Personenbezogene Daten aus öffentlichen zugänglichen Quellen sind kein Freiwild

von Dr. Axel Spies, veröffentlicht am 06.05.2021

Gerade hier in den USA, aber auch in Europa sind viele der Ansicht, dass (personenbezogene) Daten aus öffentlichen Quellen frei weiterverwendbar seien. Dem ist natürlich nicht so. Die DSGVO erwähnt die öffentlich zugänglichen Quellen in Art. 9 Abs. 2 bei den besonderen Kategorien und in Art. 14 Abs. 2 bei den Benachrichtigungspflichten. Das heißt jedoch nicht, dass personenbezogene Daten aus öffentlich zugänglichen Quellen nicht geschützt sind.

Das neueste Beispiel hierfür: Die spanische Datenschutzbehörde AEPD hat Equifax Inc. kürzlich angewiesen (AZ PS/00240/2019), gesammelten Daten zu löschen und eine Geldstrafe in Höhe von etwa 1,1 Millionen US-Dollar zu zahlen, weil das Unternehmen in Kreditberichten öffentlich zugängliche Informationen von Steuerbehörden und aus anderen staatlichen Quellen über die ausstehenden Schulden von Einzelpersonen verwendet hat. Wann die sehr ausführliche Entscheidung rechtskräftig wird, steht noch nicht fest.

Die saftige Strafe der spanischen Behörde gegen Equifax zeigt, welchen Risiken Unternehmen bei der Datensammlung (Scraping) aus öffentlich zugänglichen Quellen ausgesetzt sind. Die Behörde entschied, dass Equifax nicht das Recht hatte, die Informationen über Schulden und Geldstrafen von Personen aus diesen spanischen Regierungsquellen zu verwenden. Auch habe das Unternehmen diese Personen nicht darüber informiert, dass die Daten in die Kreditauskunft einfließen, so die Aufsichtsbehörde,  so dass Equifax die auf diese Weise gesammelten Daten löschen müsse.

Einige der Informationen waren veraltet und ungenau, so die Aufsichtsbehörde. Etwa vier Millionen Menschen könnten davon betroffen sein, weil ihre Informationen in denselben staatlichen Registern öffentlich zugänglich waren, urteilte die Behörde. Unter anderem sei Artikel 14 DSGVO verletzt, der die für die Datenverarbeitung Verantwortlichen verpflichtet, den betroffenen Personen Auskunft über ihre personenbezogenen Daten zu erteilen, wenn diese Daten nicht von den betroffenen Personen selbst eingeholt worden sind.

Die Anordnung der Aufsichtsbehörde, dass Equifax die persönlichen Daten löschen muss, hat einen Dominoeffekt: Drittunternehmen, die auf die Berichte von Equifax aus bestimmten spanischen Regierungsdatenbanken zugegriffen haben, müssen ebenfalls die Verarbeitung dieser Informationen einstellen. Das könnte größere Auswirkungen auf die Art und Weise haben, wie Finanzdienstleister in Europa Daten sammeln, da ihre Kunden gezwungen sein könnten, Kreditberichte mit illegal erhaltenen Daten nicht mehr zu verwenden.

Zum Vergleich: In den USA hat ein Bundesgericht 2019 entschieden, dass das Human-Resources-Technologieunternehmen hiQ Labs Inc. Daten aus öffentlichen Profilen auf LinkedIn auslesen darf und dass es damit nicht gegen den Computer Fraud and Abuse Act verstößt, das in vielen Fällen den unerlaubten Zugriff auf Computer verbietet.

Welche Auswirkungen hat diese Entscheidung in Deutschland?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

28 Kommentare

Kommentare als Feed abonnieren

Vermutlich sind die Beschränkungen in der DSGVO verfassungswidrig. Wie heißt es im Art. 5 GG so schön: "Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten."

0

Die außerordentliche Weite des Schutzbereichs des Art. 5 hat zur Folge, dass sich die unvermeidlichen Probleme der Abgrenzung erst bei der Bestimmung der Schranken zeigen. Auch in einer freiheitliche Demokratie kann natürlich nicht jeder alles und in beliebiger Form äußern, ohne Rücksicht auf Belange der Allgemeinheit und Rechte Dritter. Der Gesetzgeber muss deshalb einen Ausgleich suchen und kann sich dabei auf die Gesetzesvorbehalte in Art. 5 II stützen. Der Schutz der Selbstbestimmung über seine oder ihre Daten dürfte es nicht erlauben, dass Unternehmen öffentliche Datenbanken auswaiden und dann Persönlichkeitsprofile oder Kreditprofile erstellen. Bei einer Grundrechtskollision zwischen Privaten hat also zwingend eine Abwägung zu erfolgen, und zwar auf verfassungsrechtlicher und ggf. auch auf nachrangiger einfachgesetzlicher, etwa privatrechtlicher Ebene.

0

Wer Europarecht für verfassungswidrig hält, hat noch nichts vom Anwendungsvorrang gehört.

Und überhaupt: Offen zugängliche Quellen abzusuchen, die daraus entnommenen Daten zu sammeln und zu analysieren, ist Aufgabe der Geheimdienste (in D: Verfassungsschutz). Dafür haben sie extra Rechtsgrundlagen. Wie kommen irgendwelche Privatklitschen auf die Idee, Geheimdienstarbeit machen zu dürfen?

0

Ist doch ganz einfach zu erklären: Private sind Grundrechtsträger und dürfen daher alles, was nicht verboten ist. Offentliche sind keine Grundrechtsträger und dürfen nur das tun, wofür sie eine gesetzliche Grundlage haben. Daher braucht der VErfassugnsschutz für seine Datensammlung Rechtsgrundlagen. Private dürfen daher Daten sammeln, soweit es ihnen nicht gesetzlich, beispielsweise durch die DSGVO, verboten ist.

0

Ach ja, eine EU RiL braucht sich nicht um das deutsche Verfassungsrecht zu scheren? “Datenschutz” über alles in der Welt? Wirklich?

Und der Vergleich mit den Geheimdiensten hinkt gewaltig. Ob ich jetzt Konkursananzeigen aus der Zeitung mit der Schere ausschneide und vermarkte oder wie Equifax online durch öffentliche Quellen gehe, um meine Kunden zu warnen ist doch ein und dasselbe.

0

Hier ein kleiner Auszug - schnell übersetzt aus dem Spanischen - aus der ellenlangen Entscheidung der AEPD (180 Seiten!), die zeigt, warum das Datensammeln von Equifax problematisch ist:

" ...Andererseits besteht kein Zweifel daran, dass EQUIFAX verpflichtet ist, die betroffenen Personen gemäß Artikel 14 der GDPR jedes Mal zu informieren, wenn es ihre personenbezogenen Daten in das FIJ aufnimmt.
In Bezug auf diese Verpflichtung müssen wir wiederholen, was bereits in Bezug auf den Verstoß gegen andere Bestimmungen der DSGVO gesagt wurde. Bei dem analysierten Verhalten gehen wir von einer unrechtmäßigen Verarbeitung personenbezogener Daten aus: es werden Daten erhoben, die ursprünglich für einen Zweck verarbeitet wurden, der mit dem Zweck der nachfolgenden Verarbeitung, d. h. der IJF, unvereinbar ist, was die Einhaltung der Pflichten, die die DSGVO dem für die Datenverarbeitung Verantwortlichen auferlegt, in einem solchen Ausmaß beeinträchtigt, dass es unmöglich ist, sie einzuhalten, ohne gegen andere Bestimmungen der DSGVO zu verstoßen.
"

0

Das zeigt mal wieder, zu welchen Auswüchsen die DSGVO führt. Kreditauskunft ist ein legitimes, vom GG geschütztes  Gewerbe im Interesse der Wirtschaft als Ganzes. Und welche Zwecke bei öffentlich zugänglichen (!) Quellen unvereinbar sind, entscheidet die allwissende Datenschutzbehörde. Toll!

0

Die Würde achten, bedeutet auch die Privatspähre achten.

Privatsphähre ist nicht nur, was (aufwändig) abgeschirmt und geheimgehalten wird.

Grundsätzlich hat Niemand das Recht, meine Privatsphäre auszuforschen, meine persönlichen Daten dazu zu speichern, ein Profil anzulegen, und dies dann auch noch zu veröffentlichen oder gar zu verkaufen, und zwar auch dann nicht, wenn er keine Spionage betreibt, also keine geheimdienstlichen mittel anwendet, sondern "bloß" beobachtet und "bloß" recherchiert und sammelt und speichert.

Ausnahmen gelten für Polizei und Verfassungschutz, wenn konkrete Verdachtsmomente vorliegen.

Im Übrigen ist das Privatleben, wie es der Name schon sagt, privat.

Was die Politiker bzw. Volksvertreter im Bundestag und Bundesrat und Bundeskabinett machen, oder was öffentliche Amtsträger im Amt entscheiden (und warum), ist natürlich nicht privat, was sie zuhause machen, aber selbstverständlich schon privat (es sei denn sie würden dort von Lobbyisten besucht, dann ist der Empfang des Lobbyisten wohl nicht privat).

Bei Politikern liegt wohl oft auch eher ein berechtigtes öffentliches Interesse vor, bei Privatleuten dagegen kaum.

Sehr bedenklich ist auch, von der öffentlichen Straße aus Wohnungen oder Häuser und Autos oder Stammkneipen oder Lieblingsrestaurants von Personen (oder gar deren Angehörigen) zu fotografieren, denen man Vorwürfe macht. Nicht selten wird dabei subtil zu Bespitzelungen oder zu Belästigungen dieser Personen oder gar zu rechtswidrigen gewalttätigen Angriffen auf diese Personen oder auf deren Eigentum oder auf deren Umfeld aufgefordert.

Nicht nur im befriedeten Besitztum, sondern auch im öffentlichen Raum besteht ein Bedürfnis nach Privatsphäre, das schützenswert ist.

0

Ihr Beitrag lenkt doch alles vom Thema ab. Beim von Art. 12 und 14 GG gedeckten Auswerten öffentlich zugänglicher Quellen für die Kreditauskunft geht es doch nicht darum, jemanden von der öffentlichen Straße in seiner Wohnung zu bespitzeln. Das ist doch ganz was anderes.  

0

Am konkreten Einzelfall oder Beispiel des Kreditauskunftsunternehens wurde jedoch auch die grundsätzliche Frage erhoben, inwieweit auch (einige Leute würden dabei wohl noch sagen: "ohnehin") öffentlich zugängliche Informationen gesammelt und gespeichert und weitergegeben bzw. sogar weiterverkauft werden dürfen.

In den USA sehen viele Leute das wohl lockerer, hierzulande und in der EU ist man hinsichtlich personenbezogener Daten jedoch sensibler.

Auch aus öffentlich zugänglichen Quellen sollen grundsätzlich keine Persönlichkeitsprofile angelegt oder gar veröffentlicht oder verkauft werden.

Diese Problematik ist ein weites Feld, und berührt nicht etwa nur Bonitätsauskunfteien, Wirtschaftsauskunfteien und Inkassonunternehmen.

0

Richtig. Und die Frage ist mit der EuGH-Entscheidung zu Google Spain entschieden: Es darf nicht jeder jeden alten Zeitungsbericht und jeden Facebookpost hervorkramen, Profile zusammenstellen und verkaufen. Und das ist auch richtig so. Die Wirtschaft ist vor schludrigen Schuldnern durch die amtlichen Register gut genug geschützt. Es wäre schön, wenn es ähnlichen Schutz vor schludriger Wirtschaft gäbe.

0

PS: Und das alles auch noch heimlich, damit der Betroffene ja nicht merkt, wenn die verkauften Daten veraltet, falsch sind oder eigentlich einen Namensvetter betreffen und nun einen Unschuldigen treffen. Danke an die Spanier, die diesem Treiben ein Ende bereiten.

