Follow

Staatsministerin Bär, Bundesbeauftragte für Digitales, macht sich für die stark - und warnt vor der „Datenschutzkeule“

Wer auf Clubhouse Bekannte einladen möchte, muss seine Kontaktdaten freigeben - das ohne Einwilligung der Betroffenen zu tun ist illegal

Eine Ministerin, die und gegeneinander ausspielt, ist nicht „hip“ sondern peinlich 🙈

Datenschutz und Digitalisierung funktionieren nur gemeinsam 👍 - oder gar nicht.

zeit.de/digital/datenschutz/20

@lfdi
Aus Art. 39 DS-GVO und aus den Art. 24, 29 und 32 DS-GVO ergibt sich eine Verpflichtung zur Schulung zum Datenschutz, gilt das nicht für Staatsminister? Müsste das die Kanzlerin machen? Oder ist hier das BfDI im Obligo?

@wemi
Jede staatliche Stelle ist verpflichtet für die einzutreten, auch für das Grundrecht auf informationelle Selbstbestimmung.
Schulungen zum Datenschutz muss jeder Verantwortliche anbieten, in Fall von Frau Bär dürfte das ihre Behördenleiterin Frau Merkel bzw. der Chef des Kanzleramtes sein.
Für Sensibilisierung zum Datenschutz ist bei Bundesbehörden der @BfDI berufen.
Gemeinsam packen wir das - auch in schwierigen Fällen 😉

@lfdi mal ganz Frech, könnte ich im Sinne der Informationsfreiheit einen Nachweis der Sensibilisierung fordern?

@lfdi
ich hab dann mal die Anfrage über Frag-den-staat gestellt und bin auf die Antwort gespannt.

@lfdi Als Zuckerl wechselt ihre Büroleiterin (Partnerin von Andreas Scheuer) nun zu Facebook.

@lfdi
Frau Bär versteht offensichtlich das Geschäftsmodell nicht:
Tausche wertvolle persönliche Daten gegen hirnlose bedingt lustige Plapperrunde.

@lfdi Das Narrativ Datenschutz verhindert Fortschritt und macht krank (bezogen auf die Pandemie) wird dieser Tage gerne verwendet. Leider.

@teamdatenschutz @lfdi
das Problem ist, dass Datenschutz als Totschlag-Argument mißbraucht wird. Im Falle von Frau Bär und anderen Institutionen, die munter auf Facebook plappern und zwitschern (teilweise sogar ohne Impressum) ist ein Einwand von DS-Seite durchaus gerechtfertigt

@lfdi Warum sollte eine Einwilligung erforderlich sein? M.E. liegt die DV der Telefonnummer zwecks Einladung oder Feststellung, ob die Kontakte auch bei Clubhouse sind, im berechtigten Interesse iSd Art. 6 I f) DSGVO.

Kritisch wäre es für nicht unter Art. 2 II c) fallende Nutzer:innen, da diese Art. 44 ff. beachten müssen. Vor Prüfung der Art. 44 ff. steht aber die Frage, ob Clubhouse TK iSd des Kodex (RL 2018/1972) ist und deshalb Art. 95 DSGVO iVm ePrRL (RL 2002/58/EG) vorgeht.

@AlexAmtmann
Kein Zweifel, dass es ein berechtigtes Interesse von Nutzer und gibt - aber aus meiner Sicht überwiegen die schutzwürdigen Belange der Betroffenen klar. Deswegen dürfen ihre Kontaktdaten nur mit Kenntnis und Einwilligung übertragen werden.

Wie sieht es bei Ihrer Auffassung Art. 6 I f eigentlich mit Info und Widerspruchsrecht der Betroffenen aus? Kommt nicht vor, oder?

@lfdi

Doch.
- Art. 2 II c) DSGVO-Nutzer:innen haben keine Info-Pflichten.
- Nicht unter Art. 2 II c) DSGVO fallende Nutzer:innen nutzen mitunter für bereits mitgeteilte Zwecke und Empfänger:innen-Kategorien - wenn nicht, dann ändert Info-Pflicht ja nichts daran, dass nach Info f) vorliegt.
- Clubhouse muss Nichtnutzer:innen unverzüglich nach Erhalt informieren, darf aber auch sofort löschen und muss diese gelöschten Betroffenen dann nicht mehr informieren, vgl. Art. 11.

@AlexAmtmann
Das überzeugt mich nicht:
Wer als Privater Daten von Privaten an gewerbliche Verarbeiter liefert, um einen persönlichen Vorteil zu erzielen, handelt sicher nicht mehr ausschließlich im Rahmen persönlicher/familiärer Tätigkeiten.
Eine unterlassene Information des Betroffenen ist ein klarer Bußgeldverstoß.
Clubhouse löscht natürlich nicht sofort - dann wäre die Übermittlung nämlich sinnlos -, sondern erst nach Nutzung. Kein Fall von Art. 14 Abs. 5 DSGVO, und Art. 11.

@lfdi

Persönlicher Vorteil ist hier die Kontaktaufnahme zwecks späterer Kommunikation über Cloubhouse - sie ersetzt den persönlichen Anruf: „Bist du auch bei Clubhouse? Falls nein, kommt doch auch hin, hier ich lade Dich ein“ und fällt daher bei Art. 2 II c)-Personen mE klar unter Art. 2 II c).

Warum sollte Informationen erforderlich sein, wenn die 1. Nutzung von Clubhouse nur in der Prüfung besteht, ob die Nummer schon da ist, und dann nicht eingeladene Nummern gelöscht werden?

@lfdi

Im Übrigen ist für die Information auch Art. 12 III, IV DSGVO entsprechend zu beachten. Die DSGVO verhindert danach mE nicht, dass die pbD in der Unverzüglichkeitsfrist gelöscht werden. Durch das Löschen ist mE dem Zweck der auf die längerfristige Speicherung abzielenden Transparenzpflicht genüge getan. Eine Pflicht zur Speicherung zwecks Information besteht mE gerade nicht.

@AlexAmtmann
Tja, so liest mancher Unklarheit in die DSGVO hinein, die dort gar nicht zu finden ist. 😉

@AlexAmtmann
Die Pflicht zur unverzüglichen Gewährung der Information darf nicht zu einer Befugnis des Verantwortlichen umgedeutet werden, mal nur ganz kurz illegale Datenverarbeitung zu betreiben.
Ganz einfach.

@lfdi

Tue ich auch nicht, denn die DV ist ja rechtmäßig, weil man auch im Rahmen des Art. 14 DSGVO nicht schneller als unverzüglich über die beabsichtige Zwecke der DV und über Art. 21 informieren kann und daher mit sofortigem Wegfall eines DV-Zwecks bzgl. der Nichtnutzer:innen, die nicht eingeladen werden sollen, mE die Löschung Vorrang vor DV zwecks Information hat.

Bei Drittstaaten-Anbieter:innen kommt noch hinzu, dass Art. 3 II a) nur (beabsichtigte) Vertragsparteien erfasst.

@lfdi

Davon, dass man mitunter erst mit der 1. Kontaktaufnahme informiert, geht im Übrigen auch Art. 21 IV DSGVO aus. Insofern ist mE klar zwischen unterschiedlichen Arten der Rechtswidrigkeit der DV zu unterscheiden. Die Rechtswidrigkeit durch Intransparenz ist eine, die mE stets berücksichtigen muss, ob im Zeitpunkt der frühestmöglichem Information der Informationszweck noch erreicht werden kann. Wer dann schon entscheiden hat „die Information kann weg“, muss mE unverzüglich löschen

@lfdi

Um noch mal klar zu sagen, was ich meine:

- iSv Art. 6 rechtswidrige DV wird nicht dadurch iSv Art. 6 rechtmäßig, dass man die pbD sofort wieder löscht
- iSv Art. 6 I rechtmäßige DV (hier mE f) (nur) für Nummernabgleich im Nutzer:in-Interesse) wird aber auch nicht dadurch iSv Art. 6 rechtswidrig, dass man Info wegen sofortiger Löschung unterlässt - es wären allenfalls DS-rechtliche Transparenzpflichten verletzt, die mE aber bei sofortiger Löschung (statt Info) nicht bestehen.

@AlexAmtmann
Das ist klarer und nachvollziehbar, umstritten bleibt die Frage 6 I f. 👍👋

@lfdi

Nun, zu klären bliebe auch die (mE) Vorfrage: Ist Clubhouse ein interpersoneller TK-Dienst iSd Kodex (RL 2018/1972) und damit zugleich auch ein - unter die ePrivacyRL fallender - elektronischer Kommunikationsdienst und was bedeutet das mit Blick auf Art. 95 DSGVO für die Anwendbarkeit der DSGVO auf Clubhouse, die Nutzer:innen und die Informationen über Nichtnutzer:innen?

