DIE KRUX BEI DER BUßGELDSANKTIONIERUNG

„Landgericht Berlin stellt das Bußgeldverfahren gegen Deutsche Wohnen ein“. Unter diesem Titel veröffentlichte die Deutsche Wohnen SE am 23.02.2021 auf ihrer Webseite eine Pressemitteilung, welche für einige Aufmerksamkeit gesorgt hat. Die Hintergründe:


WAS IST PASSIERT?

Am 30.09.2019 hatte die Berliner Beauftragte für den Datenschutz und die Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro verhängt. Dies stellte zum Zeitpunkt der Verhängung das höchste Bußgeld in Deutschland auf Grundlage der Datenschutz-Grundverordnung (DS-GVO) dar. Mittlerweile erging gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro.

Die Deutsche Wohnen ist eines der größten deutschen Immobilienunternehmen. Sie hält nach eigenen Angaben rund 165.700 Einheiten, darunter befinden sich sowohl Wohn- als auch Gewerbeeinheiten. Gegenstand des Bescheides waren Vorwürfe seitens der Behörde, dass die Immobiliengesellschaft im Zeitraum zwischen Mai 2018 und März 2019 keine Maßnahmen zur Ermöglichung einer regelmäßigen Löschung von Mieterdaten in ausreichendem Umfang umgesetzt habe. Zum Teil sollen personenbezogene Daten von Mietern (u.a. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten) gespeichert worden sein. Hiergegen wurde seitens des Unternehmens Einspruch eingelegt. Das zuständige Landgericht hat das Verfahren nunmehr eingestellt.


ENTWICKELT SICH EINE RECHTSPRECHUNGSPRAXIS ZUR BUßGELDSANKTIONIERUNG?

Ähnliche mediale Aufmerksamkeit hatte das Leuchtturmverfahren des Bundesbeauftragten für Datenschutz und Informationsfreiheit gegen die „1&1 Telecom GmbH“ erlangt (LG Bonn, Urt. V. 11.11.2020, Az.: 29 OWi 1/20). In diesem Fall hatte das Landgericht Bonn das ursprünglich verhängte Bußgeld in der Höhe von 9,55 Millionen Euro auf 900.000€ eingedampft. Im Unterschied zum (bisherigen) Verfahren vor dem LG Berlin wurde das Bußgeld des Bundesbeauftragten jedoch dem Grunde nach bestätigt. In der Begründung wurde u.a. das Bußgeldberechnungsmodell der Aufsichtsbehörden als unverhältnismäßig eingestuft, was letztlich zu der Reduzierung des ursprünglich verhängten Bußgeldes führte. Bejaht wurde durch das Gericht zudem die Frage, ob gegen ein Unternehmen als juristische Person ein Bußgeld erhoben werden kann. Mithin wurde der Anwendungsvorrang der DS-GVO vor den nationalen Regelungen des Ordnungswidrigkeitenrechtes dargelegt. Das Urteil des LG Bonn ist mittlerweile rechtskräftig. Unternehmen haften demnach für das Fehlverhalten ihrer Beschäftigten, ohne dass eine Kenntnis oder gar eine Anweisung erforderlich ist. Ausnahme wiederrum bildet der sogenannte Mitarbeiter-Exzess, also Handlungen, die aufgrund vorsätzlichen Fehlverhaltens nicht dem Kreis der jeweiligen unternehmerischen Tätigkeit zuzurechnen sind.


WAS IST DAS BUßGELDBERECHNUNGSMODELL DER AUFSICHTSBEHÖRDEN?

Über die Sanktionierungsmöglichkeit der Datenschutz-Aufsichtsbehörden durch die Verhängung von Bußgeldern haben wir bereits berichtet. In diesem Beitrag richten wir den Blick ebenfalls auf das Bußgeldkonzept der Aufsichtsbehörden. Im Kern stellt das „Berechnungsmodell“ eine Hilfe bei der Zumessung der Höhe eines Bußgeldes dar. Dies erfolgt grundlegend durch das Bilden eines sogenannten „Tagessatzes“, welcher sich am Vorjahresumsatz orientiert. Anschließend erfolgt je nach Schwere des Verstoßes eine Multiplikation mit einem entsprechenden Faktor.


WACKELT NUN DIE BUßGELDPRAXIS DER AUFSICHTSBEHÖRDEN?

Mitteilungen des LG Berlin gegenüber den Medien zufolge leidet der Bescheid unter gravierenden Mängeln. Laut Angaben einer Gerichtssprecherin am 24.02.2021 erklärte das Landgericht Berlin den Bescheid für unwirksam, weil ein Verfahrenshindernis vorliegt, genauer gesagt, weil Angaben zu konkreten Tathandlungen fehlten. Es fehlen Angaben, dass eine konkrete Person im Unternehmen für den Verstoß verantwortlich war. Eine Begründung liegt bislang nicht vor. Gegen den Beschluss des Landgerichts Berlin kann die Berliner Aufsichtsbehörde binnen einer Woche sofortige Beschwerde beim Kammergericht einlegen. „Das Recht, Rechtsmittel gegen den Beschluss einzulegen, steht der Berliner Staatsanwaltschaft zu“, erläuterte ein Sprecher. Weiter heißt es, die Berliner Datenschutzbeauftragte werde die Staatsanwaltschaft bitten, von dieser Option Gebrauch zu machen. Der Entscheidung liege die Rechtsauffassung zugrunde, dass Bußgelder gegen Unternehmen nur bei Verschulden von Leitungspersonen verhängt werden könnten. Das Landgericht setze sich damit in Widerspruch zu den Datenschutzaufsichtsbehörden und auch zum Landgericht Bonn, „das die Regeln des deutschen Ordnungswidrigkeitengesetzes europarechtskonform ausgelegt hatte“. Über den Streit hatten wir bereits früher berichtet.

Die Kammer begründete ihren Beschluss laut der Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne, sondern nur eine natürliche Person eine Ordnungswidrigkeit „vorwerfbar“ begehen kann. Eine natürliche Person ist im Vergleich zu einer juristischen Person wie sie die Deutsche Wohnen in der Form der Aktiengesellschaft ist, selbst handlungsfähig. Sollten diese Informationen zutreffend sein, so konterkariert die Entscheidung des LG Berlin eben jene des LG Bonn. Letzteres hatte in der o.g. Entscheidung die Haftung seitens der Unternehmen wie dargestellt, angenommen. Unwahrscheinlich erscheint es nicht, dass nun das LG Berlin einer gegenteiligen Ansicht folgt, zumal die Thematik rechtlich nicht unstreitig ist. Es bleibt demnach abzuwarten, ob und wie die Aufsichtsbehörde hierauf reagiert. Kommt es tatsächlich so widerstreitenden Rechtsansichten der Gerichte müssen die gegenständlichen Rechtsfragen im Zweifel höchstrichterlich entschieden werden. Eine Abkehr von der Möglichkeit der Bußgeldsanktionierung stellt dies aber (zunächst) nicht dar.

Aufmerksamkeit erlangte zudem der Bußgeldbescheid der Landesbeauftragten für den Datenschutz (LfD) Niedersachsen gegenüber notebooksbilliger.de AG über 10,4 Millionen Euro. Nach Auffassung der LfD überwachte das Unternehmen unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche, ohne dass dafür eine Rechtsgrundlage vorlag. Das gegen notebooksbilliger.de ausgesprochene Bußgeld ist noch nicht rechtskräftig.

In Sachen H&M ging das Unternehmen nicht gegen den Bescheid des HmbBfDI vor und „akzeptierte“ das verhängte Bußgeld in seiner Höhe. Dies lässt selbstverständlich Raum für Spekulationen.


FAZIT

Es wäre deutlich verfrüht von einem Wanken oder sogar einem Scheitern der aufsichtsbehördlichen Bußgeldpraxis zu sprechen. Allerdings lässt sich aus den Leuchtturmverfahren immer häufiger die Tendenz ableiten, dass die Einspruchsverfahren durchaus von Erfolg gekrönt sein können. Sei es aufgrund des fragwürdigen Konzeptes der Bußgeldberechnung oder aber aufgrund umstrittener Rechtsfragen beim Vorliegen der Tatbestandvoraussetzungen des Art. 83 DS-GVO.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Bußgeld
  • Bußgeldmodell
  • Deutsche Wohnen SE
  • Löschung
  • Technische-organisatorische Maßnahmen
Lesen

IDENTITÄT BEI ELEKTRONISCHEN BETROFFENENANFRAGEN SICHERSTELLEN

Die DS-GVO stärkt die Rechte der von Datenverarbeitung betroffenen Personen. Diese Rechte stellen verantwortliche Stellen vor ein Problem. Die Identität des Antragstellers muss zweifelsfrei feststehen. Eine Übertragung von Daten an eine falsche Person kann – je nach Art der Daten – gravierende Folgen für den Betroffenen haben. Eine Offenlegung von personenbezogenen Daten durch die Beauskunftung gegenüber „dem falschen Betroffenen“ stellt regelmäßig eine Datenschutzverletzung dar. Je nach Art der offengelegten Daten und der Risiken für die betroffene Person ist dies dann auch gegenüber der zuständigen Datenschutzbehörde meldepflichtig.

Vor eine besondere Herausforderung ist ein Verantwortlicher gestellt, wenn Betroffene eine Anfrage nicht mit den im System der Unternehmen gespeicherten Daten übereinstimmen. So entspricht die E-Mail-Adresse des Antragstellers nicht der im System hinterlegten oder die postalische Adresse hat sich durch einen Umzug geändert oder ein Anrufer ruft vom Handy aus an und im System ist eine Festnetznummer hinterlegt.Der Identifizierungsvorgang muss datenschutzkonform gestaltet werden. Verantwortliche sowie Auftragsverarbeiter müssen eigene Prozesse definieren. Wichtig ist es vor allem Zuständigkeiten zu benennen und die Mitarbeiter regelmäßig zu sensibilisieren.


WIE KANN DIE IDENTIFIZIERUNG GESTALTET WERDEN?

Im Gesetz finden sich dazu nur Anhaltspunkte und keine Vorschriften. Es ist lediglich die Rede davon, dass der Verantwortliche in bei begründeten Zweifeln zusätzliche Informationen anfordern kann, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DS-GVO). Der Erwägungsgrund 64 gibt Hinweise zur Identitätsprüfung: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen […].“ Es sind unterschiedliche Szenarien denkbar:

Anfrage per E-Mail: Die Anfrage per E-Mail aus Sicht der betroffenen Person der einfachste Weg. In Bezug auf die Identifizierung ist er eine große Herausforderung. Das gilt insbesondere wenn die E-Mail Adresse, von der aus die Anfrage kommt, beim Verantwortlichen nicht als Kontakt hinterlegt ist. Ist die Adresse hingegen hinterlegt, kann i. d. R. davon ausgegangen werden, dass die anfragende Person auch die betroffene Person ist.

Schriftliche Anfrage: Ein schriftlicher Antrag ist die Variante, die die wenigsten Unsicherheiten bereithält. Das Anliegen wird typischerweise auf demselben Weg an die in der Anfrage angebende Anschrift beantwortet. Ein Abgleich mit der im System hinterlegten Adresse erhöht die Sicherheit. Abweichende Adressen bedürfen einer Prüfung.

Telefonische Anfrage: Art. 12 Abs. 1 DS-GVO sieht die Möglichkeit vor, dass Anfrage und Beantwortung auch telefonisch erfolgen können. Selbst wenn die gesendete Telefonnummer bekannt sein sollte, ist damit niemand zweifelsfrei identifiziert. Für diese Art der Anfrage muss auf eine jeden Fall ein Identifizierungsprozess implementiert werden.


METHODEN ZUR AUTHENTIFIZIERUNG UND IDENTIFIKATION

Abfrage zusätzlicher Informationen: Insbesondere bei telefonischen Anfragen sollte der Verantwortliche es zur gängigen Praxis machen, grundsätzlich zusätzliche Identifizierungsmerkmale abzufragen und diese mit den gespeicherten Daten abzugleichen. Dabei kann es sich um die Adressdaten, das Geburtsdatum, die Kundennummer oder die letzte Rechnungsnummer handeln. Empfehlenswert ist die Abfrage mehrerer Daten.

Vorlage eines Ausweisdokuments: Über die Kopie eines Ausweisdokuments kann die Identität eines Betroffenen festgestellt werden. Dieses Verfahren sieht der Bundesbeauftragte für Datenschutz und Informationssicherheit als zulässig an. Alle Daten außer „Name, Anschrift, Geburtsdatum und Gültigkeitsdauer“ können in der Kopie grundsätzlich geschwärzt werden, da sie nicht benötigt werden. Eine Kopie kann per Post oder elektronisch an das Unternehmen zugestellt werden.

Bei der postalischen Übermittlung einer geschwärzten Ausweiskopie gibt es regelmäßig keine datenschutzrechtlichen Bedenken. Eine Übermittlung per E-Mail ist problematischer. Zu beachten ist, dass bei der elektronischen Übermittlung die Sicherheit der Daten im Vordergrund stehen muss. Wenn der Verantwortliche eine Ausweiskopie per E-Mail verlangt, muss er auch einen sicheren Übermittlungsweg zur Verfügung stellen. Ist keine angemessene Ende-zu-Ende-Verschlüsselung möglich, kann auch die Bereitstellung eines Links zu einem sicheren Cloudverzeichnis eine Alternative sein.

Selbstverständlich sollten die erfassten Daten einer strengen Zweckbindung unterliegen, d. h. ausschließlich zur Identitätsprüfung verwendet werden und nicht in den Datenbestand der verantwortlichen Stelle einfließen.

Post-Ident-/Video-Ident Verfahren: Diese Methoden bieten hohe Sicherheit bezüglich der Identifizierung. Das Post-Ident-Verfahren ist allerdings mit einem hohen Aufwand für die betroffenen Personen verbunden. Die betroffene Person wird dabei durch einen Mitarbeiter der Deutschen Post anhand seines Ausweises identifiziert. Die Bestätigung wird an das Unternehmen verschickt. Die Post selbst speichert keine Daten dauerhaft.

Das Video-Ident-Verfahren funktioniert nach dem gleichen Prinzip. Über einen Videochat wird die betroffene Person identifiziert, indem sie das Ausweisdokument vor die Kamera hält. Je nach Verfahren kann es sein, dass das gesamte Verfahren aufgezeichnet und an den Verantwortlichen übermittelt wird. Es ist daher wichtig, die Datenschutzbestimmungen des jeweiligen Anbieters genau zu prüfen. Nicht sehr datenschutzfreundlich ist der Umstand, dass es bei beiden Verfahren nicht vorgesehen ist, die nicht benötigten Informationen abzudecken.

Identifizierung per Code: Die Identität einer antragstellenden Person kann über ein Opt-in-Verfahren festgestellt werden. Hierzu verschickt das Unternehmen einem Code an die gespeicherte E-Mail Adresse, eine gespeicherte Mobilfunknummer oder per Brief. Mit Hilfe dessen kann sich die betroffene Person dann identifizieren.

Bearbeitung über ein Kundenkonto: Die einfachste Methode ist die Verifizierung über ein Kundenkonto. Dabei sollte trotzdem beachtet werden, dass auch Unbefugte sich Zugriff zu einem Kundenkonto verschaffen können. Eine Zwei-Faktor-Authentifizierung ist ratsam.


FAZIT

Jeder Verantwortliche sollte – in Zusammenarbeit mit der oder dem Datenschutzbeauftragten – zur Bearbeitung von Betroffenenrechten klar definierte Prozesse implementieren, wie eine eindeutige Identifizierung des Anfragenden unter Berücksichtigung des Risikos für die Rechte und Freiheiten der betroffenen Personen gewährleistet werden kann.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und Iformationssicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen im Ausland.

    Tags:
  • Authentifizierung
  • Betroffenenrechte
  • elektronische Anfrage
  • Identifizierung
  • telefonische Anfrage
Lesen

ANALYSE, KARTEN, SCHRIFTARTEN & CO. – DATENSCHUTZ BEI INTERNETSEITEN

Seit den Urteilen des Europäischen Gerichtshofes (EuGH) im Oktober 2019 sowie des Bundesgerichtshofes (BGH) im Mai 2020 bezüglich der Verwendung von Cookies sind viele Internetseiten auf umfangreiche „Consent-Tools“ umgestiegen. Jedoch herrschen nach wie vor große Verunsicherungen und Fehlvorstellungen hinsichtlich eines datenschutzkonformen Einsatzes von Drittinhalten (z.B. Schriftarten, Formulare, Karten- oder Medieninhalte). Dieser Beitrag soll die rechtlichen Rahmenbedingungen umreißen und die wesentlichen Implementierungsmöglichkeiten kurz darstellen.


IST EINE EINWILLIGUNG ERFORDERLICH?

Zunächst sollte die Internetseite hinsichtlich eingebundener Drittinhalte, Cookies und Scripts überprüft werden. Unter Umständen ist hierbei die Einbindung Ihres Dienstleisters, welcher die Internetseite erstellt hat und / oder technisch betreut, erforderlich. Im ersten Schritt kann jedoch bereits eigenständig eine Überprüfung mit kostenfreien Anwendungen bei der Erstellung einer ersten Übersicht dienen. Hierfür geeignet scheinen insbesondere Webbkoll, BuiltWith, Ghostery und uBlock Origin. Darüber hinaus bieten auch einige Internetbrowser über integrierte Analysefunktionen.

Die Auflistung der eingesetzten Drittinhalte, Cookies und Scripts sollte kritisch hinterfragt werden: Welche dieser sind (technisch) zwingend erforderlich? Welche optionalen Technologien werden tatsächlich aktiv genutzt? Wurde die / der Datenschutzbeauftragte vor der Implementierung über die Verwendung in Kenntnis gesetzt? Bestehen datenschutzfreundlichere Alternativen?

Erfolgt ein Einsatz von Drittinhalten, Cookies und Scripts, die für einen Einsatz der Internetseite technisch zwingend erforderlich sind, das heißt ein fehlerfreier Aufruf der Internetseite ohne Implementierung und Nutzung dieser gänzlich unmöglich ist, bedarf es keiner Einwilligung der Personen, welche die Internetseite aufrufen. Das betrifft in der Regel zum Beispiel Cookies zur technischen Gewährleistung einer Anmeldung zu einem internen Bereich oder Warenkorbfunktionen zur Abwicklung einer Online-Bestellung.


WELCHE ANFORDERUNGEN WERDEN AN EINE WIRKSAME EINWILLIGUNG GESTELLT?

Grundsätzlich empfiehlt sich bei der Nutzung einwilligungsbedürftiger Drittinhalte, Cookies und Scripts die Verwendung eines sogenannten „Consent-Tools“ (auch: „Cookie-Banner“). Werden hingegen ausschließlich technisch erforderliche Inhalte verwendet, bedarf es eines solchen Banners nicht. In diesem Fall genügt eine Information über die verwendeten Inhalte im Rahmen der Datenschutzinformation (auch: „Datenschutzerklärung“).

Bei einem erstmaligen Aufruf der Internetseite muss gewährleistet sein, dass diese zunächst ausschließlich im technisch erforderlichen Umfang dargestellt wird. Sofern darüber hinaus die Nutzung von Cookies, Drittinhalten und Scripts gewünscht ist, dürfen diese erst nach erteilter Einwilligung der Nutzenden geladen werden. Das Einholen einer rein formalen Einwilligung, wobei eine Datenverarbeitung bereits vor oder gänzlich unabhängig von der konkreten Einwilligung stattfindet, ist unzulässig. Die konkrete Einwilligung der Nutzenden ist stets technisch exakt abzubilden.

