Datenhoheit und Datenschutzkonformität bei Maschinendaten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenhoheit und Datenschutzkonformität bei Maschinendaten

Datenhoheit und Datenschutzkonformität bei Maschinendaten

Im Folgenden geht es darum, inwieweit dem Hersteller einer Maschine die Verpflichtung auferlegt werden kann, die Software für den Betrieb der Maschine datenschutzkonform zu gestalten und wem die Datenberechtigung für die gewonnenen Daten zusteht.

Klassifikation der Daten und Berechtigung

Maßgeblich für die Datenberechtigung ist, ob es sich um personenbezogene Produkt- bzw. Prozessdaten oder reine Maschinendaten handelt. Personenbezogene Daten liegen immer dann vor, wenn in den Produkt- oder Prozessdaten Daten verarbeitet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, d.h. Betreiberdaten, aus denen sich u.U. Leistungsdaten ablesen lassen. Aufgrund des dem Datenschutzrecht zugrundeliegenden „Verbotes mit Erlaubnisvorbehalt“ wäre eine Verarbeitung personenbezogener Daten nach Art. 4 Nr. 1 DSGVO nur aufgrund eines vorliegenden Erlaubnistatbestandes möglich, wie er u.a. in den Rechtsgründen des Art. 6 DSGVO gegeben ist. Im Übrigen liegt die Datenberechtigung einzig und allein bei der betroffenen Person.

Soweit Daten aus dem Betrieb der Maschine gewonnen werden, die keinen Personenbezug aufweisen, handelt es sich um Maschinendaten, für deren Verarbeitung die DSGVO nicht einschlägig ist. Als Datenberechtigte kämen grundsätzlich folgende Personen in Betracht:

  • der Cloudbetreiber, der für den Maschinenbetreiber die Daten in der Cloud speichert
    Auch wenn die Maschine auf in der Cloud gespeicherte Daten zugreift und gewonnene Daten dort ablegt, ist der Cloudbetreiber nicht nutzungsberechtig. Vielmehr ist dieser i.d.R. als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO i.V.m. Art 28 DSGVO für den Betreiber der Maschine entsprechend dessen Vorgaben tätig.
  • der Hersteller einer Maschinenkomponente oder der Gesamtmaschine, die z.B. den Wartungs- oder Verschleißzustand ermittelt
    Der Hersteller hat zwar grundsätzlich ein veritables Interesse daran, die Datenhoheit und Nutzungsberechtigung über die gewonnenen Maschinendaten zu erlangen, um z.B. aus der Datenauswertung einen übermäßigen Verschleiß des Produktes zu ermitteln, um darauf basierend Produktverbesserungsmaßnahmen zu treffen. Allerdings besteht diese Nutzungsberechtigung für die Daten nur, wenn zwischen Hersteller und Betreiber ein Vertrag hierüber besteht. Das ist erforderlich, weil ein rechtlicher Rahmen zur Nutzung von Maschinendaten derzeit nicht besteht.
  • der Betreiber der Maschine
    Ihm obliegt die Herrschaftsmacht über die Sache als Eigentümer und/oder Besitzer und er betreibt alle mit der Maschine betriebenen Prozesse, daher ist er berechtigt, die hieraus gewonnenen Maschinendaten zu nutzen.

Verpflichtung zur datenschutzkonformen Ausgestaltung von Maschinen

Häufig werden aber mit dem Betrieb der Maschine nicht nur reine Maschinendaten generiert, sondern auch Daten mit Personenbezug, so dass der Betreiber der Maschine, diese nur entsprechend der Voraussetzungen des Art. 6 DSGVO verarbeiten kann. Bleibt zu klären, ob sich aus der DSGVO für den Hersteller eine direkte Verpflichtung ergibt, die Maschinensoftware datenschutzkonform zu konstruieren, wenn diese auch personenbezogene Daten verarbeitet.

Direkte Verpflichtung aus Art. 25 DSGVO

Eine direkte Verpflichtung zur datenschutzkonformen Ausgestaltung der Maschinensoftware ergibt sich aus Art. 25 DSGVO, nur für den Hersteller, der zugleich Verantwortlicher ist, d.h. wenn er personenbezogene Daten verarbeitet, in dem er selbst die Maschine betreibt.

Tut er dies als Hersteller nicht, ist er bei der Maschinenkonstruktion nicht nach dem Grundsatz „Data Protection by Design and by Default“ gebunden. Nach diesem Grundsatz wäre der Verantwortliche bei der Gestaltung der Datenverarbeitung gehalten, die Standards der DSGVO einzuhalten, wobei sich die konkret zu treffenden Maßnahmen an den Implementierungskosten, der Art, dem Umfang und dem Zweck der Datenverarbeitung sowie dem tatsächlichen Stand der Technik orientieren.

Der Hersteller, der zugleich Verantwortlicher ist, ist daher gehalten, durch Voreinstellung nach Art. 25 Abs. 2 DSGVO an den Maschinen nur diese Daten verarbeiten zu lassen, die für den konkreten Verarbeitungszweck in Bezug auf Datenmenge, -umfang und Zweck unbedingt erforderlich sind.

Für den Hersteller, der nicht zugleich Verantwortlicher ist, ergibt sich aus ErwG 78, dass er als Hersteller ermutigt werden soll, bei der Gestaltung der Maschinen sowie deren Software inkl. deren Voreinstellungen, die datenschutzrechtlichen Grundsätze (u.a. Datenminimierung) zu berücksichtigen, eine Verpflichtung hingegen besteht nicht.

Mittelbare Mängelgewährleistung

Auch wenn sich für den Hersteller grundsätzlich keine unmittelbare Verpflichtung aus Art. 25, 32 DSGVO hinsichtlich der DSGVO-konformen Softwarekonstruktion ergibt, so kann die nicht datenschutzkonforme Maschinenkonstruktion dennoch ein Mangel i.S.v. § 434 Abs. 1 S.2 Nr. 2 BGB sein. Ein Mangel liegt dann vor, wenn bei objektiv-berechtigter Käufererwartung davon ausgegangen werden kann, dass eine datenschutzkonforme Software eingesetzt wird, weil

  • eine datenschutzfreundliche Technik bereits am Markt hierzu vorhanden ist,
  • diese Technik bereits bei anderen auf dem Markt verfügbaren und vergleichbaren Maschinen (z.B. Konkurrenzprodukte) eingesetzt wird,
  • die Maschinen in sachlicher Hinsicht substituierbar sind.

Sollte Hersteller der Maschine nicht der Verkäufer sein, kann auf ihn bei einer vertraglichen Mängelgewährleistung in folgenden Fällen mittelbar durchgegriffen werden, z.B.

  • bei Neuprodukten nach § 445a BGB für die Geltendmachung von Sekundärrechten des Verkäufers gegenüber dem Hersteller und
  • bei dem Verkauf von Verbrauchsgütern nach § 478 BGB mit seinen erweiterten Durchgriffsmöglichkeiten.

Vorausgesetzt der Mangel wurde gem. § 377 HGB gerügt.

Produzentenhaftung für den Hersteller

Produzentenhaftung nach § 823 Abs. 2 BGB

Für eine Haftung aus § 823 Abs. 2 BGB besteht nur dann Raum, wenn der Hersteller durch die nicht datenschutzkonforme Ausgestaltung ein Gesetz verletzt, dass auch dem individuellen Schutz des Geschädigten, also der betroffenen Person dient, in deren Recht auf informationelle Selbstbestimmung eingegriffen wurde.

Art. 25 Abs. 2 DSGVO ist aber kein persönliches Schutzgesetz in diesem Sinne und zudem ist der Hersteller nur dann Adressat, wenn er als Verantwortlicher agiert, d.h. selbst als Betreiber der Maschine personenbezogene Daten verarbeitet.

