Ein herzliches „Moin“ zum neuen Rechtsüberblick für den August 2019. (*der natürlich erst 30. September erscheint…*hüstel )
Wieder haben wir interessante Themen aus dem digitalen Raum und Recht für Sie zusammengestellt und wünschen viel Spaß bei der Lektüre.
Wir beginnen mit einem Nachtrag zu dem im letzten Rechtsüberblick erwähnten Verfahren eines Gastwirtes gegen Google vor dem Landgericht München I (Az. 25 O 13925/18), in dem es eine etwas überraschende Wendung gab (*Spoiler: Kein streitiges Urteil!).
Anschließend beschäftigen wir uns mit dem beim OLG Düsseldorf anhängigen Verfahren des Bundeskartellamts (BKartA) gegen Facebook (Az.: VI-Kart 1/19 (V)), in dem kürzlich ein neuer Beschluss erging. Bei diesem Verfahren geht es um die in Facebooks Nutzungsbedingungen vorgesehene, produktübergreifende (WhatsApp, Instagram & Co.) Datenverarbeitung. Diese befand das BKartA als zu weitgehend und untersagte Facebook die Durchführung dieser Bedingungen.
Weiter geht es mit dem vom Hamburgischen Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) begonnenen formlosen Verwaltungsverfahren gegen Google wegen deren Sprachassistent „Google Home“. Dieser sendet die mitgeschnittenen Gesprächsabschnitte zur Analyse an Google, wobei dort auch sensible personenbezogene Informationen enthalten sind. Der HmbBfDI hat entsprechend Zweifel an der Konformität mit der DSGVO. Google hat die Praxis vorerst freiwillig eingestellt. War das nötig?
Außerdem wagen wir einen Blick über den Tellerrand hinaus nach Florida, USA, wo die dortige Landesschulbehörde eine fragwürdige Datenplattform aufbauen möchte, welche Social-Media-Daten mit Schuldaten verknüpfen soll – im Namen der Sicherheit.
Wir enden mit einem Schmankerl, das nicht nur für angehende Juristen interessant ist: Das Justizprüfungsamt (JPA) Düsseldorf meint nämlich, nordrhein-westfälisches Landesrecht beschränke die Anwendung der DSGVO (*Spoiler: …nein). Das nutzen wir aber, um einen kleinen Einblick in die Funktionsweise der Öffnungsklauseln und des rechtlichen Vorranggefüges zu geben.
Viel Spaß!
Gastwirt gegen Google – Teil 2: Google gibt auf(!?)
Eigentlich sollte am 28.08.2019 der Termin zur mündlichen Verhandlung vor dem Landgericht (LG) München I im Verfahren zwischen dem Gastwirt Peter Hubert gegen Google (Az. 25 O 13925/18) stattfinden. Eigentlich. Denn an dem Tag veröffentlichte das LG eine kurze Pressemitteilung über die Aufhebung des Termins, weil Google den Anspruch anerkannt hat und eine Verhandlung damit nicht nötig ist.
Wie wir im letzten Rechtsüberblick 07/19 berichteten, ging es in dem Verfahren grundsätzlich um einen möglichen Unterlassungsanspruch des Gastwirtes gegen die beim Google Dienst „Google Maps“ irrig angeführten Wartezeiten in dem von ihm betriebenen „Bräustüberl Tegernsee“. Dieser stellte nämlich fest, dass Google Maps dort Wartezeiten anzeigte, wo gar keine vorhanden waren.
Der Kollege Hinderks hat im letzten Rechtsüberblick kurz ausgeführt, dass der Gastwirt zwar der Sache nach einen Anspruchsgrund aus dem Gesetz gegen den unlauteren Wettbewerb (UWG) herleiten könne, jedoch keine Anspruchsberechtigung habe. Ein Anspruch auf Unterlassung dieser fälschlichen Anzeige könne sich jedoch auch aus § 824 BGB wegen Kreditgefährdung herleiten lassen.
Daneben gab es jedoch eine höchst spannende prozessuale Frage in dem Prozess. Diese beschäftigt sich mit der Möglichkeit der Klagezustellung an internationale Unternehmen. Im Zivilprozessrecht bedarf es für die Rechtshängigkeit, also die „rechtliche Wirkung“ der Klage bei Gericht, nämlich deren Zustellung (§ 261 ZPO i.Vm. § 253 Abs. 1 ZPO). Der Kläger schickt also seine Klage an das (zuständige) Gericht, welches dann versucht diese Klage an den Beklagten zuzustellen. Zustellung heißt wiederum, dass die Klage für den Beklagten zumindest möglich erreichbar sein muss – juristisch: in seinen Machtbereich gelangt sein muss. Das wiederum bedarf einer Zustellung auch an den „richtigen“ Adressaten.
Und das ist jetzt wohl der Knackpunkt, weshalb Google auch den Anspruch anerkannt hat. Google behauptet nämlich, eine Klagezustellung an die deutsche Niederlassung von Google (diese liegt in Hamburg – merken, wird an anderer Stelle wieder relevant) sei nicht wirksam. Denn die deutsche Niederlassung habe nichts mit Google Maps am Hut, sei also auch nicht der sachlich richtige Klagegegner. Die Klage hätte laut Google in den USA zugestellt werden müssen.
Nun scheint das Landgericht München I dies aber möglicherweise anders gesehen zu haben. Denn sonst hätte es bereits vorab ein sogenanntes „Prozessurteil“ erlassen müssen, welches die Klage schon mangels korrekter Zustellung abweist – denn das ist eine Voraussetzung der grundlegenden Zulässigkeit einer Klage (im Gegensatz zum „Sachurteil“, welches sich mit dem Anspruch inhaltlich beschäftigt).
Google wollte aber offenbar kein Urteil, welches diese Zustellmöglichkeit feststellt. Deshalb haben sie wohl den Anspruch anerkannt. Konsequenz ist jetzt ein Anerkenntnisurteil nach § 313b ZPO, welches dem Gastwirt den Unterlassungsanspruch bestätigt ohne sich mit den Voraussetzungen zu beschäftigen. Google kann jetzt von diesem gezwungen werden, die falsche Angabe der Wartezeiten zu unterlassen. Das hat Google wohl auch schon im Juli getan und die Funktion für das „Bräustüberl Tegernsee“ gesperrt.
Sie fragen sich, warum es denn überhaupt noch eines Anerkenntnisses von Google bedurfte, wo Google der Forderung schon im Juli nachkam? Mit dem Anerkenntnisurteil wird der Gastwirt auch für die Zukunft sichern können, dass Google die Funktion nicht doch wieder für sein Restaurant anschaltet.
Bundeskartellamt gegen Facebook – „Nicht so schnell“, sprach das OLG Düsseldorf und ignorierte maßgebliche Tatsachen
Derzeit läuft vor dem OLG Düsseldorf unter dem Az.: VI-Kart 1/19 (V) das Eilverfahren für die Anordnung der aufschiebenden Wirkung in der Kartellverwaltungssache Facebook Inc. (und Töchter, im Folgenden: Facebook) gegen das Bundeskartellamt (BKartA). Darin erging kürzlich ein Beschluss des OLG Düsseldorf, in dem diese die aufschiebende Wirkung der Beschwerde gegen den Verwaltungsakt des BKartA anordnete.
Worum geht es?
Das Bundeskartellamt hat auf Grundlage des § 19 des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) gegenüber Facebook einen Verwaltungsakt erlassen, in dem es Facebook verbietet, in seinen Nutzungsbedingungen von Nutzern zwingend die Einwilligung zu verlangen, dass Facebook sämtliche Daten des Nutzers von allen Facebook zugehörigen Diensten (d.h. insbesondere: Instagram, Whatsapp) verbinden und verarbeiten darf (*deswegen beschäftigen wir uns damit auch…). Facebook darf nach der Anordnung des BKartA zwar gerne weiterhin in jedem Dienst die Daten erheben und dort verarbeiten, eine Zusammenführung mit dem Nutzerkonto bei Facebook darf aber nur mit freiwilliger Einwilligung erfolgen – und nicht mit einer Einwilligung, die Zugangsvoraussetzung zum Netzwerk selbst ist. Daneben hat es noch einige weitere Untersagungen gemacht, die hier jetzt aber auch aus Platzgründen nicht weiter diskutiert werden sollen. Mehr gibt es z.B. in der Pressemitteilung des BKartA vom 07.02.2019.
Die Begründung des BKartA ist zusammengefasst folgende: Facebook verstößt mit seinen Nutzungsbedingungen gegen die DSGVO, insbesondere gegen Art. 7 Abs. 4 i.V.m. Art. 6 Abs. 1 S.1 lit. a) DSGVO und den Grundsatz der Freiwilligkeit der Einwilligung. Das kann Facebook aber nur so durchsetzen, weil Facebook eine auf dem Markt der sozialen Netzwerke marktbeherrschende Stellung hat. Weil Facebook also durch seine marktbeherrschende Stellung seine Nutzer ausbeutet, konsolidiert es gleichsam seine marktbeherrschende Stellung, sodass keine Konkurrenz entstehen kann, die DSGVO-konform arbeitet.
Damit hat das BKartA allerdings „Neuland“ betreten, denn bis dato war eine solche Verknüpfung von Datenschutzrecht und Kartellrecht kaum vorgenommen worden.
Gegen diese Anordnungen wehrt sich Facebook vor dem OLG Düsseldorf.
Bevor wir aber zum Beschluss des OLG Düsseldorf selbst kommen, muss ich einige sicherlich auftretende Verständnisfragen klären, denn der Beschluss ist noch nicht der Abschluss des Verfahrens, sondern lediglich ein Zwischenschritt.