0

Es ist also quasi nicht nur "Diebstahl" von (abgeschirmten) Daten verboten, sondern quasi auch "Fundunterschlagung" (Aneignung und Speicherung öffentlich zugänglicher privater Daten) und diesbezügliche "Daten-Hehlerei".

0

Vielen Dank. Ohne jetzt irgendeine Stellungnahme in die eine oder andere Richtung werten zu wollen: Es gibt hier in den USA sehr weit formulierte Datenschutzgesetze auf Bundesstaatsebene (z.B. kürzlich neu in Virginia - vgl Spies, https://www.morganlewis.com/pubs/2021/02/usa-new-data-protection-law-in-...

... oder natürlich in Kalifornien). Darüber hinaus gibt es hier Bundesgesetze für viele Bereiche, z. B für den Finanzsektor der Gramm Leach Bliley Act.

Interessant.

Ich dachte, daß seit dem Patriot-Act quasi alle Daten de Zugriff der Obrigkeit ausgesetzt sind.

Ungefähr in diese Richtung ging ja doch wohl auch das, was Snowden verkündete.

Und große US-Banken (wie z.B. etwa J.P.morgan-chase) sowie große US-Versicherungen und große US-Detekteien (z.B. etwa Pinkerton) sowie große US-IT-Konzerne, sollen doch angeblich an ganz viele Daten von ganz vielen Bürgern kommen.

Wenn es in den USA aber trotzdem sehr viele bürgerrechtsfreundliche Datenschutzgesetze gibt, wird dann deren Geltung durch Ausnahereglungen oder sonstige Gesetze wieder eingeschränkt, oder wird deren Geltung in der Praxis oft schlicht ignoriert, oder haben wir hierzulande ein völlig falsches und viel zu pessimistisches Bild vom Datenschutz in den USA?  

0

Über einige Kreditkartenunternehmen und einige US-Telekommunikationsdienstleister wird in Sachen Umgang mit Daten (Erhebung, Speicherung, Weitergabe) oft aus blauäugiger Sicht schier Unglaubliches gemunkelt.

Skeptische Bürger haben wohl eher wenig Vertrauen in deren Vertraulichkeit.

Und die Konzernleitungen können anscheinend wohl auch nicht alle ihre Angesellten sicher kontrollieren bzw. sicherstellen, ob da nicht jemand Daten kopiert und weitergibt.

0

Die berüchtigte Datenanalyse-Firma "Cambridge-Analytica" hat (hatte) seinen Sitz jedoch in den USA (New-York?), oder nicht?

0

Es haben wohl nicht nur juristische Laien haben Bedenken gegen das Datenschutzniveau der USA.

Sondern unter andere wohl auch der EuGH-Generalanwalt.

Siehie dazu etwa z. B. :

https://www.heise.de/tp/features/EuGH-Generalanwalt-Daten-von-Europaeern-in-USA-unsicher-3375632.html

Die wird unter anderem auch kritisch diskutiert in Zusammenhang mit Datentransfers von Irland in die USA.

0

WhatsApp ist was das Thea Datenschutz angeht wohl auch nicht ohne.

Inzwischen haben sich wohl fast alle Leute unter 30 daran gewöhnt, und glauben nun nicht ohne WhatsApp auskommen zu können (sie sind quasi wie süchtig oder quasi psyschich-abhängig), und nun wird der Datenschutz dort wohl nochmals durch einseitige Änderung der AGB verschlechtert

Siehe dazu etwa: https://www.tagesschau.de/wirtschaft/verbraucher/whatsapp-messenger-facebook-datenschutz-101.html

WhatsApp wurde in den USA, in Kalifornien, gegründet, und ist inzwischen von Facebook gekauft worden.

Das in den USA Verbraucherschutz und Datenschutz wirklich ganz ernst genommen und ganz groß geschrieben wird, glaube ich nicht, auch wenn es dort vermutlich erheblich besser zugeht als in Russland oder China oder Korea, aber in den Geltungsbereich des bundesdeutschen Grundgesetzes habe ich etwas mehr Vertrauen (wenn auch kein vollständiges).

0

Zum Thema Abhören und Datensammeln hat sich auch einiges hier seit Snowden vor gut 10 Jahren getan. Hier ein neuerer Bericht im Hinblick auf Schrems II des US Department of Commerce (White Paper): https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMA...

Ich will das White Paper hier nicht werten, aber das Department of Commerce wirft dem EuGH und anderen vor, das US Recht teilweise falsch eingeschätzt zu haben.

Bei aller evtl. positiver Entwicklung des US-Rechts an sich müssen wir die Regelung zur Kenntnis nehmen, wonach Non-US-Persons (weder US-Staatsangehörige noch dort Wohnende) kein Recht auf Datenschutz haben (irgendeine Executive Order des POTUS). Man stelle sich vor, die EU würde US-Bürgern Grundrechte aberkennen, was da los wäre. Daher hat der EuGH Recht, die ganzen Privacy-Shield-Feigenblätter für nichtig zu erklären.

0

wobei sie inzwischen wohl "revoked" ist: https://www.federalregister.gov/documents/2021/01/25/2021-01768/revision-of-civil-immigration-enforcement-policies-and-priorities

0

Eben. Und die EO 13768 bezieht sich auf die Einwanderung. Die Datenschutzgesetze in Virginia, Kalifornien etc. unterscheiden wie die DSGVO nicht nach Staatsangehörigheit. Mich würde interessieren, ob es Kommentare zu dem genannten White Paper der US Regierung zu Schrems II gibt:  https://www.commerce.gov/sites/default/files/2020-09/SCCsWhitePaperFORMA...

Habe das Whitepaper nur überflogen. Es scheint, als wäre es so: drei Ministerien versichern hoch und heilig gegenüber US-Unternehmen, dass alles ok sei. Die Europäer sollen sich nicht so anstellen. Überwacht werde nicht und außerdem nützt die Überwachung ja auch den Europäern. Mit diesem Persilschein sollen die US-Firmen nun in Europa Verantwortliche davon überzeugen, dass alles ok sei. Die Verantwortlichen müssen nun prüfen, ob das DS-Niveau in USA angemessen ist. Dabei hilft ihnen der Persilschein.

Was für ein Wahnsinn! Wie wäre es, wenn die EU-Kommission, gerne in Zusammenarbeit mit den USA, auf tragfähige Weise (und nicht als Feigenblatt - vulgo: Lüge - wie in Safe Horbor und Privacy Shield) prüft/verbindlich vereinbart, was/dass wie/es richtig funktioniert? Und wenn es nicht funktioniert müssen wir uns halt andere Software suchen. Die gibts.

0

Wahnsinn?

Hallo Gast 2021-05-12, 21.25 h:

In Köln heißt es: "feste fründe stunn zusamme!

Sowas hat Tradition.

Das westdeutsche Bundespatentamt im bayrischen münchen (in der Nachkriegsdeutschland-US-Zone) hat seinerzeit Konrad Zuse ein Patent auf den von ihm erfundenen Computer verweigert.

Unsere amerikanischen Freunde konnten daraufhin seine Computer nachbauen und mit ihrer Softpower weltweit vermarkten.

Das war wohl kein Wahnsinn, sondern Freundschaft.

Haben Sie etwa etwas gegen Freundschaft?

0

Wie ist das denn mit Webseiten, die zB Versteigerungstermine von Amtsgerichten sammeln und eine Suche nach zu versteigernden Immonbilien ermöglichen? Gibt es dafür Bereichsausnahmen ? Oder zB die Seiten von companyhouse ?

0

 Find ich hier irgendwie aber auch passend. "Weltweite Standards beim Datenschutz.Global DMA veröffentlicht Branchengrundsätze für das Dialogmarketing" "...Die Branchengrundsätze umfassen sieben Kernprinzipien, die für die weltweite datengetriebene Marketingbranche einen Verhaltenskodex definieren und gleichzeitig einen Praxisleitfaden an die Hand geben."

Eure Meinung? Quelle: https://verbandsbuero.de/weltweite-standards-beim-datenschutz-global-dma-veroeffentlicht-branchengrundsaetze-fuer-das-dialogmarketing/

0

Kommentar hinzufügen