Das Produkthaftungsgesetz scheidet als ein persönliches Schutzgesetz i.S.v. § 823 Abs. 2 BGB aus, weil die Ausgestaltung der Software nicht unter den Regelungsbereich des Produkthaftungsgesetzes fällt.

Produzentenhaftung nach § 823 Abs. 1 BGB

Der Hersteller könnte jedoch über die Produzentenhaftung nach § 823 Abs. 1 BGB in Anspruch genommen werden. Die Haftung des Herstellers ergibt sich hier aus dem Inverkehrbringen einer Gefahrenquelle, d.h. er muss im Rahmen des Standes der Technik dafür Sorge tragen, dass bei der Benutzung der Maschine und deren Software nicht mehr als unvermeidbar in die Rechtsgüter Dritter, wie sich diese aus § 823 Abs. 1 BGB ergeben, eingegriffen wird. Eingegriffen werden könnte durch die beim Betrieb der Maschine verwendete Software in das Recht auf informationelle Selbstbestimmung, wie dieses in § 823 Abs. 1 BGB und über die Achtung des Privatlebens durch Art. 8 GRCh geschützt ist.

Für die Datenverarbeitung maßgeblich ist somit die Ausgestaltung der für den Betrieb der Maschinen erforderlichen Software, die nicht mehr als vermeidbar in das informationelle Recht auf Selbstbestimmung des an der Maschine Tätigen eingreift. Die Software müsste die Sicherheit bieten, mit der unter Berücksichtigung aller Umstände billigerweise gerechnet werden kann. Abzustellen ist hierbei auf die Fehlerkategorien Konstruktions-, Fabrikations-, Instruktions- und Produktbeobachtungsfehler, bei deren Vorliegen das Verschulden für die eingetretene Rechtsverletzung vermutet wird.

In datenschutzrechtlicher Hinsicht relevant wäre der Konstruktionsfehler, d.h. seitens des Herstellers dürften nicht alle technisch möglichen Sicherheitsmaßnahmen ergriffen worden sein, um den Sicherheitsgrad zu erzielen, der nach der herrschenden Verkehrsauffassung für diese Anwendung als erforderlich gilt. Daraus ergibt sich jedoch nicht automatisch eine Verpflichtung, die Software bereits in der Konstruktionsphase datenschutzkonform zu planen. Dies ist nur dann der Fall, wenn gebotene allgemeine Sicherheitsstandards eine datenschutzkonforme Lösung erforderlich machen und es zumindest anerkannte Regeln der Technik gibt, deren Verletzung gleichzeitig eine Verletzung einer dem Hersteller obliegenden Verkehrssicherungspflicht bedingt und somit für den Hersteller eine Verpflichtung besteht, diese Sicherheitsstandards einzuhalten.

Derzeitige Rechtslage

Art. 25 DSGVO ist somit lediglich eine Orientierungshilfe für die Produktgestaltung des Herstellers, bedingt aber nicht zwingend die Verpflichtung des Herstellers auf datenschutzkonforme Produktgestaltung.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Datenhoheit und Datenschutzkonformität bei Maschinendaten.

Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Corona Virus Ausbruch

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Malware-Macher missbrauchen das derzeit gesteigerte Informationsbedürfnis der Menschen. Unter anderem kursieren gefälschte Corona-Apps und -Karten.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten.

Klickbetrug: Google entfernt Apps mit 1,7 Millionen Downloads aus Play Store

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Klickbetrug: Google entfernt Apps mit 1,7 Millionen Downloads aus Play Store

Klickbetrug: Google entfernt Apps mit 1,7 Millionen Downloads aus Play Store

Erneut muss Google mit Schadcode verseuchte Apps aus dem Play Store löschen. Unter anderem als Kinderapp tarnte sich Malware für Klickbetrug.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Klickbetrug: Google entfernt Apps mit 1,7 Millionen Downloads aus Play Store.

Muss ein DSB schwere Datenschutzverstöße melden?

Liebe Leser! Das ist eine wirklich gute Frage – in der Vergangenheit war das Hinwirken die Aufgabe eines DSB und jetzt ist es Überwachung, Kontrolle und Beratung auf Anfrage des Verantwortlichen. Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Muss ein DSB schwere Datenschutzverstöße melden?

Muss ein DSB schwere Datenschutzverstöße melden?

Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

The post Muss ein DSB schwere Datenschutzverstöße melden? appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Muss ein DSB schwere Datenschutzverstöße melden?.

Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung! (Selbst bei öffentlich zugänglichen Daten!?)

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert, weil auch für öffentlich zugängliche Daten die Forderungen der DSGVO gelten und berücksichtigt werden müssen. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung!

Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung!

Wer denkt, Daten aus öffentlich zugänglichen Verzeichnissen dürften beliebig verwendet werden, der wird spätestens jetzt eines Besseren belehrt: Die Berliner Datenschutzbeauftragte hat die Deutsche Gesellschaft für Politikberatung verwarnt, weil diese Daten des öffentlichen Lobbyregisters des Bundestags dazu verwendete, personalisierte Werbe-E-Mails zu versenden. Ist Datenschutz für Lobbyisten gerechtfertigt? Oder hat nicht vielmehr Berlin ein Auge zugedrückt?

Was war passiert?

Die Vorgeschichte ist schnell erzählt: Die Deutsche Gesellschaft für Politikberatung e.V. (degepol bzw. de’ge‘pol) hat Verbände und Vertreter – Lobbyisten – durch den Dienstleister onlineumfragen.com anschreiben lassen, um eine anonymisierte Gehaltsumfrage durchführen zu können. Woher die degepol die Kontaktdaten hatte? Nun, glücklicherweise existiert ein öffentliches Lobbyregister, das selbstverständlich nicht als solches bezeichnet wird. Der euphemistische Name dafür lautet „Öffentliche Liste über die beim Bundestag registrierten Verbände“. Die Verschleierungstaktik wirkt – oder haben Sie davon schon einmal gehört?

Tja, mit einem der Betroffenen war wohl nicht gut Kirschen essen: Dieser beschwerte sich bei der Berliner Datenschutzaufsichtsbehörde. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, erließ daraufhin eine Verwarnung gegenüber dem aus Politikberatern bestehenden Verein – unter Vorbehalt weiterer aufsichtsrechtlicher Mittel, insbesondere im Wiederholungsfall. Puh, Schwein gehabt!

So nicht! Aber wie dann?

Sehen wir uns doch einmal die Verstöße genauer an, die Frau Smoltczyk festgestellt hat:

Nr. 1: fehlendes berechtigtes Interesse

Die Berliner Aufsichtsbehörde bezweifelt zunächst, dass die degepol ein berechtigtes Interesse am Versand der E-Mails gehabt habe. Laut der degepol sei es jedoch nicht möglich gewesen, eine aussagekräftige Studie zur Höhe gezahlter Vergütungen in der Lobbybranche durchzuführen, ohne die aus der Liste gewonnenen Daten zu verwerten.

Nach Art. 6 Abs. 1 S. 1 lit. f DSGVO ist eine Verarbeitung nur rechtmäßig, wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Das Interesse der degepol an der Durchführung der Gehaltsumfrage ist nachvollziehbar – aber überwiegt dieses das Recht der betroffenen Personen, von einer unerwünschten Verarbeitung ihrer Daten verschont zu bleiben?

Mangels einer Pressemitteilung der Berliner Datenschutzbeauftragten lässt sich über die ausschlaggebenden Argumente nur spekulieren. So könnte eine Rolle gespielt haben, dass die Betroffenen nicht in den Erhalt der E-Mails eingewilligt haben. Ob und inwieweit § 7 Abs. 1, Abs. 2 Nr. 3 und Abs. 3 UWG berücksichtigt wurden, welche festlegen, wann Werbung eine unzumutbare Belästigung darstellt und wann nicht, ergibt sich weder aus dem verlinkten heise-Artikel, noch aus der Stellungnahme der degepol.

