Liebe Mitgliedschaft,

zu Eurer Information erhaltet Ihr eine Erklärung der IKD, die sich auf eine Beschwerde des BID Präsidiums gegen den Österreichischen Detektivverband ÖDV bezieht.

Auslöser war ein ehrverletzender Facebook Beitrag eines ÖDV Mitglieds am 06. August 2020, in dem der BID beleidigt und unser Vorstand als korrupt bezeichnet wurde.

Da trotz einer Beschwerde, der Vorstand des ÖDV keine Veranlassung sah, dieses grob unkollegiale Verhalten zu sanktionieren haben wir den Sachverhalt auf die IKD zugeführt.

Während der Untersuchung durch die IKD Verantwortlichen gab der Präsident des ÖDV im März 2021 dann plötzlich zum ersten Mal an, das betreffende Mitglied sei ermahnt worden.
Hierzu wurde auf Nachfrage der IKD ein Brief vorgelegt der dies dokumentieren sollte. Diesen Brief will der ÖDV Vorstand am 10.08.2020 dem Mitglied geschickt haben.
Bei mehreren Stellungnahmen zwischen September 2020 und März 2021 war von dieser Ermahnung jedoch nie die Rede ...

Die IKD hat sich nun unserer Meinung angeschlossen und bringt mit diesem Statement ihre Missbilligung und ihre große Enttäuschung aufgrund des respektlosen Handelns des ÖDV Präsidenten zum Ausdruck und teilt das hiermit all ihren Mitgliedsverbänden mit.

Freundliche Grüße / Best regards

BID Vorstand

Dear Bastian,

ikd@bid-detektive.de

Please distribute this email to your IKD Member organisation as deemed appropriate by your board.

Grievance

Statement from the IKD Executive

Re: Österreichischer Detektiv-Verband (ÖDV)

1. In an unprecedented situation we find the need to write to the IKD membership to stress the obvious, that unprofessional behaviour by a member organisation or an affiliate will not be tolerated.

2. For the sake of clarity, we set out here the scenario leading to the above statement and which infringed the profession’s principles and IKD policies.

3. On the 06th August 2020 a member of the ÖDV, (IKD Member - Austria) posted a personal message on a social media platform of a very derogatory and unprofessional nature about another IKD member organisation. The post in itself was so offensive that any responsible professional body would have instantly taken discipline action on being made aware of it and certainly on being presented with a formal complaint.

4. A formal complaint was sent immediately to the ÖDV on the same date 06th August 2020.

5. However, the ÖDV did not respond to such a formal complaint made to it by the offended IKD Member organisation.

6. The complaint escalated to the IKD on 01st September 2020 and following some discussions was formerly submitted to the ÖDV on 15th September 2020. Conscious of other underlying issues between the individuals involved and others, and anxious to find an amicable solution, the IKD extended an invitation for the two organisations’ presidents to meet on a video call with the IKD executive.

7. In reply to the complaint, the ÖDV responded by a letter dated 27th September 2020, which clearly failed to address the complaint nor made any mention that the ÖDV board had dealt with the matter.

8. The proposal to meet informally was rejected out of hand by the ÖDV on 8th December 2020 by WhatsApp from the president stating that the decision was from the ÖDV board. Again there was no mention that the ÖDV board had dealt with the matter.

9. On 15th December 2020, the Grievance Chairman was put on notice of the complaint.

10. A video call took place with the offended organisation’s president on 20th December 2020 to enable the IKD executive to have a better understanding of the issues and explore the possibility of a resolution.

11. On 24th December 2020 an email was received by the IKD from the author of the offending post purporting to explain his action and apologise. He made no mention that the ÖDV board had dealt with the matter.

12. On 25th January 2021 the ÖDV sent an email expressing regret about the offending postings by its member. Again there was no mention that the ÖDV board had dealt with the matter.

13. The IKD were left with having to address the complaint.

14. After many hours of preparation work a formal document intended to provide a detailed brief to the Grievance Chairman was prepared by the IKD Executive. On 21st March 2021, that brief with the supporting documents was collated and submitted to the two presidents for their input prior to submission as a formal grievance.

15. In the brief the grievance was that the ÖDV failed to take any action or even respond to the formal complaint submitted to the organisation over the unprofessional behaviour of one of its members.

16. On 23rd March 2021, in response the ÖDV president emailed the Vice Secretary General with an explanation. The ÖDV stated that the board of the ÖDV had taken action on the complaint from the IKD Member organisation and the individual had been admonished.

17. The IKD requested a copy of the Minutes recording the above but this has not been provided. In its place the ÖDV provided a copy of a letter to the individual dated 10thAugust 2020, to display the admonishment.

18. It is out of all reason and beyond any question that the ÖDV had failed (a) to even acknowledge the complaint by the offended party in the first place, least respond to it, (b) make any previous mention of the ÖDV’s action to the offended party or the IKD; and (c) to have not shared the 10th August 2020 letter for over 7-months.

19. Such behaviour by the ÖDV has been received by the IKD executive as unprofessional and disrespectful to the parties involved and in particular to the IKD, as the established umbrella body to which its members are accountable.

20. The ÖDV has caused all parties involved and not least the IKD Executive, to waste many hours in trying to resolve the matter that in effect had already been resolved.

21. The IKD Executive will consider the matter now closed having expressed its dismay and disappointment and which it does so and shares by this statement to its members.

The IKD Executive

Pressemitteilung des LfDI v. 26.05.2021

LfDI Brink: „Es droht nicht weniger als der Verlust der Anonymität. Auch Bürger_innen in Baden-Württemberg sind in ihren Rechten massiv gefährdet, wenn ohne ihre Kenntnis Bilder von ihnen im Netz abgeglichen werden und so ihre Identität für Dritte feststellbar wird.“

Wer sich heute durch die Innenstadt bewegt, der geht davon aus, dass er dies weitgehend anonym tun kann. Natürlich trifft man den einen oder anderen Bekannten, aber für die meisten Menschen ist man nicht persönlich identifizierbar. Bislang. Internet-Dienste wie PimEyes werben damit, durch Abgleich von Fotos und den darin enthaltenen biometrischen Daten jede Person identifizieren zu können. Mittels Gesichtserkennung, persönlichen Profilen und einer Gesichts-Datenbank. Das würde den Verlust der Anonymität bedeuten – und da schrillen bei Datenschützern die Alarmglocken.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink hat daher PimEyes aufgefordert, Stellung zu den durch das Unternehmen verarbeiteten Daten zu beziehen. Dafür hat der Landesbeauftragte dem Unternehmen einen umfangreichen Fragenkatalog geschickt, der innerhalb von vier Wochen zu beantworten ist.

Recherchen von netzpolitik.org hatten bereits im vergangenen Jahr gezeigt, dass das Unternehmen „massenhaft Gesichter im Internet nach individuellen Merkmalen“ scanne und biometrische Daten (also persönliche Merkmale wie Gesichtsform, Augenfarbe oder den Abstand von Mund zu Nase) speichere, mit denen sich jeder Mensch treffsicher identifizieren lässt.

Nach der DS-GVO ist es jedoch untersagt, biometrische Daten zur eindeutigen Identifizierung von natürlichen Personen zu nutzen. Die Datenbank des Unternehmens ist bislang zugänglich für beliebige Nutzer_innen weltweit. Sie können das Foto einer Person hochladen und sich dann anzeigen lassen, wo überall im Netz – etwa auf Social Media, einer eigenen Webseite oder in der öffentlichen Cloud – dieses Gesicht bereits zu finden ist. Da aus Sicht des Landesbeauftragten immer noch unklar ist, wie diese Daten vom Unternehmen verarbeitet werden, ist die Aufsichtsbehörde nun aktiv geworden.

Im Einzelnen möchte der Landesbeauftragte vom Unternehmen wissen, auf welcher Rechtsgrundlage die Daten gespeichert, verarbeitet und gegebenenfalls an Dritte weitergegeben werden und welche technisch-organisatorischen Maßnahmen getroffen sind, um die Sicherheit der Daten zu gewährleisten und Missbrauch durch Dritte zu verhindern.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink: „Das Vorgehen des Unternehmens wirft aus Sicht der Datenschutz-Grundverordnung erhebliche Fragen auf. Die wollen wir jetzt im Interesse der Bürger_innen klären. Wir fordern das Unternehmen auf, Stellung zu beziehen. Auch Bürger_innen in Baden-Württemberg sind in ihren Rechten massiv gefährdet, wenn ohne ihre Kenntnis Profile über sie gebildet und für Dritte zugänglich werden.“

Ohne Einwilligung der betroffenen Person dürfe keine Profilbildung stattfinden. Besonders heikel werde es, wenn massenhaft biometrische Daten gesammelt würden. Jede politische, religiöse, sexuelle oder andere private Angelegenheit kann so mit der jeweiligen Person direkt verknüpft werden. Brink weiter: „Alle Bürger_innen im Land werden sich künftig sorgen müssen, wenn ohne ihre Kenntnis Fotos von ihnen für alle – Nachbarn, Arbeitgeber, Behörden – einsehbar sind und auch in Drittstaaten fließen.“ Jede Teilnahme an Demos, jeder Besuch eines Gotteshauses oder schlicht der Supermarkteinkauf mit Wein und Gemüse kann im Zweifel von Dritten abfotografiert und im Internet abgeglichen werden. „Die Konsequenzen, die sich daraus ergeben, sind gefährlich für unsere Demokratie. Nicht nur das Recht der Bürger_innen auf informationelle Selbstbestimmung, sondern auch andere Grundfreiheiten werden dadurch bedroht. Es ist Zeit, hier für Klarheit zu sorgen.“

Das ursprünglich in Polen ansässige Unternehmen PimEyes, welches als Sitz mittlerweile die „Face Recognition Solutions Ltd.“ auf den Seychellen angibt, hat für eine Stellungnahme vier Wochen Zeit. Auf Grundlage der Stellungnahme des Unternehmens wird der Landesbeauftragte für den Datenschutz und die Informationsfreiheit das weitere Vorgehen bewerten.

Weitere Informationen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg kontrolliert nach § 25 Absatz 1 des Landesdatenschutzgesetzes (LDSG) in Verbindung mit § 40 Absatz 1 Bundesdatenschutzgesetz (BDSG) sowie Artikel 51 Absatz 1, Artikel 55 Absatz 1 und Artikel 57 Absatz 1 lit. a, f Datenschutz-Grundverordnung (DS-GVO) bei privatrechtlichen Unternehmen und Organisationen sowie Behörden die Ausführung der Datenschutz-Grundverordnung, des Bundesdatenschutzgesetzes, des Landesdatenschutzgesetzes sowie anderer Vorschriften zum Datenschutz.

Durch zahlreiche Medienberichte über ausschweifende Datenverarbeitungen ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg auf das Unternehmen PimEyes aufmerksam geworden. Er sieht sich veranlasst, im Rahmen seiner Kompetenz und Befugnisse aus Artikel 58 Absatz 1 lit. a DS-GVO vom Unternehmen als verantwortlicher Stelle weitergehende Informationen zu verlangen.

Aufgrund der globalen Nutzung von PimEyes ist davon auszugehen, dass vom Unternehmen personenbezogene Daten von europäischen Nutzenden verarbeitet werden und daher die DS-GVO anzuwenden ist (Artikel 3 Absatz 2 DS-GVO).

Die Zuständigkeit des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg ergibt sich aufgrund von Artikel 55 Absatz 1 DS-GVO in Verbindung mit § 40 BDSG, soweit eine Niederlassung in Europa nicht benannt ist. Das ursprünglich in Polen ansässige Unternehmen gibt in der Datenschutzerklärung als verantwortliche Stelle „Face Recognition Solutions Ltd.“ mit Sitz auf den Seychellen an.

Recherche von Netzpolitik.org: https://netzpolitik.org/2020/gesichter-suchmaschine-pimeyes-schafft-anonymitaet-ab/

https://www.baden-wuerttemberg.datenschutz.de/gesichtserkennung-lfdi-eroeffnet-verfahren-gegen-unternehmen-pimeyes/

Galt ein Telefax noch vor einigen Jahren als relativ sichere Methode um auch sensible personenbezogene Daten zu übertragen, so hat sich diese Situation grundlegend geändert: Sowohl bei den Endgeräten als auch den Transportwegen gab es weitreichende Änderungen. Bisher wurden beim Versand von Faxen exklusive Ende-zu-Ende-Telefonleitungen genutzt. Technische Änderungen in den Telefonnetzen sorgen jetzt dafür, dass keine exklusiven Leitungen mehr genutzt werden, sondern die Daten paketweise in Netzen transportiert werden, die auf Internet-Technologie beruhen.

Zudem kann nicht mehr davon ausgegangen werden, dass an der Gegenstelle der Faxübertragung auch ein reales Fax-Gerät existiert. Meist werden Systeme genutzt, die ankommende Faxe automatisiert in eine E-Mail umwandeln und diese dann an bestimmte E-Mail-Postfächer weiterleiten. 

Aufgrund dieser Umstände hat ein Fax hinsichtlich der Vertraulichkeit das gleiche Sicherheitsniveau wie eine unverschlüsselte E-Mail (welche oftmals mit der offen einsehbaren Postkarte verglichen wird). Fax-Dienste enthalten keinerlei Sicherungsmaßnahmen um die Vertraulichkeit der Daten zu gewährleisten. Sie sind daher in der Regel nicht für die Übertragung personenbezogener Daten geeignet.

Für die Übertragung besonderer Kategorien personenbezogener Daten gemäß Artikel 9, Absatz 1 der Datenschutzgrundverordnung ist die Nutzung von Fax-Diensten unzulässig. 

Für den Versand personenbezogener Daten müssen daher alternative, sichere und damit geeignete Verfahren, wie etwa Ende-zu-Ende verschlüsselte E-Mails oder – im Zweifel – auch die herkömmliche Post genutzt werden.

Landesbeauftragte für Datenschutz und Informationsfreiheit / Bremen

https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111