Veröffentlicht am

Abmahn-Risiko bei Datenschutzverstößen abgemildert

Für viele Unternehmen dürfte es ein deutlich vernehmbares Aufatmen geben. Am 10. September 2020 hat der Bundestag ein Gesetz zur Stärkung des fairen Wettbewerbs beschlossen (siehe auch in der Pressemitteilung des Bundestags: https://www.bmjv.de/SharedDocs/Pressemitteilungen/DE/2020/091020_Staerkung_fairer_Wettbewerb.html).

Nur „echte“ Konkurrenten anspruchsberechtigt

Einen Erstattungsanspruch für Abmahngebühren kann ein Konkurrent danach nur noch unter sehr eingeschränkten Bedingungen geltend machen. Die Frage der Anspruchsberechtigung wurde spürbar verschärft. Anspruchsvoraussetzung ist nicht mehr nur ein irgendwie geartetes Konkurrenzverhältnis, etwa wenn ein Branchenfremder eine neue Shopseite mit konkurrierenden Produkten vorübergehend online gestellt hat. Gefordert wird nunmehr der „nicht nur gelegentlich[e]“ Handel „in nicht unerheblichem Maße“ mit konkurrierenden Waren oder Dienstleistungen. Es muss also ein echtes, realistisches, nicht nur vorübergehendes Konkurrenzverhältnis bestehen.

Keine Kostenerstattung von Konkurrenten bei kleineren Unternehmen

Ist der Konkurrent anspruchsberechtigt, hat er damit erst einmal nur das Recht, eine Unterlassung zu fordern. Handelt es sich um Verstöße gegen die Datenschutz-Grundverordnung (DSGVO), hat er keine Möglichkeit, gegenüber Unternehmen mit weniger als 250 Mitarbeitern eine Erstattung für seine Kosten zu fordern. Grundsätzlich nicht erstattungsfähig für Konkurrenten auch gegenüber größeren Konkurrenten sind Kosten für Unterlassungsansprüche bei Versäumnissen bei der Informations- und Kennzeichnungspflicht im Internet, z.B. Impressum oder Datenschutzinformation auf der Webseite, Informationspflichten bei Fernabsatzverträgen oder nach der Preisangabenverordnung.

Nur noch eingetragene Wirtschaftsverbände

Daneben wurden auch die Voraussetzungen für „Abmahnvereine“ und Co. verschärft. Das Bundesamt für Justiz führt nunmehr eine Liste mit qualifizierten Wirtschaftsverbänden, die dort nur als Anspruchsberechtigte aufgenommen werden können, wenn (neben anderen Voraussetzungen) deren Zweck nicht vorwiegend in der Erzielung von Einnahmen aus Abmahnungen und Vertragsstrafen besteht.

Um die Rechtschaffenheit der Tätigkeit überprüfen zu können, unterliegen die eingetragenen Wirtschaftsverbände einer umfassenden Berichtspflicht gegenüber dem Bundesamt über u.a. Anzahl der Abmahn- und Klageverfahren, der getroffenen Unterlassungsvereinbarungen mitsamt der vereinbarten Vertragsstrafe. Die Verletzung dieser Berichtspflichten ist zudem für die Wirtschaftsverbände bußgeldbewehrt.

Das Geschäftsmodell einer reinen Abmahn-„produktion“ wird durch die neuen Regelungen deutlich erschwert.

Kein fliegender Gerichtsstand mehr

Auch uninteressanter geworden sind die Abmahn-Praktiken aufgrund der Einschränkungen des sogenannten „fliegenden Gerichtsstands“. Da Verstöße im Internet von überall aus wahrgenommen werden können, war es bislang möglich, sich den Gerichtsstand für Klagen quasi selbst auszusuchen, sei es wegen der Rechtsprechungspraxis eines bestimmten Bezirks, sei es wegen Bequemlichkeit. Im neu beschlossenen Gesetzesentwurf ist der Gerichtsstand nunmehr festgelegt auf den Ort des Abgemahnten, so dass der Abmahner seine Tätigkeiten nicht mehr an einem Ort bündeln kann.

Rache ist süß

Hinzugetreten sind erleichterte Möglichkeiten, sich gegen ggf. unberechtigte Abmahnungen zur Wehr zu setzen. Beispielsweise wurden Regelbeispiele aufgenommen, wann von einer missbräuchlichen und damit unberechtigten Abmahnung ausgegangen werden kann. Dies stellt eine deutliche Beweiserleichterung für unrechtmäßig Abgemahnte dar. Die Kosten für die Rechtsverteidigung gegen missbräuchliche Abmahnungen können gleichermaßen gegen den Abmahner geltend gemacht werden, selbst dann wenn nur formale Mängel in der Abmahnung vorliegen.

Aussicht

Diese Gesetzesänderungen decken eine Flanke ab, die Sie bislang durch Abmahnungen zu fürchten hatten. Das Risiko von einer Abmahnwelle mitgerissen zu werden, ist damit deutlich gesunken. Der neue Gesetzesvorstoß entbindet Sie natürlich nicht davon, rechtskonform zu handeln. Nach wie vor gibt es Möglichkeiten, für Datenschutzverletzungen belangt zu werden. Schadensersatzansprüche sind von der Novelle nicht berührt, darunter können Ansprüche Betroffener genauso wie tatsächlich angefallene Schadensersatzansprüche von Konkurrenten fallen. Weiterhin hat auch die Datenschutz-Behörde das Recht, Sie für Datenschutzverstöße z.B. auf Ihrer Webseite zu belangen. All diese Ansprüche werden allerdings nach konkreten vorher feststehenden Kriterien bemessen und boten damit kein vergleichbar zu fürchtendes Risiko wie es manche Abmahnwelle mit sich brachte.

Der Gesetzesentwurf ist ein guter Schritt in Richtung fairer Wettbewerb und reduziert einen Risikofaktor. Wenn Sie auch die verbleibenden Risiko-Faktoren eliminieren wollen (Bußgeld und Schadensersatzforderungen), besprechen Sie sich mit Ihrem Datenschutzbeauftragten über möglicherweise noch bestehende Datenschutz-Lücken.

Ass.iur Nicole Krause

Juristische Mitarbeiterin der GINDAT GmbH

 

Veröffentlicht am

Kontrolle der Auftragsverarbeiter

Sie setzen Auftragsverarbeiter ein? Dann müssen Sie diese regelmäßig kontrollieren gemäß Art. 28 III 2 lit. h DSGVO! Als Auftraggeber bleiben Sie verantwortlich für alle Datenverarbeitungen, die durch den Dienstleister durchgeführt werden, und haften gegenüber den Betroffenen für eventuelle Schäden, die durch den Auftragsverarbeiter verursacht werden könnten. Ihre Haftung bleibt von ggf. bestehenden Regress-Forderungen an den Dienstleister unberührt.

Pflicht zur Kontrolle des Auftragsverarbeiters

Als Auftraggeber haben Sie nicht nur das Recht Ihre Auftragsverarbeiter zu kontrollieren (Art. 28 III 2 lit. h DSGVO) sondern auch die Pflicht.

Denn Art. 28 I DSGVO erlaubt nur die Zusammenarbeit mit solchen Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Um dieser Pflicht nachzukommen, reicht weder der Abschluss eines Auftragsverarbeitungsvertrags aus noch die einmalige Kontrolle.  Vielmehr hat die DSGVO eine laufende Kontrollverpflichtung verankert (Auftragskontrolle). Sie müssen das aktuelle Datenschutzniveau des Auftragsverarbeiters prüfen und ggf. Änderungen der technischen und organisatorischen Maßnahmen bewerten.

Eine Verletzung dieser Pflicht kann nach Art. 83 IV lit. a DSGVO mit einem Bußgeld geahndet werden.

Inhalt der Kontrolle

Die Schutzziele der DSGVO sind nur mittels eines vollumfänglichen Datenschutzmanagements zu erreichen, weshalb diese grundsätzlichen Vorgaben beim Auftragsverarbeiter überprüft werden sollten. Als Auftraggeber sollten Sie insbesondere folgendes prüfen:

  • Vertraulichkeit Ihrer Daten, also wie wird sichergestellt, dass Dritte nicht unbefugt von Ihren Daten Kenntnis erlangen können. (Schutz der Vertraulichkeit ihrer Daten)
  • Integrität Ihrer Daten, also wie wird sichergestellt, dass die Daten nicht (nachträglich) unautorisiert modifiziert werden können.
  • Verfügbarkeit und Belastbarkeit der Systeme (also Sicherung der Datenverarbeitungsprozesse, Speicherung der Daten, Backup-Verfahren, Art und Weise der Archivierung, Sicherstellung der Widerstandsfähigkeit der IT).

Vor der Durchführung der Kontrolle des Auftragsverarbeiters sollten Sie überprüfen, ob Ihre Dienstleisterliste noch aktuell ist.

Häufigkeit und Art der Kontrolle

Aus der DSGVO ergibt sich nicht, wie oft der Auftragsverarbeiter kontrolliert werden muss. Im Hinblick auf das Risiko der Verarbeitung sind  geeignete Zeitspannen festzusetzen, innerhalb derer der Auftragsverarbeiter regelmäßig geprüft wird. Im Grundsatz gilt, je kritischer die Auftragsverarbeitung, desto häufiger ist eine Kontrolle notwendig. In der Regel sollte alle ein bis zwei Jahre eine Kontrolle durchgeführt werden.

Die DSGVO schreibt auch die Art der Kontrolle nicht vor, daher sind verschiedene Kontrollmittel zulässig, z B.:

  • Die Selbstbewertung des Auftragsverarbeiters anhand einer Checkliste
  • Die Kontrolle Vor-Ort
  • Die Überprüfung durch eine dritte Stelle (z.B. durch Ihren Datenschutzbeauftragten)
  • Vorlage von aktuellen Zertifizierungen
  • Auskünfte des Datenschutzbeauftragten des Auftragsverarbeiters

Wir haben für Sie eine Checkliste erstellt, die alle relevanten Prüfungspunkte enthält, die Sie an Ihren  Auftragsverarbeiter senden können. Bei Bedarf versenden wir die Checkliste und übernehmen die weitere Kommunikation mit Ihren Dienstleistern. Die Checkliste finden Sie in myGindat unter Punkt 9.07 in Ihrem Gesamtpaket.

Ergebnis der Kontrolle

Am Ende der Kontrolle muss bewertet werden, ob der Auftragsverarbeiter die vertraglich zugesicherten Garantien zum Schutz Ihrer Daten einhält. Ist das nicht der Fall, ist der Auftragsverarbeiter zur Umsetzung aufzufordern, andernfalls sollte die geschäftliche Beziehung beendet werden. Denn Sie haften als verantwortliche Stelle zumindest teilweise für Schäden, die der Auftragsverarbeiter verursacht.

Prüfpflicht des Datenschutzbeauftragten

Als bestellte Datenschutzbeauftragte haben wir gemäß Art. 39 I b DSGVO eine Prüfpflicht. Daher überprüfen wir, ob Sie die Auftragskontrolle auch durchgeführt haben.

Unterstützung durch den Datenschutzbeauftragten

Der Datenschutzbeauftragte kann Sie bei der Kontrolle des Auftragsverarbeiters umfassend unterstützen. Dazu gehören u. a. folgende Leistungen:

  • Bewertung der Auftragsverarbeiter im Hinblick auf die Kritikalität der Auftragsverarbeitungen. Diese Bewertung ist erforderlich um die Häufigkeit der Kontrollen festlegen zu können.
  • Kontaktaufnahme mit Ihren Auftragsverarbeitern und Versendung der Checkliste in Ihrem Auftrag
  • Dokumentation der Kontrollen

Das Gebot der Nachweisbarkeit nach Art. 24 I1, Art. 5 II DSGVO verlangt, dass Sie die Kontrolle des Auftragsverarbeiters dokumentieren (z.B. Art der Kontrolle, Ergebnisse, welche Nachweise hat der Auftragsverarbeiter erbracht)

  • Datenschutzrechtliche Bewertung der Kontrollergebnisse mit anschließender Handlungsempfehlung

Bitte teilen Sie uns mit, ob Sie die Auftragskontrolle selbständig durchführen oder ob Sie unsere Unterstützung benötigen.

 

 

Veröffentlicht am

Falschen Kontaktdaten in der Gastronomie, unter anderem Darth Vader

Viele Menschen geben bei den Kontaktlisten in Gastronomien falsche Namen und/oder Telefonnummern an. Unter anderem werden Bezeichnungen wie Darth Vader, Lucky Luke, Donald Duck oder Max Mustermann aufgeführt, was im Ernstfall die Rückverfolgung erschwert.

So wurde im Hamburger Schanzenviertel in einer Bar im Zeitraum vom 5. bis 9. September mehrere Angestellte Corona-positiv getestet. Von den etwa 600 Gästen, die sich potenziell angesteckt haben könnten, fehlen rund 100 korrekte Kontaktdaten.

Gastronomen in Hamburg müssen ein Bußgeld zahlen, wenn sich Gäste nicht in die Kontaktlisten eintragen, sind jedoch nicht für deren Wahrheitsgehalt verantwortlich. In Berlin kommen zukünftig 50 bis 500 Euro Bußgeld auf Gäste mit falschen oder unvollständigen Angaben zu.

Ob diese Daten aus Spaß oder aus Protest gegen die Datenerhebung so angegeben wurden, sei dahingestellt. Denn neben Gesundheitsämtern greift auch die Polizei zwecks Strafverfolgung auf die Kontaktlisten zurück. Gesetzlich ist das gegenwärtig zulässig, stößt aber auf Kritik in der Bevölkerung.

Das Gesundheitsamt ruft die Gäste mit ungeklärter Identität auf, sich freiwillig zu melden.

Weitere Informationen finden Sie hier: https://www.golem.de/news/corona-gaesteliste-gesundheitsbehoerden-auf-der-suche-nach-darth-vader-2009-150950.html

Veröffentlicht am

Corona Ransomware

Polizei, Sicherheits­verbände und die IHK warnen eindringlich vor einer neuen Form von Ramsomware. Eine E-Mail mit der Absenderadresse: poststelle@­bundes­ministerium-gesund­heit.com soll angeblich neue Arbeitsschutz­regeln zu Corona thematisieren. Die beigefügte ZIP-Datei mit dem Namen Arbeitsschutzregel-Corona-September.pdf.js verursacht nach dem Öffen/­Ausführen eine Verschlüsselung der auf dem jeweiligen Rechner befindlichen Dateien. Zusätzlich wird in der E-Mail darauf hingewiesen, diese Benachrichtigung auch an weitere Empfänger weiterzuleiten. Es handelt sich hierbei um einen Downloader für eine Schad­software, welche erhebliche Schäden verursacht. Eine Analyse der ZIP-Datei sowie die verwendetet Ver­schlüsselung wurde noch nicht durchgeführt.

Wichtig: Öffnen Sie in keinem Fall das ZIP-Archiv. Löschen Sie die E-Mail und informieren Sie alle Mitarbeiter im Unternehmen.

Weitere Informationen finden Sie hier:
https://www.pcwelt.de/news/Polizei-warnt-Mails-zum-Corona-Schutz-verbreiten-Malware-10882756.html

Veröffentlicht am

Facebook unter Druck

Die irische Datenschutz­behörde verlangt in einem noch vorläufigen Erlass von Facebook, die Übertragung von personen­­­bezogenen Daten in die USA zu unterlassen. Da das Datenschutz­­abkommen „Privacy Shield“ im Juli durch den Europäischen Gerichtshof für ungültig erklärt wurde, wäre dies die Konsequenz der Entscheidung. Facebook schrieb auf einem Blog­beitrag, dass sie zunächst so weiter­machen wollen wie bisher. Grund dafür könnte sein, dass das Unternehmen sich juristisch noch gegen den Erlass zur Wehr setzen kann. Noch ist es nach den Standard­vertragsklauseln möglich, personen­bezogen Daten unter Beachtung eines „angemessenen Schutzniveaus“ an Drittländer zu übertragen. Sollte der Datentransfer verboten werden, könnte dies Auswirkungen auf andere Unternehmen haben, warnt Facebook. So könnte zum Beispiel kein Cloud-Anbieter aus den USA rechtskonform genutzt werden.

Der Internet-Branchenverband Eco betrachtet das Interesse der Datenschützer ebenso als Risiko, da das EuGH-Urteil zu Rechts­unsicherheit führe. Der Verband verlangt von der EU, entsprechende Rahmen­­bedingungen zu schaffen, welche für Unternehmen zu mehr Planungs­sicherheit im Daten­austausch führt. Aktuell wären rund 5000 Unternehmen durch die Forderung der irischen Datenschutz­­behörde betroffen.

Weitere Informationen finden Sie hier:
https://www.spiegel.de/netzwelt/web/facebook-daten-von-eu-buergern-datenschuetzer-verlangen-uebertragungsstopp-in-die-usa-a-fbcf77c2-41e0-4204-b51f-ef1c43fe3c91

Veröffentlicht am

„Sigred“: 17 Jahre alte Sicherheitslücke in Windows geschlossen

Sicherheitsexperten haben eine seit 17 Jahren existente Sicherheits­lücke namens „Sigred“ in der Windows Server Software 2003 bis 2019 für das Domain-Name-System (DNS) entdeckt, die Microsoft nunmehr gepatched hat.

„Sigred“ hat es Angreifern ermöglicht, mittels des Einschmuggelns von infizierten Codes Websites zu kapern, E-Mails abzufangen, private Inhalte und Informationen zu stehlen oder Websites ganz offline zu nehmen. Wird die Lücke von einem Angreifer ausgenutzt, hat der eingebrachte Schadcode die Möglichkeit, sich wurmartig auszubreiten und somit auch mehrere Systeme und Netzwerke zu übernehmen.

Die Schwachstelle gilt als kritisch und ist mit dem höchstmöglichen CVSS-V3-Score (Common Vulnerability Scoring System) „10“ versehen worden. Dieses System gilt als Industrie­standard zur Bewertung des Schweregrades von möglichen oder tatsächliche Sicherheitslücken in IT Systemen.

Microsoft hat die Sicherheits­lücke erkannt und sie am Patchday 14.07.2020 geschlossen. Um diese Lücke auf verwendeten Servern in der Praxis zu schließen, muss natürlich der Sicherheitspatch auf den Systemen installiert werden.

Der Patch kann in allen Versionen bis Windows Server 2008 R2 installiert werden. Für ältere Versionen als 2008 R2 ist kein Patch verfügbar.

Veröffentlicht am

Sind Anbieter von virtuellen Telefonanlagen Auftragsverarbeiter?

Virtuelle Telefonanlage

Virtuelle Telefonanlagen (auch Cloud -Telefonanlage genannt) sind softwarebasierte Telefonie-Lösungen, die sich im Rechenzentrum des Anbieters befinden. Die Telekommunikation findet über das Internet durch VoIP statt. VoIP ist der Übertragungsstandard, wodurch Sprache per Internetprotokoll in ein Rechenzentrum übertragen wird.  Virtuelle Telefonanlagen haben den Vorteil, dass Unternehmen keine physischen TK-Anlagen mehr benötigen und so Platz sparen können. Es ist lediglich ein leistungsstarker Internetanschluss erforderlich.

Grundsatz

Ein Auftrags­verarbeitungs­vertrag ist grundsätzlich immer dann erforderlich, wenn der  Auftraggeber weiterhin über Zweck und Mittel der Datenverarbeitung entscheidet und der Auftrags­verarbeiter personenbezogene Daten lediglich weisungsgebunden für den Auftraggeber verarbeitet.

Daneben gibt es noch die Konstellation, in der es sich bei der Datenweitergabe an ein Unternehmen um eine Übermittlung an einen Verantwortlichen handelt, bei dem jedes Unternehmen selbst über die Zwecke und Mittel der Verarbeitung entscheidet. In einem solchen Fall liegt weder eine Auftrags­verarbeitungs­situation noch eine gemeinsame Verantwortlichkeit vor.

Ausdrückliche oder implizierte Zuständigkeit

Ein Auftrags­verarbeitungs­vertrag ist jedoch dann nicht notwendig, wenn eine Verantwortung aufgrund einer ausdrücklichen oder implizierten Zuständigkeit vorliegt.

Dieser Fall ist immer dann gegeben, wenn die Fähigkeit zu entscheiden nicht ausdrücklich gesetzlich geregelt und auch keine direkte Folge konkreter gesetzlicher Bestimmungen ist, aber trotzdem aus allgemeinen gesetzlichen Bestimmungen oder geltender Rechtspraxis auf bestimmten Rechtsgebieten abzuleiten ist. Bei Tele­kommunikations­dienstleistungen ist eine Verantwortung aufgrund einer implizierten Zuständigkeit anerkannt (vgl. Art 29 Gruppe, WP 169, S. 12 -14). Das liegt daran, dass das Fernmeldegeheimnis nach Ar. 10 I GG verfassungs­rechtlich geschützt ist. Zur Wahrung des Fernmelde­geheimnisses unterliegen Anbieter von Tele­kommunikations­dienstleistungen besonders strengen Anforderungen im Hinblick auf Schutzmaßnahmen.

Anwendung des TKG

Fraglich ist, ob eine Cloud -Telefonanlage einen Tele­kommunikations­dienst nach § 3 Nr. 24  Tele­kommunikations­gesetz (TGK) darstellt, was zur Folge hat, dass ein Auftragsverarbeitungsvertrag nicht erforderlich ist.

„Tele­kommunikations­dienste“ sind in der Regel gegen Entgelt erbrachte Dienste, die ganz oder überwiegend in der Übertragung von Signalen über Tele­kommunikations­netze bestehen, einschließlich Übertragungsdienste in Rundfunknetzen“ (§ 3 Nr. 24 TKG).

Problematisch ist hier insbesondere das Merkmal Signalübertragung. Mit der Signalübertragung ist die Transportleistung gemeint in Abgrenzung zur Inhaltsleistung (das Bereithalten von Inhalten in der Cloud). Der Dienst muss die Signale über ein Tele­kommunikations­netz an einen anderen Ort übertragen.

Entscheidend ist aber nicht eine rein technische Betrachtungsweise. Der Begriff des Tele­kommunikations­dienstes im TKG ist vielmehr einer funktional-wertenden Betrachtungsweise zugänglich (Bundesnetzagentur, SkypeOut-Entscheidung (C 142/18).

Bei der auch von der Bundesnetzagentur der Regulierungs­praxis zugrunde gelegten funktionalen Betrachtungsweise kommt es darauf an, ob die angebotenen Anwendungen oder Dienste eine eigene Funktionalität hinsichtlich der Signal­übertragung beinhalten, die Anbieter zugerechnet werden kann. Die Zurechnung erfolgt dabei über die Frage, ob der Dienst Elemente beinhaltet, die eine Kontrolle von Übertragungs­funktionen erfordern. Für die Kontrolle wiederum reicht dann eine logische Kontrolle von Transport­funktionen aus, auch wenn diese auf bestehenden Transportleistungen Dritter basiert.

Das bedeutet, dass zwischen der Speicherung der erforderlichen Daten in der Cloud und dem Transport der Daten unterschieden werden muss. Der VoIP – Dienst fällt unter das Merkmal Signalübertragung. Zwar setzt der Dienst einen Internetanschluss voraus, jedoch kontrolliert der Anbieter die Herstellung der VoIP – Anrufverbindung zu dem angerufenen Teilnehmer. Die dabei verarbeiteten Daten, wie Anrufer, Angerufener, Beginn und Ende des Gesprächs sind Verkehrsdaten im Sinne des § 3 Nr. 30 TKG.

Sonstige Daten, wie Adress- und Telefonbücher, Faxe oder auf der Mailbox gespeicherte Nachrichten stellen eine Inhaltsleistung dar und unterfallen mangels Signalübertragung nicht dem TKG.

Diese Signalübertragung muss nach § 3 Nr. 24 TKG ganz oder überwiegend Teil der Leistung sein. In der Regel wird nicht nur VoIP angeboten, sondern noch weitere Sprach­speicherdienste. Auch, wenn eine einheitliche Leistung angeboten wird, müssen die Leistungen rechtlich getrennt bewertet werden, um keine Wettbewerbs­verzerrung zu provozieren.

Rechtsprechung des EuGH

Mit der Frage, ob eine Signalübertragung vorliegt hat sich auch der EuGH beschäftigt (Urteil vom 13.06.2019, Az.: C-193/18). In dem Urteil hat das Gericht entschieden, dass Googles internetbasierter E-Mail-Dienst Gmail nach europäischem Recht nicht als elektronischer Kommunikationsdienst zu qualifizieren ist. Zwar nehme Google beim Versenden einer E-Mail auch eine Signalübertragung vor, es fehle jedoch an dem Merkmal „überwiegend“. Das liegt daran, dass Internetzugangs­anbieter und Netzbetreiber im Wesentlichen die Signalübertragung sicherstellen, Gmail dagegen nur die Inhaltsleistung anbietet.

Zukünftige Gesetzgebung

Aktuell wird in den zuständigen Ministerien an der Umsetzung des „Europäischen Kodex für elektronische Kommunikation“ (eine Richtlinie der EU) gearbeitet. In der Richtlinie wird die Definition des Telekommunikations­dienstes geändert, sodass in Zukunft Dienste wie Gmail, WhatsApp oder Telegram davon erfasst werden.

Folgen den Abschluss eines Auftrags­verarbeitungs­vertrags

Zusammengefasst ist für die Übertragung der Kommunikations­daten mittel VoIP eine Auftragsverarbeitung nicht erforderlich, denn es liegt ein Tele­kommunikations­dienst vor und somit eine Verantwortung aufgrund einer impliziten Zuständigkeit. Davon abzugrenzen ist jedoch die Speicherung der Daten in der Cloud (die nicht Verkehrsdaten sind). Da in der Regel verschiedene Leistungen angeboten werden, müssen alle auch einzeln bewertet werden im Hinblick auf die Erforderlichkeit eines Auftrags­verarbeitungs­vertrags.

Sollten Sie nicht sicher sein, ob Sie mit ihrem Telefonanbieter einen Auftrags­verarbeitungs­vertrag abschließen müssen, dann sprechen Sie uns an. Wir helfen Ihnen gerne.

Veröffentlicht am

Schwere Sicherheitslücke in Mail-App von iPhone und iPad

Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, wurde ein schwerwiegendes Problem in der „Mail“-App für Apple iPhones und iPads entdeckt.

Durch eine Schwachstelle in der „Mail“-App sei es Fremden möglich, E-Mails zu lesen, zu verändern und zu löschen. Dazu muss der Angreifer lediglich eine entsprechend präparierte E-Mail an die E-Mail-Adresse des Nutzers senden.

Der Angriff kann vom Nutzer unbemerkt geschehen. Je nach iOS-Version muss der Nutzer nicht einmal die eingehende E-Mail des Angreifers öffnen.

Durch die Lücke kann der Mail-Verkehr manipuliert werden. Das könnte auch bedeute, dass sich der Angreifer neue Passwörter von Online-Diensten des Nutzers zusenden lässt, um verschiedene Accounts zu übernehmen.
Ob durch die Lücke weitere schädliche Aktivitäten auf dem Gerät möglich sind, wird aktuell geprüft.

Bislang gibt es von Apple noch keinen Patch. Das BSI rät daher allen Nutzern, die „Mail“-App vorerst zu deinstallieren oder alternativ alle Accounts zu deaktivieren, die mit dieser App verknüpft sind.

Die Deaktivierung kann in den Einstellungen des iOS-Geräts erfolgen:

  1. App „Einstellungen“ öffnen.
  2. Bereich „Passwörter und Accounts“ öffnen.
  3. Die dort eingerichteten Mail-Accounts auswählen. Wahlweise den Account selbst oder aber den Schalter bei „Mail“ deaktivieren.

Bis die Sicherheitslücke von Apple behoben wurde, sollten Sie andere Apps oder die Webmail-Funktion des E-Mail-Anbieters verwenden (im Browser anmelden).

Veröffentlicht am

Datenschutz in Zeiten der Corona-Pandemie

In Zeiten von Corona muss sich jedes Unternehmen überlegen, welche Maßnahmen es zum Schutz seiner Mitarbeiter, Besucher und letztlich auch in Bezug auf die Erhaltung der Funktions­fähigkeit seines Betriebes ergreifen kann.

In diesen Zeiten kommen insbesondere auch die Erhebung und Verarbeitung von Daten einschließlich sensibler Gesundheits­daten von Mitarbeitern und Besuchern in Betracht.

Aber was ist mit dem Datenschutz?

Die DSGVO (Art 9 Abs. 2 b, h, i)sowie das Bundes­datenschutz­gesetz (§ 22 Abs.1 b u. c) enthalten hierzu Berechtigungen, die insbesondere auch in Ausnahme­situationen greifen können, wie Schutz vor schweren grenz­überschreitenden Gesundheits­gefahren, öffentliches Interesse im Bereich der öffentlichen Gesundheit, Pflichten aus dem Arbeitsrecht (z.B. Fürsorgepflicht).

Die Konferenz der unabhängigen Datenschutz­beauftragten des Bundes und der Länder hat hierzu ganz aktuell allgemeine Hinweise herausgegeben, nach der die Erhebung und Verarbeitung in bestimmten Fällen auch von sensiblen Gesundheitsdaten ohne Einwilligung erlaubt sein soll.

Bei Beschäftigten zählen insbesondere die Erhebung und Verarbeitung von Informationen (einschließlich Gesundheitsdaten) in den Fällen:

  • in denen eine Infektion festgestellt wurde oder Kontakt mit einer nachweislich infizierten Person bestanden hat.
  • in denen im relevanten Zeitraum ein Aufenthalt in einem vom Robert-Koch-Institut (RKI) als Risikogebiet eingestuften Gebiet stattgefunden hat.

Bei Besuchern die Erhebung und Verarbeitung personen­bezogener Daten (einschließlich Gesundheitsdaten), insbesondere um festzustellen, ob diese

  • selbst infiziert sind oder im Kontakt mit einer nachweislich infizierten Person standen.
  • sich im relevanten Zeitraum in einem vom RKI als Risikogebiet eingestuften Gebiet aufgehalten haben.

Die Datenerhebung muss aber immer verhältnis­mäßig sein und es dürfen nicht mehr Daten aufgenommen werden, als dies erforderlich ist um eine möglicherweise bestehende Gesundheits­gefährdung feststellen zu können.

  • So soll die Offenlegung personen­bezogener Daten von nachweislich infizierten oder unter Infektions­verdacht stehenden Personen zur Information von Kontaktpersonen nach Auffassung der Datenschützer nur dann rechtmäßig sein, wenn die Kenntnis der Identität für die Vorsorge­maßnahmen der Kontaktpersonen ausnahmsweise erforderlich ist.

Zusätzlich zu den bestehenden Rechts­grundlagen für die Daten­verarbeitung auf Seiten des Arbeitgebers ergeben sich auch für Beschäftigte verschiedene Nebenpflichten, unter anderem auch Rücksichts-, Verhaltens- und Mitwirkungs­pflichten gegenüber ihrem Arbeitgeber und Dritten.

  • Vorliegend stellt nach Auffassung der Datenschutz­aufsichtsbehörden beispielsweise die Pflicht zur Information des Dienstherrn bzw. des Arbeitgebers über das Vorliegen einer Infektion mit dem Corona-Virus eine solche Nebenpflicht zum Schutz hochrangiger Interessen Dritter dar, aus der unter gewissen Voraussetzungen auch eine

Offenlegungs­befugnis nach der DSGVO bezüglich personen­bezogener Daten der Kontaktpersonen folgt.

Quelle: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

Veröffentlicht am

Auswirkungen des Brexit auf den Datenschutz

Das Vereinigte Königreich ist bis zum Austrittsdatum als EU-Mitgliedstaat nach den üblichen Regeln des allgemeinen Datenschutzes zu behandeln. Es ist die DSGVO, sowie das BDSG anzuwenden.

Bis zum 31.12.2020 ist das Vereinigte Königreich weiter wie ein EU-Mitgliedstaat zu behandeln.

Bisher ist ein sogenannter Angemessenheits­beschluss in der Diskussion, ein solcher Beschluss stellt das Vereinigte Königreich mit der EU gleich und stellt sicher, dass ein angemessenes Datenschutz­niveau herrscht.

Ob dieser Beschluss bis zum 31.12.2020 vorliegt, bleibt abzuwarten. Sollte ein solcher Beschluss nicht bis zum 31.12.2020 vorliegen, ist das Vereinigte Königreich als unsicheres Drittland aus Datenschutz­sicht zu betrachten.

Diese Punkte sind zu beachten:

  1. Im Informationsblatt zur Daten­verarbeitung und in der Datenschutz­erklärung einer Website ist gemäß Art. 13 Abs. 1 lit. f bzw. Art. 14 Abs. 1 lit. f DS-GVO über die Datenübermittlung in ein Drittland zu informieren.
  2. Wenn eine betroffene Person von ihrem Auskunftsrecht Gebrauch macht, ist sie gemäß Art. 15 Abs. 1 lit. c, Abs. 2 DS-GVO auch über die Daten­übermittlung in Drittländer zu beauskunften.
  3. Im Verzeichnis von Verarbeitungs­tätigkeiten sind Daten­übermittlungen in Drittländer gemäß Art. 30 Abs. 1 lit. d und lit. e DS-GVO bzw. Art. 30 Abs. 2 lit. c DS-GVO als solche zu bezeichnen und die weiteren in diesem Zusammenhang geforderten Angaben zu machen.
  4. Ggf. sind Datenschutz-Folgen­abschätzungen erstmals durchzuführen oder bereits erfolgte zu überprüfen, soweit es um die Datenübermittlung nach Großbritannien als Drittland geht (Art. 35 DS-GVO).
  5. Es sind geeignete Garantien zum Schutz personen­bezogener Daten bei der Übermittlung in ein Drittland zu schaffen, wenn nicht Ausnahme­tatbestände greifen. Kurz gesagt ist Kapitel V DS-GVO (Art. 44 ff. DS-GVO) anzuwenden.

Liegt z.B. der Angemessenheits­beschluss nicht bis zum Austrittstermin vor, liegt in jeder Datenübermittlung nach Großbritannien ein Verstoß gegen Art. 5 Abs. 1 lit. a in Verbindung mit Art. 44 DSGVO vor, der durch die zuständige Datenschutz­aufsichts­behörde mit der Ausübung von Befugnissen bis hin zur Verhängung von Geldbußen geahndet werden kann.

Wenn Sie vorab schon etwas tun möchten, dann können Sie mit Ihren Dienstleistern – welche mit dem Vereinigten Königreich im Datenaustausch stehen – die sogenannten Standard­vertragsklauseln vereinbaren.

Bevor es aus Vertriebssicht wieder in das Jahresend­geschäft geht, wäre es empfehlenswert, sich über die o.g. 5 Punkte schon einmal Gedanken zu machen und ggf. die ergänzten Unterlagen auf „Halde zu legen“.

So kann eine mögliche Änderung schnell umgesetzt werden.