Der Europäische Datenschutzausschuss (EDSA) setzt für eine wirksame Einwilligung bereits vor Abgabe der Einwilligung folgende Informationen voraus: Angaben zur verantwortlichen Stelle, Darstellung der konkreten Verarbeitungszwecke, die Kategorien der personenbezogenen Daten, Absicht einer automatisierten Entscheidungsfindung sowie der Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland. Weiterhin ist gemäß Art. 7 Abs. 3 DS-GVO ebenfalls vor Abgabe der Einwilligung auf das Bestehen des Widerrufrechts hinzuweisen.

Eine Einwilligung ist tatsächlich nur dann als wirksame Einwilligung zu klassifizieren, sofern die Nutzenden tatsächlich eine Wahl über Zustimmung oder Ablehnung erhalten. Die oftmals vorzufindende Formulierung, wonach die Internetseite Cookies verwendet und mit dem weiteren Besuch von einer Zustimmung ausgegangen wird, erfüllt diese Anforderung nicht. Derartige „Cookie-Banner“ sind schlichtweg nutzlos und aus datenschutzrechtlicher Sicht absolut unzureichend. Ebenfalls als unzulässig einzuordnen sind vorausgefüllte Auswahlfelder oder das sogenannte „Nudging“, also das Beeinflussen der Nutzenden, der Verwendung zuzustimmen, indem die weiteren Optionen (z.B. „Ablehnen“ oder „weitere Einstellungen“) kaum lesbar oder nur schwer auffindbar integriert werden.

Übrigens: Die getätigte Einwilligung darf und sollte aus Gründen der Nachweisbarkeit gespeichert werden. So kann auch vermieden werden, dass Nutzende bei erneutem Aufrufen der Internetseite wiederholt der Datenverarbeitung zustimmen oder diese ablehnen müssen. Das permanente Abfragen wird durch die datenschutzrechtlichen Vorschriften weder verlangt, noch trägt dies zu einem positiven Nutzungserlebnis bei.


WAS BEDEUTET DAS FÜR EINZELNE DATENVERARBEITUNGEN?

Im weiteren Verlauf soll nun kurz dargestellt werden, welchen Maßnahmen in der Regel bei der Implementierung der folgenden Kategorien von Drittinhalten, Cookies und Scripts beachtet werden sollte.

Analyse des Nutzungsverhaltens: Bei einem Einsatz von Analyse- und Trackingdiensten werden durch diese in der Regel Cookies gesetzt, die hinsichtlich der Darstellung der Internetseite als nicht technisch erforderlich zu klassifizieren sind, sodass es grundsätzlich einer Einwilligung der Nutzenden bedarf. Einige Anbieter solcher Dienste werben explizit damit, dass durch den Verzicht einer Cookie-Setzung und stattdessen der Verwendung einer Fingerprinting-Methode das Einwilligungserfordernis umgangen werden kann. Aufgrund der (datenschutzrechtlichen) Vergleichbarkeit beider Methoden sind solche Aussagen mit Vorsicht zu betrachten. Hier bedarf es zuvor einer grundlegenden Überprüfung im Einzelfall.

Darstellung von Karteninhalten: Je nach gewähltem Kartendienst erfolgt oder unterbleibt bei der Nutzung der Karteninhalte das Setzen von Cookies. Mit Blick auf den Grundsatz der Datenminimierung gemäß Art. 5 Abs 1. lit. c DS-GVO sowie auf die Anforderung eines Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO, sollte eine möglichst datensparsame Kartendarstellung gewählt werden. Sofern eine Cookie-Setzung unausweichlich ist, bedarf es für die Darstellung der Karteninhalte in der Regel der Einwilligung der Nutzenden.

Darstellung von Videoinhalten: Werden bei einem Abspielen eingebundener Videoinhalte keine Cookies gesetzt und findet darüber hinaus keine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland statt, so kann eine Implementierung in der Regel ohne Einwilligung der Nutzenden erfolgen. Eine mögliche Rechtsgrundlage der Datenverarbeitung stellt dann das berechtigte Interesse der verantwortlichen Stelle gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO dar. Als Anforderung ist hierbei jedoch zu nennen, dass das Video nur durch einen extra Klick der Nutzenden und nicht automatisch starten darf. So zumindest führt es die FAQ des Bayrischen Landesamtes für Datenschutzaufsicht aus.

Einbindung von Webschriftarten oder Scripts: Beliebt – und oftmals mit einem Hinweis auf die Performance der Internetseite begründet – sind sogenannte Webschriftarten („Fonts“) oder Scripts, die bei einem Aufruf der Internetseite durch die Nutzenden von externen Servern geladen werden. Grundsätzlich lässt sich diese Datenverarbeitung auf das berechtigte Interesse der verantwortlichen Stelle stützen, jedoch sollte eine lokale Installation auf den Servern der verantwortlichen Stelle bevorzugt werden. Ein Drittstaatentransfer sollte grundsätzlich unterbleiben.

Hinweis: Erfolgt im Rahmen der Implementierung und Nutzung der oben aufgeführten Drittinhalte eine Übermittlung personenbezogener Daten in ein datenschutzrechtliches Drittland, so bedarf es für die Übermittlung einer gesonderten Rechtsgrundlage.


WAS IST DARÜBER HINAUS DATENSCHUTZRECHTLICH ZU BEACHTEN?

Unabhängig von der Einwilligungsbedürftigkeit sind sämtliche Datenverarbeitungen in der Datenschutzinformation der Internetseite darzustellen. Die notwendigen Inhalte richten sich hierbei insbesondere nach Art. 13 DS-GVO. Da die Datenverarbeitungen auf jeder Internetseite unterschiedlich sind, gibt es nicht die „eine“ richtige Datenschutzinformation. Aus diesem Grund sollten auch die Ergebnisse sogenannter „Generatoren für Datenschutzerklärungen“ detailliert überprüft und gegebenenfalls angepasst werden.

Kommen im Zusammenhang mit der Internetseite Dienstleister zum Einsatz, die personenbezogene Daten im Auftrag verarbeiten (z.B. Hosting, Wartung und Pflege, Analyse und Tracking), so sind mit diesen zwingend Verträge zur Auftragsverarbeitung gemäß Art. 28 Abs. 3 DS-GVO zu schließen. Darüber hinaus muss die verantwortliche Stelle über die Datenverarbeitungen der Internetseite gemäß Art. 30 Abs. 1 DS-GVO ein Verzeichnis der Verarbeitungstätigkeiten führen.


FAZIT

Mit der Bereitstellung und dem Betrieb einer Internetseite gehen zahlreiche datenschutzrechtliche Verpflichtungen einher, die einer detaillierten Betrachtung bedürfen. Aus diesem Grund sollte der / die Datenschutzbeauftragte frühestmöglich bei der Erstellung oder Änderung der Internetseite einbezogen werden. Sollten Sie bei der datenschutzrechtlichen Überprüfung Ihrer Internetseite oder bei der Erstellung einer passgenauen Datenschutzinformation Unterstützung benötigen, können Sie hierfür gern das DID Dresdner Institut für Datenschutz kontaktieren.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Cookies
  • Datenschutzinformation
  • Drittstaaten
  • Einwilligung
  • Internetseite
Lesen

NSA UND BND: ALLES GLEICH ODER VÖLLIG ANDERS?

Edward Snowden, Safe Harbor, Privacy Shield, Schrems II … Jeder Datenschützer in der EU hat sich ganz sicher damit befasst. Wir berichteten über die Entscheidung des Europäischen Gerichtshofs vom 16. Juli 2020, mit der das Privacy-Shield-Abkommen in sich zusammenbrach. Der EuGH sah in dem Abkommen keinen ausreichenden Schutz personenbezogener Daten und zwar hauptsächlich deshalb, weil amerikanische Geheimdienste in einem nicht genau bekannten Umfang und ohne ausreichende Kontrolle massenhaft Daten auswerten, insbesondere auch E-Mails. Der Datenaustausch zwischen Europa und den USA hat sich nach diesem EuGH-Urteil kaum vermindert. Viele datenschutzrechtliche Fragen sind aber auch nach einem halben Jahr nicht ansatzweise gelöst, allen voran: Ist ein rechtskonformer Datentransfer mit praxistauglichen Mitteln überhaupt noch umsetzbar? Auch das haben wir hier schon behandelt.

Weniger Aufmerksamkeit erhält bisher eine ganz naheliegende Frage: Erfüllen europäische und z.B. deutsche Geheimdienste eigentlich selbst diejenigen Anforderungen, an denen wir US-amerikanische Nachrichtendienste messen?


DIE DERZEITIGE RECHTSLAGE

Die Rechtslage ist – datenschutz-typisch – kompliziert: Für Datenverarbeitungen der NSA gelten (mittelbar) die strengen Vorgaben der DS-GVO, weil sie sich auf den Datenschutz US-amerikanischer Unternehmen etc. auswirken. EU-Nachrichtendienste folgen demgegenüber der Richtlinie 2016/680 „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten …“ oder bewegen sich (im Kernbereich nachrichtendienstlicher Tätigkeit) völlig außerhalb des EU-Rechts allein nach Maßgabe der nationalen Gesetze. Die DS-GVO ist jedenfalls nicht anwendbar (vgl. Art. 2 Abs. 2 lit. a und b DS-GVO).

Informationsbeschaffung und -auswertung durch die Nachrichtendienste werden in den Spezialgesetzen (BND-Gesetz, MAD-Gesetz, Verfassungsschutz-Gesetz) und im sogenannten G10-Gesetz behandelt. Wer sich damit befasst, fühlt sich vielleicht an die Berichte von Edward Snowden erinnert. Die deutsche Sektion von „Reporter ohne Grenzen“ und Prof. Nico Härting (Rechtsanwalt und Datenschützer) haben beim Europäischen Gerichtshof für Menschenrechte (kein Gericht der EU, sondern der Gerichtshof des Europarates für Verfahren nach der Europäischen Menschenrechtskonvention) 2017 Beschwerden gegen die Überwachungspraxis des Bundesnachrichtendienstes erhoben und jetzt einen wichtigen Teilerfolg erzielt: Der EGMR hat die Beschwerden zur Entscheidung angenommen und der deutschen Bundesregierung Fragen vorgelegt, die bis März beantwortet werden sollen.


DAS G10-GESETZ

Worum geht es? Der Bundesnachrichtendienst kann nach dem G10-Gesetz E-Mail-Kommunikation ohne Wissen der Beteiligten automatisiert prüfen und bei Übereinstimmung mit vorgegebenen Such-Rastern („Treffern“) individuell auswerten. Auf dieser zweiten Stufe können die E-Mails dann also auch von Geheimdienst-Mitarbeitern gelesen werden.

Nach den Vorgaben des G10-Gesetzes sind diese Vorgänge behördenintern und außerdem durch das parlamentarische Kontrollgremium des Deutschen Bundestages zu überwachen. Benachrichtigungspflichten gegenüber Betroffenen sind im Gesetz nur ausnahmsweise vorgesehen. Die Beschwerdeführer beim EGMR bezweifeln, ob überhaupt jemals Benachrichtigungen erfolgt sind.

In Verfahren vor deutschen Gerichten (Bundesverwaltungs- und Bundesverfassungsgericht) wollten sie Auskunft darüber erhalten, ob und ggf. welche ihrer Daten geheimdienstlich verarbeitet wurden. Die deutschen Gerichte verlangten jedoch als Anspruchsvoraussetzung den Nachweis darüber, dass die Kläger von Überwachungsmaßnahmen des Geheimdienstes überhaupt konkret betroffen waren. Naturgemäß konnten die Kläger diesen Nachweis mangels Benachrichtigung und Auskunft durch den Geheimdienst nicht erbringen.

Beim EGMR beschweren sich „Reporter ohne Grenzen“ und Prof. Nico Härting nun darüber, dass die sogenannte „strategische Fernmeldeüberwachung“ des BND gegen Art. 8 Abs. 1 (Recht auf Achtung des Privat- und Familienlebens) sowie bei „Reporter ohne Grenzen“ auch gegen Art. 10 Abs. 1 (Freiheit der Meinungsäußerung) verstößt, weil private Kommunikation kontrolliert wird, ohne dass Betroffene hierüber Informationen erhalten oder einen wirksamen gerichtlichen Schutz genießen.


FAZIT

Das genaue Ausmaß der „strategischen Überwachung“ ist kaum erkennbar. Für das Jahr 2012 hat das parlamentarische Kontrollgremium des Deutschen Bundestages in einem Bericht vom 19.12.2013 mitgeteilt, dass der BND 851.691 „Treffer“ erzielte, die weiter nachrichtendienstlich bearbeitet wurden. Nico Härting ermittelt durch Hochrechnung dieser „Treffer“ ein geschätztes Gesamtvolumen von 850 Millionen E-Mails allein im Jahr 2012. Das Verfahren ist datenschutzrechtlich und rechtspolitisch hochinteressant; wir werden weiter dazu berichten.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • BND
  • Fernmeldeüberwachung
  • G10-Gesetz
  • Nachrichtendienste
  • NSA
Lesen

DAS PROBLEM MIT DEM PHISHING

Vor dem Hintergrund des durch die Corona-Pandemie bedingten Anstiegs der im „Home-Office“ tätigen Beschäftigten ist es nahezu denklogisch, dass ebenfalls eine drastische Zunahme von sogenannten Phishing-E-Mails zu verzeichnen ist.

Dem neuen KnowBe4 Phishing-Report ist dabei zu entnehmen, dass zu den aktuellen Themen (Untersuchung von echten Phishing-E-Mail-Betreffzeilen aus der Praxis) u.a. folgende Themen gehören:  „IT: Jährliche Bestandsaufnahme der Geräte“, „Twitter: Sicherheitswarnung: Neuer oder ungewöhnlicher Twitter-Login“, „Amazon: Aktion erforderlich | Ihre Amazon Prime-Mitgliedschaft wurde abgelehnt“, „Zoom: Fehler bei geplanter Besprechung“, „Google Pay: Bezahlung gesendet“, „Microsoft 365: Aktion erforderlich: Aktualisieren Sie die Adresse für Ihren Xbox Game Pass für Konsolen-Abonnement“, „Arbeitstag: Erinnerung: Wichtiges Sicherheitsupgrade erforderlich“.

Daneben beobachtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) insbesondere Phishing-E-Mails zu Themen Änderungen von Datenschutzbestimmungen (bspw. PayPal), Teilnahmen an Gewinnspielen, Sicherheitsüberprüfungen (z.B. von Bank- und Kreditinstituten) sowie Aktualisierung von Nutzerdaten.

Was ein Phishing-Angriff ist, wie ein solcher erkannt werden kann und wie man sich bei einer Reaktion auf eine Phishing-E-Mail verhalten muss, soll im folgenden Beitrag näher beleuchtet werden.


WAS IST EIGENTLICH PHISHING?

Phishing ist eine Form des Social Engineerings, einer Methode, um unberechtigten Zugang zu Informationen oder IT-Systemen durch soziale Handlungen zu erlangen. Beim Social Engineering werden menschliche Eigenschaften wie z. B. Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autorität ausgenutzt. Dadurch können Beschäftigte so manipuliert werden, dass sie unzulässig handeln.

Phishing (ein Kunstwort aus „Password“ und „Fishing“) beschreibt das Vorgehen, insbesondere über gefälschte Unternehmenswebseiten und E-Mails die Zugangsdaten, Bankdaten oder andere vertrauliche Informationen von Benutzern zu erlangen und damit einen Identitätsdiebstahl zu begehen. Grundlegend kann zwischen zwei Varianten von Phishing-E-Mails unterschieden werden:

Zum einen kann eine Phishing-E-Mail einen Link enthalten. Dieser führt zumeist auf einen täuschend ähnlichen Nachbau der Internetseite eines Dienstleisters. Auf diesem soll der Benutzer dann vertrauliche Informationen eintragen. Die hierbei eingegebenen Daten werden abgefangen und für die Zwecke der Betrüger missbraucht.

Zum anderen kann eine Phishing-E-Mail einen Anhang enthalten, der beispielsweise als angebliche Rechnung oder gar Mahnung getarnt ist. Öffnet der Empfänger den Anhang wird darin enthaltene Malware auf dem Endgerät des Nutzers übertragen. Diese Schadsoftware kann dann beispielsweise dafür sorgen, dass ein Zugriff auf einzelne Dokumente oder auf den gesamten Rechner nicht mehr möglich ist oder sämtliche Tastatur- und Bildschirmeingaben an unbefugte Dritte übermittelt werden.

Häufig verbreiten sich Phishing-E-Mails als Spam-E-Mails und erreichen somit unzählige Empfänger. Bei dem sogenannten Spear-Phishing richtet sich der Angriff gezielt gegen bestimmte Organisationen. Diese E-Mails sind oft mit hohem Aufwand auf einen bestimmten Empfänger zugeschnitten.


WORAN ERKENNE ICH EINE PHISHING-E-MAIL?

Auch wenn die meisten Phishing-E-Mails täuschend echt aussehen, können sich diese in den meisten Fällen anhand von einigen der folgenden Merkmale als solche identifizieren lassen:

Allgemeine Anrede: Viele Phishing-E-Mails beginnen mit einer allgemeinen Anrede, wie zum Beispiel „Sehr geehrte Damen und Herren“ oder „Sehr geehrter Kunde, sehr geehrte Kundin“. Unternehmen, bei denen Sie tatsächlich Kunde sind, werden Sie meist persönlich ansprechen. Diesen Schwachpunkt haben jedoch auch die Verfasser derartiger E-Mails entdeckt: Sie enthalten nun vermehrt auch persönliche Anreden, unter Umständen sogar die korrekte Anschrift oder Telefonnummern.
Handlungsempfehlung: Fragen Sie sich, ob der in der E-Mail genannte Dienstleister mit Ihnen in einer Geschäftsbeziehung steht, Ihre E-Mail-Adresse kennen kann und dieser mit Ihnen im Regelfall per E-Mail kommuniziert.

Inhalte: Mittels Phishing-E-Mails wird meist ein dringender Handlungsbedarf signalisiert, verbunden mit der Androhung von unangenehmen Folgen, sofern eine konkrete Handlung ausbleibt. Derartige Inhalte sollen bewirken, dass in den Empfängern Panik hervorgerufen wird, welche meist ein unvorsichtiges Handeln zur Folge hat. Sie werden zudem aufgefordert, vertrauliche Daten einzugeben. Anders als noch vor einigen Jahren weisen viele Phishing-Mails inzwischen keinerlei sprachliche Mängel mehr auf. Auch bei gut formuliertem Text sollten Sie deshalb wachsam sein.
Handlungsempfehlung: Hinterfragen Sie auch hier, ob der Dienstleister für das geschilderte Anliegen auf diese Weise normalerweise mit Ihnen in Kontakt treten würde. Gerade Finanzdienstleister versenden im Regelfall keine E-Mails, die Links oder Formulare enthalten oder in denen Sie zum Einloggen in Ihr Kundenkonto aufgefordert werden. Überprüfen Sie zudem gegebenenfalls genannte Transaktions-, Rechnungs- oder Bestellnummern. Öffnen Sie hierfür jedoch keine Anhänge.

Absender: Die Absender-E-Mail-Adresse stimmt meist nicht mit dem des vorgegebenen Unternehmens überein.
Handlungsempfehlung: Überprüfen Sie in Zweifelsfällen die Angaben im E-Mail-Header. Eine ausführliche Anleitung hierzu finden Sie im Artikel der Verbraucherzentrale „So lesen Sie den Mail-Header“.

