BfDI legt Berichte vor

An diesem Mittwoch, den 17.06.2020 legte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seine Tätigkeitsberichte für beide Bereiche vor. Wichtige Themen darin sind unter anderem Gesundheitsdaten und Dialog in der Gesetzgebung. Die oberste Datenschutzbehörde ist derzeit mit über 250 Planstellen besetzt, in diesem Jahr sollen es über 300 werden. 

In diesem Beitrag wird zunächst nur auf den Datenschutzbericht eingegangen und hierbei einige „Schwerpunkte“ gesetzt. Die Gewichtung erhebt nicht den Anspruch repräsentativ für die inhaltliche Gewichtung des zugrundeliegenden Berichts zu sein oder auf Grund des Umfangs allen – jeweils sehr wichtigen – Themen durch Erwähnungen gerecht zu werden. 

Zu den Schwerpunktthemen gehörte insb. die Digitalisierung im Gesundheitswesen und Evaluierung der DSGVO. Kernthemen sind  

  • Alltagserleichterung und Praxistauglichkeit, 
  • Datenpannenmeldungen,
  • Zweckbindung, 
  • Data Protection by Design, 
  • Befugnisse der Aufsichtsbehörden und Sanktionspraxis, 
  • Zuständigkeitsbestimmung, Zusammenarbeit und Kohärenz, 
  • Direktwerbung,
  • Profiling und 
  • Akkreditierung. 

Ferner lag das Augenmerk auf Aspekten der Datenminimierung, Umsetzung der KI, der Einwilligung als Rechtsgrundlage  und Stellungnahmen der Datenethikkommission. 

Einige Zahlen zur Tätigkeit des BfDI 

Im Berichtszeitraum, dem Jahr 2019, wurden dem BfDI über 3.200 Beschwerden zugetragen, davon 44 nach § 60 BDSG, Direktanrufung des Bundesbeauftragten, und 44 gegen Nachrichtendienste. Über 10.000 Anliegen von betroffenen Personen / Bürgern wurden auf schriftlichem oder telefonischem Wege behandelt. Die Meldungen von Datenpannen beliefen sich auf rund 15.000. Insgesamt kam es zu 6 Verwarnungen, 8 Beanstandungen und 2 Geldbußen. 51 Besuchstermine bei Verantwortlichen wurden zur Information und Beratung genutzt, 73 weitere außerdem zu datenschutzrechtlichen Kontrollen. 

Empfehlungen des BfDI für Einrichtungen und Bürger 

10 Empfehlungen werden schriftlich ausgeführt. Dazu gehören brisante Themen wie die elektronische Patientenakte, Mailverschlüsselung und biometriegestützte Videoüberwachung. Des weiteren wurden die Umsetzungsstatus von Empfehlungen des vorigen BfDI Datenschutzberichts in 20 Punkten resümiert. 

Gremienarbeit und Gesetzgebung 

Im ersten der hier gemeinsam zusammengefassten Kapitel geht der Bericht auf die Gremienarbeit bei der DSK, der Internationalen Datenschutzkonferenz, dem Europäischen Datenschutzausschuss sowie dem Datenschutz-Ausschuss des Europarats (Konvention 108) ein. 

Im Bereich der Gesetzgebung werden u.a. die Anhebung auf 20 Mitarbeiter bei der DSB Bestellpflicht, Regelungslücken bei der Datenverarbeitung gesetzlicher Krankenkassen und die Ausstehende Anpassung des TKG moniert. Auch im Rahmen der Sicherheitsgesetzgebung – wie etwa StPOZollfahndungsdienst und der geplanten Darknet Gesetzgebung – gebe es Überarbeitungsbedarf. Auch wurde auf das ZensG 2021, das Projekt der Registermodernisierung und die Gesetzgebung im Gesundheits-­ und Sozialwesen eingegangen. 

Der BfDI Datenschutzbericht zum Thema Sicherheitsbereich 

.. behandelte u.a. den CLOUD Act über den weitreichenden Zugriff US amerikanischer Strafverfolgungsbehörden auf Daten bei Internet-Unternehmen. Stellung bezog der BfDI ebenfalls zum Vorschlag der e-Evidence-Verordnung über das geplante Recht europäischer Strafverfolgungsbehörden, Bestands, Verkehrs- und Inhaltsdaten unmittelbar bei Providern EU grenzübergreifend zu erheben sowie das Projekt „Polizei 2020“. Dabei wurden u.a. Datenspeicherungen und Transparenz der sowie Kontrollen bei Sicherheitsbehörden thematisiert. 