Exkurs: Verwaltungsverfahren und die aufschiebende Wirkung
Das BKartA ist eine Verwaltungsbehörde, deren Aufgabenbereich maßgeblich der Schutz der Funktionsfähigkeit (also des Wettbewerbes) des Marktes ist. Dabei kann das BKartA gegenüber Marktteilnehmern auf Basis verschiedener Gesetze, insbesondere des Gesetzes gegen Wettbewerbsbeschränkungen (GWB), Verwaltungsakte erlassen, die Tätigkeiten der Marktteilnehmer (etwa Geschäftspraktiken) beschränken. Diesen Verwaltungsakten ist in aller Regel sofort Folge zu leisten. Dabei kann das BKartA natürlich Umsetzungsfristen etc. bestimmen, jedoch laufen diese Fristen auch direkt.
Um nun aber einen effektiven Rechtsschutz (Grundrecht!) zu gewährleisten, sieht die bei Widerspruch und Anfechtungsklagen gegen Verwaltungsakte anwendbare Verwaltungsgerichtsordnung (VwGO) in § 80 Abs. 1 S. 1 VwGO vor, dass „Widerspruch und Anfechtungsklage […] aufschiebende Wirkung“ haben. Das heißt, wenn der/die Betroffene gegen den Verwaltungsakt Widerspruch oder Anfechtungsklage einlegen bzw. erheben, wird der Vollzug, also die zwingende Umsetzung, ausgesetzt.
Wir wären aber keine Juristen, wenn es hiervon keine Ausnahme gäbe. Also sieht § 80 Abs. 2 VwGO einige Ausnahmemöglichkeiten vor, u.a. eine im Spezialgesetz des § 65 GWB. Ohne jetzt zu tief einzusteigen: Davon hat das BKartA Gebrauch gemacht und die Anordnungen sofort vollziehbar gemacht.
Weil Verwaltungsverfahren nun aber eine Weile dauern, gibt es die Möglichkeit, im Eilverfahren gegen diese spezifische Anordnung der sofortigen Vollziehbarkeit vorzugehen. Das wiederum hat Facebook hier getan.
Dann macht das darüber entscheidende Gericht eine so genannte „summarische Prüfung“, d.h. es beschäftigt sich zunächst „oberflächlich“ mit den Grundlagen des Verwaltungsakts insgesamt und schaut, ob es im Hauptverfahren (der eigentlichen Anfechtung) wahrscheinlich ist, dass der Verwaltungsakt bestehen bleibt oder aufgehoben wird. Je nach Wahrscheinlichkeit bleibt dann auch die aufschiebende Wirkung bestehen oder wird aufgehoben.
Der Beschluss des OLG Düsseldorf
Das OLG Düsseldorf hat, um das Ergebnis vorweg zu nehmen, die aufschiebende Wirkung der Beschwerde angeordnet. Das heißt, es ist in seiner (umfangreichen) summarischen Prüfung zu dem Ergebnis gelangt, dass die Anordnungen des BKartA rechtlich nicht haltbar sind.
Es prüft dabei zunächst die spezielleren Tatbestände des § 19 Abs. 2 GWB und ob diese fähig sind, die Anordnung rechtlich zu stützen. Insbesondere in Betracht kommt dabei § 19 Abs. 2 Nr. 2 GWB, wonach ein Missbrauch der Marktmacht insbesondere dann vorliegt, wenn das Unternehmen
„Entgelte oder sonstige Geschäftsbedingungen fordert, die von denjenigen abweichen, die sich bei wirksamem Wettbewerb mit hoher Wahrscheinlichkeit ergeben würden[…]“.
Danach beschäftigt es sich mit der Generalklausel des § 19 Abs. 1 GWB, wonach die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein oder mehrere Unternehmen verboten ist.
Die Prüfung des Missbrauchs der Marktmacht durch sonstige Geschäftsbedingungen (§ 19 Abs. 2 Nr. 2 GWB) beendet das OLG Düsseldorf recht zügig, indem es dem BKartA vorwirft, es habe keine „als-ob“-Prüfung vorgenommen: Nach dem Wortlaut des Gesetzes muss nämlich eine Prüfung erfolgen, ob der Einsatz der Geschäftsbedingungen (also der Nutzungsbedingungen, die die Einwilligung in die Verknüpfung der Daten erfordert) auch dann so wäre, wenn ein funktionierender Markt existiere. Da das BKartA diese Prüfung nicht vorgenommen hat, scheidet dies als Rechtsgrund aus (Ende S. 7 des Beschlusses).
