Datenschutz auf Fetisch-Portalen
Datenschutz ist als Querschnittsmaterie bekannt. Dies wird typischerweise so verstanden, dass er in allen Fachbereichen erforderlich ist, d.h. unabhängig von der konkreten Anwendung überall dort, wo personenbezogene Daten auftreten.
Es ist also egal, ob die Verarbeitung von personenbezogenen Daten in einem ERP-System innerhalb eines Konzernverbundes, bei einer Bäckerei, im Kleintierzuchtverein – oder auf einem Fetisch-Portal für getragene Unterwäsche erfolgt.
Genau mit so einem Portal beschäftigt sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg (HmbBfDI) in seinem 29. Tätigkeitsbericht (Abschnitt V. 8.) und beschreibt das Geschäftsmodell in aller Nüchternheit wie folgt:
„Der HmbBfDI hat einen Bußgeldbescheid gegen ein Unternehmen erlassen, das einen Online-Marktplatz insbesondere für getragene Unterwäsche betreibt. Der Shop richtet sich an Kunden, die ein Interesse daran haben, unterschiedlich lange getragene Unterwäsche mit entsprechend intensivem Eigengeruch zu erwerben. Das Unternehmen wirbt damit, hundertprozentige Anonymität zu gewährleisten.“
Dass das Geschäftsmodell dem HmbBfDI zu Recht egal ist und es der Behörde ausschließlich um die Einhaltung datenschutzrechtlicher Anforderungen ankommt, lässt sich an der mustergültigen juristischen Prüfung und Subsumtion ablesen. Was war passiert?
Der HmbBfDI erhielt Hinweise, dass zahlreiche, auf dem Portal hochgeladene Fotos, GPS-Koordinaten von Nutzerinnen der Plattform enthielten. Eine Überprüfung bestätigte diesen Hinweis. Die Behörde konnte verifizieren, dass die Restinformationen bzw. Metadaten bei den hochgeladenen Fotos nicht bereinigt worden waren. Folglich konnten die Daten bei beliebigen Kartendiensten eingegeben und der genaue Standort ermittelt werden, an dem das Foto erstellt wurde. Teilweise waren zusätzlich Höheninformationen in den Bildern vermerkt, die eine grobe Aussage über das im Aufnahmemoment bewohnte Stockwerk ermöglichten. Die Zahl der betroffenen Personen belief sich im Kontrollzeitraum auf ca. 760 Frauen zwischen 18 und 50 Jahren. Auf den Amateuraufnahmen wurden die Betroffenen in Unterwäsche abgebildet. Bei einigen Fotos war auch das Gesicht erkennbar.
Folgende Verstöße und Erwägungen leitete der HmbBfDI daraus ab:
1. Exif-Infos bzw-. GPS-Daten als personenbezogene Daten:
Bei diesen GPS-Daten handelte es sich teilweise um personenbezogene Daten im Sinne des Art. 4 Nr. 1 Alt. 2 DS-GVO. Für den Personenbezug einer Information reicht es danach aus, wenn die betroffene Person identifizierbar ist, wenn also durch eine Anzahl von weiteren Verarbeitungsschritten oder durch Zusatzwissen zwischen der Information und der Person eine Beziehung hergestellt werden kann.
Die Eingabe der Koordinaten und eine zusätzliche Recherche über Suchmaschinen ermöglichte eine Identifizierung der betroffenen Person. In einem Fall konnten neben der Wohnanschrift sogar weitere Informationen wie die Handynummer erschlossen werden.
2. Artt. 24, 32 DS-GVO:
Der Verantwortliche ist verpflichtet, den Nachweis erbringen zu können,
dass er am Risiko gemessene geeignete technische und organisatorische Maßnahmen
zum Schutz vor Datenschutzverletzungen ergriffen hat (Art. 24 und 32 DS-GVO).
3. Art. 25 DS-GVO:
Aus Art. 25 DS-GVO ergibt sich die datenschutzrechtliche Anforderung, dem
Datenschutz durch datenschutzfreundliche Technikgestaltung („privacy by
design“) und Voreinstellungen („privacy by default“) Rechnung zu tragen.
Maßstab für das angemessene Schutzniveau der zu ergreifenden Maßnahmen ist
neben der Sensibilität der Verarbeitung auch der Stand der Technik.
4. Stand der Technik / Definition des BSI:
Als Konkretisierung des Standes der Technik für den Bereich der
Datensicherheit stellt das Bundesamt für Sicherheit in der Informationstechnik
(BSI) das IT-Grundschutzkompendium bereit.