Zu weiteren Themen gehörten Drittstaatentransfers, auch hinsichtlich der Auswirkungen des Brexit, Standardvertragsklauseln und der Datenschutz in weiteren grundlegenden Organisationen wie Postwesen und Arbeitsämtern. 

Zusammenfassung 

Der große Umfang und das vielschichtige Spektrum der im Berichtsjahr 2019 behandelten Themen in prägnantem Dokumentationsstil machen deutlich, dass Inhalte, Neutralität und Transparenz von dieser Behörde sehr ernst genommen werden. Mit klaren Worten und aufgelockert durch Karikaturen (wie etwa auf Seite 49) Vermittelt der vorliegende Bericht Themen, die an Stammtischen gerne als Verschwörungstheorien abgetan werden, auf sachliche und konstruktive Weise. 

1st world corona measures

In unserem Beitrag vom 23.03.2020 zum Einsatz von mobilgerätebasierter Gesundheitsprävention haben wir berichtet, dass eine Corona App auch hierzulande geplant ist, sowie über Aspekte, die aus Datenschutzsicht sorgfältig zu prüfen und zu planen sind. 

Mittlerweile wurde kurz vor der geplanten Veröffentlichung eine lauffähige Version der Corona App von TÜVit geprüft und es gibt Nachholbedarf.  Gegenüber heise.de äußern die Prüfer u.a. Kritik an dem kurzfristigen Starttermin. Insgesamt habe man laut TÜVit wiederholt die (sogar kostenfreie) Prüfung angeboten und letztlich unter Zeitdruck durchführen müssen. 

Angesichts dessen, dass inzwischen eine Lockerung und Anti-„Maulkorb“-Demo die andere jagt und seit mehr als 7 Jahren die drohende SARS-Pandemie und deren Bekämpfungsmethodik bekannt ist (Bundestagsdrucksache 17/12051 aus 2012 / 2013, Seiten 5, 55 ff. ), kann man hier nicht unbedingt von einem agilen Krisenmanagement sprechen.

Sicherheitsaspekte der neuen Corona App 

Die Prüfung der Corona App erfolgte im Auftrag des BSI (Bundesamt für Sicherheit in der Informationstechnik) in Bezug auf Sicherheitsmaßgaben und Einhaltung der angekündigten Privatsphärestandards wie z.B. der Standortermittlung. 

Eine Schwachstelle bestünde laut TÜVit darin, dass Patienten zwar verschlüsselt abspeichern können, positiv auf Corona getestet worden zu sein, um etwaige Kontakte mit Infizierten zu prüfen, die genutzte Verschlüsselungslogik jedoch fehlerhaft ist. So bestehe die Möglichkeit, einen Teil der Logik ohne größere Schwierigkeiten auszulesen, um beliebig Falschmeldungen infizierter Personen zu generieren. 

Damit könnte die gesamte Datenhaltung und somit auch der angedachte Nutzen der App ad absurdum geführt werden und bewusst provozierte Fehlalarme noch größere Verunsicherung bei den Bürgern verursachen. Dieser Angriffspunkt ist in Fachkreisen seit geraumer Zeit bekannt. 

Dass man bei derlei Umsetzungen gegen destruktiv motivierte IT-Expertise nicht hinreichend aufrüstet, sondern IT-Experten wie etwa Datenschutzaufsichtsbehörden als Bremser hinstellt, wenn diese begründete Sicherheitsbedenken anmelden, ist schwer nachvollziehbar. 

Bereits vor der TÜVit Prüfung wurde der Quellcode veröffentlicht. Hier besteht insb. bei einem Multimillionen-Projekt keine Notwendigkeit. Dafür kann sich die Hackerszene schon einmal im Vorfeld einlesen. Andererseits wollte man gerade in Bezug auf die herrschenden Datenschutzbedenken mit größtmöglicher Transparenz reagieren. 

Datenschutz und Privatsphäre 

In Bezug auf die Privatsphäre lässt TÜVit Positives verlauten. Bei dem geprüften Entwicklungsstand der Corona App sei von Leaks nicht auszugehen und unerwartete Trackinglogik habe man in der Version nicht feststellen können.

