Personenbezogene Daten aus öffentlichen zugänglichen Quellen sind kein Freiwild
Gespeichert von Dr. Axel Spies am
Gerade hier in den USA, aber auch in Europa sind viele der Ansicht, dass (personenbezogene) Daten aus öffentlichen Quellen frei weiterverwendbar seien. Dem ist natürlich nicht so. Die DSGVO erwähnt die öffentlich zugänglichen Quellen in Art. 9 Abs. 2 bei den besonderen Kategorien und in Art. 14 Abs. 2 bei den Benachrichtigungspflichten. Das heißt jedoch nicht, dass personenbezogene Daten aus öffentlich zugänglichen Quellen nicht geschützt sind.
Das neueste Beispiel hierfür: Die spanische Datenschutzbehörde AEPD hat Equifax Inc. kürzlich angewiesen (AZ PS/00240/2019), gesammelten Daten zu löschen und eine Geldstrafe in Höhe von etwa 1,1 Millionen US-Dollar zu zahlen, weil das Unternehmen in Kreditberichten öffentlich zugängliche Informationen von Steuerbehörden und aus anderen staatlichen Quellen über die ausstehenden Schulden von Einzelpersonen verwendet hat. Wann die sehr ausführliche Entscheidung rechtskräftig wird, steht noch nicht fest.
Die saftige Strafe der spanischen Behörde gegen Equifax zeigt, welchen Risiken Unternehmen bei der Datensammlung (Scraping) aus öffentlich zugänglichen Quellen ausgesetzt sind. Die Behörde entschied, dass Equifax nicht das Recht hatte, die Informationen über Schulden und Geldstrafen von Personen aus diesen spanischen Regierungsquellen zu verwenden. Auch habe das Unternehmen diese Personen nicht darüber informiert, dass die Daten in die Kreditauskunft einfließen, so die Aufsichtsbehörde, so dass Equifax die auf diese Weise gesammelten Daten löschen müsse.
Einige der Informationen waren veraltet und ungenau, so die Aufsichtsbehörde. Etwa vier Millionen Menschen könnten davon betroffen sein, weil ihre Informationen in denselben staatlichen Registern öffentlich zugänglich waren, urteilte die Behörde. Unter anderem sei Artikel 14 DSGVO verletzt, der die für die Datenverarbeitung Verantwortlichen verpflichtet, den betroffenen Personen Auskunft über ihre personenbezogenen Daten zu erteilen, wenn diese Daten nicht von den betroffenen Personen selbst eingeholt worden sind.
Die Anordnung der Aufsichtsbehörde, dass Equifax die persönlichen Daten löschen muss, hat einen Dominoeffekt: Drittunternehmen, die auf die Berichte von Equifax aus bestimmten spanischen Regierungsdatenbanken zugegriffen haben, müssen ebenfalls die Verarbeitung dieser Informationen einstellen. Das könnte größere Auswirkungen auf die Art und Weise haben, wie Finanzdienstleister in Europa Daten sammeln, da ihre Kunden gezwungen sein könnten, Kreditberichte mit illegal erhaltenen Daten nicht mehr zu verwenden.
Zum Vergleich: In den USA hat ein Bundesgericht 2019 entschieden, dass das Human-Resources-Technologieunternehmen hiQ Labs Inc. Daten aus öffentlichen Profilen auf LinkedIn auslesen darf und dass es damit nicht gegen den Computer Fraud and Abuse Act verstößt, das in vielen Fällen den unerlaubten Zugriff auf Computer verbietet.
Welche Auswirkungen hat diese Entscheidung in Deutschland?