Dort werden allgemeine „Standard-Anforderungen“ festgehalten, die dem
Stand der Technik entsprechen. Auch das Bereinigen von EXIF-Daten als
Restinformationen bei einem Foto-Upload gehört nach den Feststellungen des BSI
und zur Überzeugung des HmbBfDI zu solchen Standard-Anforderungen bei
Onlineshop-Plattformen, die ein Foto-Upload zur Verfügung stellen. Demnach
müssen sämtliche hochgeladene Bilder vollständig von ihren Metadaten befreit
werden, bevor die Bilder dem eigentlichen Dienst zur Verfügung stehen und
öffentlich einsehbar werden.
5. Risikoprognose:
Allein wegen der kontextuell sexuellen Ausrichtung der Plattform nahm die
Behörde an, dass hohe Risiken durch mögliche Nachstellungen oder
Diskriminierungen zu bedenken seien, die zu physischen – etwa durch zu
befürchtende Gewaltstraftaten – aber auch zu materiellen (Kündigungen) oder
immateriellen Schäden (Rufschädigung, Diskriminierungen) hätten führen können.
Letzteres sei zu befürchten, wenn z.B. öffentlich bekannt gemacht würde, dass
eine betroffene Person durch Angabe der Anschrift und ggf. des Namens, ihre
wochenlang getragene und damit entsprechend stark riechende Unterwäsche auf
einer Plattform zum Verkauf angeboten habe.
6. Unberechtigte Offenlegung:
Im Ergebnis nimmt der HmbBfDI schließlich eine unberechtigte Übermittlung
bzw. Offenlegung an, worin sie zudem einen Verstoß gegen Art. 6 Abs. 1 i.V.m.
Art. 5 Abs. 1 lit. a) DS-GVO erkennt. Die Offenlegung stelle eine Verarbeitung
im Sinne des Art. 4 Nr. 2 DS-GVO dar, für welche es einer konkreten
Rechtsgrundlage bedürfe. Maßgebend für eine Offenlegung an einen Dritten sei
die Bekanntgabe, welche bei einem Bildupload im Internet der Fall sei, wenn ein
Dritter diese Daten tatsächlich abrufe.
7. Fazit:
Wenn das Geschäftsmodell eines Verantwortlichen im Wesentlichen auch auf der Prämisse beruht, dass eine hundertprozentige Anonymität versprochen wird, sollte der Verantwortliche auch peinlich genau darauf achten, dass diese Anonymität tatsächlich gewährleistet wird. Hier war dies nicht der Fall.
(Foto: New Africa – stock.adobe.com)
Letztes Update:27.09.21
Verwandte Produkte
-
Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz
Seminar
696,15 € Mehr erfahren
Das könnte Sie auch interessieren
-
Folge 95: Ein „KI-Seepferdchen“ für alle – Befähigung und Schutz in der digitalen Welt
Das „KI-Seepferdchen“ wurde von der unabhängigen Expertenkommission „Kinder und Jugendschutz in der digitalen Welt“ im Juni 2026 als Maßnahme vorgeschlagen. Es geht darum, Kinder schon im Grundschulalter mit den Möglichkeiten und Risiken von KI in Form von Chatbots vertraut zu machen. Die Vermittlung von KI-Kompetenz ist eine Rechtspflicht auch für Schulen und Schulträger. Die Expertenkommission
Mehr erfahren -
Folge 94: KI-Reallabore, Kinder und Gesundheit
Die unabhängige Expertenkommission „Kinder- und Jugendschutz in der digitalen Welt“ hat am 24. Juni 2026 ihre Handlungsempfehlungen vorgelegt. Der Bericht trägt den Titel „Entwicklung stärken, Verantwortung übernehmen“ und befasst sich insbesondere mit den Auswirkungen Künstlicher Intelligenz auf Kinder und Jugendliche. Markus Beckedahl, der Gründer des Zentrums für Digitalrechte und Demokratie, diskutiert das „KI-Seepferdchen“ (HE 12),
Mehr erfahren -
Koalitionsausschuss beschließt „Vereinfachung“ des Datenschutzrechts
Koalitionsausschuss beschließt Vereinfachung des Datenschutzrechts Im Rahmen des am 2. Juli 2026 vorgestellten Reformpakets „Ein Programm für Aufschwung und Beschäftigung“ haben CDU/CSU und SPD unter Punkt 14 weitreichende Änderungen im Bereich Datenschutz angekündigt. Unter der Überschrift „Moderner Datenschutz für mehr Wachstum“ kündigt die Koalition an, den nationalen Datenschutz zu vereinfachen und die in der DS-GVO
Mehr erfahren