Links und Anhänge: Die in einer Phishing-E-Mail eingefügten Links stimmen in der Regel nicht mit dem im E-Mail-Text angegebenen Internetadressen überein. Vorsicht bei Anhängen mit Formaten wie .exe oder .scr. Diese können Schadsoftware direkt auf Ihr Gerät laden. Manchmal werden Nutzer oder Nutzerinnen auch durch Doppelendungen wie Dokument.pdf.exe in die Irre geführt.
Handlungsempfehlung: Wenn Sie Ihre E-Mails mit einem Browser verwalten, werfen Sie einen Blick auf den sogenannten Quelltext der HTML-Mail. In einem gängigen E-Mail-Programm können Sie den Cursor einfach mit der Maus über die Absenderzeile führen, aber ohne darauf zu klicken. Dann sehen Sie die, ob in der Absenderzeile eine andere Adresse eingebettet ist.

Bestehen nach der Überprüfung der E-Mail weiterhin Zweifel, kontaktieren Sie den Dienstleister über die Ihnen bekannten Kontaktdaten – nutzen Sie hierfür unter keinen Umständen die in der E-Mail angegebenen Daten und antworten Sie auch nicht auf diese.


WIE VERHALTE ICH MICH WENN ICH EINE PHISHING-E-MAIL ERHALTEN HABE?

Haben Sie eine eingehende E-Mail als Phishing-Versuch enttarnt, verschieben Sie die betreffende E-Mail umgehend in den Spam-Ordner. Zusätzlich können Sie eine Meldung an den „echten“ Dienstleister vornehmen sowie die Phishing-E-Mail der Verbraucherzentrale über phishing@verbraucherzentrale.nrw melden.


WAS IST ZU UNTERNEHMEN, WENN AUF EINE PHISHING-E-MAIL REAGIERT WURDE?

Sollte sich erst nach der Bearbeitung einer entsprechenden E-Mail herausstellen, dass es sich um eine Phishing-Attacke gehandelt hat, sollte das jeweilige Endgerät umgehend auf Schadsoftware überprüft werden. Wurden im Zusammenhang mit der Phishing-E-Mail-Zugangsdaten eingegeben, sind diese unverzüglich abzuändern und betroffene Nutzerkonten gegebenenfalls zu sperren (für eine anschließende Entsperrung sollten ausschließlich die neuen Zugangsdaten verwendet werden). Sofern Unternehmensdaten betroffen sind, sollte eine Strafanzeige wegen des Ausspähens von Daten erstattet werden.

Eine Reaktion auf eine Phishing-E-Mail stellt eine Verletzung des Schutzes personenbezogener Daten im Sinne von Art. 4 Nr. 12 DS-GVO dar. Bei derartigen Vorkommnissen sollte demnach der betriebliche / behördliche Datenschutzbeauftragte in den Vorfall einbezogen werden. Unter Umständen erwachsen dem Verantwortlichen Melde- und Informationspflichten gemäß Art. 33 und Art. 34 DS-GVO.


FAZIT

Aufgrund der steigenden Angriffszahlen ist es ratsam die Beschäftigten auf das Thema Phishing-E-Mails zu sensibilisieren und – sofern noch nicht geschehen – notwendige Verhaltensweise wie beispielsweise Meldewege bei Datenschutzverletzungen zu implementieren und zu dokumentieren. Angebracht ist Skepsis bei E-Mails unbekannter Absender. Weiterführende Informationen zum Thema „Phishing“ sind auf den Seiten des BSI sowie auf den Seiten der Verbraucherzentrale aufrufbar. Dort finden Sie auch ein „Phishing-Radar“ mit aktuellen Meldungen.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Datenschutzverletzung
  • E-Mail
  • Homeoffice
  • Phishing
  • Social Engineering
Lesen

MESSENGER-DIENSTE UND DATENSCHUTZ – „WÜRDE ICH SELBST WOLLEN, DASS…?“

Die Nutzung von Messenger-Diensten stellt die Datenschutzbeauftragten von Unternehmen, Behörden, Kommunen und Schulen regelmäßig vor (datenschutz-)rechtliche Herausforderungen. Der unkomplizierten und zeitsparenden Kommunikationsmöglichkeit stehen meist erhebliche Bedenken hinsichtlich der intransparenten Verarbeitung personenbezogener Daten gegenüber. Ein datenschutzkonformer Einsatz ist im dienstlichen Umfeld oftmals nicht möglich. Doch auch im Rahmen der privaten Nutzung sollte die Wahl eines geeigneten Messenger-Dienstes sorgfältig geprüft werden. Die Aktualisierung der Geschäftsbedingungen von WhatsApp sorgt nun für ein Umdenken vieler Nutzer.


DIE NUTZUNG VON WHATSAPP IM DIENSTLICHEN UMFELD

Erst im Mai des vergangenen Jahres äußerte sich der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) Prof. Ulrich Kelber dahingehend, dass der Einsatz von WhatsApp für Bundesbehörden ausgeschlossen ist. Der Argumentation folgend dürfte Selbiges auch für weitere Behörden und Kommunen gelten. Aber auch hinsichtlich der Nutzung des Messenger-Dienstes an Schulen fällt das Urteil der Landesdatenschutzbeauftragten bereits seit längerer Zeit negativ aus. Weiterhin wird auch die Nutzung von WhatsApp zur betrieblichen Kommunikation in Unternehmen in der Regel als datenschutzrechtlich unzulässig einzustufen sein. Die Begründungen der einzelnen Aufsichtsbehörden fallen meist ähnlich aus:

(1) Bei einer Nutzung von WhatsApp findet eine Übermittlung von Namen und Telefonnummern aus dem Adressbuch des Nutzenden statt. Hierbei werden auch diejenigen Kontakte an WhatsApp übermittelt, die den Messenger-Dienst nicht nutzen. Außerhalb der privaten Nutzung ist hierfür eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DS-GVO (Datenschutz-Grundverordnung) erforderlich, welche in den allermeisten Fällen jedoch nicht vorliegt: Eine Interessenabwägung wird aufgrund der intransparenten Datenverarbeitung regelmäßig gegen die Nutzung von WhatsApp ausfallen, das Einholen von Einwilligungen aller Adressbucheinträge ist in der Praxis nahezu unmöglich.

(2) Bei der Nutzung von WhatsApp und insbesondere im Rahmen des zuvor beschriebenen Kontaktbuchabgleichs findet eine Übermittlung personenbezogener Daten in die USA statt. Da es sich bei den USA um einen datenschutzrechtlichen Drittstaat handelt, sind hierbei die besonderen Anforderungen der Artt. 44 ff. DS-GVO zu beachten. Den Abschluss von Standardvertragsklauseln, die eine Datenübermittlung unter bestimmten Umständen legitimieren könnten, bietet WhatsApp jedoch nicht an.

(3) Weiterhin nutzt WhatsApp durch die Kommunikationsverläufe aggregierte personenbezogene Daten für eigene Zwecke. Zwar findet grundsätzlich eine Ende-zu-Ende verschlüsselte Kommunikation statt, dies gilt jedoch grundsätzlich nur für die Inhalte der Gesprächsverläufe und nicht für die dabei anfallenden Metadaten. Hierzu gehören insbesondere IP-Adressen, Standortdaten, Zeitstempel, Angaben zu Sender und Empfänger sowie weitergehende Informationen über das Smartphone und Betriebssystem. Es ist somit grundsätzlich möglich eine detaillierte Profilbildung über die Nutzenden vorzunehmen. Auf die Aussage des BfDI Prof. Ulrich Kelber, es sei davon auszugehen, dass WhatsApp diese Daten an Facebook weitergebe, entgegnete WhatsApp lediglich, dass eine Übermittlung dieser Daten nicht stattfinde. Auch im Rahmen der überarbeiteten WhatsApp Datenschutzrichtlinie erfolgt jedoch ausschließlich eine recht allgemeine Beschreibung der Verwendungszwecke.

(4) Zudem ist anzumerken, dass die Datenverarbeitungen von WhatsApp zu Teilen nicht transparent und präzise dargestellt werden und demnach nicht den Anforderungen des Art. 12 Abs. 1 S. 1 DS-GVO entsprechen. In der WhatsApp Datenschutzrichtlinie heißt es beispielsweise: „Aus diesen Gründen und auf diese Weise verarbeiten wir deine Daten: Zur Bereitstellung von Messungen, Analysen und sonstigen Unternehmensservices, wenn wir die Daten als Datenverantwortlicher verarbeiten. Berechtigte Interessen, auf die wir uns stützen: Zur Bereitstellung genauer und zuverlässiger aggregierter Berichte für Unternehmen und sonstige Partner, um eine genaue Preisgestaltung und genaue Leistungsstatistiken zu gewährleisten, und um den Wert aufzuzeigen, den unsere Partner durch die Nutzung unserer Dienste realisieren; und im Interesse von Unternehmen und sonstigen Partnern, um ihnen zu helfen, Erkenntnisse über ihre Kunden zu erlangen und ihre Geschäfte zu verbessern und unsere Preismodelle zu validieren, die Effektivität und Verbreitung ihrer Dienste und Nachrichten zu bewerten und Aufschluss darüber zu erlangen, wie die Menschen mit ihnen auf unseren Diensten interagieren.Verwendete Datenkategorien: Wir verwenden Informationen, die in den Abschnitten Informationen, die du zur Verfügung stellst, Automatisch erhobene Informationen und Informationen Dritter dieser Datenschutzrichtlinie zu diesen Zwecken. […].“ [Unterstreichungen durch den Autor]. Ob eine derartige allgemeine Beschreibung der Datenverarbeitung und unter Nutzung unzähliger Verweise den Anforderungen einer präzisen, transparenten, verständlichen und leicht zugänglichen Datenschutzinformation genügen, ist äußerst fraglich.

Weitere Kritikpunkte lauten, dass der Quellcode von WhatsApp nicht offengelegt wird, keine näheren Informationen zu gegebenenfalls bestehenden Sicherheitsaudits vorliegen und darüber hinaus Tracker zur Analyse des Nutzungsverhaltens eingebunden sind. Grundsätzlich ähnliche Bedenken gelten auch hinsichtlich der Nutzung von Telegram. Dieser Dienst wird zu Unrecht oft als geeignete Alternative empfohlen.


DIE NUTZUNG VON MESSENGER-DIENSTEN IM PRIVATEN UMFELD

Doch auch im Rahmen der privaten Nutzung von Messenger-Diensten, für die die Regelungen der DS-GVO regelmäßig nicht einschlägig sind, sollten datenschutzrechtliche Aspekte schon vor der Wahl eines bestimmten Dienstes berücksichtigt werden. Denn bereits aus der Erhebung von Metadaten lassen sich weitestgehend Rückschlüsse zum Verhalten einzelner Personen ziehen.

Nicht selten wird einer datenschutzversierten Person hinsichtlich datenschutzrechtlicher Bedenken das Argument entgegengehalten, dass ein solches Geschäftsmodell billigend in Kauf genommen werde, da man ohnehin nichts zu verbergen habe. Dass eine solche Argumentation wesentlich zu kurz greift, dürfte einem Jeden mit Blick auf einzelne Berichte bewusstwerden, wonach soziale Netzwerke durchaus in der Lage sind anhand psychologischer Analysen nutzende Personen auszumachen, die sich „nervös“, „gestresst“, „überfordert“, „ängstlich“, „dumm“, „nutzlos“ oder „wie ein Versager“ fühlen. Für Werbetreibende bestehe daraufhin die Chance, diesen Personen durch Werbung in derartigen Situationen gezielt anzusprechen.

Aber auch fernab von solchen Szenarien sollte die Praxis vieler Messenger-Dienste hinsichtlich des zwingenden Kontaktbuchabgleichs ebenfalls im privaten Kontext kritisch hinterfragt werden. Zwar sind die Regelungen der DS-GVO im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten gemäß Art. 2 Abs. 2 lit. c DS-GVO nicht einschlägig, jedoch greift bei Datenverarbeitungen im privaten Umfeld oftmals das allgemeine Persönlichkeitsrecht. Frei nach Kant gilt es hierbei sich zu fragen: „Würde ich selbst wollen, dass Freunde und Bekannte meine Telefonnummer an Internetdienste weitergeben, zu denen ich in keinerlei Verbindung stehe?“ Eine solche ungewollte Offenlegung von Kontaktdaten findet zudem meist schon auf einer niedrigeren Ebene statt: Durch Hinzufügen zu Gruppenchats werden bei einigen Messenger-Diensten für alle Mitglieder sichtbar die Telefonnummern sämtlicher Teilnehmer ungewollt dargestellt. Hier gilt es die Verwendung alternativer Messenger-Dienste zu prüfen.


DATENSCHUTZFREUNDLICHE ALTERNATIVEN

Wer nun gerne auf eine datenschutzfreundlichere Alternative umsteigen möchte, hat zwischenzeitlich die Auswahl zwischen mehreren Anbietern. Eine direkte Vergleichsmöglichkeit bietet unter anderem die Übersicht von Mike Kuketz. Die gängigsten datenschutzfreundlichen Alternativen dürften in dieser Darstellung die Messenger-Dienste Threema sowie Signal sein. Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg unterstützt grundsätzlich den Einsatz von Threema als datenschutzkonforme Alternative. Der Messenger-Dienst aus der Schweiz bietet zudem im dienstlichen Umfeld die Version „Threema Work“ an. Bei einem Einsatz dieser Version ist der Abschluss eines Vertrages zur Auftragsverarbeitung möglich, um den Anforderungen des Art. 28 DS-GVO nachkommen zu können.


FAZIT

Sowohl im dienstlichen als auch im privaten Umfeld sollten bei einem Einsatz von Messenger-Diensten die datenschutzrechtlichen Anforderungen betrachtet werden. Hierbei ist abzuwägen welche konkreten (funktionellen) Anforderungen an einen Messenger-Dienst bestehen und wie dieser datenschutzkonform eingesetzt werden kann. Auch wenn im privaten Umfeld keine Sanktionen gemäß den Regelungen der DS-GVO drohen, schadet ein Umdenken auch hier sicherlich nicht. Für unentschlossene WhatsApp-Nutzende verbleibt eine gewisse Bedenkzeit: Die neuen Nutzungsbedingungen gelten nunmehr erst ab dem 15. Mai 2021 verbindlich.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Kommentar
  • Messenger
  • Signal
  • Telegram
  • Threema
  • WhatsApp
Lesen

ABGEHÖRT? VIDEOKAMERA, ALEXA, SIRI & CO BEI HÄUSLICHER PFLEGE

Sprachassistenten können Waren bestellen, das Licht dimmen, den Fernseher und das Smartphone bedienen. Videokameras übertragen Bilder zu Plätzen überall auf der Welt und ermöglichen so einen Blick in die Ferne. Immer häufiger finden sich in den Wohnungen pflegebedürftiger Menschen Videoüberwachungskameras und Sprachassistenten. Diese werden meist von deren Angehörigen angeschafft, um mitzubekommen, wenn Hilfe benötigt wird. Dieses mag in guter Absicht geschehen. Mit diesen Geräten bringt man allerdings digitale Spitzel ins Haus, die auch Mitarbeitende häuslicher Pflegedienste tangieren. Gleichermaßen werden sie gefilmt und ihre Worte werden von den Sprachassistenten erfasst und verarbeitet.


WAS BEDEUTET DAS DATENSCHUTZRECHTLICH?

Fraglich ist, ob die DS-GVO und das Bundesdatenschutzgesetz hier helfen können, die Persönlichkeitsrechte der Pflegenden zu schützen. Diese Verarbeitung personenbezogener Daten im ausschließlich privaten Bereich unterfällt dem sog. Haushaltsprivileg Art. 2 Abs. 2 lit. c DS-GVO und daher nicht in den Anwendungsbereich der DS-GVO. Daraus folgt nun aber nicht, dass diese Art der Überwachung Dritter in einem rechtsfreien Raum ohne Einschränkung zulässig wäre.

Dreh- und Angelpunkt der rechtlichen Beurteilung einer privaten (Video-) Überwachung ist das allgemeine Persönlichkeitsrecht genauer gesagt eine Verletzung desselben. Der Bundesgerichtshof definierte 2010 in seinem Urteil (Az. VI ZR 176/09), was bei der privaten Videoüberwachung laut Datenschutz zu beachten ist und sich auf eine Sprachüberwachung übertragen lässt. Im Urteil heißt es:

„(…) Eine Videoüberwachung greift in das allgemeine Persönlichkeitsrecht der Betroffenen in seiner Ausprägung als Recht der informationellen Selbstbestimmung ein; dieses Recht umfasst die Befugnis des Einzelnen, grundsätzlich selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, und daher grundsätzlich selbst über die Preisgabe und Verwendung persönlicher Daten zu bestimmen.“

Eine Videokamera im privaten Umfeld (Grundstück, Wohnung) ist regelmäßig zulässig. Kommen fremde Personen in den Überwachungsbereich, ist die Aufnahme nur erlaubt, wenn die betroffenen Personen dem ausdrücklich zugestimmt haben. Wenn keine Einwilligung der gefilmten Personen vorliegt, muss immer abgewogen werden, ob das allgemeine Persönlichkeitsrecht von Personen, die sich im überwachten Bereich aufhalten, ausreichend berücksichtigt wird. Aus einem Verstoß gegen diese Prinzipien ergibt sich regelmäßig ein zivilrechtlicher Unterlassungsanspruch. Dieser kann bereits dann bestehen werden, wenn Betroffene eine Videoüberwachung nur ernsthaft befürchten müssen.

Videokameras im privaten Bereich übertragen häufig nur Livebilder oder die Speicherung von Daten findet auf internen SD-Karten statt. Zudem lässt sich das Problem mit der Videokamera in vielen Fällen noch mit einem Standortwechsel oder einem Handtuch über der Kamera lösen. Die Datenverarbeitung bei Sprachassistenten ist meist tiefgehender und undurchschaubarer. Sprachassistenten funktionieren wie Abhörwanzen und bei deren Anbietern gehört das Abhören und weitere Verarbeitung der Daten i. d. R. zum Geschäftsmodell.


BESONDERE PROBLEMATIK BEI SPRACHASSISTENTEN

Die Geräte müssen ständig an sein, um das jeweilige Aktivierungswort hören zu können. Sobald das Gerät den Befehl hört, findet eine Datenübertragung an den Anbieterserver statt. Die Analyse der Sprachbefehle findet in der Infrastruktur und damit im Einflussbereich der Anbieter statt. Diese verfolgen dann auch eigene Zwecke wie die Datenanalyse zur Verbesserung der Spracherkennungs- und Sprachverständnissysteme, der Erstellung von Stimmprofilen bis hin zur Auswertung von Spracheingaben für (werbliche) Empfehlungen. Wenn die Daten auf den Servern des Anbieters gespeichert sind, bleiben sie dort in der Regel auch, bis sie aktiv gelöscht werden. Nicht nur die Hersteller verarbeiten Daten, sondern auch Drittanbieter, die mit den Sprachassistenten verbunden sind. Hier ist das Löschen weitaus komplizierter. Insbesondere können Dritte, in diesen Fall die Pflegenden, ihre Rechte beim Anbieter schwerlich durchsetzen.


FAZIT

Wie oben erwähnt, steht den Pflegenden zwar ein Rückgriff auf die Bestimmungen der Datenschutzgrundverordnung und des Bundesdatenschutzgesetzes nicht zur Verfügung, um ihre Betroffenrechte durchzusetzen, da die Verarbeitung personenbezogener Daten im privaten Bereich stattfindet. Es können aber andere Rechtsgrundlagen die personenbezogene Daten schützen, wie das allgemeine Persönlichkeitsrecht, das Recht auf informationelle Selbstbestimmung,  das Recht am eigenen Bild  und die Vertraulichkeit des Wortes.

Bevor es soweit kommt ist es sicherlich angeraten, die Nutzer dieser Systeme, in diesem Fall zu Pflegende und Angehörige, auf die Problematik hinzuweisen und eine Abschaltung während der Pflegezeit zu besprechen oder dies im Pflegevertrag festzuschreiben.

Über die Autorin: Tanja Albert ist als externe Datenschutz- und IT-Sicherheitsbeauftragte beim Dresdner Institut für Datenschutz tätig. Sie berät neben Einrichtungen im Gesundheits-, sozialen und kirchlichen Bereich auch Unternehmen im Ausland.

    Tags:
  • Bundesgerichtshof
  • Häusliche Pflege
  • Persönlichkeitsrecht
  • Sprachassistenten
  • Videokameras
Lesen

HOMEOFFICE UND MOBILES ARBEITEN

Auch bei der Arbeit im Homeoffice oder im Rahmen des sogenannten mobilen Arbeitens muss auf einen datenschutzkonformen Umgang mit personenbezogenen Daten geachtet werden. Im Folgenden erhalten Sie einige Anregungen, was konkret zu berücksichtigen ist und welche Maßnahmen zu ergreifen sind. Bitte beachten Sie darüber hinaus – sofern vorhanden – etwaige interne Richtlinien zu diesen Themen. Ein bedachter und verantwortungsvoller Umgang hilft, die Gefahr von Datenschutzverletzungen auf ein Minimum zu reduzieren.


SICHERN SIE IHREN ARBEITSPLATZ VOR ZUGRIFFEN DRITTER

Beim Verlassen des Arbeitsplatzes dürfen keine Dokumente und Dateien mit personenbezogenen Daten offenliegend zurückgelassen werden. Sichern Sie aus diesem Grund die verwendeten Endgeräte per passwortgeschützten Sperrbildschirm, schließen Sie geöffnete Akten und verwahren Sie diese nach Möglichkeit in verschließbaren Aktenschränken oder abschließbaren Transportbehältern. Bei einer längeren Abwesenheitszeit sind zudem – sofern möglich – die jeweiligen Räumlichkeiten zu verschließen oder mobile Endgeräte mitzuführen.


SCHÜTZEN SIE PERSONENBEZOGENE DATEN VOR NEUGIERIGEN BLICKEN

Zum Schutz vor neugierigen Blicken sollte Ihr Arbeitsplatz so eingerichtet sein, dass Besucher, Mitreisende oder andere unbefugte Dritte – hierzu gehören grundsätzlich auch Familienangehörige und Mitbewohner – keine Einsicht auf Ihren Bildschirm oder etwaige Dokumente nehmen können. Ist dies aufgrund der örtlichen Gegebenheiten nicht möglich, können Blickschutzfolien einen gleichwertigen Effekt erzielen. Die Verwendung von Blickschutzfolien empfiehlt sich außerdem bei der Nutzung mobiler Endgeräte an öffentlichen Plätzen und in Verkehrsmitteln.


HANDELN SIE IN RAHMEN VON TELEFONATEN UMSICHTIG

Wenn Sie Telefonate durchführen, sollten Sie je nach Sensibilität des Gesprächsinhaltes stets darauf achten, dass sich in unmittelbarer Nähe zu Ihnen keine unbefugten Personen aufhalten. Unter Umständen ist es sinnvoll, das Telefongespräch zunächst zu unterbrechen und einen Rückruf zu einem späteren Zeitpunkt zu vereinbaren. Erteilen Sie darüber hinaus nach Möglichkeit nur im beschränkten Umfang Auskünfte am Telefon. Insbesondere im Rahmen des Social Engineerings verlangen oftmals angebliche Kunden, Kollegen oder Dienstleister umfangreiche Informationen zu geschäftlichen Interna. Vereinbaren Sie im Zweifelsfall auch hierbei gegebenenfalls einen Rückruf und überprüfen Sie die hierfür angegebene Telefonnummer mit möglicherweise Ihnen bereits bekannten Nummern.


NUTZEN SIE AUSSCHLIEßLICH SICHERE NETZWERKVERBINDUNGEN

Auch wenn die jeweils eingesetzten EDV-Geräte sich auf dem aktuellen technischen Stand befinden und über eine aktuelle Sicherheitssoftware verfügen, stellen ungesicherte Netzwerkverbindungen ein erhebliches Sicherheitsrisiko dar. Achten Sie deshalb insbesondere im Rahmen des mobilen Arbeitens auf die ausschließliche Nutzung gesicherter Netzwerkverbindungen. Sollten derartige Netzwerke nicht zur Verfügung stehen, kann unter Umständen auch das dienstliche Smartphone als persönlicher Hotspot verwendet werden.


TRENNEN SIE BERUFLICHES VON PRIVATEM

Die Trennung von beruflichen und privaten Angelegenheiten ist auch im Bereich des Datenschutzes unbedingt zu beherzigen. Dementsprechend sollten über den vom Arbeitgeber zur Verfügung gestellten Arbeitsmitteln, wie beispielsweise Endgeräte und Zugänge zu E-Mail-Postfächern, ausschließlich für geschäftliche Zwecke genutzt werden. Ebenso ist der Einsatz von privaten Geräten (z.B. externe Festplatten oder Drucker) und Zugängen für geschäftliche Zwecke zu unterlassen, sofern dies nicht ausdrücklich von der Geschäftsführung erlaubt wurde.


VERNICHTEN SIE DOKUMENTE UND HARDWARWE MIT PERSONENBEZOGENEN DATEN DATENSCHUTZGERECHT

Werden Dokumente oder Hardware mit personenbezogenen Daten nicht mehr benötigt, sind diese datenschutzkonform zu entsorgen. Dabei muss sichergestellt werden, dass die Möglichkeit eines weiteren Zugriffs oder einer Wiederherstellung ausgeschlossen werden kann. Eine einfache Entsorgung der jeweiligen Datenträger über den Hausmüll ist nicht ausreichend. Papierunterlagen sind zumindest zu schreddern (vgl. DIN 66399, DIN EN 15713), Festplatten fachgerecht, beispielsweise über einen speziellen Dienstleister, zu entsorgen. Beachten Sie zudem, dass moderne Multifunktionsgeräte zum Teil ebenso über Festplatten verfügen, die personenbezogene Daten enthalten können.


MELDUNG VON DATENSCHUTZVERLETZUNGEN

Die Pflicht zur Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß Art. 33 und Art. 34 DS-GVO sind ebenfalls im Rahmen des Homeoffices oder des mobilen Arbeitens einschlägig. Sollte Ihnen trotz Beachtung der zuvor aufgeführten Maßnahmen eine Datenschutzverletzung unterlaufen sein oder haben Sie Kenntnis von einer solchen erlangt, wenden Sie sich bitte umgehend sowohl an Ihren Vorgesetzten als auch an Ihren Datenschutzbeauftragten. Diese untersuchen den Vorfall und entscheiden anschließend über das weitere Vorgehen.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • Berufsalltag
  • Datenschutzverletzung
  • Homeoffice
  • mobiles Arbeiten
  • Passwort
Lesen

PASSWORTSICHERHEIT

Passwörter dienen nicht nur dem Schutz vertraulicher Daten, sondern auch als Authentifizierungsmerkmal bei der Verwendung von Nutzerkonten. Umso wichtiger ist es daher, dass die eigens gewählten Passwörter einen hohen Schutzstandard aufweisen. Betrachtet man jedoch die Rangliste der beliebtesten Passwörter in Deutschland, so handelt es sich bei der Zeichenfolge „123456“ nach wie vor um das am meisten genutzte Passwort deutscher Internetnutzer – dicht gefolgt von „123456789“ und „passwort“.


WAS ZEICHNET EIN SICHERE PASSWORT AUS?

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Auch wenn unter diesen Umständen die Verlockung groß ist: Vermeiden Sie es unbedingt, sich Ihre Passwörter zu notieren. Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Das BSI empfiehlt darüber hinaus auch die Verwendung sogenannter Passwort-Manager.

Die Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist hingegen nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei sicheren Passwörtern nicht mehr erforderlich (siehe IT Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23).


ÄNDERN SICH VOREINGESTELLTE PASSWÖRTER UMGEHEND

Diverse Hardware- und Softwarelösungen verfügen über allgemein bekannte voreingestellte oder „leere“ Passwörter. Diese stellen ein besonderes Sicherheitsrisiko dar und sind aus diesem Grund umgehend abzuändern. In diesem Zusammenhang sei noch erwähnt, dass Router stets über ein mindestens 20-stelliges Passwort verfügen sollten.


SICHERN SIE IHRE ENDGERÄTE PER SPERRBILDSCHIRM

Sämtliche gängigen Betriebssysteme bieten automatische Bildschirm-Timeouts in Verbindung mit der Eingabe eines Passwortes bei Reaktivierung an. Diese Funktion sollte abhängig vom jeweiligen Endgerät, spätestens jedoch fünf Minuten nach der letzten Benutzeraktivität den Zugang sperren. Bei kürzerer Abwesenheit ist auch eine Sperrung per Tastenkombination, beispielsweise durch Windows-Taste + L möglich. Dies verhindert, dass unbefugte Dritte während Ihrer Abwesenheit Zugang zu personenbezogenen Daten sowie anderen vertraulichen Informationen erhalten.


GEBEN SIE PASSWÖRTER MÖGLICHST NUR AUF EIGENEN GERÄTEN EIN

Oftmals ist nicht bekannt, ob fremde Endgeräte über einen ausreichenden Schutz vor Schadprogrammen verfügen. Demnach kann auch nicht ausgeschlossen werden, dass mittels sogenannter „Keylogger“ sämtliche Tastatur- und Bildschirmeingaben aufgezeichnet werden. Vermeiden Sie aus diesem Grund auf die Eingabe Ihrer Zugangsdaten bei der Nutzung fremder Endgeräte. Sofern Sie beispielsweise während einer Dienstreise gezwungenermaßen ausschließlich über fremde Geräte Ihre Zugangsdaten eingeben können, empfiehlt sich für diese Zeit die Nutzung eines temporären Ersatzpasswortes.


GEBEN SIE PASSWÖRTER NIEMALS WEITER

Wie eingangs erwähnt, handelt es sich bei Passwörtern auch um ein Authentifizierungsmerkmal Ihrer Person. Geben Sie aus diesem Grund Passwörter niemals weiter, weder an Familienangehörige noch an Vorgesetzte oder Kolleginnen und Kollegen. Ändern Sie Ihr Passwort umgehend, wenn Sie mitbekommen haben, dass ein anderer Ihre Zugangsdaten in Erfahrung bringen konnte.


TRENNEN SIE BERUFLICHE UND PRIVATE PASSWÖRTER

Verwenden Sie für berufliche und private Zwecke stets unterschiedliche Passwörter. So vermeiden Sie, dass berufliche Passwörter durch das Ausspähen von Zugangsdaten bei privaten Dienstanbietern bekannt werden.


NUTZEN SIE DIE ZWEI-FAKTOR-AUTHENTISIERUNG

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und 2FA-Apps angeboten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

    Tags:
  • IT-Sicherheit
  • Keylogger
  • Passwort
  • Sperrbildschirm
  • Zwei-Faktor-Authentisierung
Lesen

DIE DATENSCHUTZRECHTLICHEN FOLGEN DES BREXIT

Am 31. Januar 2020 ist das Vereinigte Königreich aus der Europäischen Union (EU) ausgetreten. Auf Grundlage des Austrittsübereinkommens vom 17. Oktober 2019 gilt das Recht der EU – und somit auch die Datenschutz-Grundverordnung (DS-GVO) – für eine Übergangszeit bis zum 31. Dezember 2020 fort. Die aktuellen Entwicklungen deuten jedoch darauf hin, dass zu Beginn des neuen Jahres das Vereinigte Königreich als datenschutzrechtliches Drittland anzusehen ist und somit für Datenübermittlungen die gleichen Anforderungen wie beispielsweise in die USA gelten.


RECHTSLAGE BIS ZUM 31. DEZEMBER 2020

Gemäß Art. 4 in Verbindung mit Art. 67 Abs. 1 lit. b des Abkommens über den Austritt des Vereinigten Königreichs Großbritannien und Nordirland aus der Europäischen Union und der Europäischen Atomgemeinschaft gelten die Regelungen der DS-GVO im Vereinigten Königreich und Nordirland bis zum 31. Dezember 2020 fort. Während dieses Übergangszeitraums sind für Datenübermittlungen an andere verantwortliche Stellen und Auftragsverarbeiter neben dem Vorliegen einer einschlägigen Übermittlungsgrundlage (z.B. Vertrag zur Auftragsverarbeitung) keine datenschutzrechtlichen Besonderheiten zu beachten. Die Regelungen des Kapitel V der DS-GVO hinsichtlich der Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen sind im genannten Zeitfenster mithin nicht einschlägig.


RECHTSLAGE AB DEM 01. JANUAR 2021

Mit Ablauf des Übergangszeitraums gilt das Vereinigte Königreich mangels eines weiteren internationalen Abkommens als datenschutzrechtliches Drittland im Sinne des Kapitel V der DS-GVO. Neben einer einschlägigen Übermittlungsgrundlage bedarf es auf der zweiten Stufe somit zusätzlich der Erfüllung der Bedingungen der Artt. 44 ff. DS-GVO. Da zum gegenwärtigen Zeitpunkt seitens der Europäischen Kommission jedoch kein Angemessenheitsbeschluss im Sinne von Art. 45 Abs. 1 DS-GVO verabschiedet wurde, welcher den nationalen datenschutzrechtlichen Regelungen des Vereinigten Königreichs ein gleichwertiges Niveau zu denen der DS-GVO attestiert, scheidet die „Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses“ als besondere Voraussetzung einer Datenübermittlung an Verantwortliche und Auftragsverarbeiter im Vereinigten Königreich bereits aus.

Zur Gewährleistung einer datenschutzkonformen Übermittlung personenbezogener Daten sind durch den Verantwortlichen somit regelmäßig geeignete Garantien im Sinne des Art. 46 DS-GVO vorzuweisen. Hierzu zählen insbesondere folgende Garantien:
– durch die zuständige Aufsichtsbehörde zu genehmigende verbindliche interne Datenschutzvorschriften, sogenannte Binding Corporate Rules (BCR), gemäß Art. 47 DS-GVO;
Standarddatenschutzklauseln der EU-Kommission oder einer Aufsichtsbehörde, unter besonderer Berücksichtigung der aktuellen EuGH-Rechtsprechung hinsichtlich der Ergänzung durch zusätzliche technische und organisatorische Maßnahmen im Rahmen der Datenübermittlung, z.B. der Verschlüsselung personenbezogener Daten;
genehmigte Verhaltensregeln gemäß Art. 40 DS-GVO oder ein genehmigter Zertifizierungsmechanismus gemäß Art. 42 DS-GVO;
– einzeln ausgehandelte und durch die zuständige Aufsichtsbehörde genehmigte Vertragsklauseln, die zwischen den Vertragsparteien vereinbart wurden.

Liegen keine geeigneten Garantien im Sinne des Art. 46 DS-GVO vor, so ist eine Datenübermittlung in ein datenschutzrechtliches Drittland gemäß Art. 49 DS-GVO ausnahmsweise insbesondere dann zulässig, sofern:
– die betroffene Person in die Datenübermittlung ausdrücklich einwilligt, nachdem sie über die bestehenden Risiken einer solchen Datenübermittlung aufgeklärt wurde,
– die Übermittlung für die Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen notwendig oder
– die Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Die aufgeführten Ausnahmetatbestände des Art. 49 DS-GVO sind jedoch durchweg restriktiv auszulegen und stellen keinesfalls eine belastbare Grundlage für regelmäßige Datenübermittlungen dar.


DIESE MAßNAHMEN SIND NUN ERFORDERLICH

Verantwortliche Stellen, die personenbezogene Daten an andere verantwortliche Stellen oder Auftragsverarbeiter mit Sitz im Vereinigten Königreich übermitteln, sollten zeitnah überprüfen, ob neben einer Übermittlungsgrundlage ebenfalls mindestens eine der in Art. 44 ff. DS-GVO aufgeführten Voraussetzungen zur Übermittlung personenbezogener Daten in ein Drittland vorliegt. Im Regelfall wird es diesbezüglich auf den Abschluss von Standarddatenschutzklauseln hinauslaufen, welche im Idealfall durch zusätzliche technische und organisatorische Maßnahmen ergänzt werden. Zur Erstellung von Standardvertragsklauseln stellt die britische Datenschutzaufsichtsbehörde auf ihrer Internetseite einen entsprechenden Generator zur Verfügung.

Unter Umständen kann die Übermittlung personenbezogener Daten in ein Drittland auch durch einen Wechsel zu einem Dienstleister mit Sitz innerhalb der EU grundsätzlich vermieden werden.

Im Falle der Aufrechthaltung des Drittlandtransfers sind weiterhin folgende Maßnahmen zu treffen:
– die Ergänzung der Datenschutzinformationen gemäß Art. 13 oder Art. 14 DS-GVO hinsichtlich der Übermittlung personenbezogener Daten in ein Drittland unter Nennung der im Einzelfall einschlägigen Voraussetzung der Artt. 44 ff. DS-GVO,
– die Ergänzung einer vollständigen Darstellung der Datenübermittlung im Rahmen des Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DS-GVO,
– gegebenenfalls die Vornahme von oder die Prüfung und Ergänzung bereits erfolgter Datenschutz-Folgenabschätzungen gemäß Art. 35 DS-GVO,
– die vollständige Beauskunftung der Drittlandübermittlung im Rahmen der Beantwortung von Auskunftsansprüchen gemäß Art. 15 DS-GVO.


UPDATE VOM 04. JANUAR 2021

In einer Pressemitteilung vom 28. Dezember 2020 weist die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hinsichtlich des Handels- und Zusammenarbeitsabkkommens zwischen dem Vereinigten Königreich und der Europäischen Union auf eine Übergangsregelung bezüglich Datenübermittlungen hin. Demnach sind Übermittlungen personenbezogener Daten von der EU in das Vereinigte Königreich und Nordirland für einen Übergangszeitraum von maximal sechs Monaten nicht als Übermittlung in ein datenschutzrechtliches Drittland anzusehen. Der Sächsische Datenschutzbeauftragte Andreas Schurig hierzu: „Damit sind Übermittlungen in das Vereinigte Königreich vorerst weiterhin unter den bisherigen Voraussetzungen möglich. Gravierende Erschwernisse für die betroffenen Unternehmen werden so zunächst vermieden.“


FAZIT

Sämtliche verantwortliche Stellen, die personenbezogene Daten in das Vereinigte Königreich übermitteln sollten zeitnah das Vorliegen der besonderen datenschutzrechtlichen Voraussetzungen des Kapitel V der DS-GVO überprüfen und die dargestellten notwendigen Maßnahmen ergreifen. Die Aufsichtsbehörden können im Falle von Verstößen Datenübermittlungen aussetzen sowie hierzu ergänzend Bußgelder verhängen. Das Aussitzen der datenschutzrechtlichen Folgen des Brexit und das (erfolglose?) Warten auf einen Angemessenheitsbeschluss der Kommission stellt somit keine ernsthafte Alternative dar.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen.

    Tags:
  • Auftragsverarbeitung
  • Brexit
  • Datenübermittlungen
  • Drittstaaten
  • Standardvertragsklauseln
Lesen
1 2 3