DatenschutzWoche vom 09.08.2021

Viel zu tun bei der Berliner Datenschutzaufsicht! Gleich zu Beginn der Woche hat die Behörde mitgeteilt, dass sie gegen mehrere Webseitenbetreiber wegen rechtswidrigen Trackings vorgegangen ist. Ermittelt wird dort zur Zeit auch im Zusammenhang mit den Sicherheitslücken bei der "CDUconnect-App". Spannende Nachrichten gibt es aber auch von außerhalb Berlins. Wir wünschen wie immer einen guten Start in die Woche und eine angenehme Lektüre.

Die wichtigsten Nachrichten der Woche

• Sicherheitslücken bei der CDUconnect-App: Berliner Datenschutzaufsicht ermittelt
• Studie des bitkom: Cyberangriffe verursachen in der deutschen Wirtschaft mehr als 220 Milliarden Euro Schaden pro Jahr
• Netzwerk Datenschutzexpertise: Übermittlung von Gendaten unzulässig

Sicherheitslücken bei der "CDUconntect"-App: Berliner Datenschutzaufsicht ermittelt

In der vergangenen Woche erregte die CDU größere mediale Aufmerksamkeit durch eine Strafanzeige bzw. einen Strafantrag gegen die zivilgesellschaftliche IT-Sicherheitsforscherin und Chaos Computer Club (CCC)-Aktivistin Lilith Wittmann. Diese hatte die CDU zuvor in einem Responsible Disclosure-Verfahren auf mehrere Sicherheitslücken in der "CDUconnect"-App, die von der Partei zum Haustürwahlkampf genutzt wird, aufmerksam gemacht und anschließend kritisch darüber berichtet. Nach einer Welle der öffentlichen Empörung und der Ankündigung des CCC, keine Sicherheitslücken mehr an die CDU zu melden, hat der Bundesgeschäftsführer der Partei Wittmann um Entschuldigung gebeten und die Strafanzeige gegen sie beim LKA zurückgezogen. Das Strafverfahren gegen Lilith Wittmann endet damit jedoch nicht.

Unabhängig davon ist inzwischen auch bekannt geworden, dass die Berliner Datenschutzaufsicht ein Prüfverfahren im Zusammenhang mit der App eingeleitet hat. Gegenstand der Prüfung – zu deren Stand sich die Behörde bisher nicht äußern wollte – ist, wie heise.de berichtet, auch die Frage, „ob die durch den externen Prüfbericht bekannt gewordenen Probleme tatsächlich vorlagen und mittlerweile beseitigt wurden.“ Laut Wittmann handelt es um rund 18.000 Datensätze mit persönlichen Angaben zu CDU-Wahlkampfhelfern sowie mehr als 100.000 Datensätze über Bürgerinnen und Bürger, ihre Lebensverhältnisse und politischen Ansichten.  

bitkom-Studie: Jährlich 220 Milliarden Euro Schaden durch Cyberangriffe

Am 05.08.2021 hat der Bundesverband Informationswirtschaft, Telekommunikation und Neue Medien bitkom eine Studie veröffentlicht, die auch aus datenschutzrechtlicher Sicht von Interesse ist. Demnach waren neun von zehn der befragten Unternehmen bereits Opfer von Datendiebstahl, Spionage oder Sabotage. Dadurch sei der deutschen Wirtschaft ein jährlicher Gesamtschaden von 223 Milliarden Euro entstanden. Am häufigsten sind laut bitkom Angriffe mit Expressungstrojanern (sog. Ransomware), denen bereits das European Data Protection Board (EDPB) in seinen „Guidelines 01/2021 on Examples regarding Data Breach Notification“ ein eigenes Kapitel gewidmet hat.

Netzwerk Datenschutzexpertise: Übermittlung genetischer Daten nach China unzulässig

Das Netzwerk Datenschutzexpertise untersucht in einem Gutachten die Praxis eines deutschen Unternehmens, Pränataltests in China auswerten zu lassen. Zuvor hatte die Nachrichtenagentur Reuters darüber berichtet. Das Gutachten kommt zu dem Ergebnis, dass eine Gendatenübermittlung nach China im beurteilten Fall gegen diverse Rechtsvorschriften verstößt. Zur gleichen Frage hatte bereits die hessische Datenschutzsicht eine Untersuchung eingeleitet und darauf hingewirkt, dass eine Datenübermittlung nach China vorerst ausgesetzt wird.

Internationale Nachrichten

Österreich: Die Datenschutzbehörde Österreich hat ihren Newsletter 3/2021 veröffentlicht und behandelt darin unter anderem das Thema "Das digitale COVID-Zertifikat der EU – rechtliche Grundlagen".

Frankreich/Luxemburg: Die französische NGO „La Quadrature du Net“ hat ein Schreiben der französischen Datenschutzaufsicht CNIL im Zusammenhang mit dem jüngsten Bußgeld in Höhe von 746 Millionen der Datenschutzaufsicht Luxemburg CNPD gegen den Onlineversandhändler Amazon veröffentlicht. Aus dem Schreiben ergibt sich unter anderem, dass die CNPD Amazon einen Verstoß gegen nahezu alle Betroffenenrechte sowie das Fehlen einer Rechtsgrundlage für die Datenverarbeitung zur Verhaltensanalyse und zur zielgerichteten Werbung vorwirft.

Wichtige Entscheidungen der Woche

LG Erfurt, Urteil vom 19.09.2020, Az. 8 O 559/20, (Volltext): Nach der Entscheidung des Gerichts hat der Kläger, ein Nachrichtenmoderator, einen Anspruch darauf, dass die AfD es unterlässt, sein Bildnis zu Zwecken der politischen Werbung und/oder der Öffentlichkeitsarbeit zu verbreiten. Die Entscheidung stützt sich auf die DSGVO. Das KUG hält das LG hingegen für nicht anwendbar. 

Aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „Datenschutzpolitische Agenda für die 20. Wahlperiode des Deutschen Bundestages“ – Pressemitteilung vom 03.08.2021
• Datenschutzaufsicht Baden-Württemberg: „Wettbewerb Datenschutz-Icons“ – Mitteilung vom 03.08.2021
• Datenschutzaufsichtsbehörden Bayern (BayLDA und BayLfD): „Gemeinsame Aktuelle Kurz-Information 1: Befreiung von der Maskenpflicht aus gesundheitlichen Gründen“ – Stand: 04.08.2021
• Datenschutzaufsicht Berlin: „BlnBDI konfrontiert Webseiten-Betreibende mit rechtswidrigem Tracking“ – Pressemitteilung vom 09.08.202121