Die Entwicklung und Sicherheitsdokumentation der Corona App wurde vom BSI u.a. durch Penetrationstests (Pentests) und Überprüfungen von Programmcode begleitet. Dabei konnten Schwachstellen gesichtet und seitens der Entwicklung behoben werden. Die Sicherheitsdokumentation kommt zu dem Schluss, dass die Corona App “alle für diese App zutreffenden Anforderungen aus der technischen Richtlinie TR 03161 – Sicherheitsanforderungen an Digitale Gesundheitsanwendungen” des BSI erfüllt. Und auch zukünftig wird die Weiterentwicklung der App vom BSI begleitet. Die zugehörige Pressemitteilung finden Sie hier.

Weitere Informationen zu Datenschutz- / technischen Aspekten liefert eine Studie aus dieser Woche (09.06.2020) der Unis Darmstadt, Marburg und Würzburg. 

Prüfauftrag der Corona App war limitiert 

Laut TÜVit wurde der Auftrag zur Durchleuchtung der Entwicklung auf bestimmte Bereiche begrenzt. Ausgenommen von der Prüfung waren Systemfeatures von Apple / Google und das Backend des eigentlichen Datenservers. Ferner sei die Verschlüsselungslogik für die auf dem Mobilgerät gespeicherten Daten nicht Gegenstand der Prüfung gewesen. 

Fazit zum aktuellen Stand der Corona App 

Das Vorgehen bei der Sicherheit der Corona App steht in Widerspruch zu dem Bestreben, Vertrauen in diesen Lösungsansatz zu stärken. Es stellt sich die Frage, ob nicht diejenigen, welche die Corona App gerne installieren, um sich und Mitbürger zu schützen, ohnehin mit gesundem Menschenverstand an Präventionsmaßnahmen herangehen, während anderen Anwendern ein weiterer Schritt in die Unmündigkeit vorgelegt wird, sich dann ggf. nur noch auf die App zu verlassen. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit und mäßigem Marketing lassen an einem positiven Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

Intransparente technische Umsetzung in Kombination mit dem Aspekt der Freiwilligkeit en Effekt auf Verantwortungsgefühl und Infektionsrate nach derzeitigem Kenntnisstand zur Zeit leider noch zweifeln. 

corona app - flag europe

Vor allem anderen möchten wir Sie liebe Leute, liebe Leser, liebe Kunden herzlich grüßen. Wir hoffen, dass es Ihnen und den Ihrigen gut geht und dass Ihr Einstieg in das Home-Office bzw. in die  Corona bedingten Sondersituationen ok bis gut war. Abgesehen von den international schwierigen Zuständen in Pflege und Logistik – wie etwa das kollektive Maskenbasteln in Industrieländern – können insbesondere Ungewissheiten, subjektive Interpretationen und Ungenauigkeiten in Berichterstattungen dieser Tage schon ziemlich nerven. Wenn Sie also zu Corona, Corona App, Datenschutz oder Home-Office im Allgemeinen etwas schreiben möchten, nutzen Sie gerne das Kommentarfeld zu diesem Post. 

Ihr Team von a.s.k. Datenschutz. 

P.S. Wir sind gesund und munter und halten unsere Porsche Design Pyjamas modegemäß 😉 Wir freuen uns, Sie bald wieder zu sehen. Und wenn Sie sich zu Datenschutz etc. kurzfristig besprechen möchten, lassen Sie uns einfach gerne per Video Call in Verbindung treten. 

App Lösungen gegen Corona 

Um der Corona Pandemie besser Herr zu werden, sind verschiedene Ansätze für softwarebasierte Lösungen entwickelt worden, wie zum Beispiel die Konzepte DP-3T und PEPP-PT, die auf personenbezogene Daten zurückgreifen. Eine derzeit besonders prominente Variante ist das Contact Tracing, bei der man als Nutzer der zugehörigen App gewarnt wird, welche anderen App Nutzer im Umkreis x infiziert sein können. Die EU-Kommission befasst sich mit dem Thema. 

EU-Kommission zu der Verarbeitung von sensiblen Daten und der Corona App 

Der Datenschutzausschuss der EU-Kommission (EDPB) ist bestrebt, den Entwicklungsprozess von Apps und Software zur Corona Bekämpfung nach datenschutzgerechten Maßgaben zu fördern. In diesem Kontext hat der Ausschuss am Dienstag, den 21.04.2020 eine Richtlinie zum Einsatz von Ortungsdaten und Softwarelösungen / Apps, wie etwa zur personenbezogenen Kontaktnachverfolgung, herausgegeben, welche die nationalen Behörden und die Developer Einrichtungen adressiert. 