Spannend und lange beschäftigt sich das OLG Düsseldorf dann allerdings mit der Frage, ob unter der Generalklausel des § 19 Abs. 1 GWB die Anordnung rechtlich haltbar ist. Dabei beschränkt es sich ausschließlich auf die Begutachtung der Verknüpfung der Daten („Mehrdaten“), S. 8. Als erstes stellt es richtigerweise fest, dass Daten nicht ohne Weiteres mit Entgelt vergleichbar sind: Geld kann man nur einmal ausgeben, Daten lassen sich (im Grunde) beliebig duplizieren. Daher ist eine Verpflichtung zur Abgabe von Daten nicht ohne weiteres Vergleichbar mit entgeltlichen Zwängen, etwa überhöhten Eintrittsgeldern rein auf Basis einer Monopolstellung.
Problematisch wird es aber in der weiteren Prüfung, in der das OLG Düsseldorf dem BKartA zur Last legt, dass es seine Anordnung ausschließlich darauf stützt, dass Facebook seine Nutzer zur Zustimmung zu der Zusammenführung und Verarbeitung der Daten zwingt und diese entsprechend die Kontrolle über ihre Daten verlieren. Denn das OLG meint, dass jeder Anhaltspunkt
„für die Annahme [fehlt], dass Facebook die Zustimmung der Nutzer durch Zwang, Druck, Ausnutzung einer Willensschwäche oder sonst unlautere Mittel erlangt oder das Unternehmen die Mehrdaten abredewidrig über den vereinbarten Umfang hinaus nutzt.“ (S. 10)
Hier wird es jetzt abenteuerlich. Denn das OLG Düsseldorf beweist ein erschreckendes Verständnis von (Verhaltens-)Ökonomie und der Funktion des Internets. Für diese fehlende Annahme führt es nämlich maßgeblich an, dass ein Nutzer von Facebook ihre Entscheidung „unbeeinflusst und vollkommen autonom nach seinen persönlichen Präferenzen und Wertvorstellungen“ (S.10) trifft. Damit aber nicht genug, meint das OLG Düsseldorf doch ehrlich, dass diese Präferenzen
„wie die erhebliche Zahl der Facebook-Nutzer (monatlich etwa 32 Mio.) und die deutlich größere Anzahl der Facebook-Nichtnutzer (rund 50. Mio) zeigt“ (S.25/26)
unterschiedlich ausfallen können. Ich wiederhole das einmal: Das OLG begründet seine Annahme, dass es schon keine Anzeichen für eine irgendwie unlautere Praktik seitens Facebook in der Erlangung der datenschutzrechtlichen Einwilligung gäbe, mit dem Umstand, dass sich (angeblich) ca. 50 Mio. Menschen in Deutschland gegen eine Nutzung von Facebook entschieden haben.
Alle weiteren Ausführungen des OLG stützen sich auf diese Grundannahme. Aber um es deutlich zu sagen: Das ist an Absurdität kaum zu überbieten, denn das OLG geht somit denklogisch davon aus, dass es in Deutschland ca. 82 Mio. Menschen mit Internetzugang gibt. Zwar gibt es in Deutschland ca. 82 Mio. Menschen. Allerdings beinhaltet dies auch Neugeborene, Kleinstkinder und auch die ältere Bevölkerung. Nach einer Erhebung von ARD&ZDF haben zwar ca. 90 % der Bevölkerung ab 14 Jahren einen Internetzugang, das beläuft sich jedoch auf gerade mal 63,3 Mio. Menschen.
Daneben besteht signifikante Forschung in der Ökonomie über die Frage, wie beeinflussbar Menschen bei der Auswahl von Produkten, also auch von sozialen Netzwerken tatsächlich sind, auf die das OLG schlicht gar nicht eingeht. Es bestehen sogenannte Netzwerkeffekte, die eine starke Anziehungskraft auf Menschen ausüben (für eine nicht zu wissenschaftliche Aufarbeitung bspw. hier (Englisch)).
Diese „Feststellung“ des OLG ist entsprechend schlichtweg nicht haltbar. Aber auf genau diesen Umstand stützt es seine sämtlichen weiteren Erwägungen zur möglichen Ausbeutung der Nutzerschaft. Insofern bleibt zu hoffen, dass es sich mindestens in seinem abschließenden Urteil in der Hauptsache mit diesen Punkten beschäftigen wird.
Darüber hinaus beschäftigt sich das OLG im Grundsatz natürlich mit einem wichtigen und richtigen Punkt: Ist das in Art. 7 Abs. 4 DSGVO vorgeschriebene Koppelungsverbot der Einwilligung an die Nutzung des Dienstes eine Marktverhaltensregel darstellen? Leider geht der Beschluss hier sehr kurz und sagt (verkürzt): Nein, denn das ist „reiner“ Datenschutz (S. 27) und hat mit dem Kartellrecht nichts zu tun. Außerdem macht es aber noch einige wertvolle Kritikpunkte, indem es sich u.a. damit beschäftigt, dass das BKartA zu wenig Nachforschungen angestellt habe, welchen Einfluss die Datensammlung (und vor allem: Datenzusammenführung) auf die Marktmacht von Facebook hat (S. 33ff.). Hier muss das BKartA sicherlich nachbessern.
Gegen diesen Beschluss besteht die Möglichkeit der Rechtsbeschwerde zum Bundesgerichtshof (BGH).
Fazit
Das OLG Düsseldorf stützt seine rechtliche Bewertung leider auf sehr abwegige tatsächliche Annahmen und kommt entsprechend zu rechtlich zwar folgerichtigen, aber eben (m.E.) insgesamt falschen Schlüssen. Es bleibt abzuwarten, ob hier das letzte Wort gesprochen ist: Der Präsident des BKartA hat bereits angekündigt, Rechtsbeschwerde einzulegen.
Hamburgischer Datenschutzbeauftragter gegen Google – Rechtfertigungsgründe der DSGVO in der Praxis
Kehren wir wieder zum (fast) reinen Datenschutzrecht zurück und beschäftigen uns mit einer Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI). Kürzlich wurde bekannt, dass Google’s Home-Assistent sämtliche Sprachaufnahmen, ob unbeabsichtigt aktiviert oder beabsichtigt aktiviert, an Google versendet und durch Menschen transkribiert wird. Google stoppte daraufhin die Praxis und möchte diese für mindestens drei Monate prüfen. Bevor Google diese jedoch wieder aufnehmen darf, hat der HambBfDI einige Anforderungen an Google gestellt, denn wie die belgischen Leaks zeigen, bestehen bei dieser Praxis enorme Risiken für die Datensicherheit des einzelnen Nutzers, insbesondere bei unbeabsichtigten Aktivierungen.
Im Einzelnen verlangt der HambBfDI von Google:
- Es ist für die Speicherung von Audioaufnahmen bereits im regulären Betrieb eine Einwilligung (Opt-In) einzuholen.
- Es müssen transparente Informationen über das Risiko von Fehlaktivierungen gestellt werden.
- Über die Auswertung durch Menschen und die damit verbundenen tieferen Eingriffe in die Persönlichkeitsrechte der Nutzer muss zusätzlich informiert werden.
- Nutzer müssen über die Datenschutzrechte und – Freiheiten von anderen Personen und die einhergehenden Probleme informiert werden, insbesondere wegen des Risikos der Fehlauslösung. Stimmerkennung könnte hier helfen.
Es ist wichtig zu verstehen, dass hier zunächst keine aufsichtsbehördlichen Maßnahmen getroffen wurden, sondern lediglich Gespräche geführt wurden. Bevor wir zur Begutachtung des Sprachassistenten und der Anforderungen des HambBfDI kommen, noch eine kurze Notiz zur Frage der behördlichen Zuständigkeit.
Der HambBfDI ist für das Bundesland Hamburg gem. Art. 51 Abs. 1 DSGVO i.V.m. § 19 Abs. 1 HmbDSG behördlich zuständig. Wenn Sie sich von oben noch erinnern, hat Google seinen deutschen Unternehmenssitz in Hamburg. Dementsprechend unterfällt der deutsche Unternehmenssitz grundsätzlich auch der Aufsicht des HambBfDI. Allerdings hat Google auch schon im vorhin diskutierten Fall des Wirtes argumentiert, dass die deutsche Niederlassung gar nichts mit den Google-Diensten zu tun hat. Ähnlich ist es im hiesigen Sachverhalt, wo eigentlich Google Ireland als europäische Niederlassung zuständig wäre und entsprechend eine aufsichtsbehördliche Zuständigkeit nach Art. 51 Abs. 1 DSGVO bei der irischen Datenschutzbehörde läge. Das ist wohl auch ein Grund, warum der HambBfDI keine aufsichtsbehördlichen Maßnahmen trifft, die mit überwiegender Wahrscheinlichkeit zunächst in einem juristischen Kampf über die Zuständigkeit enden.
Funktionsweise Sprachassistenten
Nun aber zur Sache. Fraglich ist insofern, wie die Nutzung eines Sprachassistenten datenschutzrechtlich zu behandeln ist.
Aber wie funktionieren Sprachassistenten? Verkürzt: Sprachassistenten, ob von Google, Apple, Amazon o.ä. reagieren auf ein „Weckwort“, wodurch sie also „aktiv“ werden. Das allein bedingt, dass das Mikrofon des Assistenten durchgängig aktiv ist und jedes Wort, was in der Hörweite gesprochen wird, auf das „Weckwort“ analysiert, d.h. mit einer Datenbank abgleicht. Im Idealfall hat der Assistent dazu auf seiner lokalen Festplatte das Weckwort gespeichert und kann die Audiowellen damit digital abgleichen und wird aktiv.
Sobald er aktiv wird, wird eine Internetverbindung zu den Servern des Anbieters hergestellt, wo Unmengen an weiterer Audiodateien lagern, die in millisekundenschnelle mit den übertragenen Worten abgeglichen werden können und auf mögliche Befehle überprüft werden. Dazu müssen sachlogisch vielfache Variationen ein und desselben Wortes dort lagern, um nach Möglichkeit auch starke Akzente oder Dialekte verstehen zu können. Deshalb kann dies auch bis heute nicht lokal erfolgen – die Festplatte des Sprachassistenten ist dafür schlicht zu klein.
Um nun aber den Service auszubauen, bedarf es „Finetuning“, also nachträglicher Abstimmung, ob auch immer korrekt aktiviert wird, der Assistent also das Weckwort korrekt identifiziert, und ob dann auch die richtigen Befehle laufen. Das wiederum können auch sachlogisch bislang nur Menschen selbst machen. Denn entgegen der populären Meinung ist Künstliche Intelligenz (KI) noch längst nicht in der Lage, derartige Abgleiche vorzunehmen und die Fehler zu erkennen.
So weit, so gut (*das ist natürlich technisch vereinfacht dargestellt).
Rechtliche Bewertung & Fazit
Bei Sprachassistenten ergeben sich aufgrund der, wie oben beschriebenen, dauerhaften „Aktivierung“ eine Fülle an datenschutzrechtlichen Problemen, die wir hier anreißen wollen:
Anwendbar ist die DSGVO bei der Verarbeitung personenbezogener Daten, Art. 2 DSGVO. Es liegt auf der Hand, dass bei einem Sprachassistenten, der Namen, Adressen, Kalendereinträge, Websuchen etc. mithört, vornimmt, absendet, personenbezogene Daten im Sinne von Art. 4 DSGVO verarbeitet werden.
Es braucht insofern eines Rechtfertigungsgrundes für die Verarbeitung. Grundsätzlich möglich wäre die Subsumtion unter den Rechtfertigungsgrund des Art. 6 Abs. 1 S. 1 lit. b) DSGVO, sofern es sich um „normale“ personenbezogene Daten handelt. Denn der Kauf und anschließende Nutzung des Sprachassistenten sind als vertragliche Leistungsbeziehung zu kategorisieren (so auch Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 6 Abs. 1, Rn. 27); mindestens Namen wird der Sprachassistent im Rahmen der Personalisierung der Ansprache verarbeiten.
Problematisch ist aber die dann anschließende Nutzung selbst. Denn durch die Möglichkeit der Sucheingabe etc. könnten auch besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet werden, wenn der Nutzer bspw. gesundheitliche Probleme über den Sprachassistenten sucht oder seine sexuelle Orientierung preisgibt. Zwar kann dies grundlegend über eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a) DSGVO, die regelmäßig bei der Einrichtung des Sprachassistenten zu erteilen sein wird, gerechtfertigt werden (ob die Einwilligung noch die Voraussetzung der „Freiwilligkeit“ erfüllt, wenn sie zur Nutzung des Assistenten zwingend ist, steht auf einem anderen Blatt).
Allerdings verkompliziert sich diese Problematik noch um einiges, wenn man in Betracht zieht, dass die Sprachassistenten auch unbeabsichtigt aktiv werden und Gespräche mitschneiden, mithin verarbeiten, die gar nicht auf die Funktionsweise des Sprachassistenten gerichtet sind. Spätestens hier ist auch keine ausdrückliche Einwilligung mehr erteilt bzw. deckt diese ab. Und im Gegensatz zu einer Verarbeitung von personenbezogenen Daten mit Rechtfertigungsmöglichkeit nach Art. 6 DSGVO besteht bei den besonderen Kategorien von personenbezogenen Daten nach Art. 9 DSGVO auch keine Rechtfertigungsmöglichkeit über die so genannten „berechtigten Interessen“, wie es nach Art. 6 Abs. 1 S. 1 lit. f) DSGVO möglich ist.
Damit stecken Google & Co. in einem immensen Dilemma bezüglich der datenschutzrechtlichen Wertung von Falschaktivierungen bei Gefahr der Verarbeitung besonderer Kategorien von personenbezogenen Daten, denn Falschaktivierungen sind von einer etwaigen Einwilligung in aller Regel nicht abgedeckt. Die temporäre Abschaltung der Auswertung ist als risikobegrenzende Maßnahme insofern sehr sinnvoll.
Deshalb sind die Anforderungen des HambBfDI wichtig und richtig: Die Einwilligung des Nutzers muss sich auch auf die Fehlaktivierungen beziehen, dafür bedarf es transparenter Informationen nach Art. 12ff. DSGVO, die dem Nutzer vorab (!) zur Verfügung gestellt werden.
Allerdings löst auch das nicht das Problem, dass besondere Kategorien personenbezogener Daten unbeteiligter Dritter ebenfalls mitgehört und entsprechend verarbeitet werden könnten. Hier kracht der Datenschutz dann schallend auf die Umgangswirklichkeit moderner Technik.
Natürlich wäre es möglich für Google & Co., die Verarbeitung auf nur den digitalen Abgleich zu beschränken und die Transkriptionspraktik zur Verbesserung des Services bspw. auf Testpersonen auszulagern – das behebt aber auch nicht das vorgenannte Dilemma, denn der Datenschutzverstoß bleibt bestehen. Entsprechend ist dies auch nur begrenzt praxisfähig.
Es ist insofern allerdings schon positiv, dass Google diese Praxis zunächst abstellt, denn der Datenschutzverstoß ist durch die Gefahren der Weitergabe um ein vielfaches schwerer wiegend.
Blick über den Tellerrand: Florida, USA – Datenschutz unbekannt.
Nun wagen wir mal einen Blick in ein Land ohne DSGVO. Die Rede ist natürlich von den USA, spezifisch von Florida und der dortigen Landesschulbehörde. Diese veröffentliche kürzlich (Englisch) eine Präsentation zu einer geplanten Online-Plattform zur Aggregierung von Daten aus sozialen Medien. Grund dafür ist ein Bericht und eine ins Landesrecht übergegangene Empfehlung einer Schul-Sicherheitskommission. Diese Kommission war ins Leben gerufen worden nach dem letzten großen Amoklauf an der Marjory Stoneman Douglas High School in Parkland, Florida.
Wie die New York Times Kolumne „The Privacy Project“ berichtet (Englisch), soll die Plattform dabei Daten aus sämtlichen sozialen Medien zusammenführen und mit einer Schuldatenbank verbinden, wobei Algorithmen schließlich Schlagwörter auslesen sollen, welche fünf große Themenfelder betreffen: Schusswaffen, Bomben, Mobbing, Mentale Gesundheit und Allgemeines. Werden hier Schlagwörter gefunden, so wird ein Alarm an spezialisierte „Threat Assessment Teams“ weitergeleitet, welche dann auswerten, ob eine Bedrohung vorhanden ist oder nicht. Zwar soll das Programm „anonymisiert agieren“, jedoch entstehen alleine durch die Datenbankverbindungen signifikante Risiken, dass eine De-Anonymisierung doch stattfindet und bspw. gemobbte Schüler doch identifiziert werden können.
Dass dies datenschutzrechtlich mehr als problematisch ist, liegt auf der Hand. Aber auch technisch birgt es enorme Risiken: Nach einer Studie des National Center for Childrens Poverty (Englisch) leiden ca. 20 % von Heranwachsenden in den USA an einer diagnostizierbaren psychischen Krankheit. Nur ein verschwindend geringer Bruchteil davon zeigt dann aber auch die Art Verhalten, gegen die diese Plattform bspw. sichern soll. Die Gefahr von Fehlauslösungen für das System steigt insofern aber dramatisch – und mithin sinkt die Nützlichkeit des Systems als solchen. Es fragt sich insofern, wie sinnvoll ein fehleranfälliges System ist, um eine minimal fortschrittlichere Sicherheit zu gewinnen.
Um aber wieder nach Europa zu kommen: Durch den Zugang zu sozialen Medien wird allerdings auch die Frage aufgeworfen, ob und in welchem Umfang beispielsweise europäische Nutzer der sozialen Medien (die dem Schutz durch die DSGVO unterliegen) von diesem Programm analysiert werden können.
Zwar ist bspw. Facebook bei dem EU-US-Privacy Shield zertifiziert, d.h. Facebook muss geeignete Maßnahmen treffen, um die Nutzerdaten nach den europäischen Regeln zu sichern. Es ist aber nicht bekannt, welche Sicherheitsmaßnahmen Facebook trifft, um europäische Nutzerdaten vor dem Zugriff von US-Sicherheitsbehörden zu schützen – denn nach US-Recht ist Facebook verpflichtet, solche Daten offen zu legen.
Natürlich besteht auch im Anwendungsbereich der DSGVO und des BDSG für Strafverfolgungsbehörden die Möglichkeit, personenbezogene Daten zu erheben, mithin zu verarbeiten (Art. 6 Abs. 1 lit. c) DSGVO, § 3 BDSG). Das ist in der Regel jedoch nur bei einem tatsächlich bestehenden Verdacht auf Straftaten der Fall. Genau das ist hier aber nicht der Fall: Es werden präventiv sämtliche Daten aus sozialen Medien zusammengeführt und anlasslos analysiert. Das ist sogar einen Schritt weiter als die hoch umstrittene Vorratsdatenspeicherung, die schließlich nur das Bereithalten von Daten stipuliert, nicht die Analyse dergleichen.
Die EU hat in dieser Hinsicht leider wenig Handhabe, wobei Risiko der Verarbeitung europäischer Nutzerdaten aufgrund der auf Florida fixierten Lokalität naturgemäß nicht so groß ist. Dennoch bleibt ein gewisses Geschmäckle übrig.
Schmankerl zum Schluss: Landesrecht bricht… EU-Recht?!
Zum Abschluss haben wir noch einen etwas fragwürdigen Sachverhalt übrig, der zumindest bei mir ein Schmunzeln auslöste (*das geht zugegebenermaßen schnell…).
Es geht dabei um einen Fall aus dem Oberlandesgerichtsbezirk Hamm in NRW, in dem ein kürzlich examinierter Jurist Kopien von seinen geschriebenen Examensklausuren vom Justizprüfungsamt (JPA) Hamm begehrte.
Nun dürfte sich so mancher Nicht-Jurist fragen, wie das problematisch sein kann. Jeder Jurist kennt aber aus eigener Erfahrung, dass die Justizprüfungsämter nur äußerst ungern überhaupt Einsicht in die Examensklausuren ermöglichen. In der Regel gibt es hierfür sehr eng begrenzte zeitliche Möglichkeiten (etwa zwischen 9 Uhr und 11 Uhr in den Räumlichkeiten des JPA unter Aufsicht, ohne dass Kopien angefertigt werden dürfen).
Allerdings handelt es sich nach einem Urteil des EuGH (Az.: C-434/16) bei schriftlichen Prüfungsleistungen um personenbezogene Daten, jedenfalls unter der alten EU-Datenschutzrichtlinie 95/46/EG. Dies lässt sich jedoch ohne Weiteres auch auf die DSGVO übertragen.
Mithin handelt es sich bei solchen Prüfungsleistungen um personenbezogene Daten gem. Art. 4 Nr. 1 DSGVO. Daraus folgt jedoch auch, dass der Prüfling grundsätzlich einen Auskunfts- bzw. Einsichtsanspruch gem. Art. 15 Abs. 1, Abs. 3 DSGVO hat.
Zwar könnte man nun argumentieren, dass dem Auskunftsanspruch Genüge getan ist, indem in den engen zeitlichen und räumlichen Begrenzungen Einsicht angemessen ist. Genau das bestimmt auch das Justizausbildungsgesetz NRW in § 23 Abs. 2 JAG NRW.
Dort heißt es:
(2) Dem Prüfling ist die Einsicht in seine Prüfungsarbeiten einschließlich der Gutachten der Prüferinnen oder Prüfer zu gestatten. Die Einsicht erfolgt in den Räumen des Justizprüfungsamtes. Der Antrag ist binnen eines Monats nach Bekanntgabe der Prüfungsentscheidung bei dem Justizprüfungsamt zu stellen.
Das steht allerdings diametral entgegen der Verpflichtung aus Art. 15 Abs. 3 DSGVO, eine kostenfreie Kopie der verarbeiteten Daten zur Verfügung zu stellen. Dass diese kostenfrei sein soll, ergibt sich aus Art. 15 Abs. 3 S. 2 DSGVO, der wiederum stipuliert, dass für „alle weiteren Kopien“ ein angemessenes Entgelt verlangt werden kann.
Der Knackpunkt: Das JPA Hamm meint, die DSGVO sei gar nicht anwendbar. Und selbst wenn, so sei das JAG NRW ein Gesetz im Sinne der Öffnungsklausel der DSGVO. Denn Art. 23 Abs. 1 lit. e) DSGVO sieht vor, dass der Auskunftsanspruch beschränkt werden kann, wenn „wichtige öffentliche Interessen“ dagegenstehen. Damit können aber kaum die Kosten der ggf. elektronischen Versendung von Kopien gemeint sein. Meines Erachtens könnte maximal in Betracht kommen, dass die Justizprüfungsämter Examensklausuren untereinander teilen, sodass der dortige Sachverhalt nicht an die Öffentlichkeit gelangen sollte. Aus eigener Erfahrung kann ich jedoch sagen, dass ein willentlicher Prüfling sich auch schlicht nach der Klausur hinsetzen kann und den (wesentlichen) Sachverhalt aus dem Kopf aufschreiben könnte. Das geschieht auch regelmäßig. Ob nun also wirklich ein „wichtiges öffentliches Interesse“ besteht, angesichts des hohen Gutes auf Seiten des Prüflings in dem Interesse, nachzuvollziehen, was die Prüfer/innen als Begründung anführen? Es bleibt abzuwarten. Die Landesdatenschutzbeauftragte NRW jedenfalls sieht das nämlich nicht so.
Laut dem Innenministerium NRW sind bereits Gerichtsverfahren anhängig.
In diesem Sinne bleibt es, wie fast immer, spannend.
Ich bedanke mich für die Aufmerksamkeit nach diesem doch etwas längeren Überblick und wünsche eine erholsame Zeit – bis zum nächsten Mal.