Seite 2: Potenziell mehrere DSGVO-Vorgaben betroffen

Inhaltsverzeichnis

Amazon hat den Betroffenen über einen Monat lang nicht von der Weitergabe seiner Daten informiert. Wir vermuten, dass dies ohnehin erst geschehen ist, weil wir in dem Fall angefragt haben. Hätte Amazon.de nicht die Pflicht gehabt, den Betroffenen unverzüglich in Kenntnis zu setzen?

Sowohl gegenüber der Aufsichtsbehörde als auch gegenüber der betroffenen Person besteht grundsätzliche eine Melde- beziehungsweise Benachrichtigungspflicht, wenn es zu einer Verletzung des Schutzes von personenbezogenen Daten gekommen ist und entweder ein normales oder hohes Risiko besteht. Die DSGVO unterscheidet allerdings bei den Anforderungen an den jeweiligen Adressaten der Unterrichtung. Der Verantwortliche muss, nach der Feststellung, dass ein Risiko besteht, binnen 72 Stunden die Verletzung bei der Aufsichtsbehörde melden. Im Gegensatz dazu muss es zu einer Unterrichtung der betroffenen Person nur unverzüglich, also ohne schuldhaftes Zögern, kommen, wenn voraussichtlich ein hohes Risiko besteht.

Gesetzlich sind bei der Meldepflicht gegenüber der betroffenen Person keine strengen zeitlichen Vorgaben einzuhalten und auch die Einordnung des Risikos liegt wohl erst einmal im Ermessen des Verantwortlichen. Im Zweifel muss er seine Einordnung natürlich gegenüber einer Aufsichtsbehörde auch begründen können. Die Meldung an den Betroffenen hängt also nicht an einer fixen zeitlichen Frist. Was in der Praxis "unverzüglich" bedeutet, ist im Rahmen der DSGVO derzeit auf jeden Fall noch Auslegungssache und ist sicherlich eine Frage des Einzelfalls. Als deutsche Juristen würden wir, mit Blick auf das deutsche Zivilrecht davon ausgehen, dass "unverzüglich" ungefähr 14 Tage bedeutet. Jedoch muss man mit Blick auf die DSGVO beachten, dass es sich hier um europäisches Recht handelt und wir nicht einfach eine nationale Auslegung für europäische Rechtsbegriffe anwenden dürfen.

Zudem lässt die DSGVO auch Ausnahmen zu, die die Benachrichtigung der betroffenen Person trotz der Verletzung und trotz des hohen Risikos nicht erforderlich machen. Beispielsweise reicht es aus, wenn das hohe Risiko durch nachträgliche geeignete technische oder organisatorische Maßnahmen aller Wahrscheinlichkeit nach nicht mehr besteht. Ob dies hier der Fall ist, müsste man anhand aller Umstände des Einzelfalls beurteilen.

Was meinen Sie, ist dieses Verhalten von Amazon nach DSGVO sanktionswürdig?

Die Weitergabe von Tondateien an einen unberechtigten Dritten, kann mehrere DSGVO-Vorgaben verletzen. Zum Beispiel die Vorschriften zur Sicherstellung einer angemessenen Datensicherheit oder auch die Pflicht, Daten nur zu übermitteln, wenn hierfür eine Erlaubnis (zum Beispiel eine Einwilligung, ein Vertrag oder aber auch eine für Amazon positive Interessenabwägung) vorliegt.

Grundsätzlich kann ein solcher Verstoß ein Bußgeld nach sich ziehen. Dennoch muss die Aufsichtsbehörde zum einen ihr behördliches Ermessen ausüben, sich also fragen, ob und wenn ja, in welcher Höhe ein Bußgeld zu verhängen ist. Zum anderen muss sie Verhältnismäßigkeitsgrundsatz in ihren Maßnahmen berücksichtigen. Die DSGVO listet dafür Bewertungsmaßstäbe auf, die in jedem Einzelfall zu beachten sind. Kam es vorsätzlich oder fahrlässig zu dem Verstoß oder wie umfangreich war die Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern. Gab es bereits frühere Verstöße des Verantwortlichen? Da spielen also sehr viele Faktoren, die wir derzeit nicht alle kennen, eine Rolle.

Es ist nun Aufgabe der zuständigen Aufsichtsbehörde, den Vorfall genauer zu untersuchen. Erst in diesem Prozess lässt sich die Sanktionswürdigkeit final beurteilen und Notwendigkeit eines Bußgelds klären.

Amazon speichert per Voreinstellung alle von Alexa erfassten Sprachaufzeichnungen unbefristet in der Cloud. Der Kunde hat lediglich die Möglichkeit, diese Daten im Alexa-Portal selbst zu löschen. Begründet wird das mit der Notwendigkeit, Alexa mit den Daten anzulernen, um die Spracherkennung zu verbessern. Es gilt ja das Sparsamkeitsgebot. Wäre es nicht dringend geboten, die Voreinstellung umzukehren, um DSGVO-konform zu handeln?

Das Erfordernis von datenschutzfreundlichen Voreinstellungen (dem sog. "Privacy by Default") ist fest in der DSGVO verankert. Gemäß Art. 25 Abs. 2 DSGVO soll der Verantwortliche geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

Davon erfasst ist ebenfalls die Voreinstellung über die Speicherdauer, die aber immer von dem Verarbeitungszweck abhängig ist. Privacy by Default nach der DSGVO bedeutet also nicht, per se null Daten zu verarbeiten, sondern orientiert sich immer am erforderlichen Zweck. Wenn hier der Zweck der Datenverarbeitung zur Anlernung der KI tatsächlich erforderlich ist, um auch den Dienst mit Spracherkennung so anbieten zu können, würde der Grundsatz der Datensparsamkeit diese Verarbeitung also nicht unbedingt verbieten. Es dürften nur nicht mehr Daten verarbeitet und länger gespeichert werden, als für diesen Zweck erforderlich.

Dennoch bleibt auch Amazon natürlich verpflichtet, die personenbezogenen Daten, wenn sie nicht mehr für einen festgelegten Zweck erforderlich sind, zu löschen oder zumindest zu anonymisieren. (mho)