Skip to content

Hamburger Datenschutzbeauftragter eröffnet Verwaltungsverfahren gegen Google wegen Google Assistant - Datenschutzrechtliche Prüfung von Sprachassistenzsystemen

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat ein Verwaltungsverfahren gegen Google wegen des Sprachassistenzsystems Google Assistant eingeleitet.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Sprachassistenzsysteme auf dem Prüfstand – Datenschutzbehörde eröffnet Verwaltungsverfahren gegen Google

Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. Google Assistant installiert ist.

Gestützt auf Mitschnitte, die von Whistleblowern zugespielt wurden, wurde in den Medien kürzlich berichtet, dass Google im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer von Menschen auswerten lässt, um die Spracherkennungsfähigkeit des Google Assistant zu optimieren. Bei diesen Auswertungen hören Mitarbeiter von Google bzw. von beauftragten Firmen die Sprachaufzeichnungen ab und transkribieren diese, um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden. Diese Praxis hat Google in seinem Blog dargestellt (https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/). Wie sich durch den Bericht der Whistleblower gezeigt hat, ließen sich den aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren erfolgte ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen. Damit sollen die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Zwar ist nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handelt es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google ist das die IDPC in Irland. Dennoch sieht die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Dies ist hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen kann nur durch einen zeitnahen Vollzug erreicht werden.

Google hat im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgen. Diese Zusicherung bezieht sich auf die EU insgesamt. Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: “Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen. Im Fall des Google Assistant bestehen daran gegenwärtig erhebliche Zweifel. Die Nutzung von Sprachassistenzsystemen muss in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist. Dabei geht es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich muss dem Erfordernis des Schutzes Dritter, die von den Sprachaufnahmen betroffen sind, hinreichend Rechnung getragen werden. Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind.“

VG Köln: Wahl-O-Mat darf in derzeitiger Form wegen der Benachteiligung kleiner und unbekannter Parteien nicht weiterbetrieben werden

VG Köln
Entscheidung vom 20.05.2019
6 L 1056/19


Das Verwaltungsgericht Köln hat entschieden, dass der Wahl-O-Mat in der derzeitigen Form wegen der Benachteiligung kleiner und unbekannter Parteien nicht weiterbetrieben werden darf.

Die Benachteiligung entsteht dadurch, dass die Auswertung auf lediglich 8 Parteien begrenzt ist. Hierdurch wird jedenfalls mittelbar das verfassungsrechtlich gewährleistete Recht auf Chancengleichheit gemäß Art. 21 Abs. 1 GG i.V.m. Art. 3 Abs. 1 GG verletzt.

BAG: Eine an sich rechtmäßige offene Videoüberwachung wird nicht unverhältnismäßig wenn diese zur Ahndung von Pflichtverletzungen erst Monate später ausgewertet wird

BAG
Urteil vom 23.08.2018
2 AZR 133/18


Das Bundesarbeitsgericht hat entschieden, dass eine an sich rechtmäßige offene Videoüberwachung wird nicht unverhältnismäßig, wenn diese zur Ahndung von Pflichtverletzungen erst Monate später ausgewertet wird


Die Pressemitteilung des Gerichts:

Offene Videoüberwachung - Verwertungsverbot

Die Speicherung von Bildsequenzen aus einer rechtmäßigen offenen Videoüberwachung, die vorsätzliche Handlungen eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers zeigen, wird nicht durch bloßen Zeitablauf unverhältnismäßig, solange die Ahndung der Pflichtverletzung durch den Arbeitgeber arbeitsrechtlich möglich ist. Die Klägerin war in einem vormals von dem Beklagten betriebenen Tabak- und Zeitschriftenhandel mit angeschlossener Lottoannahmestelle tätig. Dort hatte der Beklagte eine offene Videoüberwachung installiert. Mit den Aufzeichnungen wollte er sein Eigentum vor Straftaten sowohl von Kunden als auch von eigenen Arbeitnehmern schützen. Nach dem Vortrag des Beklagten wurde im 3. Quartal 2016 ein Fehlbestand bei Tabakwaren festgestellt. Bei einer im August 2016 vorgenommenen Auswertung der Videoaufzeichnungen habe sich gezeigt, dass die Klägerin an zwei Tagen im Februar 2016 vereinnahmte Gelder nicht in die Registrierkasse gelegt habe. Der Beklagte kündigte daraufhin das Arbeitsverhältnis der Parteien außerordentlich fristlos. Die Vorinstanzen haben der dagegen gerichteten Kündigungsschutzklage stattgegeben. Das Landesarbeitsgericht hat gemeint, die Erkenntnisse aus den Videoaufzeichnungen unterlägen einem Verwertungsverbot. Der Beklagte hätte die Bildsequenzen unverzüglich, jedenfalls deutlich vor dem 1. August 2016 löschen müssen. Auf die Revision des Beklagten hat der Zweite Senat des Bundesarbeitsgerichts das Berufungsurteil hinsichtlich des Kündigungsschutzantrags aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Landesarbeitsgericht zurückverwiesen. Sollte es sich - was der Senat nach den bisherigen Feststellungen nicht beurteilen kann - um eine rechtmäßige offene Videoüberwachung gehandelt haben, wäre die Verarbeitung und Nutzung der einschlägigen Bildsequenzen nach § 32 Abs. 1 Satz 1 BDSG aF* zulässig gewesen und hätte dementsprechend nicht das durch Art. 2 Abs. 1 iVm. Art. 1 Abs. 1 GG geschützte allgemeine Persönlichkeitsrecht der Klägerin verletzt. Der Beklagte musste das Bildmaterial nicht sofort auswerten. Er durfte hiermit solange warten, bis er dafür einen berechtigten Anlass sah. Sollte die Videoüberwachung rechtmäßig erfolgt sein, stünden auch die Vorschriften der seit dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung einer gerichtlichen Verwertung der erhobenen personenbezogenen Daten der Klägerin im weiteren Verfahren nicht entgegen.

Bundesarbeitsgericht, Urteil vom 23. August 2018 - 2 AZR 133/18 -Vorinstanz: Landesarbeitsgericht Hamm, Urteil vom 20. Dezember 2017 - 2 Sa 192/17

32 Abs. 1 Satz 1 BDSG in der bis zum 25. Mai 2018 geltenden Fassung (aF) lautet:
Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung eines Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.



Volltext LAG Berlin: Arbeitgeber darf Browserverlauf eines Arbeitnehmers auswerten und Daten für Kündigung wegen privater Internetnutzung am Arbeitsplatz verwenden

LAG Berlin-Brandenburg
Urteil vom 14.01.2016
5 Sa 657/15


Das LAG Berlin hat entschieden, dass ein Arbeitgeber den Browserverlauf eines Arbeitnehmers auswerten und die Daten für die Kündigung wegen unerlaubter privater Internetnutzung am Arbeitsplatz verwenden darf. Der Volltext der Entscheidung liegt nunmehr vor.

Aus den Entscheidungsgründen:

"Unter Verstoß gegen § 87 Abs. 1 Nr. 6 BetrVG hat die Beklagte die Verlaufsdaten nicht erlangt. Der Betriebsrat hat der der die Arbeitnehmer der Beklagten geltenden IT-Nutzerrichtlinie vom 03.07.2009 unstreitig zugestimmt. Diese sieht in Ziff. 3.3 eine vorübergehende Speicherung der Daten zum Zwecke der Missbrauchskontrolle vor. Da die Beklagte vorliegend bei der Auswertung des Browserverlaufs keine Stichprobenkontrolle, sondern eine Anlasskontrolle aufgrund eines sich nach Aussage des Zeugen B. aufgrund von Mitteilungen aus dem Kollegenkreis über die Internetnutzung des Klägers und der Nutzungsvolumenkontrolle im Firewall-Server der Beklagten ergebenden Missbrauchsverdachts erfolgte, stehen weder die Regelungen der Ziff. 3.3 der IT-Nutzerrichtlinie zur Stichprobenkontrolle noch der sich lediglich auf kollektive Maßnahmen beziehende § 87 Abs. 1 Nr. 6 BetrVG der Auswertung entgegen.

(e)

Vorschriften des TDG oder des TMG, auf die sich der Kläger beruft, stehen vorliegend der Erhebung, Verarbeitung oder Nutzung der Verlaufsdaten nicht entgegen. Das TDG ist am 01.03.2007 außer Kraft getreten. Auf das Vorliegen der Voraussetzungen der §§ 12 Abs. 3, 15 Abs. 8, 16 Abs. 2 Nr. 2, 5 TMG kommt es nicht an, weil diese Vorschriften gem. § 1 Abs. 1 i. V. m. § 3 Nr. 24 TKG nicht einschlägig sind. Die reine Zugangsvermittlung im Bereich des Internets stellt als Transportleistung eine Telekommunikationsleistung dar (Hoeren, NJW 2007, 801 ff., 802).

Auch § 88 Abs. 3 TKG ist hier nicht einschlägig. Hiernach ist es Diensteanbietern im Sinne von § 3 Nr. 6 TKG verboten, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste einschließlich des Schutzes ihrer technischen Systeme erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen. Der Arbeitgeber, der – vorliegend zu Gunsten des Klägers im Hinblick auf Ziff. 9 Abs. 2 S. 3 seines Arbeitsvertrages vom 12.06.2008 unterstellt – seinen Arbeitnehmern auch die private Nutzung dienstlicher Telekommunikationseinrichtungen gestattet, ist kein Diensteanbieter im Sinne des TKG (LAG Berlin-Brandenburg v. 16.02.2011, 4 Sa 2132/10, Rz. 36). Es liegt kein geschäftsmäßiges Erbringen von Telekommunikationsdienstleistungen im Sinne des § 3 Nrn. 6 und 10 TKG vor, wenn der Arbeitgeber seinen Arbeitnehmern die private Nutzung der Dienstrechner gestattet. § 3 Nr. 10 TKG setzt voraus, dass das Angebot von Telekommunikation an außerhalb der Sphäre des Diensteanbieters liegende Dritte gerichtet ist (Schütz, Beck`scher TKG-Kommentar, § 3 TKG, Rz. 33). Arbeitnehmer des Arbeitgebers sind nicht außerhalb seiner Sphäre stehende Dritte in diesem Sinne. Unabhängig davon schützt § 88 TKG lediglich die unkörperliche Übermittlung von Informationen an individuelle Empfänger mit Hilfe des Telekommunikationsverkehrs. Nach Abschluss des Übertragungsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherte Verbindungsdaten werden nicht durch § 88 TKG geschützt (LAG Berlin-Brandenburg a.a.O., Rz. 39; VGH Kassel v. 19.05.2009 – 6 A 2672/08.Z).

(f)

Doch selbst wenn vorliegend eine rechtswidrige Speicherung und Nutzung der in der Browserchronik des Rechners des Klägers gespeicherten Daten anzunehmen wäre, dürfen die Ergebnisse der durchgeführten Beweisaufnahme verwertet werden. Ein prozessuales Verwertungsverbot kommt auch bei rechtswidriger Beschaffung von Beweismitteln nur in Betracht, wenn in verfassungsrechtlich geschützte Grundpositionen des Beweisgegners eingegriffen werden, seine Einwilligung nicht vorliegt und durch die Verwertung von rechtswidrig erlangten Informationen oder Beweismitteln ein erneuter bzw. perpetuierender Eingriff in seine rechtlich geschützten, hochrangigen Positionen erfolgt und dies auch nicht durch schutzwürdige Interessen der Beklagten gerechtfertigt werden kann (LAG Hamm v. 10.07.2012 – 14 Sa 1711/10, Rz. 185). Das allgemeine Interesse an einer funktionstüchtigen Rechtspflege und das Interesse, sich ein Beweismittel für zivilrechtliche Ansprüche zu sichern, reichen dabei für sich betrachtet nicht aus, dem Verwertungsinteresse den Vorzug zu geben. Dafür bedarf es zusätzlicher Umstände. Sie können etwa darin liegen, dass sich der Beweisführer mangels anderer Erkenntnisquellen in einer Notwehrsituation oder einer notwehrähnlichen Lage befindet. Die besonderen Umstände müssen gerade die in Frage stehende Informationsbeschaffung und Beweiserhebung als gerechtfertigt ausweisen (BAG v. 20.06.2013 -2 AZR 546/12, Rz. 29). Gestattet der Arbeitgeber – was vorliegend zugunsten des Klägers erneut unterstellt werden kann – zwar die private Nutzung seiner elektronischen Ressourcen, weist aber zugleich – wie vorliegend in § 9 Abs. 4 S. 3 des Arbeitsvertrages vom 12.06.2008 – darauf hin, dass eine Überprüfung der entstehenden technischen Daten im Rahmen einer stichprobenartigen Kontrolle stattfindet, kann der Arbeitnehmer auch hinsichtlich der bei – ggf. zulässiger – Privatnutzung entstandenen Daten keine Vertraulichkeit erwarten. Für die Beurteilung einer Perpetuierung des Eingriffs in das allgemeine Persönlichkeitsrecht durch die Verwendung von entsprechenden Daten im Prozess ist von Bedeutung, dass seitens des Arbeitgebers die Gestattung einer Nutzung elektronischer Ressourcen im Verhältnis zum Mitarbeiter ausdrücklich nur in dieser Weise eingeschränkt erfolgte. Selbst wenn mangels Einwilligung oder datenschutzrechtlich einschlägiger Rechtsgrundlage von einer rechtswidrigen Datenerhebung auszugehen ist, überwiegt im Prozess das Interesse an der Verwertung der rechtswidrig erlangten Daten (LAG Hamm, a.a.O. Rz. 192 f.). Hinzu kommt, dass ein Missbrauch des dienstlichen Internetanschlusses jedenfalls im vorliegenden Falle nicht anders als durch die Verbindungsdaten nachgewiesen werden kann, da der Kläger das Internet in einem Einzelzimmer nutzte und Zeugen der Nutzung der Beklagten nicht zur Verfügung stehen. Gewährt der Arbeitgeber auf diese Weise einen Vertrauensvorschuss zur selbständigen und ordnungsgemäßen Erledigung der Arbeiten ohne soziale Kontrolle durch andere Arbeitnehmer, muss der Beschäftigte eine in der Auswertung personenbezogener Daten liegende Persönlichkeitsrechtsverletzung mit Rücksicht auf berechtigte Belange des Arbeitgebers hinnehmen (LAG Niedersachsen v. 31.05.2010 – 12 Sa 875/09, Rz. 46). Dass die Auswertung der Daten ohne Hinzuziehung des Klägers erfolgte, steht auch in diesem Zusammenhang ihrer Verwertung nicht entgegen, weil aus den genannten Gründen die Auswertung in dessen Beisein keinen milderen Eingriff in das Persönlichkeitsrecht darstellen würde."


Den Volltext der Entscheidung finden Sie hier:

Datenschützer prüfen Webseiten aus NRW auf rechtskonformen Einsatz von Google-Analytics

Nachdem zunächst Webseiten aus Bayern vom Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) auf den rechtskonformen Einsatz von Google Analytics überprüft wurden, sind die Datenschützer aus NRW nunmehr aktiv geworden und überprüfen den Einsatz von Google-Analytics auf nordrhein-westfälischen Webseiten.

BayLDA überprüft bayerische Webseiten auf datenschutzrechtlich konforme Einbindung von Google-Analytics

Das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) hat laut einer Pressemitteilung mit einer speziellen Software 13.404 Homepages auf den datenschutzkonformen Einsatz von Google Analytics überprüft.

In der Pressemitteilung des BayLDA heißt es weiter:

"Die Prüfung hatte zum Ergebnis, dass auf den geprüften 13.404 Webseiten bei 10.955 Google Analytics nicht eingesetzt wird und bei den 2.449 Webseiten bayerischer Anbieter, die Google Analytics nutzen, nur 78 (d.h. 3%) das Tracking-Programm datenschutzkonform einsetzen. Soweit der Einsatz nicht datenschutzkonform erfolgt, wird das BayLDA an die übrigen 2.371 Webseitenbetreiber herantreten, sie über das Ergebnis der Prüfung informieren und auffordern, den Einsatz des Programms gemäß den o.g. Vorgaben datenschutzkonform zu gestalten."


Die vollständige Pressemitteilung finden Sie hier: