Wird online auf der Webseite eine Foto-upload-Funktion bereitgestellt, müssen die Metadaten wie z.B. GPS-Daten bereinigt werden. Andernfalls könnten in einem sensiblen Kontext diese Metadaten von unbefugten Dritten mit Schädigungsabsicht genutzt werden.
Der HmbBfDI hat einen Bußgeldbescheid gegen ein Unternehmen erlassen, das einen Online-Marktplatz insbesondere für getragene Unterwäsche betreibt. Der Shop richtet sich an Kunden, die ein Interesse daran haben, unterschiedlich lange getragene Unterwäsche mit entsprechend intensivem Eigengeruch zu erwerben. Das Unternehmen wirbt damit, hundertprozentige Anonymität zu gewährleisten.
Anlass für die Eröffnung des Bußgeldverfahrens war ein Hinweis eines besorgten Bürgers, welcher dem HmbBfDI zahlreiche GPS-Koordinaten von Nutzerinnen der Plattform zur Verfügung stellte.
Eine Überprüfung hat ergeben, dass die Restinformationen bzw. Metadaten bei den hochgeladenen Fotos nicht bereinigt worden waren. Folglich konnten die Daten bei beliebigen Kartendiensten eingegeben und der genaue Standort ermittelt werden, an dem das Foto erstellt wurde. Teilweise waren zusätzlich Höheninformationen in den Bildern vermerkt, die eine grobe Aussage über das im Aufnahmemoment bewohnte Stockwerk ermöglichten.
Die Zahl der betroffenen Personen belief sich im Kontrollzeitraum auf ca. 760 Frauen zwischen 18 und 50 Jahren. Auf den Amateuraufnahmen werden die Betroffenen in Unterwäsche abgebildet. Bei einigen Fotos ist auch das Gesicht erkennbar.
Der Verantwortliche ist verpflichtet, den Nachweis erbringen zu können, dass er am Risiko gemessene geeignete technische und organisatorische Maßnahmen zum Schutz vor Datenschutzverletzungen ergriffen hat (Art. 24 und 32 DSGVO). Daneben verlangt Art. 25 DSGVO dem Datenschutz durch datenschutzfreundliche Technikgestaltung („privacy by design“) und Voreinstellungen („privacy by default“) Rechnung zu tragen. Maßstab für das angemessene Schutzniveau der zu ergreifenden Maßnahmen ist neben der Sensibilität der Verarbeitung auch der Stand der Technik.
Eine Upload-Funktion für Bilder gehört seit Jahren zum Standard aktueller Web-Technologien. Bei der Plattform besteht der Dienst konkret darin, dass angemeldete Nutzer Fotos von Unterwäsche u.ä. hochladen können. Zumeist wurden zur Aufnahme der Fotos Smartphones bzw. andere mobile Endgeräte oder Digitalkameras genutzt. Dabei ist es häufig eine Standardeinstellung, dass die Kamera-Apps der Smartphones bzw. GPS-Module der Kameras neben dem eigentlichen Bild auch zusätzliche Informationen in die Bilddatei speichert, die sog. Exchangeable Image File Format (EXIF-Daten). Mittels dieser EXIF-Daten ist eine ziemlich genaue Lokalisierung möglich, womit ein hohes Sicherheits- und Vertraulichkeitsrisiko einhergehen kann. Diese Art von Informationen wird seit der Erstveröffentlichung dieses Standards im Jahre 1995 in immer mehr Geräten mit optischen Sensoren eingesetzt und ist heutzutage de facto in sämtlichen Smartphones und Tablets mit Kamera und digitalen Kamerasystemen zu finden. Inhalt dieser EXIF-Daten können verschiedene Metadaten, darunter auch die GPS-Daten (Standortinformationen) in der Bilddatei, sein.
Als Konkretisierung des Standes der Technik für den Bereich der Datensicherheit stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) das IT-Grundschutzkompendium bereit. Dort werden allgemeine „Standard-Anforderungen“ festgehalten, die dem Stand der Technik entsprechen. Auch das Bereinigen von EXIF-Daten als Restinformationen bei einem Foto-Upload gehört nach den Feststellungen des BSI und zur Überzeugung des HmbBfDI zu solchen Standard-Anforderungen bei Onlineshop-Plattformen, die ein Foto-Upload zur Verfügung stellen. Demnach müssen sämtliche hochgeladene Bilder vollständig von ihren Metadaten befreit werden, bevor die Bilder dem eigentlichen Dienst zur Verfügung stehen und öffentlich einsehbar werden.
Bei diesen GPS-Daten handelte es sich teilweise um personenbezogene Daten im Sinne des Art. 4 Nr. 1 Alt. 2 DSGVO. Für den Personenbezug einer Information reicht es danach aus, wenn die betroffene Person identifizierbar ist, wenn also durch eine Anzahl von weiteren Verarbeitungsschritten oder durch Zusatzwissen zwischen der Information und der Person eine Beziehung hergestellt werden kann. Bei der großen Anzahl von nicht bereinigten Fotos mit Standortdaten war im Rahmen einer Stichprobe eine Identifizierbarkeit mehrerer Betroffener mit verhältnismäßig geringem Aufwand möglich. Die Eingabe der Koordinaten und eine zusätzliche Recherche über Suchmaschinen ermöglichte eine Identifizierung der betroffenen Person. In einem Fall konnten neben der Wohnanschrift sogar weitere Informationen wie die Handynummer erschlossen werden
Allein wegen der kontextuell sexuellen Ausrichtung der Plattform waren hohe Risiken durch mögliche Nachstellungen oder Diskriminierungen zu bedenken, die zu physischen – etwa durch zu befürchtende Gewaltstraftaten – aber auch zu materiellen (Kündigungen) oder immateriellen Schäden (Rufschädigung, Diskriminierungen) hätten führen können. Letzteres war zu befürchten, wenn z.B. öffentlich bekannt gemacht würde, dass eine betroffene Person durch Angabe der Anschrift und ggf. des Namens, ihre wochenlang getragene und damit entsprechend stark riechende Unterwäsche auf einer Plattform zum Verkauf angeboten hat.
Schließlich wurden die Daten unberechtigt übermittelt bzw. offengelegt, was zudem einen Verstoß gegen Art. 6 Abs. 1 i.V.m. Art. 5 Abs. 1 lit. a) DSGVO darstellt. Die Offenlegung stellt eine Verarbeitung im Sinne des Art. 4 Nr. 2 DSGVO dar, für welche es einer konkreten Rechtsgrundlage bedurfte. Maßgebend für eine Offenlegung an einen Dritten ist die Bekanntgabe, welche bei einem Bildupload im Internet der Fall ist, wenn ein Dritter diese Daten tatsächlich abruft. Vorliegend hat ein Abruf zahlreicher GPS-Daten zumindest durch den Hinweisgeber selbst stattgefunden. Ursache des geschilderten Umgangs mit Metadaten war ein fehlkonfiguriertes Add-On des eingesetzten Content-Management-Systems.
Der Mangel wurde behoben, sodass nunmehr die Metadaten systemseitig automatisiert bereinigt werden. Der HmbBfDI hat ein mit Blick auf den geringen Umsatz des Unternehmens niedriges Bußgeld verhängt. Gegen den Bußgeldbescheid wurde kein Einspruch eingelegt und das Bußgeld bezahlt.
Quelle: HmbBfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks