Webseite der Schirmherren BfDI und DSK mit Schrems-Livestream ignorierte Schrems II Urteil und enthielt weitere Rechtsverstöße

Kategorien: Datenschutz, Übersicht und Urteile

Nichts anderes als extrem peinlich sind vermeidbare erhebliche Datenschutzverstöße (USA-Transfer, Cookies), die in Zusammenhang mit prominenten Datenschützern und dem Kläger des Privacy Shield-Verfahrens auftreten. Leider brachte mein Hinweis an den BfDI effektiv kaum etwas. Statt alle Verstöße abzustellen, wurde der offiziell Verantwortliche ausgetauscht.

Am Dienstag, 22.03.2022, ab ca. 18:20 Uhr, wurde ein Livestream mit Max Schrems als Hauptredner ausgestrahlt. Die einleitenden Worte kamen von Prof. Ulrich Kelber, Bundesdatenschutzbeauftragter. Seine Behörde, der BfDI hat zusammen mit der Datenschutzkonferenz von Bund und Ländern und anderen den Livestream veranstaltet (oder war mit diesen eine Art Schirmherr oder -herrin) und über den BfDI Newsletter angekündigt. Weiterhin waren die Universität Bonn, wo Max Schrems persönlich auftrat, und For:Tech beteiligt.

Die Webseite in Verbindung mit dem Bundesdatenschutzbeauftragten, der Datenschutzkonferenz von Bund und Ländern sowie Max Schrems als Redner zu Cookies verstieß gegen das Schrems II-Urteil wegen USA-Datentransfers, gegen Informationspflichten zu Cookies und USA-Datentransfers sowie gegen § 25 TTDSG zu Cookies.

Meine Einschätzung, Details im Beitrag.

Die Webseite, auf der der Livestream ausgestrahlt wurde, wurde im Vorfeld vom BfDI kommuniziert. Es handelt sich um https://ihrliveevent.de/de/public/datenschutz-skalieren-max-schrems. Die Seite ist aktuell (spätestens seit dem 23.03.2022) nicht mehr verfügbar, was aufgrund der dort vorgefundenen Datenschutzprobleme auch besser ist. Die Aufzeichnung wird anderswo vom BfDI bereitgestellt. Dieser Beitrag soll verhindern, dass sich Derartiges wiederholt. Ohne jegliche Öffentlichkeit, so steht es zu befürchten, steigt die Motivation von Verantwortlichen und Schirmherren und Schirmdamen womöglich nicht, die genannten Probleme zukünftig zu vermeiden.

Der Titel des Vortrags lautete „Datenschutz skalieren mit Max Schrems“. Der Vortrag war übrigens sehr interessant. Herr Schrems erklärte, wie mithilfe eines eigenen Tools Datenschutzverstöße festgestellt und Beschwerden erstellt werden können.

Der Kopfbereich der Webseite zum Vortrag zeigte folgende Organisationen, die die Veranstaltung trugen:

Zu sehen waren also unter anderem Logos von der DSK (Datenschutzkonferenz von Bund und Ländern) sowie BfDI (Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit).

Auf dieser Webseite musste ich erstaunlicherweise erhebliche Datenschutzverstöße feststellen. Ich schrieb dem BfDI am 16.03.2022, also deutlich vor der Veranstaltung, folgendes:

Ich finde es ziemlich bemerkenswert, dass auf dieser Webseite

a. die Datenschutzhinweise fehlen,

b. Datenschutzgegebenheiten in fragwürdigem Maße festzustellen sind,

c. die mit dieser Webseite in Verbindung zu bringenden Stellen und Personen überwiegend als "prominente Datenschützer" anzusehen sind.

Auszug aus meiner Mail vom 16.03.2022 an den BfDI

Weiterhin hängte ich folgenden Screenshot an meine Mail an:

Im Screenshot zu sehen ist ein Abruf von Google Fonts. Vgl. hierzu das Urteil des LG München vom 20.01.2022 sowie meine Untersuchung zu Fonts. Weiterhin zeigt der Screenshot einen Datenabruf von Akamai-Servern (USA-Unternehmen). Vgl. hierzu den Cookiebot-Beschluss des VG Wiesbaden sowie das EuGH-Urteil vom 16.07.2020 – C-311/18 "Schrems II". Zum Cookiebot-Beschluss sei angemerkt, dass er wegen der angeblich nicht vorliegenden Eilbedürftigkeit an die nächsthöhere Instanz verwiesen wurde, nicht wegen der Sache an sich.

Auf der Webseite war nur ein Impressum angegeben, das auf die Webseite des BfDI zeigte. Die Datenschutzhinweise fehlten völlig und konnten nur indirekt über das genannte Impressum erreicht werden. So war es fast zu erwarten, dass die Datenschutzhinweise unvollständig bezüglich des Livestreams waren.

Die vorgefundenen Probleme auf der Webseite mit Bezug zu BfDI und DSK mit einem Vortrag von Max Schrems sind:

• Datentransfer in die USA ohne Rechtsgrundlage (insbesondere ohne Einwilligung, vgl. EuGH-Urteil Schrems II)
• Technisch nicht notwendiges Cookies ohne Einwilligung (vgl. § 25 TTDSG)
• Pflichtinformationen zu beiden Punkten fehlen (vgl. Art. 13 DSGVO)

Der Datentransfer verstößt gegen das von Max Schrems selbst erwirkte EuGH-Urteil „Schrems II“. Herr Schrems ist weder Verantwortlicher noch Zuständiger für die Webseite, auf der der Livestream mit seinem Vortrag aus der Uni Bonn ausgestrahlt wurde. Er ist nur der Dumme, weil er ohne eigene Schuld mit einer Webseite in Verbindung gebracht wird, die das von ihm erwirkte Urteil wissentlich ignoriert. Ich schreibe „wissentlich“, weil davon ausgegangen werden darf, dass die DSK und/oder der BfDI mal auf die Webseite draufgeschaut haben, auf der deren Livestream veröffentlicht wird. Zumindest hätten diese Stellen sich einen kompetenten Verantwortlichen für die Livestream-Webseite suchen müssen oder entsprechende Sicherungsmechanismen vorsehen müssen.

Übrigens ist mir eine weitere Person bekannt, die rechtzeitig vor der Veranstaltung einen Hinweis an den BfDI schickte, und zwar unabhängig von mir. Weiterhin war (von einer dritten Person) über FragDenStaat eine Anfrage an den BfDI gestellt worden:

Wahrscheinlich hat der BfDI weitere Zuschriften erhalten. Es ist nicht nur peinlich, sondern auch Besorgnis erregend, wenn der BfDI selber keinen Wert auf Datenschutz legt bzw. die falschen Mitarbeiter sich um wichtige Fragen kümmern müssen. Ich unterstelle der Behördenleitung, dass sie den Datenschutz in Deutschland verbessern möchte. Leider hat sie anscheinend die falschen Mitarbeiter dafür eingestellt.

Die Behörde (BfDI) antwortete recht zügig für eine Behörde, und zwar am 21.03.2022. Hier die Antwort.

Sehr geehrter Herr Meffert,

 vielen Dank für Ihre Hinweise zur Webseite für den morgigen Vortrag.

Unter anderem aus den genannten Gründen haben wir die Seite wieder vom Netz nehmen lassen und werden diese morgen zur Veranstaltung in einer korrigierten Version bereitstellen.

Auszug aus der Antwort des BfDI auf meine kritischen Anmerkungen hin.

Soweit wäre alles halbwegs gut gewesen. Ich hätte diesen Beitrag nicht geschrieben, wenn die "korrigierte Version" der Webseite mit dem Max Schrems Livestream auch tatsächlich in signifikanter Weise korrigiert worden wäre. Die Seite war vor der Veranstaltung nicht vom Netz genommen worden, sondern höchstens angepasst und wenn vom Netz, dann nur kurz.

Korrigierte Webseite weiterhin rechtswidrig

Das einzige, was aus meiner Sicht als Korrektur bezeichnet werden kann, war das Hinzufügen der Datenschutzhinweise sowie das Auswechseln des Verantwortlichen. Ob die Google Fonts nun noch verwendet wurden, konnte ich nicht mehr feststellen (Webseite nicht mehr verfügbar).

Statt dem BfDI war nun die Alpha Loop GmbH als Verantwortliche genannt. An den Verstößen ändert das wenig.

Die Datenschutzhinweise sind bzw. waren bis zur Entfernung der Seite) nun vorhanden, aber leider unvollständig und falsch. Dies konnte ich bereits nach gefühlten drei Sekunden herausfinden:

1. Hinweise auf Akamai fehlen komplett (vgl. Art. 13 DSGVO). Um das herauszufinden, nutzt man die Suchfunktion des Browsers und sucht nach „Akamai“.
2. Der Hinweis auf Cookies ist objektiv falsch
3. Der Hinweis auf den Privacy Shield ist unwirksam, weil es den Privacy Shield nie gab (vgl. EuGH-Urteil Schrems II)

Auch auf der „korrigierten Webseite“ wurde weiterhin ein Datentransfer über Akamai-Server durchgeführt. Akamai ist ein Unternehmen aus den USA. Das verstößt gegen Art. 44ff DSGVO. Eine Einwilligung wurde nicht abgefragt und somit von mir auch nicht erteilt.

Die Webseite, die vom BfDI und der DSK mitgetragen wurde, und auf der ein Livestream von Max Schrems zu sehen war, ignoriert das von Max Schrems höchstselbst eingeklagte EuGH-Urteil „Schrems II“.

Siehe Datentransfer über Akamai-Server.

Da in den Datenschutzhinweisen keine Angaben zu Akamai gemacht wurden, muss ich von einer rechtswidrigen Datenverarbeitung ausgehen. Die Verantwortliche hat hier versagt, anderes plausibel zu machen.

Weiterhin schreibt die Verantwortliche in den Datenschutzhinweisen:

Was geht ab? Keine Cookies.

Das ist schlichtweg falsch und grober Unsinn, wie folgendes Bild der Webseite zeigt:

Wie zu sehen, wurde ein Cookie verwendet. Es ist offensichtlich technisch nicht notwendig, denn die Datenschutzhinweise erklären es nicht und geben somit keine Begründung für das Gegenteil. Zudem ist offenbar eine Videoübertragung auch ohne Cookie möglich.

Meine Rückmeldung an den BfDI enthielt folgenden Text:

Finden Sie es nicht auch peinlich, dass

a) eine Webseite gegen das EuGH-Urteil „Schrems II“  verstößt, auf der ein Livestream mit dem höchstpersönlichen Kläger, Max Schrems, präsentiert wird (Datentransfer über Akamai, ein US-amerikanisches Unternehmen)?

b) Prof. Ulrich Kelber, unser oberster Datenschützer, auf dieser Webseite zu sehen und mit dieser Veranstaltung verknüpft ist?

c) die Datenschutzhinweise in grob fahrlässiger Weise falsch und unvollständig sind?

Auszug aus meiner Rückmeldung an den BfDI zur korrigierten Webseite

Zu b), siehe das Bild zu diesem Beitrag ganz oben. Dort ist Prof. Kelber zu sehen, den ich letzten Jahr live persönlich gesehen habe und dessen Vortrag und Haltung mir gefielen. Ich vermute, er weiß nichts von dem hier beschriebenen Desaster. Aus moralischer Sicht wäre es jedenfalls besser, wenn er davon bis vor dem Livestream nichts wusste.

Schlussworte

Es wäre das beste gewesen, wenn die genannten Probleme gar nicht erst zutage getreten wären. Ein schlampiger Umgang mit berechtigten Hinweisen zu Datenschutzproblemen durch den BfDI erscheint inakzeptabel. Schon gar nicht kann ich es gutheißen, dass unter der Schirmherrschaft von DSK, BfDI und unter dem Titel „Datenschutz skalieren mit Max Schrems“ derart peinliche Verstöße mit direktem Bezug zum Schrems II-Urteil trotz besseren Wissens nicht abgestellt werden. Die DSK selbst hatte im Jahr 2022 ein Gutachten und weitere Dokumente zu US-Überwachungsgesetzen veröffentlicht.

Der Vorgang ist nach meiner Einschätzung maximal blamabel. Erwähnt sei noch, dass Max Schrems in seinem Vortrag fast ausschließlich über Cookies und Cookie Banner sprach. Genau hierzu gab es einen Verstoß auf der Webseite mit dem Livestream. Mir ist unklar, wie manche sich darüber aufregen, dass man etwas dagegen haben könnte, dass jemand ohne Rechtsgrundlage amerikanische Dienstleister nutzt.

Statt Akamai kann jedes beliebige andere CDN verwendet werden, welches die Einhaltung der DSGVO garantiert. Max Schrems würde sich freuen. Hierzu empfehle ich erstens einen Blick auf die Europakarte sowie die dort verfügbaren Anbieter. Mir selbst sind solche Anbieter bekannt, die von Nutzern positiv erwähnt wurden. Zweitens empfehle ich den Aufbau eines CDN in Deutschland oder Europa. Dazu sollten am besten keine amerikanischen Internetkonzerne und auch nicht sonstige Konzerne wie die SAP oder Telekom eingesetzt werden. Denn letztere sind aus meiner Sicht völlig ungeeignet, innovative Lösungen zu basteln, die bezahlbar sind und toll funktionieren (siehe extrem überteuerte Corona-Warn App). Zufällig kenne ich beide Unternehmen durch jeweils sehr lange Tätigkeiten dort. Es handelt sich bei Konzernen oft nicht um wenige riesige Anhäufungen von tollen Leuten, sondern um viele ganz kleine Anhäufungen toller Leute, die voneinander nichts wissen, sondern nur durch bürokratische Strukturen verbunden sind.

Deutsche Datenschutzbehörden müssten weniger arbeiten, wenn sie zur Abwechslung mal ein Bußgeld erlassen würden.

Meine These, vor allem bezogen auf Verstöße im Internet. Vielleicht eine Anregung?

Ganz einfach lässt sich das Problem mit dem rechtsfehlerbehafteten Livestream lösen, wenn es keinen Livestream gibt. Dazu einfach die Aufzeichnung des Vortrags bereitstellen. Wie viele Menschen wohl nervös werden, wenn sie nicht live über die Ferne dabei sein dürfen? Das sind unmenschliche Probleme. Übrigens konnten sowieso nur die Zuschauer im Hörsaal der Uni Bonn während des Vortrags und direkt danach mitdiskutieren. Mehr verbocken kann man es kaum.

Wie wäre es, wenn deutsche Behörden endlich effektiv Datenschutzverstöße im Internet sanktionieren würden, anstatt sich dauernd darüber zu beschweren, so viel zu tun zu haben? Verhängen Sie doch endlich mal ein Bußgeld gegen Web Tracking und setzen Sie so ein Zeichen. Was ist mit Facebook Fanpages? Was ist mit Twitter Profilen? Ihre Arbeit wird schlagartig weniger werden, wenn Unternehmen mitbekommen, dass sie mit Datenschutzverstößen auf deren Webseiten nicht mehr durchkommen. Um auch etwas Positives zu sagen: Mir sind durchaus Mitarbeiter von Behörden bekannt, die einen sehr guten Job machen! Manchmal krankt es allerdings an der personellen Ausstattung der Behörde. Am Geld liegt es offenbar nicht, wenn man sich die Mittelverteilung in Europa ansieht. Wie ich gelernt habe, wird ein beträchtlicher Teil der Mitarbeiter durch den Föderalismus neutralisiert.

Eine Anregung an alle Beschwerdeführer, die vergeblich darauf warten, dass Behörden ihrer Arbeit nachgehen. Ich empfehle das Erlassen einer Untätigkeitsklage gegen eine unwillige Datenschutzbehörde. Diese können Sie selber, ohne Anwalt, erlassen. Im guten Fall entstehen Ihnen keinerlei Kosten. Im schlechtesten Fall haben Sie ein paar hundert Euro Kosten zu tragen. Einen Versuch sollte das wert sein. Alleine die Genugtuung und das Gefühl, das Richtige getan zu haben, sollten Motivation genug sein. Diese Maßnahme würde im Endeffekt wahrscheinlich zu Steuereinsparungen und zu Steuermehreinnahmen führen, da die Behörden dann erstens hoffentlich mehr sanktionieren und zweitens die Bußgelder in die aktuell gebeutelte Staatskasse fließen würden. Eine andere Maßnahme wäre es, sich an die Bundespolitik zu wenden und einen Bürokratieabbau bei den Datenschutzbehörden anzuregen. Beispielsweise durch Zusammenlegen von Behörden.