@AlexAmtmann @lfdi Ich habe erhebliche Zweifel, dass die Interessensabwägung in diesem Fall zu Gunsten von #clubhouse ausfallen kann. Angenommen Sie haben meine private Handynummer bei den Kontakten auf Ihrem iPhone gespeichert und geben diese Daten bei der Nutzung dieser App frei. Dann kann #clubhouse ohne mein Wissen und Wollen zumindest ein sog. Schattenprofil von mir bilden.

@tom @lfdi

Das wiederum darf Cloubhouse aber nicht ohne Einwilligung. Es hat mE nur ein berechtigtes Eigen- und Nutzer:innen-Interesse an Rufnummern-Abgleich und Einladung.

@tom @lfdi

Datenschutzrecht dient ja gerade dazu unterschiedliche Zwecke dahingehend zu regeln, dass bestimmte Zwecke erlaubt bleiben und andere Zwecke verboten werden. Nur weil man verbotene Zwecke mit personenbezogenen Daten, die man hat, recht einfach verfolgen könnte, macht das die erlaubte DV nicht verboten.

@AlexAmtmann @tom @lfdi
Ich würde jetzt mal in den Raum stellen (sobald der EECC umgesetzt ist):
Das Auffindbarwerden ist das Teilnehmerverzeichnis (Art. 12 E-Privacy-RL), das Hochladen von Kontakten das Suchen in einem Teilnehmerverzeichnis.
Damit ist jedoch dann auch eine weitere Nutzbarkeit der Daten für den Anbieter eingeschränkt.

@JoNehlsen @tom @lfdi

M.E. müssen die Aufsichtsbehörden schon jetzt so handeln, als ob der Kodex in der EU umgesetzt ist, zumal Clubhouse ja kein deutsches Unternehmen ist, wobei mir ja gerade unklar ist, ob/wie US-Anbieter:innen unter den Kodex fallen und ob (wofür aber wegen des beschränkbaren Teilnehmerkreises einiges spricht) die Clubhouse-Tätigkeit unter den Kodex fällt.

@AlexAmtmann @tom @lfdi
Leider hat der #EECC den Anwendungsbereich nicht wirklich eindeutig geregelt, anders als die #DSGVO.

@AlexAmtmann @lfdi so lange es sich ausschließlich um die Rufnummer des Nutzers handelt, sehe ich auch die berechtigten Interessen von ihm und dem Anbieter. Sobald es aber um die Verarbeitung der Rufnummern von Dritten geht - diese sind ja dann auch Betroffene nach der DSGVO - funktioniert diese Interessensabwägung mE nicht mehr.

@tom @lfdi

Warum nicht? Telefonnummern sind doch dazu, selbst Kontakt aufzunehmen. Wenn man sie genau und nur dazu nutzen will, sehe ich nicht, worin ein generelles vorrangiges Nicht-DV-Interesse der „Inhaber:innen“ der Telefonnummern zu sehen ist. Etwaige besondere Nicht-DV-Interessen und das Interesse, von Werbung verschont zu bleiben, sind mE DS-rechtlich nur nach Art. 21 I bzw. II DSGVO geschützt.

@AlexAmtmann @lfdi Telefonnummern sind nicht nur reine „Nummern“ zur Kontaktaufnahme. Sie sind auch Teil unserer digitalen Identität und als pbDaten geschützt durch die DSGVO. Wenn ich Ihnen meine Nummer gebe, ist es fein, dass Sie diese Ihrem TK-Anbieter geben, um Kontakt mit mir aufzunehmen. Die Weitergabe an einen anderen - in der Regel OTT-Dienst - ist dies aber sicher nicht von mir beabsichtigt oder gewollt. Insofern sehe ich ein sehr starkes Interesse, dass die DV nicht erfolgt.

@tom @lfdi Diese „ich wollte es aber nicht“ -Argumentation ist leider unterkomplex, weil man dies bei Art. 6 I f) immer sagen kann, f) aber auch ungewollte DV zulässt (sondern wäre er ja überflüssig). Entscheidend ist deshalb mE, was mE der/die konkrete/n Zweck/e der DV ist/sind und ob man hier spezielle Gefahren der DV hat, die auch ohne Widerspruch das Nicht-DV-Interesse überwiegen lassen und gleichzeitig Raum für DV lassen, die erst bei Widerspruch iSd Art. 21 I oder II verboten ist.