Inhaltliche Anforderungen 

Bei der Auswertung sensibler Daten und dem Einsatz von Corona Apps seien Zweckbindung, Transparenz und Datensparsamkeit unerlässlich – alles zentrale Postulate der DSGVO. In der auf Masse angelegten Analyse von Bewegungsdaten sei ein erheblicher Eingriff in die Freiheitsrechte zu sehen, daher sei hier das Prinzip der Freiwilligkeit (Abschnitt zu 2020-02) zu wahren. 

Standortdaten seien grundsätzlich nicht zu erfassen, da sie für Mitteilungen über mögliche Infektionsketten nicht benötigt würden und ferner die Aufhebung der Anonymisierung erleichterten. Ferner sei eine Datenschutzfolgeabschätzung für den Einsatz solcher Apps durchzuführen und zu veröffentlichen. 

Empfehlungen auch zu Gestaltung einer Corona App  

Die App könnte über ein zentrales Serversystem betrieben werden mit restriktiven Zugriffsberechtigungen und geräteorientierten, nativen Sicherheitsmaßgaben. Es bestand große Uneinigkeit betreffend die Frage des zentralen oder dezentralen App-Betriebs. Der Schwerpunkt solle darauf gelegt werden, dass Daten eher lokal gespeichert werden. 

Krisenbedingter Umgang mit sensiblen personenbezogenen Daten  

Die Richtlinie definiert auch Ausnahmen für den Ermessensspielraum der nationalen Behörden, im Rahmen der Gesetzgebung Ausnahmen von DSGVO-Grundsätzen zu machen. So kann etwa das Erfordernis der Einwilligung für die Verarbeitung von Gesundheitsdaten entfallen, bzw. die Rechtsgrundlage durch Wahrnehmung einer Aufgabe des öffentlichen Interesses oder die Ausübung öffentlicher Gewalt gegeben sein. 

Eine Corona App in der Praxis 

Brillante Entwicklungen wie das Contact Tracing und die KI-basierte Auswertung von Daten zur intelligenten Gesundheitsvorsorge sind als wahrer Fortschritt in der notwendigen Digitalisierung zu sehen. Dass der konstruktive Erfolg indes mit der effektiven Ausführung in allen organisatorischen Ebenen steht und fällt, beschäftigt die Datenschutzexperten weltweit. 

Fachleute wie die des EU-Ausschusses und der Datenschutzbehörde Schleswig-Holstein sehen den Erfolg dieses konkreten Projekts auch insbesondere vom Vertrauen des Anwenders in die professionelle Verarbeitung seiner Daten abhängig 

Oft wird in diesem Kontext ausdrücklich darauf hingewiesen, dass der Datenschutz weder der Pandemiebekämpfung noch der Forschung im Wege steht. 

Öffentliche Register - wie im vorliegenden Fall das der Lobbys

Die Deutsche Gesellschaft für Politikberatung (degepol) hat eine Verwarnung wegen Datenschutzverstoßes von der Berliner Beauftragten für Datenschutz und Informationsfreiheit erhalten. In diesem Zuge erfolgte die Klarstellung, dass die Gewinnung von Daten aus öffentlichen Registern nicht zu jedem Zweck – wie etwa dem Versand personalisierter Werbung – zulässig ist. Dies hat Auswirkungen sowohl auf die werbliche Kontaktaufnahme als solche als auch auf Umfragen, die mit Hilfe solcher Informationen durchgeführt werden, im vorliegenden Fall gegenüber Lobbys.

Beschwerde durch Betroffenen aus Lobbys 

Im vorliegenden Fall waren Verbände / deren Vertreter aus dem öffentlichen Register über Lobbys des Bundestags mittels Tabellenexport in Excel angeschrieben und zu Umfragen eingeladen worden. Die zugrunde liegende Beschwerde wurde durch einen Betroffenen Lobby-Angehörigen eingegeben. 

Quellenangaben 

Die Daten aus dem Lobby-Register seien von der degepol an den Dienstleister onlineumfragen.com weitergegeben worden für den Versand von Anschreiben mit personalisierter Anrede und ohne Hinweis auf Datenquellen. Unter anderem hierin wurde ein Datenschutzverstoß gesehen. Eine Quellenangabe habe mit dem ersten Anschreiben erfolgen müssen und wurde auch in der verlinkten Datenschutzerklärung vermisst – so die Datenschutzaufsicht.  

