Skip to content

Hamburger Datenschutzbeauftragter eröffnet Verwaltungsverfahren gegen Google wegen Google Assistant - Datenschutzrechtliche Prüfung von Sprachassistenzsystemen

Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat ein Verwaltungsverfahren gegen Google wegen des Sprachassistenzsystems Google Assistant eingeleitet.

Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit:

Sprachassistenzsysteme auf dem Prüfstand – Datenschutzbehörde eröffnet Verwaltungsverfahren gegen Google

Die Nutzung von automatischen Sprachassistenten von Anbietern wie Google, Apple und Amazon erweist sich als hoch risikoreich für die Privat- und Intimsphäre von Betroffenen. Dies gilt nicht nur für Personen, die einen Sprachassistenten betreiben, sondern für alle, die damit in Kontakt kommen, etwa wenn sie in einem Haushalt leben, in dem Geräte verwendet werden, auf denen z.B. Google Assistant installiert ist.

Gestützt auf Mitschnitte, die von Whistleblowern zugespielt wurden, wurde in den Medien kürzlich berichtet, dass Google im Rahmen seines Sprachassistenten Google Home akustische Aufnahmen der Nutzer von Menschen auswerten lässt, um die Spracherkennungsfähigkeit des Google Assistant zu optimieren. Bei diesen Auswertungen hören Mitarbeiter von Google bzw. von beauftragten Firmen die Sprachaufzeichnungen ab und transkribieren diese, um zu analysieren, ob die aufgenommenen akustischen Informationen von dem dahinter stehenden KI-System korrekt verarbeitet wurden. Diese Praxis hat Google in seinem Blog dargestellt (https://www.blog.google/products/assistant/more-information-about-our-processes-safeguard-speech-data/). Wie sich durch den Bericht der Whistleblower gezeigt hat, ließen sich den aufgezeichneten Gesprächen – zum Teil sensible – personenbezogene Informationen aus der Privat- und Intimsphäre der Betroffenen durch die von Google beauftragten Mitarbeiter entnehmen. Des Weiteren erfolgte ein nicht unerheblicher Teil der Aufnahmen aufgrund fehlerhafter Aktivierung.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat vor diesem Hintergrund ein Verwaltungsverfahren eröffnet, um Google zu untersagen, entsprechende Auswertungen durch Mitarbeiter oder Dritte für den Zeitraum von drei Monaten vorzunehmen. Damit sollen die Persönlichkeitsrechte der Betroffenen zunächst vorläufig geschützt werden.

Zwar ist nach der Datenschutzgrundverordnung (DSGVO) für Anordnungen zunächst die sogenannte federführende Aufsichtsbehörde zuständig. Dabei handelt es sich um die Behörde in dem Mitgliedstaat, in dem die Hauptniederlassung der verantwortlichen Stelle liegt. Für Google ist das die IDPC in Irland. Dennoch sieht die DSGVO für Datenschutzbehörden in anderen Mitgliedstaaten auch die Möglichkeit vor, für einen Zeitraum von höchstens drei Monaten Maßnahmen in ihrem Hoheitsgebiet oder Zuständigkeitsbereich zu treffen, falls ein dringender Handlungsbedarf zum Schutz von Rechten und Freiheiten Betroffener besteht. Dies ist hier der Fall, denn ein effektiver Schutz Betroffener vor dem Abhören, Dokumentieren und dem Auswerten privater Gespräche durch dritte Personen kann nur durch einen zeitnahen Vollzug erreicht werden.

Google hat im Rahmen dieses Verwaltungsverfahrens gegenüber dem HmbBfDI erklärt, dass bereits gegenwärtig und für die Dauer von mindestens drei Monaten ab dem 1. August 2019 Transkriptionen von Sprachaufnahmen nicht mehr erfolgen. Diese Zusicherung bezieht sich auf die EU insgesamt. Insoweit sollten nun auch die zuständigen Behörden für andere Anbieter von Sprachassistenzsystemen, wie Apple oder Amazon, zügig überprüfen, entsprechende Maßnahmen umzusetzen.

Dazu Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: “Der Einsatz von Sprachassistenzsystemen in der EU muss den Datenschutzvorgaben der DSGVO folgen. Im Fall des Google Assistant bestehen daran gegenwärtig erhebliche Zweifel. Die Nutzung von Sprachassistenzsystemen muss in einer transparenten Weise erfolgen, so dass eine informierte Einwilligung der Nutzer möglich ist. Dabei geht es insbesondere um die Bereitstellung ausreichender Informationen und um eine transparente Aufklärung Betroffener über die Verarbeitung der Sprachbefehle, aber auch über die Häufigkeit und die Risiken von Fehlaktivierungen. Schließlich muss dem Erfordernis des Schutzes Dritter, die von den Sprachaufnahmen betroffen sind, hinreichend Rechnung getragen werden. Zunächst sind nun weitere Fragen über die Funktionsweise des Sprachanalysesystems zu klären. Die Datenschutzbehörden werden dann über endgültige Maßnahmen zu entscheiden haben, die für einen datenschutzkonformen Betrieb erforderlich sind.“

VG Hamburg: Facebook darf voraussichtlich Klarnamenpflicht beibehalten - aufschiebende Wirkung des Widerspruchs gegen Bescheid des Hamburger Datenschutzbeauftragten

VG Hamburg
Beschluss vom 03.03.2016
15 E 4482/15


Das Verwaltungsgericht Hamburg hat entschieden, dass Facebook voraussichtlich die Klarnamenpflicht beibehalten darf und keine Pflicht besteht, die Nutzung per Pseudonym zu ermöglichen. Das Gericht hat die aufschiebende Wirkung des Widerspruchs gegen den entsprechenden Bescheid des Hamburger Datenschutzbeauftragten wiederhergestellt. Das Gericht geht davon aus, dass kein deutsches Datenschutzrecht auf die Fallkonstellation anzuwenden ist, da die streitgegenständliche Datenverarbeitung nicht von der Niederlassung Facebook Deutschland durchgeführt wird.

Aus den Entscheidungsgründen:

"Der zulässige, insbesondere gemäß § 80 Abs. 5 Satz 1 Var. 2 VwGO statthafte Antrag auf Wiederherstellung der aufschiebenden Wirkung des Widerspruchs der Antragstellerin ist auch begründet. In der Sache überwiegt das Interesse der Antragstellerin, von der sofortigen Vollziehung der streitigen Anordnung des Datenschutzbeauftragten vorläufig verschont
zu bleiben, das Interesse der Öffentlichkeit an deren sofortigen Vollziehung. Denn nach summarischer Prüfung unter Berücksichtigung des bisherigen Sach- und Streitstandes dürfte der Widerspruch der Antragstellerin Erfolg haben. Die angefochtene Anordnung des Datenschutzbeauftragten ist voraussichtlich rechtswidrig.

1. Die angegriffene Anordnung ist voraussichtlich materiell rechtswidrig. Mangels Anwendbarkeit materieller deutscher datenschutzrechtlicher Bestimmungen auf die angegriffene Datenverarbeitung vermag insbesondere ein Verstoß gegen § 13 Abs. 6 TMG den Erlass der Anordnung nicht zu rechtfertigen.

[...]

Nach vorstehenden Maßstäben sind auf die streitige Datenverarbeitung deutsche datenschutzrechtliche Bestimmungen nicht anzuwenden, da die streitige Datenverarbeitung nach dem der Entscheidung zugrunde zu legenden Sachverhalt mit der Tätigkeit der Niederlassung F.s bzw. der Antragstellerin in Dublin am engsten verbunden ist. Dies ist vor allem aufgrund des vorgelegten Data Transfer and Processing Agreement und des übrigen unstreitigen Vorbringens der Antragstellerin zu ihrer geschäftlichen Tätigkeit in Dublin und der geschäftlichen Tätigkeit von F. Germany anzunehmen. Nicht F. Germany, sondern die Antragstellerin ist gemäß den Nutzungsbedingungen Vertragspartnerin der Betroffenen. Die Antragstellerin verwaltet auch die Nutzerkonten, greift auf sie zu und sperrt sie in Fällen wie dem vorliegenden, wenn Zweifel an der Identität des Inhabers des Nutzerkontos aufkommen. Demgegenüber ist die Tätigkeit von F. Germany lediglich mittelbar, vor allem wirtschaftlich, mit der streitigen Datenverarbeitung verbunden. "



Den Volltext der Entscheidung finden Sie hier:

VG Neustadt: Landesdatenschutzbeauftragter ist gegenüber Bürgern im Rahmen seiner Beratungs- und Informationstätigkeit nicht an Fristen gebunden

VG Neustadt
Beschluss vom 22.12.2015
4 K 867/15.NW


Das VG Neustadt hat entschieden, dass der Landesdatenschutzbeauftragte gegenüber Bürgern im Rahmen seiner Beratungs- und Informationstätigkeit nicht an Fristen gebunden ist.

Aus den Entscheidungsgründen:

"1. Nach § 75 VwGO ist eine Untätigkeitsklage zulässig, wenn über einen Widerspruch oder über einen Antrag auf Vornahme eines Verwaltungsakts ohne zureichenden Grund in angemessener Frist sachlich nicht entschieden worden ist. Hier fehlt es sowohl an einem Widerspruch des Klägers als auch an einem Antrag auf Vornahme eines Verwaltungsakts. Denn der Kläger begehrte mit seinem Antrag vom 7. Oktober 2014 nicht den Erlass eines Verwaltungsakts im Sinne des § 1 Landesverwaltungsverfahrensgesetz – LVwVfG – i.V.m. § 35 Verwaltungsverfahrensgesetz – VwVfG –.

Gemäß § 24 Abs. 8 Landesdatenschutzgesetz – LDSG – berät und informiert der LDI die Bürgerinnen und Bürger in Fragen des Datenschutzes und der Datensicherheit, insbesondere über die ihnen bei der Verarbeitung ihrer Daten zustehenden Rechte und über geeignete Maßnahmen des Selbstdatenschutzes. Nach § 29 Abs. 1 LDSG können Betroffene sich jederzeit unmittelbar an den LDI wenden, wenn sie der Ansicht sind, bei der Verarbeitung ihrer personenbezogenen Daten in ihren Rechten verletzt worden zu sein. Diese Zugangsmöglichkeit zum LDI stellt, worauf der Beklagte zutreffend hingewiesen hat, eine besondere Ausprägung des Petitionsrechts nach Art. 11 LV dar. In der Rechtsprechung ist geklärt, dass auf Petitionen und Dienstaufsichtsbeschwerden ergehende Bescheide keine Verwaltungsakte sind (vgl. nur BVerwG, Beschluss vom 1. September 1976 – VII B 101.75 –, NJW 1977, 118 m.w.N.; Bay. VGH, Beschluss vom 11. September 2000 – 12 ZC 00.2290 –, juris). Ein Petitionsbescheid regelt nichts mit unmittelbarer rechtlicher Außenwirkung, sondern stellt nur die tatsächliche Erfüllung der Verpflichtung aus Art 17 Grundgesetz – GG – bzw. Art. 11 LV dar. Nach der zuletzt genannten Vorschrift hat jedermann das Recht, sich mit Eingaben an die Behörden oder an die Volksvertretung zu wenden. Dieses Recht, das unabhängig von den gegen die Behördenentscheidungen eröffneten gerichtlichen Rechtsschutzmöglichkeiten besteht (VerfGH RP, Beschluss vom 27. September 2002 – VGH B 21/02 –), beinhaltet nur den Anspruch des Grundrechtsträgers auf Entgegennahme seiner Petition, auf (sachliche) Befassung mit seiner Eingabe und auf Bescheidung der Eingabe, aus der ersichtlich wird, dass und mit welchem Ergebnis sie behandelt wurde (BVerfG, Beschluss vom 15. Mai 1992 – 1 BvR 1553/90 –, NJW 1992, 3033; BVerfG; Beschluss vom 26. März 2007 – 1 BvR 138/07 –, juris; Hess. VGH, Beschluss vom 20. März 2013 – 7 D 225/13 –, LKRZ 2013, 284). Art. 11 LV gewährt aber kein Recht auf Erledigung der Petition im Sinne des Petenten und auch keinen Anspruch darauf, Art und Umfang der sachlichen Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen (BVerfG, Beschluss vom 15. Mai 1992 – 1 BvR 1553/90 –, NJW 1992, 3033, VerfGH Rh-Pf, Beschluss vom 27. Juli 2001 – VGH B 11/01 – sowie Beschluss vom 4. Oktober 1999 – VGH B 9/99 –). Auch Art 19 Abs. 4 Satz 1 GG gebietet nicht die Zulassung von Anfechtungsklagen gegen ablehnende Petitionsbescheide oder Verpflichtungsklagen auf Erlass von positiven Petitionsbescheiden.

Ist die Untätigkeitsklage des Klägers daher von vornherein unstatthaft, muss sich das Gericht nicht mehr mit der Frage auseinander setzen, ob sich das diesbezügliche Verfahren mit Übersendung der Stellungnahme des Beklagten vom 11. September 2015 erledigt hat.


2. Auch wenn man das Begehren des Klägers als Leistungsklage auslegt, hat diese keine hinreichende Aussicht auf Erfolg. Der Kläger hat zwar einen mit der allgemeinen Leistungsklage durchsetzbaren Anspruch auf Erteilung eines informatorischen Bescheides über die Art und Weise der Erledigung seiner Petition (vgl. OVG Nordrhein-Westfalen, Beschluss vom 25. März 2015 – 15 E 94/15 –, NVwZ-RR 2015, 544; Hess. VGH, Beschluss vom 20. März 2013 – 7 D 225/13 –, LKRZ 2013, 284; Brocker, in: Epping/Hillgruber, Beck'scher Online-Kommentar GG, Stand 1. September 2015, Art. 17 Rn. 29). Wie oben bereits ausgeführt, gewährt Art. 11 LV aber kein Recht auf Erledigung der Petition im Sinne des Petenten und auch keinen Anspruch darauf, Art und Umfang der sachlichen Prüfung der Petition einer gerichtlichen Kontrolle zu unterziehen. Denn dann erhielte das Petitionsrecht die Funktion einer Popularklage. Der Beklagte hat im Übrigen den Anspruch des Klägers auf Entgegennahme seiner Petition, auf sachliche Befassung mit seiner Eingabe und auf Bescheidung der Eingabe, aus der ersichtlich wird, dass und mit welchem Ergebnis sie behandelt wurde, spätestens mit am 11. September 2015 übersandten Schreiben erfüllt.


3. Die Klage hat schließlich auch dann keine hinreichende Aussicht auf Erfolg, wenn man das Begehren dahingehend auslegt, festzustellen, dass der Beklagte verpflichtet war, innerhalb einer Frist von drei Monaten über den Antrag des Klägers vom 7. Oktober 2014 zu entscheiden.


Zum einen hat der Kläger weder ein besonderes Interesse für die Feststellung eines in der Vergangenheit liegenden Rechtsverhältnisses (z.B. Rehabilitationsinteresse, Wiederholungsgefahr oder tiefgreifender Grundrechtseingriff, vgl. Kopp/Schenke VwGO, 21. Auflage 2015, § 43 Rn. 25 und § 113 Rn. 136 ff.) dargetan noch ist ein solches Interesse für die Kammer ersichtlich. Infolgedessen ist eine solche Feststellungsklage schon unzulässig.

Zum anderen bestehen auch in der Sache keine Erfolgsaussichten für eine solche Klage. Der LDI ist im Rahmen seiner Beratungs- und Informationstätigkeit gegenüber den Bürgerinnen und Bürgern in Fragen des Datenschutzes und der Datensicherheit nicht an gesetzliche Fristen gebunden. Es kommt daher auf die konkreten Umstände des Einzelfalles an, innerhalb welcher Frist der LDI einen Petenten zu bescheiden hat (vgl. näher dazu, dass sich dem Grundgesetz keine allgemein gültigen Zeitvorgaben dafür entnehmen lassen, wann von einer unangemessenen Verfahrensdauer auszugehen ist BVerfG, Beschluss vom 8. Dezember 2015 – 1 BvR 99/11 – Vz 1/15 –, juris). Vorliegend gab der LDI, nachdem sich der Kläger mit seinem Begehren am 7. Oktober 2014 an die Dienststelle des LDI gewandt und um datenschutzrechtliche Überprüfung der Sparkasse ………., Filiale ……… gebeten hatte, dem Kläger schon nach nur neun Tagen eine datenschutzrechtliche Einschätzung zu den aufgeworfenen Fragen ab. Zugleich wies der LDI darauf hin, vor einer abschließenden Bewertung sei zunächst die Stellungnahme der Sparkasse einzuholen."

Stiftung Datenschutz vom Bundestag auf den Weg gebracht - Datenschutz-TÜV kommt

Der Bundestag hat die Errichtung der Stiftung Datenschutz beschlossen und auf den Weg gebracht. Auch die Stiftung wird die Probleme des deutschen und europäischen Datenschutzrechts leider nicht lösen. Immerhin sieht der Gesetzgeber die Notwendigkeit neue Instrumente und Institutionen zu schaffen.

In der dazugehörigen BT-Drucksache 17/10092 heißt es :

Der Deutsche Bundestag fordert die Bundesregierung auf,
1. das Stiftungsgeschäft zur Errichtung der Stiftung Datenschutz in Leipzig bis Oktober 2012
vorzunehmen und zügig die Anerkennung bei der zuständigen Stiftungsaufsicht zu beantragen
sowie vorbehaltlich der Entscheidung der Stiftungsaufsicht die Voraussetzungen für die Aufnahme
des Stiftungsbetriebs zum nächstmöglichen Zeitpunkt zu schaffen,

2. auch bei der Auswahl des Gründungsvorstands der Stiftung Datenschutz und der Besetzung
des Verwaltungsrates das Vertrauen der Bürgerinnen und Bürger in die Institution und ihre
Unabhängigkeit zu stärken,

3. bei der Wahrnehmung ihrer Aufgaben als Stifterin die Stiftung Datenschutz dauerhaft darin zu
unterstützen, gemeinsam mit der Wirtschaft, der Zivilgesellschaft sowie anderen Akteuren im
Bereich des Datenschutzes innovative und zukunftsfähige Konzepte zu entwickeln,

4. sich auch künftig im Rahmen der zur Verfügung stehenden Haushaltsmittel gemeinsam mit
der Wirtschaft für eine ausreichende finanzielle Basis der Stiftung einzusetzen,

5. gemeinsam mit den Ländern die Arbeit der Stiftung Datenschutz im Bereich der schulischen
wie außerschulischen Bildung und Aufklärung zu unterstützen.