Nr. 2: Personalisierung

Ein weiterer Kritikpunkt sei laut Frau Smoltczyk darin zu sehen, dass degepol die Empfänger namentlich angesprochen hat. Ein Personenbezug sei nicht notwendig gewesen. An dieser Stelle ist darauf hinzuweisen, dass die E-Mail-Adressen keine Rückschlüsse auf Personen ermöglichten.

Der Verein sieht das laut seiner Stellungnahme ganz anders:

„Die Email [sic!] enthielt eine namentliche Anrede, da wir davon ausgingen, dass eine anonyme Ansprache nicht zu einer entsprechenden Beantwortung führt… Eine Einschränkung von Kommunikation in dieser Weise können wir nicht nachvollziehen, werden dies aber zukünftig beachten. Eine Umfrage über persönliche Themen nicht auch persönlich zu adressieren erscheint uns nicht der Praxis entsprechend.“

Ist da was dran? Nun, unpersönliche E-Mails wirken manchmal unseriös, das stimmt. Es kommt jedoch stets auf den Gesamteindruck an. Wenn die E-Mail – wie Millionen anderer E-Mails – mit „Sehr geehrte Damen und Herren“ beginnt, dürfte da niemand etwas dagegen einzuwenden haben.

Demzufolge ist Frau Smoltczyk zuzustimmen, die Verwendung des Namens und der Anrede der Person war unnötig. Nach Art. 5 Abs. 1 lit. c DSGVO müssen personenbezogene Daten

„dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“)“.

Für die Einladung zur genannten Umfrage ist es nicht notwendig, die Empfänger namentlich anzusprechen, insbesondere auch, weil davon auszugehen war, dass der Empfänger der E-Mail diese Umfrage in vielen Fällen gar nicht selbst ausfüllt, sondern an die zuständige Abteilung weiterleitet.

Nr. 3: Kein Hinweis auf die Quelle der Daten

Letztlich beinhalteten weder die E-Mails, noch die darin verlinkte Datenschutzerklärung eine Angabe der Quelle, aus der die personenbezogenen Daten erhoben wurden. Hierfür verwendet Frau Smoltczyk klare Worte: Spätestens mit der ersten Kontaktaufnahme hätte ein Hinweis erfolgen müssen.

Die degepol zeigt sich versöhnlich: Die Benennung der Verbändeliste als Quelle sei versehentlich unterblieben. Die Datenschutzerklärung wurde diesbezüglich tatsächlich aktualisiert.

Datenschutzrechtlich ist Frau Smoltczyk Recht zu geben. Art. 14 DSGVO regelt die Informationspflichten gegenüber dem Betroffenen, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden. Interessant ist Art. 14 Abs. 3 lit b DSGVO:

„Der Verantwortliche erteilt die Informationen gemäß den Absätzen 1 und 2

b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an sie…“

Hin- und hergerissen

Das Einschreiten der Berliner Datenschutzbeauftragten ruft durchaus zwiegespaltene Gefühle hervor:

  • So ist es nachvollziehbar, ein bisschen Licht ins Dunkel des Lobbyismus-Sumpfes bringen zu wollen, weshalb dem also durch den Datenschutz Einhalt gebieten?
  • Andererseits erscheint das Vorgehen Frau Smoltczyks bei nüchterner Betrachtung des Vorgefallenen zu zurückhaltend.

Zeit, diese Punkte näher zu betrachten:

Lobbyisten-Daten schützen?

Lobbyismus wird in der Gesellschaft größtenteils als negativ empfunden, lediglich die Lobbyisten selbst dürften sich als über alle Zweifel erhaben ansehen. Nichtsdestotrotz findet Lobbyarbeit, deren Ziel es ist, durch politische Einflussnahme eigene Interessen durchzusetzen, alltäglich statt.

Hierzu ist es gar nicht erst nötig, den Aluhut aufzusetzen, es reicht schon, einen Blick in das Lobbyregister des Bundestags zu werfen. Darin sind aktuell 2315 Institutionen verzeichnet, von A wie der Bundesvereinigung Deutscher Apothekerverbände, über L wie (Überraschung!) LobbyControl – Initiative für Transparenz und Demokratie bis Z wie dem Zweirad-Industrie-Verband ist für jeden Geschmack etwas dabei.

Das Interessante dabei ist: All diese Lobbyisten haben die Aufnahme in die Liste von sich aus beantragt. Klammheimliche Lobbyarbeit in dunklen, verrauchten Hinterzimmern ist Vergangenheit, der moderne Lobbyist zeigt sich transparent! Ganz im Sinne des Leitprinzips der Website abgeordnetenwatch.de, „Transparenz schafft Vertrauen“? Noch nicht ganz!

Wer seinen Namen als Vertreter einer Lobby-Institution freiwillig einem öffentlichen Register anvertraut, um seine Lobby-Tätigkeit nach außen zu verdeutlichen, dürfte dem nicht von Anfang an bewusst gewesen sein, dass jedermann Schabernack mit den veröffentlichten Daten treiben könnte? Nahm man das nicht zugunsten der eigenen Reputation als transparent auftretender Verband in Kauf? Durchaus berechtigte Fragen.

Datenschutz für alle!

Dennoch: Auch die DSGVO normiert in Art. 5 Abs. 1 lit. a DSGVO ein Transparenzerfordernis:

„Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“)…“

Dieser Transparenzgedanke, neben all den anderen in der DSGVO geregelten Grundsätzen, wie der Rechtmäßigkeit der Verarbeitung, der Zweckbindung und der Datenminimierung, gilt auch im Rahmen einer Verarbeitung von Lobbyisten-Daten. Und zweifelsohne hat sich die Deutsche Gesellschaft für Politikberatung nicht daran gehalten – für die Betroffenen dürfte es ein Rätsel gewesen sein, woher der Versender die Daten hatte, warum man persönlich angesprochen wurde und weshalb man überhaupt Einladungen für Umfragen per E-Mail erhielt.

Daran ändert auch die Tatsache nichts, dass in der Liste Eingetragene häufiger Spam erhalten. Bei frei im Internet zugänglichen E-Mail-Adressen ist das kein Wunder. Das legitimiert jedoch noch lange nicht dazu, ungefragt E-Mails zu verschicken und selbst zum Spammer zu werden.

Keine Angst: Der Datenschutz zielt nicht darauf ab, Lobbyisten zu schützen. Hier geht es nicht darum, Lobbyisten bei ihrer Arbeit von nervigen E-Mails abzuhalten, sondern darum, den Missbrauch personenbezogener Daten natürlicher Personen aufzuhalten – egal, ob die Betroffenen als sympathisch empfunden werden oder nicht.

Berlin – arm, aber… schüchtern?

Die effektivste Waffe zur Verteidigung des Datenschutzes ist und bleibt das Bußgeld nach Art. 83 DSGVO, welches wie ein Damoklesschwert über den Köpfen der gegen die DSGVO Verstoßenden schwebt. Anstatt diese zu finanziellen Sanktionen führende Klinge zu zücken, hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit nur mahnend den Zeigefinger erhoben.

Dass Berlin auch die Krallen ausfahren kann, zeigt das Bußgeld in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE vom letzten Herbst. Knapp 200.000 Euro Bußgeld wurde gegen die Delivery Hero SE angeordnet, welche ihrer Löschpflicht nicht nachgekommen, das Auskunftsrecht missachtet und unerwünschte Werbe-E-Mails versandt hatte. Weshalb es im Falle der degepol bloß bei einer Verwarnung blieb, lässt sich mangels Pressemitteilung der Berliner Datenschutzbeauftragten nicht aufklären.

Wie heißt es so schön: Vor Gericht und auf hoher See ist man in Gottes Hand? Der Satz müsste wohl um (Berliner) Datenschutzaufsichtsbehörden ergänzt werden.

Die Moral von der Geschicht‘…

…öffentliche Verzeichnisse zweckentfremdet man nicht. Unabhängig davon, wessen Daten in den Registern enthalten sind! Der Datenschutz differenziert nicht danach, ob die Tätigkeit des Dateninhabers gesellschaftlich hohes Ansehen genießt oder nicht – eine Ungleichbehandlung hätte unberechenbare Folgen.

Der Fall zeigt jedoch auch, dass es ebenso wenig vorhersehbar ist, wie Datenschutzaufsichtsbehörden entscheiden. Wer plant, öffentlich zugängliche Verzeichnisse oder Register gleich welcher Art zu nutzen, sollte sein Vorgehen stets hinterfragen – bevor es die Behörde tut.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Berliner Datenschutz: Werbung mittels Lobbyliste – Verwarnung!.

Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden

Die saarländische Aufsichtsbehörde äußert sich in ihrem Tätigkeitsbericht zum Thema Windows 10. Weshalb man mittlerweile häufig mit den Augen rollt, wenn Aufsichtsbehörden das Thema Windows 10 anfassen, beleuchtet dieser Artikel.

Wie ein Tinnitus im Ohr

Im kürzlich veröffentlichten 28. Tätigkeitsbericht der saarländischen Aufsichtsbehörde für das Jahr 2019, gibt diese Windows-10-Anwendern, und damit etwa 90-99 % aller Unternehmen in Deutschland, auf Seite 72 folgende Weisheit mit auf den Weg:

„Es ist notwendig, dass für jede Verarbeitungstätigkeit unter Nutzung des Betriebssystems Windows 10 geprüft wird, welche personenbezogenen Daten in welchem Umfang verarbeitet werden und welche personenbezogenen Daten für welche Zwecke an Microsoft übermittelt werden. Daran anschließend ist zu prüfen, welche Rechtsgrundlage für die Übermittlung personenbezogener Daten an Microsoft vorhanden ist. Fehlt es an einer solchen, ist die Übermittlung datenschutzrechtlich nicht zulässig.“

Diese Sätze lassen einen ratlos zurück. Was bedeutet das nun für den Anwender? Darf man bestimmte Datenkategorien mit Windows 10 verarbeiten…andere jedoch nicht? Und welche Daten werden überhaupt an Microsoft übermittelt? Dann ist da noch die Mutter aller Fragen: Was macht man eigentlich, wenn man zu dem Ergebnis kommt, dass ein datenschutzkonformer Einsatz von Windows 10 nicht möglich ist…muss man dann bestimmte Funktionalitäten ausstellen (geht das überhaupt?) oder im schlimmsten Fall auf Linux ausweichen, während alle Mitbewerber weiterhin ungeniert Windows 10 nutzen?

Die Aufsichtsbehörden verhalten sich beim Thema Windows 10 wie Tinnitus: Ein ewig dahinsummendes Hintergrundgeräusch, das einen stetig daran erinnert, dass etwas mit dem Ohr – pardon, der Datenverarbeitung auf den genutzten Computern – möglicherweise nicht stimmt.

Das Betriebssystem und seine Telemetriedaten

Ein Betriebssystem ist zunächst einmal schlicht ein Bordmittel zur Datenverarbeitung. Ohne ein Betriebssystem hat ein Computer in etwa den Funktionsumfang eines Briefbeschwerers, kurz: Ohne Betriebssystem keine automatisierte Datenverarbeitung. Problematisch ist, wenn das Betriebssystem sogenannte „Telemetriedaten“ an den Hersteller funkt, bei Windows 10 also an die Microsoft Inc. aus Redmond. Im Grunde handelt es sich bei Telemetriedaten um Daten einer Fernmessung, im Kontext von Windows 10 daher über den Zustand des Betriebssystems. Doch welche konkreten Daten fallen genau hierunter? Bei Windows 10 scheinen Art und Umfang der Telemetriedaten eine Wissenschaft für sich zu sein. Telemetriedaten können selbstredend eine datenschutzrechtliche Relevanz haben. Um die datenschutzrechtliche Erheblichkeit zu bewerten, müsste man jedoch wissen, welche Telemetriedaten überhaupt an den Hersteller übermittelt werden.

Datenschutzrechtliche Bewertung nicht möglich

Die saarländische Aufsichtsbehörde stellt hierzu fest:

„Für die Übertragung von bei der Nutzung von Windows 10 anfallenden Telemetriedaten an Microsoft konnte bis zum Ende des Berichtszeitraums nicht abschließend geklärt werden, welche Datenkategorien betroffen sind. Eine datenschutzrechtliche Bewertung war unter dieser Voraussetzung nicht möglich.“

Der Aufsichtsbehörde war also eine datenschutzrechtliche Bewertung des Einsatzes nicht möglich, aber der Anwender soll sie vornehmen. Freundlicherweise kriegt dieser auch direkt ein Prüfschema des DSK mit an die Hand.

Wenig überraschend fischt auch dieses hinsichtlich der Telemetriedaten weiter im Trüben. So heißt es hier auf Seite 7:

„Es werden eventuell auch personenbezogene Daten (z. B.IP-Adresse, Nutzerkonto, Position, Nutzerverhalten, Internetaktivität, Präferenzen, Suchaktivitäten und weitere) übermittelt. Dabei werden die Daten zum Teil verschlüsselt übertragen. […] Da die Datenübertragung verschlüsselt stattfindet, liegen keine detaillierten Erkenntnisse über die Natur der übertragenen Daten von einer unabhängigen Stelle vor.“

Man weiß im Grunde nichts, aber losprüfen sollen die Anwender trotzdem.

Exemplarisch hierfür ist auch dieser Satz im Prüfschema:

„Konnte nicht festgestellt werden, welche Daten übermittelt werden, so kann auch nicht die Rechtmäßigkeit der Übermittlung festgestellt werden.“

Warum soll überhaupt der Anwender die Rechtmäßigkeit von Telemetriedaten-Schnüffeleien durch Microsoft rechtlich bewerten und feststellen? Bestimmt hier nicht Microsoft alleine über Zwecke und Mittel der Verarbeitung und ist für diese Datenerhebung selbst verantwortlich?

Man kann sich des Eindrucks nicht erwehren, dass der Anwender mit wortreichen Ausführungen im Grunde alleine gelassen wird.

Testszenario mit der Facharbeitsgruppe

Um bei der Sache mit den Telemetriedaten etwas Licht ins Dunkeln zu bringen, hat die Datenschutzkonferenz, wie sich auf S. 22 des 9. Tätigkeitsberichts des BayLDA nachlesen lässt, eine Unterarbeitsgruppe mit dem Namen „Windows 10“ des Arbeitskreises Technik gegründet.

Hierbei wurde im Beisein von 10 extra eingeflogenen Microsoft-Mitarbeitern festgestellt, dass sich in der Windows-Version „Enterprise“ die ungefragte Übermittlung von Telemetriedaten (der konkrete Umfang wurde auch hier nicht näher erörtert), ausstellen lässt. Im Schlussabsatz heißt es hierzu:

„Sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar. Wie dagegen der Einsatz von Windows 10 Pro bei Verantwortlichen zu bewerten ist, bei dem die Telemetriedaten zwar reduziert, aber bekanntlich nicht komplett abgeschaltet werden können, könnte möglicherweise ein weiterer Arbeitsauftrag der Datenschutzkonferenz (DSK) werden.“

Übersetzt heißt dies: Wir wissen im Grunde nicht, ob sich unsere Ergebnisse auf den „realen Einsatz“ 1:1 übertragen lassen. Bei der Nutzung der teuersten Windows-Version und der richtigen Konfiguration gibt es zumindest keine datenschutzrelevanten Probleme. Möglicherweise prüfen wir irgendwann einmal in der Zukunft auch die relevanten Windows-Versionen.

Warum wurde nicht von vornherein die erschwinglichere und viel häufiger anzutreffende Windows-Pro-Version durchleuchtet? Weshalb lässt sich die Telemetrie-Datenübermittlung, die offensichtlich bei dem Luxusmodell ohne Einschränkung der Funktionsfähigkeit möglich ist, nicht bei günstigeren Windows-Versionen (Pro & Home) ausschalten? Wieso wird dieses nicht von den Aufsichtsbehörden kritisch hinterfragt?

Und wieso ist Windows 10 überhaupt so umfassend konfigurierungsbedürftig, um datenschutzkonform betrieben werden zu können? Hinsichtlich der erhobenen Telemetriedaten dürfte Microsoft selbst datenschutzrechtlich Verantwortlicher sein (s.o.). Und damit dürften Microsoft als Verantwortlichen, der Niederlassungen in Europa hat (Art. 3 Abs.1 DSGVO), als auch Windows 10 direkt im europäischen Wirtschaftsraum anbietet (Art. 3 Abs.2 DSGVO) dieselben datenschutzrechtlichen Pflichten (hier insbesondere das Gebot der Datenminimierung und der datenschutzfreundlichen Voreinstellung) treffen, welche die Aufsichtsbehörden ständig von den Windows-10-Anwendern einfordern.

Fromme Wünsche

Hier würde man sich wünschen, dass die Aufsichtsbehördlich endlich einmal dazu übergehen, sich nicht ständig zu fragen, was die Anwender von Windows 10 besser machen können, sondern wie der Hersteller solcher Systeme zu datenschutzkonformen Verhalten erzogen werden können. Liegt einem ein datenschutzkonformer Umgang mit Windows 10 am Herzen, gibt es 2 Wege: Der Weg über den Hersteller von Windows 10 und der Weg über die Anwender. Die unzähligen Anwender in die Pflicht zu nehmen, erscheint wie ein Kampf gegen Windmühlen: Jeder mühsam konfigurierten datenschutzkonformen Einstellung stehen 10 datenschutzwidrige Konfigurationen entgegen.

Wäre es im Sinne des Datenschutzes nicht effizienter, das Problem endlich an der Wurzel zu packen, anstatt eine wortreiche und wenig hilfreiche Einlassung nach der anderen zum Thema Windows 10 zu veröffentlichen? Auch muss man sich über die Selbstverständlichkeit wundern, mit der Anwender aufgefordert werden, die getroffenen Datenschutzeinstellungen regelmäßig zu überprüfen, die durch Windows-Updates möglicherweise pulverisiert wurden. Ist es nicht ein Unding, dass überhaupt mühsam vorgenommene datenschutzfreundliche Einstellungen durch Updates zunichtegemacht werden? Man hat zuweilen den Eindruck, dass immer nur die Anwender in die Pflicht genommen werden und der eigentliche Sündenbock unbehelligt weiter sein Spiel treiben kann.

Wie ernst es Microsoft mit dem Datenschutz nimmt, sieht man etwa am neuerdings eingeführten Kontozwang für Windows 10. Will man Windows 10 ohne Microsoft-Benutzerkonto installieren, muss man neuerdings das Internetkabel aus dem Gerät ziehen, um der Erstellung eines Kontos zu entgehen. Nutzt man bei der Installation Wlan und hat während der Installation unbedarft sein Wlan-Passwort eingegeben, bleibt einem regelmäßig nur noch, den Router-Stecker zu ziehen, um eine Installation ohne Einrichtung eines Online-Kontos zu vermeiden, denn das Wlan lässt sich im Installationsmenü nicht mehr am Gerät selbst ausschalten.

Windows 10 und Datenschutz in a Nutshell

Windows-10-Anwendern, egal von welcher Version, sollten daher folgende Hinweise beherzigen:

  • Windows 10 sollte so datensparsam wie möglich konfiguriert werden. Telemetriedaten sollten – soweit möglich – ausgeschaltet werden oder zumindest auf das Minimalsetting gesetzt werden.
  • Nach Updates ist zu überprüfen, ob die datenschutzrechtlichen Einstellungen durch das Update rückgängig gemacht wurden.
  • Alle getroffenen Einstellungen sollten dokumentiert werden (Art. 5 Abs.2 DSGVO).

Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Windows 10 und Datenschutz: Der Eiertanz der Aufsichtsbehörden.

JA, wirklich! – DSGVO: Auftragskontrolle in der Praxis

Besonders an die Hersteller von Software oder die Betreiber von Plattformen, mit denen personenbezogene Daten verarbeitet werden: Wie soll ein Verantwortlicher als Auftraggeber einer Datenverarbeitung im Auftrag denn sonst sich selbst und besonders die Daten, die im Auftrag verarbeitet werden, schützen?

Man stößt, immer wieder auf die “Verständnislosen” – sowohl auf Seiten der Verantwortlichen, als auch auf Seiten der Auftragsverarbeiter – schließlich gebe es doch die Verträge zur Auftragsverarbeitung. PAPIER IST BEKANNTLICH GEDULDIG!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: DSGVO: Auftragskontrolle in der Praxis

DSGVO: Auftragskontrolle in der Praxis

Für einen Auftragnehmer ist es sinnvoll, selbst tätig zu werden, statt auf Prüfungen durch den Auftraggeber zu warten. Erfahren Sie, wie Sie als Auftragnehmer am besten an die Auftragskontrolle herangehen.

The post DSGVO: Auftragskontrolle in der Praxis appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: DSGVO: Auftragskontrolle in der Praxis.

Mehr Datenschutz bei Telemetrie-Daten

Hurra! Wenn das etwas wird, dann kann man endlich auch wirklich über den datenschutzkonformen Einsatz von Windows 10 nachdenken. Bis dahin sollen die Techies die Einstellungen nach den Empfehlungen des BSI / BayernLDA umsetzen, um zumindest alles Mögliche von Seiten der User zu tun (Links ganz unten).

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Mehr Datenschutz bei Telemetrie-Daten

Mehr Datenschutz bei Telemetrie-Daten

Die Datenschutz-Diskussion zu Microsoft Windows 10 hat bei zahlreichen Unternehmen das Thema „Telemetrie-Daten“ auf die Agenda gebracht. Doch Windows 10 ist nur ein Beispiel von vielen.

The post Mehr Datenschutz bei Telemetrie-Daten appeared first on Datenschutz PRAXIS.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Mehr Datenschutz bei Telemetrie-Daten.

Links zum BSI / BayernLDA und den Empfehlungen zu Windows 10:

Für Private: https://www.bsi-fuer-buerger.de/SharedDocs/Downloads/DE/BSIFB/Publikationen/BSI_CS_019.pdf?__blob=publicationFile&v=4

Für Unternehmen: https://www.lda.bayern.de/media/windows_10_report.pdf

Bayerische Polizei nutzt DNA-Analyse Schlupfloch – Datenschutz? Ja mei!

Achten Sie auf sich – immer!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bayerische Polizei nutzt DNA-Analyse Schlupfloch – Datenschutz? Ja mei!

Bayerische Polizei nutzt DNA-Analyse Schlupfloch – Datenschutz? Ja mei!

Bayern ist für seine Eigenheiten bekannt. Da verwundert es nicht, dass die Bayerische Polizei unlängst (legal) ganz neue, von der StPO verbotene Wege der Verbrechensaufklärung beschritt: Sie ließ die an einem Tatort aufgefundene DNA durch ein österreichisches Labor auf Haarfarbe und Herkunft des Verdächtigen analysieren. Was nach moderner Ermittlungsarbeit klingt, kann unvorhersehbare Folgen haben – auch für den Datenschutz!

Der Isar-Mord – Klarer Fall eines ungelösten Verbrechens

Wissen Sie wie polizeiliche Ermittlungen ablaufen? Auch wenn in US-amerikanischen Krimiserien zuerst geschossen wird, bevor man Fragen stellt: Hierzulande sieht die Realität anders aus. Denn deutsche Polizeibeamte essen weniger Donuts! Spaß beiseite – bei der Verbrechensaufklärung ist nun mal nicht alles erlaubt.

So sind beispielsweise der durchgängig hungrigen DNA-Datenkrake des Bundeskriminalamts namens DNA-Analyse-Datei gesetzliche Grenzen gesetzt, die deren Tentakel nicht überwinden dürfen. Es ist zwar möglich, an einem Tatort aufgefundene DNA-Spuren mit bereits beim BKA gespeicherten DNA-Mustern zu vergleichen, tiefergehende Analysen der DNA stoßen jedoch auf rechtlichen Widerstand. A geh, dachten sich wohl die bayerischen Ermittler und nutzten ein legales Schlupfloch, wie die Legal Tribune Online jüngst erläuterte.

Der traurige Anlass des polizeilichen Handelns

Fast sieben Jahre ist es her, da war ein Mann mit seiner Verlobten auf dem Radweg an der Isar in München unterwegs. Als die Frau plötzlich von einer am Fahrbahnrand stehenden Person angespuckt wurde, stellte der Mann den Spuckenden zur Rede. Der Unbekannte tötete das Opfer daraufhin mit mehreren Messerstichen.

Trotz umfangreicher Ermittlungsmaßnahmen konnte der Täter bis heute nicht gefasst werden. Insgesamt ging die Polizei mehr als 600 Hinweisen nach, über 15.000 Personen wurden vernommen, 5.700 gaben Speichelproben ab. Zusätzlich wurden die Daten von 64.000 Handys ausgewertet, die im Umfeld des Tatorts bei Funkmasten angemeldet waren. Überprüft wurden fast 7.500 Handybesitzer. Resultat? Nada.

Die Polizei stand vor einem Scherbenhaufen – aber einen letzten Trumpf hatte sie noch in der Hinterhand: eine am Tatort aufgefundene DNA-Spur, die anscheinend dem Täter zuzuordnen ist. Nur sollte auch diese Spur im Sande verlaufen, denn in der DNA-Analyse-Datei des BKA fand sich kein Vergleichsmuster.

Ein letzter Hoffnungsschimmer

Die Münchner Ermittler zeigten sich erfinderisch: Sie baten die Humangenetiker des Instituts für Gerichtliche Medizin der Universität Innsbruck um Hilfe, ganz im Sinne bayerisch-österreichischer Freundschaftsbeziehungen. Unser Nachbarstaat fackelte nicht lange und führte eine vertiefte DNA-Analyse durch. Das Ergebnis? Naja…

Der Täter war mit einer Wahrscheinlichkeit von 68,9 Prozent braunhaarig, zu 22,6 Prozent blond, zu 5,9 Prozent rothaarig und zu 2,6 Prozent hatte er schwarze Haare. Ah ja, wahnsinnig hilfreich. Spannender ist, was die Österreicher herausfanden, als sie die Y-Chromosomen untersuchten: Die Vorfahren des Täters väterlicherseits stammen aus dem Nordosten Europas, also aus dem Raum Nordukraine, Weißrussland und Russland. Bravo, dies trifft auf Millionen von Männern zu! Aus Sicht der bayerischen Ermittler: Basst scho, immerhin können die Forensiker (noch) kein Phantombild erstellen.

Wenn sich zwei streiten, freut sich die Polizei

Aus der DNA eines Menschen lässt sich dennoch viel herauslesen, neben der biogeographischen Herkunft auch das ungefähre Alter, das Geschlecht, Erbkrankheiten und – bis zu einem gewissen Grad – die sexuellen Vorlieben. Die Analyse der DNA auf diese und weitere Gesichtspunkte ist allerdings umstritten: Die Missbrauchsgefahr ist hoch, außerdem könnten Stigmatisierung und Racial Profiling drohen.

StPO: Das ist (zumindest teilweise) verboten!

Um die Eintrittswahrscheinlichkeit dieser Risiken zu verringern, aber gleichzeitig die Verbrechensaufklärung zu erhöhen, ordnet § 81e Abs. 1 StPO folgendes an:

„An dem durch Maßnahmen nach § 81a Absatz 1 oder § 81c erlangten Material dürfen mittels molekulargenetischer Untersuchung das DNA-Identifizierungsmuster, die Abstammung und das Geschlecht der Person festgestellt und diese Feststellungen mit Vergleichsmaterial abgeglichen werden, soweit dies zur Erforschung des Sachverhalts erforderlich ist. Andere Feststellungen dürfen nicht erfolgen; hierauf gerichtete Untersuchungen sind unzulässig.“

Man könnte meinen, damit sei alles gesagt, auf Herkunft und Alter dürfe die DNA nicht untersucht werden. Doch wer im Jurastudium gut aufgepasst hat, der weiß, eine Norm sollte immer zu Ende gelesen werden. So heißt es in § 81e Abs. 2 StPO:

„Nach Absatz 1 zulässige Untersuchungen dürfen auch an aufgefundenem, sichergestelltem oder beschlagnahmtem Material durchgeführt werden. Ist unbekannt, von welcher Person das Spurenmaterial stammt, dürfen zusätzlich Feststellungen über die Augen-, Haar- und Hautfarbe sowie das Alter der Person getroffen werden…“

Die Untersuchung auf die Haarfarbe (nicht aber auf die auf die Herkunft!) ist aktuell mit der Strafprozessordnung vereinbar. Doch Obacht! § 81e Abs. 1 S. 2 StPO wurde erst durch das Gesetz zur Modernisierung des Strafverfahrens eingefügt, in Kraft getreten ist die Norm zum 13. Dezember 2019. Und wann hat die Münchner Polizei die DNA den Österreichern zur Analyse überlassen? Laut Pressemitteilung der Polizei München begann die Untersuchung am Institut für Gerichtliche Medizin in Innsbruck bereits Mitte 2019. Wie das sein kann? Nun, die bayerische Rechtslage sieht etwas anders aus.

BayPAG: A so a Schmarrn!

Die Bayerische Polizei hat eine Doppelrolle: Zum einen wird sie repressiv, also in der Strafverfolgung tätig. Zum anderen hat sie sich um die Gefahrenabwehr zu kümmern, handelt also auch präventiv. Von der jeweiligen Rolle, in der sie auftritt, hängt ab, auf welche Rechtsgrundlagen sie sich berufen kann. Bei repressivem Handeln gilt die StPO, bei präventivem das BayPAG (Polizeiaufgabengesetz).

So weit, so gut. Sicherlich können Sie sich nun denken, welchen legalen „Trick“ die Bayerische Polizei angewandt hat. Richtig! Die Münchner Polizei argumentierte, sich präventiv zu betätigen. Dies kommt ihr gelegen, da Art. 32 Abs. 1 S. 1 Nr. 1, S. 2 des BayPAG die DNA-Analyse im Hinblick auf die Haarfarbe und die Herkunft erlaubt:

„Die Polizei kann personenbezogene Daten über die in Art. 7, 8 und 10 genannten Personen und über andere Personen erheben, wenn dies erforderlich ist

  1. zur Gefahrenabwehr (Art. 2 Abs. 1), insbesondere
  2. a) zur vorbeugenden Bekämpfung von Straftaten sowie
  3. b) zu Zwecken des Personenschutzes, soweit sich die diesbezügliche Gefahrenabwehr auf ein in Art. 11 Abs. 3 Satz 2 Nr. 1 bis 3 oder Nr. 5 genanntes bedeutendes Rechtsgut bezieht, …

und die Art. 11 bis 65 die Befugnisse der Polizei nicht besonders regeln. Im Fall des Satzes 1 Nr. 1 kann die Datenerhebung durch die molekulargenetische Untersuchung aufgefundenen Spurenmaterials unbekannter Herkunft zum Zwecke der Feststellung des DNA-Identifizierungsmusters, des Geschlechts, der Augen-, Haar- und Hautfarbe, des biologischen Alters und der biogeographischen Herkunft des Spurenverursachers erfolgen, wenn die Abwehr der Gefahr auf andere Weise aussichtslos oder wesentlich erschwert wäre.“

Aus Sicht der Münchner Ermittler bestehe die Gefahr erneuter Straftaten, da der Täter ausgesprochen aggressiv und aus nichtigem Anlass sehr brutal gehandelt habe. Wie wir bereits festgestellt haben, ist die Ermittlungssituation festgefahren, sodass die Gefahr auch nicht anderweitig abgewehrt werden kann. Stellt sich allein die Frage, wie akut eine derartige Gefahr erneuter Straftaten ist, wenn die Tat bereits mehr als sieben Jahre zurückliegt und die Täter-DNA seither an keinem Tatort mehr aufgetaucht ist.

Des Rätsels Lösung?

Nachdem Bayern mit ihrer Initiative, die Herkunftsanalyse auch strafprozessrechtlich zu erlauben, vor dem Bundesrat gescheitert ist, versucht man es also durch die Hintertür. Ganz schön unverschämt, nicht wahr?

Das Problem liegt darin, dass das polizeiliche Tätigwerden in diesem Fall ersichtlich beiden Rollen (als doppelfunktionale Maßnahme) zugeordnet werden kann. Ja zefix, wie löst man nun dieses Dilemma?

Einigkeit besteht darin, dass ein flexibles Hin- und Herschwingen zwischen StPO und PAG, je nachdem,

je nachdem, wo man sich die besten Rosinen herauspicken kan

n, nicht stattfinden darf. Der Staatsanwaltschaft würde ansonsten nach Belieben der Polizei die (repressive) Verfahrensherrschaft entzogen.

Es kommt auf den Schwerpunkt an

Die naheliegende Lösung bestünde darin, die seitens der Polizei durchgeführte Maßnahme daraufhin zu überprüfen, ob der Schwerpunkt in der Strafverfolgung oder in der Gefahrenabwehr lag.

Nach dem DNA-Abgleich mit dem BKA steht fest, dass der Täter vor dem Isarmord keine Straftaten begangen oder dabei zumindest keine DNA hinterlassen hat. Seit über sieben Jahren ist seine DNA auch an keinem anderen Tatort mehr aufgefunden worden. Um einen Serientäter scheint es sich daher wohl nicht zu handeln. Ist es da nicht merkwürdig, dass sich die Münchner Polizei, um ihr gefahrenabwehrrechtliches Handeln zu rechtfertigen, auf mögliche weitere, künftige Straftaten beruft?

Wer jemanden schnappen will, um ihn der Strafverfolgung zuzuführen, der möchte diesen in der Regel auch „aus dem Verkehr ziehen“, um andere vor dem Täter zu schützen. Der Schwerpunkt der DNA-Analyse dürfte vorliegend jedoch darin gelegen haben, den Täter aufzufinden und ihn vor Gericht zu stellen – insbesondere, weil die Rechtfertigung der Gefahrenabwehr doch etwas dürftig klingt.

Folgt man der Schwerpunkttheorie, hätte sich die Münchner Polizei damit auf die StPO berufen müssen, sodass eine Herkunftsanalyse gar nicht zulässig gewesen wäre.

… oder auch nicht laut BGH

Die Bayerische Polizei orientierte sich allerdings an der Rechtsprechung des BGH aus dem Jahr 2017, wonach die Auswahl der Rechtsgrundlage erst dann als rechtsmissbräuchlich anzusehen sei, wenn das Gefahrenabwehrrecht zur Legitimierung einer in Wahrheit bezweckten Strafverfolgungsmaßnahme nur vorgeschoben würde, weil die Polizei in Wirklichkeit überhaupt keine Gefahr abwehren wolle.

Da DNA-Analysen und viele weitere polizeiliche Maßnahmen bei unbekannten Tatverdächtigen in den meisten Fällen sowohl aus repressiven, als auch aus präventiven Gründen durchgeführt werden, kann der Polizei so gut wie nie vorgehalten werden, sie wolle in Wirklichkeit gar keine Gefahr abwehren. Die Rechtsprechung des BGH erteilt der Bayerischen Polizei damit mehr oder weniger einen Freifahrtschein! Was für eine Watschn…

Schleich di, Datenschutz

Das hier wäre kein Datenschutz-Blog, wenn nicht spätestens jetzt datenschutzrechtliche Hinweise auf Sie warten würden. Die DNA ist wohl das heiligste Datum – sie ist einzigartig, unabänderlich und äußerst profitabel. Zudem zeigt sie sich aussagekräftig: Dringen Informationen zu Erbkrankheiten oder zu sexuellen Vorlieben nach außen, kann dies schwere Folgen haben. Aufgrund unserer Vergangenheit dürfte zudem beim ein oder anderen die Alarmglocken klingeln, wenn Schlagwörter wie ethnische Zugehörigkeit und repressive Polizeimaßnahmen in einem Atemzug fallen. Denn darum geht es auch bei der durchaus fehleranfälligen biogeografische Herkunftsanalyse. Diejenigen die meinen, das sei aber nun schon ewig her und würde heute sicherlich nicht passieren, lässt das Heilbronner Phantom herzlich grüßen!

Nicht ohne Grund werden genetische Daten, Gesundheitsdaten, Daten zum Sexualleben bzw. der sexuellen Orientierung, aber auch Daten, aus denen die rassische und ethnische Herkunft hervorgeht, durch Art. 9 Abs. 1 DSGVO (respektive Artikel 10 JI-Richtlinie) besonders geschützt.

Vorweg: Der Datenschutz zielt nicht darauf ab, Täter zu schützen! Effektive Strafverfolgung und Gefahrenabwehr sind wichtig. Dabei sollten die Konsequenzen für den Betroffenen – der ja noch nicht schuldig gesprochen wurde – aber nicht unbeachtet bleiben. Denn: Ist der erste Schritt getan, dauert es nicht lange und die nächsten schwerwiegenderen Schritte folgen.

O’zapt is er, der Datenstrom

Der BGH hat dem deutschen Strafprozessrecht keinen Gefallen getan! Nicht abzusehen ist, welche Schlupflöcher noch gebuddelt werden, um gefahrenabwehrrechtlich das durchzusetzen, was strafprozessrechtlich verboten ist. Bis diesem Vorgehen ein Riegel vorgeschoben wird, fließen noch viele sensible Informationen den Datenstrom hinunter. Na dann, Prost Mahlzeit!


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bayerische Polizei nutzt DNA-Analyse Schlupfloch – Datenschutz? Ja mei!.

Hackathon Germany: #WirvsVirus

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Hackathon Germany: #WirvsVirus

Hackathon Germany: #WirvsVirus

Die Berichterstattung der letzten Wochen zeigt die negativen Auswirkungen der Corona-Epidemie und lässt uns zunehmend in eine Art Ohnmacht fallen. Umso wichtiger ist es, auch mal positive Beispiele aufzuzeigen, wie wir Menschen in solch einer Krise zusammenhalten und gemeinsam kreativ nach Lösungen suchen. Daher gibt es heute einen kleinen Erfahrungsbericht über den wohl bislang größten Workshop Deutschlands: Der Hackathon der Bundesregierung 2020.

Was ist ein Hackathon?

Bei dem Begriff „Hackathon“ handelt es sich um eine Wortschöpfung aus Hack und Marathon und stammt aus der IT-Branche. Solche Events erfolgen alternativ auch unter den Bezeichnungen „Hack Day“, „Hackfest“ oder „Codefest“. Innerhalb eines fest definierten Zeitraumes (meist nur wenige Tage) versuchen die Teilnehmer in Zusammenarbeit nützliche, kreative oder unterhaltsame Lösungen für Probleme zu finden. Oftmals werden dabei Software-Produkte entwickelt. Manchmal entstehen sogar Startups aus einer solchen Veranstaltung.

Was war das Ziel vom Hackathon #WirvsVirus?

Der bundesweite Hackathon #WirvsVirus ist eine gemeinsame Veranstaltung von Bundesregierung, Tech4Germany, Code for Germany, Initiative D21, Impact Hub Berlin, ProjectTogether, Prototype Fund und SEND e.V., Bundeskanzleramt und Digitalrat.

Die Forscher suchen derzeit nach einem wirksamen Wirk- und Impfstoff gegen den Covid-19-Virus. Aber bereits jetzt zeichnet sich eine Vielzahl an Problemen für die Gesellschaft und Wirtschaft ab, die es zu lösen gilt. Und genau hier setzt der Hackathon an. Jeder Bürger und jede Bürgerin war eingeladen, um gemeinsam mit den anderen an kreativen Lösungen zu arbeiten. Für die Teilnahme war es auch nicht erforderlich, dass man aus der IT-Branche kam.

Mehr als 42.000 Personen nahmen als Ideengeber, Mentoren oder Teilnehmer an diesem Event teil.

Wie lief der Hackathon ab?

Bis Donnerstagabend, den 19.03.20, wurden sämtliche Herausforderungen der Gesellschaft und Wirtschaft durch die Ideengeber gesammelt. Dies wurden später in Airtable gruppiert und aufgelistet.

Bis Freitag 14 Uhr konnte man sich als Teilnehmer oder Mentor registrieren. Letzteres war für diejenigen angedacht, die den Teilnehmern und Projekten mit ihrer Fachexpertise zu bestimmten Bereichen beratend zur Seite stehen können. Nachmittags wurde ein Slack-Zugang an die Registrierten versandt, denn dieses diente als maßgebliches Sprachrohr. Es fanden sich bereits die ersten Teams, die zusammen an einem Projekt arbeiten wollen. Gegen 18.30 Uhr fand dann ein Begrüßungs-Call der Initiatoren statt. Ursprünglich sollte dies via Slack erfolgen. Allerdings waren viele Teilnehmer in einem Slack-Kanal – zu viel für das Tool, sodass auf Youtube umgestiegen werden musste.

Danach waren die „Hackathon-Spiele“ ganz offiziell eröffnet. Die bereits gefundenen Teams zu Projekten meldeten sich dann bei dem Tool Devpost an. Hier haben sich nur noch gut ein Viertel der Teilnehmer vom Hackathon registriert. Dort konnten jederzeit neue Mitglieder hinzugefügt werden. Jedes Team hatte bei Devpost eine eigene Projekt-Seite, wo sie dann ihren Lösungsansatz sowie die möglichen Herausforderungen präsentieren konnten.

Die große Kommunikation erfolgte über das ganze Wochenende via Slack. Dort wurden sehr viele Gruppen-Chats eröffnet. Beispielweise konnten die Teams in einem Chat konkrete Hilfe anfragen und in einem anderen konnten die Teilnehmer mitteilen, was deren Skills sind und wobei sie gerne unterstützen können. Hierdurch konnten sich sehr schnell die passenden Personen finden. Das Datenschutz-Herz erfreute sich aber auch über einen Gruppen-Chat, wo Fragen über die Zulässigkeit der Datenverarbeitung nach der DSGVO gestellt und beantwortet wurden. Und dieser Chat wurde auch rege genutzt.

Und wer ist der Gewinner?

Am Sonntagabend musste jedes Team ein zweiminutiges Video bei Devpost veröffentlichen. Anhand dieser Videos werden die Gewinner des Hackathons ermittelt. Folgende Kriterien finden hierbei Beachtung:

  • Gesellschaftlicher Mehrwert
  • Innovationsgrad
  • Skalierbarkeit
  • Fortschritt
  • Verständlichkeit.

Der Gewinn besteht in Ruhm, Ehre und dem guten Gefühl, seinen sozialen Beitrag zur Lösung der gesellschaftlichen Probleme geleistet zu haben. Preisgelder oder Ähnliches werden nicht verteilt.

Was für Projekte gab es?

Einige Projekte beschäftigten sich damit, wie man die verschiedenen Ressourcen wie Lebensmittel oder Personal aus dem Gesundheitswesen sinnvoll und ausgewogen verteilen kann. Es wurde auch überlegt, wie man durch Auswertung der Standortdaten die weitere Ausweitung des Virus eindämmen kann. In diesem Blogbeitrag kann nicht auf alle Projeke eingegangen werden, weil es einfach zu viele sind. Aus diesem Grunde werden nachfolgend nur zwei Projekte beispielhaft erläutert. Über die übrigen Projekte kann man sich hier informieren.

Telefonroulette

Mit dem Kontaktverbot und den bereits in einzelnen Bundesländern geltenden Ausgangsbeschränkungen besteht die Gefahr, dass vor allem alleinlebende Personen zunehmend vereinsamen. Dies führt langfristig zu psychologischen Problemen. Im digitalen Zeitalter kann dem zwar durch Video-Chats und sonstige soziale Netzwerke entgegengewirkt werden. Aber nicht alle Menschen haben einen solchen Zugang zu den Medien, insbesondere ältere Menschen verwenden diese Medien weniger. Ein Team will eine Telefonhotline errichten, die Menschen ohne Internet mit gleichen Interessen verbindet, sodass diese nicht den Kontakt zur Außenwelt verlieren und weiterhin soziale Kontakte knüpfen können. Eine zentrale Stelle organisiert dabei die Anrufvermittlung. Die Anrufer selber erhalten aber nicht die Telefonnummer der vermittelten Gesprächspartner. Dies reduziert ein mögliches Missbrauchsrisiko erheblich und die Datenverarbeitung erfolgt auf diese Weise ebenfalls sparsam sowie auf das Notwendige beschränkt.

Leitfaden für Schulen

Es ist derzeit nicht absehbar, wie lange die Schulen geschlossen bleiben müssen. Trotzdem muss man Wege finden, um die Bildung unserer Schüler aufrechterhalten zu können. Heutzutage gibt es viele Möglichkeiten, den Unterricht auch digital zu führen. Bei der Wahl der Tools müssen Schulen aber neben dem Budget, dem Einrichtungsaufwand und der Bedienerfreundlichkeit auch besonders auf den Datenschutz und die Datensicherheit achten. Ein Team machte es sich zur Aufgabe für Schulen einen Leitfaden zu entwickeln, damit diese schneller die richtige Wahl treffen können.

Und wie geht es nun weiter?

Am 29.03.2020 erfolgt dann die Verkündung, wer gewonnen hat. Es sind viele Apps und andere Lösungsansätze entstanden, die noch sicherlich weiter ausgebaut werden müssen. Manch ein Investor oder Unternehmen wird hierbei unterstützen. Aber auch die Bundesregierung will ein Unterstützungsprogramm entwickeln. Der Slack-Kanal bleibt noch für ein paar Monate geöffnet, damit die Ideenfindung und Ausarbeitung noch weiterlaufen kann.

Zwar wurde bei dem Hackathon als solches auf viele Tools der großen US-Konzerne zurückgegriffen, die gerade wir deutschen Datenschützer gar nicht so gerne sehen. Umso mehr freute es mich aber festzustellen, dass innerhalb der Teilnehmer bereits ein sehr großes Problembewusstsein für den Datenschutz existiert. Ich bin daher sehr optimistisch, dass wir die vielen Probleme und Hürden durch die Corona-Krise gemeinsam bewältigen und dabei dennoch unsere bereits geschaffenen Werte und Rechte des Einzelnen achten werden.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Hackathon Germany: #WirvsVirus.