Namen von Lobbyisten

Die Berliner DSB zog ein berechtigtes Interesse der Deutschen Gesellschaft für Politikberatung in Zweifel, nach dem diese die Daten zur Anfertigung einer „aussagekräftigen Studie“ zu Honorarzahlungen in der Lobbywelt Deutschlands für erforderlich hielt. Ferner wurde moniert, dass in diesem Zusammenhang Namen Angehöriger von Lobbys ohne Notwendigkeit verarbeitet worden seien.

„Weitere aufsichtsrechtliche Mittel“, auch für einen Wiederholungfall, schloss die Datenschutzbehörde nicht aus. Generell gesprochen kann es sich bei solchen etwa um Vor-Ort-Prüfungen, die Anordnung von Maßnahmen oder die Verhängung von Bußgeldern handeln, um einige Befugnisse der unabhängigen Datenschutzbehörden zu nennen.

Register des Bundestags 

Der Bundestag hat bisher kein verbindliches Verzeichnis hierzu herausgegeben. Das Register des Bundestages über Lobbys umfasst momentan über 2300 Einrichtungen, „die eine Aufnahme von sich aus beantragt“ hätten, um ihre Tätigkeiten damit transparent machen zu wollen. 

Sicher auch aus Datenschutzsicht eine begrüßenswerte Intention. 

Unterliegen Einwilligungen einem Verfallsdatum?

Eine Frage, die immer wieder an uns gestellt wird: „Wie lange ist eine ein mal erteilte Einwilligungen z.B. für einen Newsletter-Empfang denn gültig?“ Wir haben uns mal auf die Suche nach belastbaren Aussagen dazu gemacht. Denn nicht erst seit der DSGVO ist dieses Thema immer wieder Gegenstand von Anfragen bei uns.

Beschränkt die DSGVO die Gültigkeitsdauer von Einwilligungen?

Erste Anlaufstelle ist natürlich stets das Gesetz. Die DSGVO äußert sich zum Thema Einwilligungen in Art. 7 Bedingungen für die Einwilligung (externer Link). Den einzigen Anhaltspunkt zur Gültigkeitsdauer einer Einwilligung finden wir in Abs. 3:

Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.

Somit sind Einwilligungen wohl bis auf Widerruf gültig und der Widerruf dann auch nur für die Zukunft möglich. Auch der Zweckbindungsgrundsatz aus Art. 5 DSGVO steht dieser Auslegung nicht entgegen, sofern keine grundsätzliche Zweckänderung vorliegt. In diesem Fall sollte die Gültigkeit von Einwilligungen auf jeden Fall stets überprüft werden.

Neben der datenschutzrechtlichen Einwilligung ist bei einer Einwilligung zu Werbezwecken auch das Gesetz gegen den unlauteren Wettbewerb (kurz UWG) (externer Link) zu berücksichtigen. So schreibt § 7 Abs. 2 Nr. 3 UWG (externer Link) eine Einwilligung zu Werbezwecken im Sinne des UWG für Werbung per Email vor. Von einem Ablaufdatum ist hier jedoch keine konkrete Rede.

Was sagen die Gerichte zum Thema Gültigkeitsdauer von Einwilligungen?

Hier wird es nun etwas widersprüchlich. In einem Urteil des AG Bonn vom 10.05.2016 mit dem Aktenzeichen 104 C 227/15 (externer Link) wird konkret für den Fall von Werbe-Mails ein Verfall der Gültigkeit von 4 Jahren genannt. Dem entgegen steht ein Urteil des Bundesgerichtshof vom 01.02.2018 mit dem Aktenzeichen III ZR 196/17 (externer Link), nach dem ein Newsletter Opt-In nicht allein durch Zeitablauf erlischt (Seiten 15, 16; Randnummern 30-32).

Ja was denn nun? Ablauf der Gültigkeit einer Einwilligung oder nicht?

Aktuell sprechen wohl mehr Argumente dafür, dass es kein Ablaufdatum für gültige Einwilligungen gibt. Dennoch sollten weitere Urteile zu dem Thema konkret beobachtet und im Zweifel herangezogen werden. Eine gute Übersicht über die Argumente pro und kontra Verfall von Einwilligungen finden Sie auch auf unserem Partnerblog (externer Link).