Datenschutz auf Fetisch-Portalen

Datenschutz ist als Querschnittsmaterie bekannt.  Dies wird typischerweise so verstanden, dass er in allen Fachbereichen erforderlich ist, d.h.  unabhängig von der konkreten Anwendung überall dort, wo personenbezogene Daten auftreten.

Es ist also egal, ob die Verarbeitung von personenbezogenen Daten in einem ERP-System innerhalb eines Konzernverbundes, bei einer Bäckerei, im Kleintierzuchtverein – oder auf einem Fetisch-Portal für getragene Unterwäsche erfolgt.

Genau mit so einem Portal beschäftigt sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) in seinem 29. Tätigkeitsbericht (Abschnitt V. 8.) und beschreibt das Geschäftsmodell in aller Nüchternheit wie folgt:

„Der HmbBfDI hat einen Bußgeldbescheid gegen ein Unternehmen erlassen, das einen Online-Marktplatz insbesondere für getragene Unterwäsche betreibt. Der Shop richtet sich an Kunden, die ein Interesse daran haben, unterschiedlich lange getragene Unterwäsche mit entsprechend intensivem Eigengeruch zu erwerben.  Das Unternehmen wirbt damit, hundertprozentige Anonymität zu gewährleisten.“

Dass das Geschäftsmodell dem HmbBfDI zu Recht egal ist und es der Behörde ausschließlich um die Einhaltung datenschutzrechtlicher Anforderungen ankommt, lässt sich an der mustergültigen juristischen Prüfung und Subsumtion ablesen. Was war passiert?

Der HmbBfDI erhielt Hinweise, dass zahlreiche, auf dem Portal hochgeladene Fotos, GPS-Koordinaten von Nutzerinnen der Plattform enthielten. Eine Überprüfung bestätigte diesen Hinweis. Die Behörde konnte verifizieren, dass die Restinformationen bzw. Metadaten bei den hochgeladenen Fotos nicht bereinigt worden waren.  Folglich konnten die Daten bei beliebigen Kartendiensten eingegeben und der genaue Standort ermittelt werden, an dem das Foto erstellt wurde. Teilweise waren zusätzlich Höheninformationen in den Bildern vermerkt, die eine grobe Aussage über das im Aufnahmemoment bewohnte Stockwerk ermöglichten.  Die Zahl der betroffenen Personen belief sich im Kontrollzeitraum auf ca. 760 Frauen zwischen 18 und 50 Jahren. Auf den Amateuraufnahmen wurden die Betroffenen in Unterwäsche abgebildet. Bei einigen  Fotos war auch das Gesicht erkennbar.

Folgende Verstöße und Erwägungen leitete der HmbBfDI daraus ab:

1. Exif-Infos bzw-. GPS-Daten als personenbezogene Daten:
Bei diesen GPS-Daten handelte es sich teilweise um personenbezogene Daten im Sinne des Art. 4 Nr. 1 Alt. 2 DS-GVO. Für den Personenbezug einer Information reicht es danach aus, wenn die betroffene Person identifizierbar ist, wenn also durch eine Anzahl von weiteren Verarbeitungsschritten oder durch Zusatzwissen zwischen der Information und der Person eine Beziehung hergestellt werden kann.

Die Eingabe der Koordinaten und eine zusätzliche Recherche über Suchmaschinen ermöglichte eine Identifizierung der betroffenen Person. In einem Fall konnten neben der Wohnanschrift sogar weitere Informationen wie die Handynummer erschlossen werden.

2. Artt. 24, 32 DS-GVO:
Der Verantwortliche ist verpflichtet, den Nachweis erbringen zu können, dass er am Risiko gemessene geeignete technische und organisatorische Maßnahmen zum Schutz vor Datenschutzverletzungen ergriffen hat (Art. 24 und 32 DS-GVO).

3. Art. 25 DS-GVO:
Aus Art. 25 DS-GVO ergibt sich die datenschutzrechtliche Anforderung, dem Datenschutz durch datenschutzfreundliche Technikgestaltung („privacy by design“) und Voreinstellungen („privacy by default“) Rechnung zu tragen. Maßstab für das angemessene Schutzniveau der zu ergreifenden Maßnahmen ist neben der Sensibilität der Verarbeitung auch der Stand der Technik.

4. Stand der Technik / Definition des BSI:
Als Konkretisierung des Standes der Technik für den Bereich der Datensicherheit stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutzkompendium bereit.  Dort werden allgemeine „Standard-Anforderungen“ festgehalten, die dem Stand der Technik entsprechen. Auch das Bereinigen von EXIF-Daten als Restinformationen bei einem Foto-Upload gehört nach den Feststellungen des BSI und zur Überzeugung des HmbBfDI zu solchen Standard-Anforderungen bei Onlineshop-Plattformen, die ein Foto-Upload zur Verfügung stellen. Demnach müssen sämtliche hochgeladene Bilder vollständig von ihren Metadaten befreit werden, bevor die Bilder dem eigentlichen Dienst zur Verfügung stehen und öffentlich einsehbar werden.

5. Risikoprognose:
Allein wegen der kontextuell sexuellen Ausrichtung der Plattform nahm die Behörde an, dass hohe Risiken durch mögliche Nachstellungen oder Diskriminierungen zu bedenken seien, die zu physischen – etwa durch zu befürchtende Gewaltstraftaten – aber auch zu materiellen (Kündigungen) oder immateriellen Schäden (Rufschädigung, Diskriminierungen) hätten führen können. Letzteres sei zu befürchten, wenn z.B. öffentlich bekannt gemacht würde, dass eine betroffene Person durch Angabe der Anschrift und ggf. des Namens, ihre wochenlang getragene und damit entsprechend stark riechende Unterwäsche auf einer Plattform zum Verkauf angeboten habe.

6. Unberechtigte Offenlegung:
Im Ergebnis nimmt der HmbBfDI schließlich eine unberechtigte Übermittlung bzw. Offenlegung an, worin sie zudem einen Verstoß gegen Art. 6 Abs. 1 i.V.m. Art. 5 Abs. 1 lit. a) DS-GVO erkennt. Die Offenlegung stelle eine Verarbeitung im Sinne des Art. 4 Nr. 2 DS-GVO dar, für welche es einer konkreten Rechtsgrundlage bedürfe. Maßgebend für eine Offenlegung an einen Dritten sei die Bekanntgabe, welche bei einem Bildupload im Internet der Fall sei, wenn ein Dritter diese Daten tatsächlich abrufe.

7. Fazit:
Wenn das Geschäftsmodell eines Verantwortlichen im Wesentlichen auch auf der Prämisse beruht, dass eine hundertprozentige Anonymität versprochen wird, sollte der Verantwortliche auch peinlich genau darauf achten, dass diese Anonymität tatsächlich gewährleistet wird. Hier war dies nicht der Fall.

(Foto: New Africa – stock.adobe.com)