Sehr geehrte Damen und Herren,

Forscher des Imperial College London haben sich in einer Studie, die in dem Fachmagazin Nature Communications veröffentlicht wurde, mit der Frage auseinandergesetzt, mit welcher Genauigkeit eine Identifizierung von Personen in anonymen Datenbanken möglich ist. Die Forscher erhoben die Postleitzahl, das Geburtsdatum und das Geschlecht und versuchten anhand dieser Informationen zur gleichen Person gehörende Daten in anonymisierten Datenbanken zu erkennen. Es zeigte sich, dass in den USA basierend auf den drei erhobenen Daten Postleitzahl, Geburtsdatum und Geschlecht im Durchschnitt eine 81 %ige Chance auf eine korrekte Identifizierung in einer anonymisierten Datenbank besteht. Werden weitere Informationen hinzugefügt, steigt die Wahrscheinlichkeit der Zuordnung bis auf nahezu 100 %. Dies legt nach Auffassung der Forscher nahe, dass übliche Anonymisierungsmethoden, wie beispielsweise das Entfernen von Namen, Adressen und Telefonnummern, nicht ausreichen, um eine wirksame Anonymisierung zu erzielen. Die Forscher stellten mit ihrer Studie auch ein Online-Tool bereit, mit dem Nutzer in den USA und im Vereinigten Königreich die eigene Chance der Datenzuordnung berechnen können. Auch europäische Nutzer können das Online-Tool mithilfe fiktiver Postleitzahlen nutzen.

Mit einem ganz anderen Thema beschäftigen wir uns in diesem Monat in unserem Schwerpunktthema. Ausgehend von zahlreichen Anfragen zum Thema "Betriebsrat und Datenschutz" in den vergangenen Wochen widmen wir uns in dieser Ausgabe der Frage nach der datenschutzrechtlichen Verantwortlichkeit von Betriebsräten und den damit verbundenen Haftungsfragen. Dabei geben wir wie gewohnt auch Praxishinweise und zeigen datenschutzrechtliche Gestaltungsmöglichkeiten auf.

Zusätzlich berichten wir in dieser Ausgabe über die fehlerhafte Vorratsdatenspeicherung in Dänemark, über ein Urteil des AG Berlin-Mitte zu Datenschutz-Auskunftsansprüchen sowie über weitere Aktivitäten der Datenschutz-Aufsichtsbehörden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Viel Freude mit der Lektüre unseres Newsletters wünschen Ihnen

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzrechtliche Verantwortlichkeit des Betriebsrats

Die Frage nach der datenschutzrechtlichen Verantwortlichkeit für eine vom Betriebsrat veranlasste Datenverarbeitung (einschließlich der Auswertung von personenbezogenen Daten der Mitarbeiter) lässt sich unter Geltung der DSGVO aktuell nicht eindeutig beantworten. In der Vergangenheit - also unter Geltung des alten BDSG - entsprach es der allgemeinen Auffassung, dass der Betriebsrat ein Teil des Arbeitgebers an verantwortlicher Stelle war. Mit dem Wortlaut des BDSG konnte seinerzeit argumentiert werden, dass Gremien innerhalb der verantwortlichen Stelle gerade nicht als eigenständige Verantwortliche in Betracht kamen. Der Betriebsrat war damit wie eine sonstige Teileinheit der verantwortlichen Stelle zu behandeln, wobei die Weisungs- und Kontrollbefugnisse allerdings aufgrund der Sonderstellung des Betriebsrats beschränkt waren. Diese Ausgestaltung führte in der Konsequenz dazu, dass der Arbeitgeber zwar für das Verhalten des Betriebsrats in datenschutzrechtlicher Hinsicht verantwortlich war, gleichwohl aber nur sehr eingeschränkt Maßnahmen zur Einhaltung der datenschutzrechtlichen Vorschriften bei Betriebsrat durchsetzen konnte.

Unter Geltung der DSGVO wird jetzt kontrovers diskutiert, ob dieses Konzept weiterhin Bestand hat. Soweit sich dies zum aktuellen Zeitpunkt beurteilen lässt, spricht einiges dafür, dass der Betriebsrat selbst für die Datenverarbeitung verantwortlich sein können. Die Definition der Verantwortlichkeit im Sinne von Art. 4 Nr. 7 DSGVO knüpft daran an, wer "über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Es kommt mithin darauf an, ob dem Betriebsrat insoweit eine eigenständige Entscheidungs- und Handlungsbefugnis zusteht. Der Verantwortlichkeit in diesem Sinne steht nach herrschender Meinung auch nicht entgegen, dass der Betriebsrat ausschließlich die ihm nach dem Betriebsverfassungsgesetz zugewiesenen Aufgaben übernehmen und Kompetenzen wahrnehmen darf. Vergleichbare Befugnisse und Beschränkungen bzw. Kompetenzzuweisungen finden sich für eine Vielzahl von öffentlichen Stellen, ohne dass dies gegen eine eigene Verantwortlichkeit im datenschutzrechtlichen Sinne sprechen würde.

Zum vollständigen Schwerpunktthema

Dänemark: Fehlerhafte Vorratsdatenspeicherung in Strafverfahren

Bei der Vorratsdatenspeicherung in Dänemark gab es offenbar flächendeckend Fehler, die zu falschen Daten und dadurch auch zu vermutlich falschen Verurteilungen in Strafverfahren geführt haben. Etwa ein Drittel der von Telefon-Anbietern gelieferten Daten, etwa über das Bewegungsmuster eines Handy-Besitzers, sei im System fehlerhaft konvertiert worden. Zudem seien oftmals bereits die Rohdaten falsch erhoben worden, weil einige Standortdaten mit falschen Mobilfunkantennen verknüpft worden seien. So seien potenziell Unschuldigen Aufenthalte an Tatorten unterstellt worden, die vermeintlich niemals stattgefunden haben. Betroffen seien ca. 10.000 Strafverfahren seit dem Jahr 2012.

Der Generalanwalt in Dänemark hat mittlerweile ein Verbot für die Nutzung von elektronischen Nutzerspuren als Beweismittel für vorerst zwei Monate festgelegt. In dieser Zeit sollen die Mängel untersucht und Ursachen ermittelt werden.

AG Berlin-Mitte: Pflicht zur Vollmachtsvorlage bei der Geltendmachung von Auskunftsansprüchen durch einen Anwalt

Das Amtsgericht Berlin-Mitte hat entschieden, dass ein Anwalt eine Vollmacht vorlegen muss, wenn er für einen Mandanten einen Auskunftsanspruch gemäß Art. 15 DSGVO geltend macht (AG Berlin-Mitte, Urt. v. 29.07.2019, Az. 7 C 185/18, nicht veröffentlicht). Im konkreten Fall hatte ein Unternehmen das durch einen Anwalt vorgebrachte Auskunftsbegehren eines Kunden nicht direkt beantwortet, sondern zuvor eine Vollmacht zum Nachweis der Stellvertretung von dem Anwalt verlangt. Die Übersendung der Vollmacht dauerte längere Zeit; später stritten die Parteien über die Einhaltung der Monatsfrist zur Beantwortung des Auskunftsverlangens.

Das AG Berlin-Mitte entschied, dass die Monatsfrist der DSGVO zur abschließenden Beantwortung des Auskunftsverlangen erst ab dem Zeitpunkt zu laufen beginnt, an dem auch die Vollmacht vorgelegt worden ist. Es sei von Seiten des Unternehmens das richtige Vorgehen gewesen, bei Nichtvorliegen einer Vollmacht zunächst keine Auskunft zu erteilen.

Europäischer Datenschutzausschuss: Empfehlungen zu Videoüberwachung veröffentlicht

Der Europäische Datenschutzausschuss (EDSA bzw. EDPB) hat einen ersten Entwurf einer europäischen Empfehlung mit Vorgaben zum Thema Videoüberwachung veröffentlicht. Die 29-seitigen "Guidelines on processing of personal data through video devices" können hier heruntergeladen werden.

Auffällig ist insbesondere der Hinweis zur Speicherdauer von Aufnahmen der Videoüberwachung. Während die deutschen Aufsichtsbehörden bisher vergleichsweise streng eine grundsätzliche Maximalspeicherdauer von 48 Stunden vorschrieben, wird in den Empfehlungen des EDSA nun auch eine längere Speicherdauer als datenschutzkonform erachtet, wenn diese gesondert begründet wird. So wird als Standardspeicherdauer 72 Stunden definiert, wobei ausdrücklich auch längere Speicherungen mit geeigneter Begründung gerechtfertigt werden können.

Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), die Datenschutz-Aufsichtsbehörde in Schleswig-Holstein, hat sich in einem Praxispapier zum Thema Videoüberwachung und Speicherdauer geäußert. In dem 17-seitigen PDF beschreibt die Behörde nicht nur die rechtlichen Anforderungen an Videoüberwachungen und gibt Hinweise zur praktischen Umsetzung anhand konkreter Fallbeispiele, sondern geht auch ausdrücklich darauf ein, dass auch eine längere Speicherdauer als 48 Stunden datenschutzrechtlich gerechtfertigt sein kann.

Zwar befinden sich die Empfehlung des EDSA noch im Rahmen der öffentlichen Abstimmung, sodass theoretisch noch Änderungen im Wortlaut denkbar sind. Auch ist das ULD als Aufsichtsbehörde nur für Schleswig-Holstein zuständig. In anderen Bundesländern sollte die Rechtsauffassung des EDSA und des ULD aber jedenfalls als zusätzliches Argument für eine längere Speicherdauer herangezogen werden können.

Europäischer Datenschutzbeauftragter Giovanni Buttarelli gestorben

Der Leiter der europäischen Datenschutzbehörde "European Data Protection Supervisor" (EDPS), Giovanni Buttarelli, ist am 20. August verstorben. Dies gab die Behörde bekannt. Buttarelli führte die Funktion des Europäischen Datenschutzbeauftragten seit Ende 2014 aus. Der EDPS ist die Datenschutz-Aufsichtsbehörde für die europäischen Institutionen wie beispielsweise die EU-Kommission und das EU-Parlament. Zugleich ist der EDPS auch Teil der Datenschutz-29-Gruppe und wirkt dort auf eine Kohärenz des Datenschutzes in Europa hin.

Die Amtsführung wird kommissarisch zunächst der Stellvertretende Behördenleiter, Wojciech Wiewiorowski, übernehmen.

Hamburger Aufsichtsbehörde: Prüfverfahren wegen Auswertung von Sprachassistenten

Die großen US-Unternehmen Amazon, Apple und Google haben die Aufzeichnungen ihrer Sprachassistenzsysteme "Alexa", "Siri" und "Hello Google" teilweise von menschlichen Mitarbeitern anhören und transkribieren lassen. Die Nutzer sind über dieses Vorgehen nicht transparent informiert worden und hatten keine Möglichkeit zu widersprechen. Auch andere US-Unternehmen sind offenbar ähnlich vorgegangen. Microsoft habe bestimmte Skype-Gespräche, Cortana-Aufnahmen und zudem seit über sechs Jahren Audioaufnahmen von Xbox-Nutzern von menschlichen Mitarbeitern auswerten lassen. Auch Facebook habe bestimmte Sprachaufnahmen des Facebook Messengers verschriftlichen lassen.

Die Aufnahmen sind persönlichkeitsrechtlich besonders relevant, weil es sich nicht nur um Aufnahmen privater Gespräche, sondern auch um intime Gespräche, Aufnahmen von Geräuschen aus dem Zuhause der Betroffenen sowie Aufnahmen von Kindern handelt.

Die Hamburger Datenschutzaufsichtsbehörde hat dies zum Anlass genommen, ein Prüfverfahren gegen Google zu eröffnen und zugleich ein dreimonatiges Verbot der Auswertung von entsprechenden Aufnahmen gegen Google ausgesprochen.

Apple und Google haben zwischenzeitlich erklärt, künftig keine Audioaufnahmen mehr von menschlichen Mitarbeitern auswerten zu lassen.

Bereits im Mai 2019 war der Wissenschaftliche Dienst des Bundestages zu der Einschätzung gekommen, dass der Sprachassistenzdienst Alexa von Amazon datenschutzrechtlich problematisch ist, weil neben den registrierten Nutzern auch unbeteiligte Dritte und Minderjährige beim Sprechen aufgenommen werden.

Hinzu kommt, dass die unbefugte Aufnahme nichtöffentlich gesprochener Worte in Deutschland nach § 201 StGB strafbar ist. Legt man diese Wertungen zugrunde, dürften auch aus datenschutzrechtlicher Sicht nicht unerhebliche Anforderungen an die datenschutzrechtliche Transparenz zu stellen sein.