@tom @lfdi

... sonst wäre er ja überflüssig ... (nicht „sondern ...“

@AlexAmtmann
Na dann versuche ich es mal etwas plastischer zu formulieren: dadurch, dass Doro Bär #Clubhouse benutzt und ihr Adressbuch deshalb freigegeben hat, weiß Clubhouse jetzt, wen Doro Bär kennt, bzw. welche anderen Personen mit Doro Bär Kontakt haben. Hast du jetzt mehrere Adressbücher, in denen diese Nummer enthalten ist, kennst du nicht nur die Person, sondern gleich auch ihr soziales Umfeld. Das ist schon sehr persönlich.
@tom @lfdi

@laufi @tom @lfdi

Das ist mir vollkommen klar, dass nun Clubhouse dadurch weiß, wessen Nummern man kennt. Soweit es sich dabei um Informationen über zB Frau Bär (wen sie also kennt) handelt, hat sie dies aber selbst preisgegeben, was unter Art. 6 I b) und/oder a) fällt.

Und soweit es sich um Informationen über die Personen, deren Nummern eine/e Nutzer:in übermittelt, handelt, muss man mE für jeden Zweck, den Clubhouse damit verfolgt, gesondert prüfen, ...

@laufi @tom @lfdi

... ob insoweit die DSGVO überhaupt gilt (inkl. Art. 3 II) und, soweit sie gilt, ob der konkreten Zweck (u.a.) iSd Art. 6 rechtmäßig und die DV dafür erforderlich ist. So wäre zB das Shadow Profiling von Nichtnutzer:innen mittels deren übermittelten Nummern mE eine DV (u.a.) iSd Art. 3 II b) und nicht von Art. 6 I f) gedeckt, also auch mE ohne Einwilligung EU-DS-rechtlich unzulässig.

@AlexAmtmann @lfdi Sehen Sie keine speziellen Gefahren der DV bei einem „kostenlosen“ US-Dienst, der anscheinend weder ausreichend und transparent über die Verarbeitung der Daten informiert noch ein Impressum angibt? 🤔

@tom @lfdi Diese Argumentation kommt mir fast vor wie die berühmte Schweinehund-Theorie: Was ein Schweinehund tut muss insgesamt irgendwie verboten sein. Mein Rechtsverständnis funktioniert so nicht. Da wird jedes Tun/Unterlassen einzeln geprüft.

@tom @lfdi und es ist eben mE nicht EU-DS-rechtlich verboten, für Neunutzer:innen zu prüfen, welche Nummern aus dem Telefonbuch aus dem Adressbuch schon da sind und 2 Nicht-Nutzer:innen (mE unter gleichzeitigem Hinweis auf Widerspruchsrecht und Infos iSd Art. 14) einzuladen. Ob mehr als das nur mit Einwilligung zulässig ist, ist eine andere Frage.

@AlexAmtmann @lfdi Ich habe nur eine Frage gestellt. Hintergrund ist, dass mE bei einer Interessensabwägung auch solche Faktoren mit einfließen sollten. By the way: Hier wurde gerade getootet, welche Daten bei #clubhouse verarbeitet werden: social.tchncs.de/@kuketzblog/1 Danke für die interessante Diskussion und schönen Abend.

@tom @lfdi

Ich habe nicht behauptet, dass Clubhouse DS-konform arbeitet. Mir ging es allein (also isoliert) um die Behauptung, man dürfe ohne Einwilligung keine Adressbücher hochladen. Das ist so in dieser Allgemeinheit mE eben nicht richtig.

> Tue ich auch nicht, denn die DV ist ja rechtmäßig, weil man auch im Rahmen des Art. 14 DSGVO nicht schneller als unverzüglich über die beabsichtige Zwecke der DV und über Art. 21 informieren kann

Also erst mal im Laden in den Apfel beißen (Daten via Tracker senden als Besucher der Seite) und dann wieder zurücklegen dürfen (nicht zustimmen). Nettes Prinzip, dass ich gerne mal in der analogen Welt anwenden würde.
Sign in to participate in the conversation
BaWü.social – Mastodon für Baden-Württemberg

Dies ist der Mastodon-Server des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Bawü). Hier tootet der Landesbeauftragte Dr. Stefan Brink. Beiträge der Mitarbeitenden der Behörde sind mit „Team“ gekennzeichnet. Wir freuen uns auf den direkten Austausch mit Euch.