann man nicht früh genug lernen.

Das ULD ist deswegen nicht nur Partner im Netzwerk Medienkompetenz Schleswig-Holstein und Mitglied der Lenkungsgruppe des Netzwerks Medienkompetenz Schleswig-Holstein, sondern unterstützt das Lernen von Medienkompetenz mit eigenen Schwerpunktaktivitäten für Kinder und Jugendliche sowie für Eltern und Lehrkräfte:

  • Datenschutz-/Medienkompetenzkurse für Schüler „Entscheide DU, sonst tun es andere für Dich!“ ab 7. Klassenstufe
  • Datenschutz-/Medienkompetenzkurse für Eltern „Entscheiden SIE, sonst tun es andere für Ihre Kinder!“
  • Medienkompetenztage an Schulen für Schüler (7. und 8. Klassenstufe), Eltern und Lehrkräfte in Kooperation mit der Verbraucherzentrale Schleswig-Holstein, der Polizei (Bereich Prävention) und dem Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein
  • Regelmäßige Teilnahme an der jährlichen Eintagesveranstaltung „Medienkompetenztag Schleswig-Holstein“ mit Vorträgen, Workshops und Beratungsstand des ULD (Teilnehmer: Lehrkräfte), veranstaltet vom Netzwerk Medienkompetenz Schleswig-Holstein und organisiert u. a. vom Institut für Qualitätsentwicklung an Schulen Schleswig-Holstein, dem Ministerium für Soziales, Gesundheit, Wissenschaft und Gleichstellung und der Medienanstalt Hamburg/Schleswig-Holstein
  • Mitarbeit an dem Projekt „ElternMedien Lotsen – Medienpädagogische Elternabende gestalten“ in Zusammenarbeit mit dem Ministerium für Soziales, Gesundheit, Wissenschaft und Gleichstellung des Landes Schleswig-Holstein und dem Offenen Kanal Schleswig-Holstein
  • Broschüre „Entscheide DU, sonst tun es andere für Dich!“ für Schülerinnen und Schüler, Eltern und Lehrkräfte
  • Vorträge, Workshops und Veranstaltungen für Kinder, Jugendliche, Schülerinnen und Schüler, Pädagoginnen und Pädagogen, Lehrkräfte und Eltern u. a. in Kooperation mit anderen Partnern wie beispielsweise dem Landesbeauftragten für politische Bildung Schleswig-Holstein (z. B. die Veranstaltung „Nimmt Facebook uns die Wahl? Politische Meinungsbildung in sozialen Medien“) oder dem Offenen Kanal Schleswig-Holstein (z. B. am Safer Internet Day)

Was ist zu tun?
Medienkompetenz gehört verstärkt ins Bewusstsein unserer Gesellschaft. Bei Fragen mit Bezug zum Umgang mit Daten und zu Datenschutzrisiken hilft das ULD.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel