Datenschutzaufsicht prüft IAS-Vorfall |
 |  | Alexander Müller |
 |
06.08.2024 11:00 Uhr |
Mit dem Registrierungsprozess zur Welt-Aids-Konferenz in München befasst sich jetzt die bayerische Landesdatenschutzaufsicht. / Foto: IMAGO/Wolfgang Maria Weber
Ende Juli fand die Welt-Aids-Konferenz in München statt. Veranstalter ist die Internationale Aids-Gesellschaft (IAS) mit Sitz in Genf in der Schweiz. Um sich für die Konferenz zu registrieren, müssen Teilnehmerinnen und Teilnehmer zunächst ein IAS-Konto anlegen. Namen und E-Mail-Adresse werden erfragt, aber auch, mit welchem Geschlecht sich die Person identifiziert und was ihre sexuelle Orientierung ist. Die Option »keine Angabe« gibt es zwar, doch nur das Feld für die Telefonnummer ist als optionale Angabe gekennzeichnet.
Die abgefragten personenbezogenen Daten zählen zu den besonders sensiblen personenbezogenen Daten gemäß Art. 9 Datenschutz-Grundverordnung (DSGVO), und weil die Konferenz in München abgehalten wurde, sind die besondere Voraussetzungen für diese Daten gemäß DSGVO auch zu beachten.
Selbst wenn die Daten nur für statistische Zwecke genutzt werden, müssten die Teilnehmer eine klar als solche gekennzeichnete Einwilligungserklärung abgeben. Checkboxen reichen dafür nach Ansicht der Datenschutzaufsichtsbehörden in der Regel nicht aus.
Das Bayerisches Landesamt für Datenschutzaufsicht (LDA) als für die Veranstaltung zuständige Behörde wird den Sachverhalt laut einer Sprecherin »in einem amtswegigen Verfahren aufgreifen und insbesondere prüfen, ob die Anforderungen an eine wirksame Einwilligung vorliegend erfüllt sind«. Wird ein datenschutzrechtlicher Verstoß festgestellt, würden Maßnahmen nach Art. 58 Abs. 2 DSGVO ergriffen. Das LDA werde in diesem Fall auch die Einleitung eines Bußgeldverfahrens in Betracht ziehen. Zum Verlauf des Verfahrens und auch zum späteren Ergebnis teilt die Behörde aber nichts mit.
Gegenüber der PZ hatte ein IAS-Sprecher darauf hingewiesen, dass die Angaben freiwillig seien und die Abfrage der IAS-Datenschutzrichtlinie unterliege. »Wir teilen diese Daten nicht außerhalb der Organisation oder mit dem Registrierungspersonal, sie werden intern zur Programmgestaltung verwendet«, so der Sprecher.
Datenschutzexperten äußern dagegen Zweifel, dass die Zweckangabe zur Verarbeitung der personenbezogenen Daten in der Datenschutzerklärung auf der IAS-Seite ausreichen. Außerdem heißt es in den Datenschutzhinweisen sehr wohl, dass die Daten an Dritte weitergegeben werden können. Nicht erkennbar ist dabei, welche Daten zu welchen Zwecken weitergegeben werden und an wen. Das muss nicht heißen, dass die hochpersönlichen Informationen tatsächlich geteilt werden, es liegen aber schlicht keine ausreichenden Informationen darüber vor.
Rechtsanwalt Christian Solmecke von der Kölner Medienrechtskanzlei WBS.LEGAL sieht den Registrierungsprozess mit Blick auf Art. 9 DSGVO ebenfalls kritisch. Ganz offensichtliche Verstöße gegen die Anforderung der Einwilligung sieht er zwar nicht – wegen der Option, die Angabe zu verweigern. »Dennoch irritiert es zumindest, dass die Angabe zu diesen sensiblen Daten ein Pflichtfeld ist. Man muss sich also damit auseinandersetzen und aktiv sagen, dass man keine Angabe machen will. Das könnte der Freiwilligkeit im Wege stehen, weil es in die Richtung eines ›Opt-outs‹ geht«, so Solmecke zur PZ.
Rechtlich sicherer wäre es aus Sicht des Anwalts gewesen, dieses Feld nicht als Pflichtfeld auszugestalten, sodass Nutzer entscheiden können, ob sie sich mit dieser Frage überhaupt auseinandersetzen möchten oder nicht. »Insofern bin ich gespannt, ob die Datenschutzbehörde die aktuelle Ausgestaltung als ausreichend ansehen wird. Das ist eine Frage des Einzelfalls«, so Solmecke.
