Videoüberwachung – Pictogramm genügt nicht mehr

Noch immer sieht man vielerorts an den Türen und Zufahrten von Geschäften und Unternehmen die alt hergebrachten Bildchen von Kameras, die auf eine eingerichtete Videoüberwachung hindeuten sollen.

Leider genügt diese Beschilderung nicht mehr den Anforderungen der Datenschutzgrundverordnung (DSGVO).

Werden personenbezogene Daten erhoben, zu denen Bilddaten von natürlichen Personen zu zählen sind, sind die Betroffenen vorab (das Gesetz schreibt „bei Erhebung“) über die geplante Verarbeitung in Kenntnis zu setzen. Um selbstbestimmt darüber entscheiden zu können, was mit ihren Daten geschieht, müssen Betroffene zumindest über grundlegende Informationen verfügen, bevor Sie sich mit der Datenverarbeitung, in dem Falle der Aufzeichnung einer Videokamera, konfrontieren.

Der komplette Anforderungskatalog an eine Datenschutz-Information findet sich in Art. 13 DSGVO. Grundsätzlich ist es zulässig, diese Informationen in mehreren Stufen bekannt zu geben, deren Einteilung sich nach folgenden Kriterien richten sollte:

  • Erste grobe Orientierung für die Betroffenen auf den ersten Blick
  • Detailinformationen im zweiten Schritt zur tieferen Auseinandersetzung

Die Datenschutzkonferenz nennt dabei folgende Informationen, die bereits im ersten Schritt bereitgestellt werden müssen. Grundsätzlich zählen dazu folgende Angaben:

  • Umstand der Videoüberwachung mittels Pictogramm
  • Kontaktdaten des Verantwortlichen (ggf. Europäischer Vertreter)
  • Kontaktdaten des Datenschutzbeauftragten
  • Zwecke in Stichworten und Rechtsgrundlage der Verarbeitung
  • Berechtigtes Interesse
  • Speicherdauer
  • Hinweis, wo weitere Informationen zu finden sind

z.B. Aushang am Empfang oder Verweis auf eine Webseite

Auf der weitergehenden Information müssen dann auch die restlichen Informationen bekanntgegeben werden:

  • Empfänger oder Kategorien von Empfängern
  • Drittlandübertragung
  • Betroffenenrechte
  • Beschwerderecht bei einer Aufsichtsbehörde

Details und Vorlagen finden unsere Kunden im myGINDAT-Portal oder auch in der Orientierungshilfe der Datenschutzkonferenz

https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf

Die Einteilung der einzelnen Informationen in die verschiedenen Schritte ist in der Fachwelt nicht unumstritten. Rechtsprechung zu dieser Thematik gibt es bislang noch nicht. Den Grundgedanken des Datenschutzes folgend, betroffenen Personen die Durchsetzung Ihrer informationellen Selbstbestimmung zu ermöglichen, bedarf es allerdings dieser Informationen.

Es empfiehlt sich also, sich an die Vorgaben der Datenschutzaufsichtsbehörden zu halten. Nur so ist sichergestellt, dass sich Betroffene gegen Eingriffe in die informationelle Selbstbestimmung zur Wehr zu setzen können, sei es gegenüber dem Verantwortlichen selbst, sei es über die Aufsichtsbehörden. Die Transparenzpflichten sowie auch die Ahndungsmöglichkeiten haben sich mit der DSGVO zudem deutlich verschärft, so dass Verantwortliche Ihre bestehenden Pictrogramme mit weiteren Informationen anfüttern sollten.

Für Detailfragen oder zur Ausgestaltung Ihrer Hinweisschilder steht Ihnen Ihr Datenschutzbeauftragter zur Verfügung.

Kostenfestsetzungsbescheid nach Exchange-Datenschutzverletzung

Etwas erstaunt mussten wir feststellen, dass die Datenschutzbehörde Niedersachsen scheinbar ein neues Geschäftsmodell zur Refinanzierung Ihrer Behörde gefunden hat.

Im Zusammenhang mit der kritischen Sicherheitslücke von selbst gehosteten Exchange-Servern im März diesen Jahres 2021, bei der mehrere tausend Server allein in Deutschland betroffen waren, wurde einer Verantwortlichen Stelle nun nach Abschluss des Ermittlungsverfahrens ein Kostenfestsetzungsbescheid zugestellt.

Sachverhalt: Was steckte dahinter

Wie bei den vielen tausend anderen Servern in Deutschland auch war auf den Servern des Unternehmens durch die Sicherheitslücke der Microsoft-Software eine Webshell eingeschleust worden. Hierdurch war es Hackern potentiell möglich auf sämtliche auf dem Server gespeicherten Daten zuzugreifen, ohne dass dies zwingend entdeckt hätte werden können. Auf dem Exchange-Server läuft die E-Mail-Kommunikation des gesamten Unternehmens zusammen, so dass darunter fast zwangsläufig eine Vielzahl sensibler Informationen zu finden sind. Nach der Datenschutzgrundverordnung (DSGVO) sind Unternehmen dazu verpflichtet, eine Meldung bei der Datenschutzbehörde einzureichen, wenn eine Sicherheitsverletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.

Folgerichtig hat die Datenschutzbehörde Niedersachsen, wie die meisten anderen Länderbehörden auch, in einer Pressemitteilung ausdrücklich auf die Meldepflicht hingewiesen.

https://lfd.niedersachsen.de/startseite/themen/wirtschaft/kompromittierte-exchange-server-meldepflichtig-198287.html

Die Landesbeauftragte für den Datenschutz Niedersachsen_Meldung Datenschutzverletzung Kostenbescheid geschwärzt

Analogie Einbruchdiebstahl:

Vergleichen lässt sich der Vorfall mit einem Einbruchdiebstahl. Stellen Sie sich vor, in Ihr Unternehmen würde eingebrochen werden. Um potentielle Täter zu ermitteln, erstatten Sie Anzeige bei der Polizei. Ohne dass bei dem Ermittlungsverfahren irgendein eigenes Verschulden Ihrerseits nachgewiesen werden kann, erlässt die Polizeibehörde nach Abschluss des Verfahrens einen Kostenbescheid gegen Sie, da Sie ja die Anzeige erstattet haben.

Einziger Unterschied zu dem virtuellen Einbruch ist, dass Sie anders als bei dem digitalen Einbruch nicht verpflichtet gewesen wären, den Einbruch bei der Polizei zur Anzeige zu bringen. „Doppeltes Pech“ scheint sich die Behörde da wohl zu denken.

Rechtliche Einschätzung:

Gestützt wird der Kosten-Bescheid auf

§ 1, 3 und 5 Niedersächsisches Verwaltungskostengesetz. Hiernach können demjenigen Kosten auferlegt werden, der dafür Anlass gegeben hat. Eine Begründung dafür, inwiefern das Unternehmen hierzu Anlass gegeben hat, fehlt dem Bescheid leider gänzlich.

Die zugrunde liegenden „Sensibilisierungsmaßnahmen“ (Art. 57 Abs. 1 lit. d DSGVO), als die sich der Bescheid kleidet, bestehen aus allgemeinen Platzhaltern, die sich in keiner Weise mit den konkreten Begebenheiten des Sachverhalts auseinandersetzt und so auch auf jeder Webseite als allgemeine Hinweise gefunden werden könnten.

Fazit:

Die Meldepflicht von Datenschutzverletzungen steht ohnehin immer mal wieder in der verfassungsrechtlichen Kritik, da hierdurch in gewissem Maße verpflichtend gefordert wird, eine Selbstbezichtigung vorzunehmen. Ein solches Vorgehen der Behörde hilft sicherlich nicht dabei, diese Bedenken auszuräumen.

Sollte ein eigenes Verschuldenselement der verantwortlichen Stelle gefunden werden, ist der Sachverhalt ggf. noch einmal anders zu bewerten. Um noch einmal die Analogie zu bemühen: so zum Beispiel, wenn ein Hausbesitzer seine Tür offen stehen lässt, und damit erst den Anreiz für Einbrecher schafft. Dies wurde im zugrunde liegenden Bescheid allerdings nicht dargelegt. Vergleichbar wäre das Verhalten eher damit, dass sich ein Hausbesitzer ein Sicherheits-geprüftes Schloss einbaut, für das der Hersteller allerdings für alle Schlossbesitzer einheitliche Schlüssel herausgegeben hätte.

Bislang ist dies der erste Sachverhalt, der uns in dieser Art begegnet ist, und wir hoffen, dass dies ein Einzelfall bleiben wird. Sollten Sie selbst einen solchen Bescheid erhalten, empfehlen wir, rechtliche Schritte dagegen zu unternehmen. Unseren Kunden empfehlen wir, sich mit uns zu beraten. Wir werden berichten, wenn sich in dieser Frage neue Entwicklungen ergeben.

Nicole Krause

Juristische Mitarbeiterin der GINDAT GmbH

Datenübermittlung in Drittländer – neue Standardvertragsklauseln

Das Datenschutzrecht ist so konzipiert, dass Verantwortliche, bevor Sie personenbezogene Daten verarbeiten dürfen, erstmal die Rechtmäßigkeit der Verarbeitung und den Schutz der Daten sicherstellen müssen. Als Folge von diesem Grundsatz sind Verantwortliche gezwungen, auch das Datenschutzniveau bei Dritten, denen sie Daten übermitteln wollen, zu prüfen. Innereuropäisch gelingt das noch recht einfach, da für alle Beteiligten mit der Datenschutz-Grundverordnung (DSGVO) ein einheitliches gesetzliches Rahmenwerk besteht, das den Betroffenen, deren Daten verarbeitet werden, umfassende Schutzmechanismen bietet. Die Durchsetzungskraft dieses Regelwerks endet allerdings weitestgehend an den Grenzen der Europäischen Union, da ausländische Unternehmen erstmal nicht der Hoheit der hiesigen Staatsmacht unterliegen. Die DSGVO hat verschiedene Instrumente geschaffen, um die Überleitung adäquater Schutzmechanismen auch ins internationale Ausland zu bewerkstelligen.

Eine Möglichkeit, den Datenschutz auch im Drittland, also einem Land, das nicht der Europäischen DSGVO unterliegt, sicherzustellen, ist es, das Datenschutzniveau des Empfängerlandes erstmal grundlegend zu prüfen und begutachten. Da dies ein zentrales Thema ist, das viele Unternehmen gleichermaßen betrifft, sieht die DSGVO die Möglichkeit vor, dass die Europäische Kommission stellvertretend für alle den Datenschutz im Empfängerland überprüft und die Angemessenheit des Datenschutzniveaus des Drittlandes durch einen Beschluss feststellen kann. Auf diesen sogenannten Angemessenheitsbeschluss dürfen sich Unternehmen dann grundsätzlich verlassen, so dass diese Prüfung nicht mehr durch jedes Unternehmen einzeln durchzuführen ist.

Angemessenheitsbeschluss:

Ausgangslage Amerika – Sturz des Privacy Shields:

Den Angemessenheitsbeschluss für unseren größten Handelspartner, den USA, hatte der Europäische Gerichtshof (EuGH) im vergangenen Jahr für unwirksam erklärt. Die geläufige Bezeichnung „EU-US-Privacy-Shield“ resultiert aus der in diesem Angemessenheitsbeschluss vorgesehenen Voraussetzung, dass sich das amerikanische Unternehmen, dem die Daten übermittelt werden sollen, dem im amerikanischen Rechtsraum bestehenden Regelwerk des Privacy-Shields freiwillig unterwerfen.

Anlass für die Aufhebung dieses Angemessenheitsbeschlusses waren hauptsächlich die überbordenden, schrankenlosen Überwachungsmöglichkeiten amerikanischer Ermittlungsbehörden ohne Rechtsschutzmöglichkeiten für nicht-amerikanische Bürger. Über den Umweg über amerikanische Unternehmen und Dienstleister hat sich der Staat einen Weg geschaffen – jenseits von irgendwelchen internationalen Rechtshilfe- oder Auslieferungsabkommen – massenhaft und anlasslos Daten von Menschen weltweit einzusehen und zu nutzen. Diese Handhabung entspricht nicht dem Europäischen Verständnis von Datenschutz, insbesondere nicht in der Funktion als Beschränkung hoheitlicher Eingriffsbefugnisse zur Wahrung von Bürgerrechten, und war damit auch nicht vereinbar mit den Grundsätzen der DSGVO.

Seither besteht für Europäische Unternehmen ein erhebliches Rechtsrisiko, amerikanische Dienste zu nutzen. Denn Fakt ist auch, ein Vertrag zwischen zwei Parteien ist nicht in der Lage, Ermittlungstätigkeiten amerikanischer Behörden zu unterbinden. Dadurch haben es Europäische Verantwortliche zu vertreten, wenn sie in Kenntnis der Rechtslage dennoch Daten übermitteln und somit die Betroffenen dem Risiko einer willkürlichen Staatsmacht aussetzen. In der praktischen Folge bedeutet dies, dass ein nicht unerhebliches Haftungsrisiko besteht. Betroffene könnten ggf. Schadensersatzansprüche geltend machen, die Aufsichtsbehörden könnten Unterlassungen und Bußgelder aussprechen.

Letztendlich wird es erst dann wieder einen klaren Rechtsrahmen geben, wenn auf politischer Ebene eine Einigung gefunden wird, so dass ein neuer Angemessenheitsbeschluss erlassen werden kann. Gespräche wurden bereits aufgenommen, der Ausgang der Verhandlungen ist ungewiss.

Technische Schutzmaßnahmen:

Bis dahin sind Europäische Verantwortliche gezwungen, zusätzliche Maßnahmen neben dem Abschluss datenschutzrechtlicher Verträge zu ergreifen.

Ausschließen lässt sich der Zugriff für amerikanische Behörden nur dadurch, wenn dem amerikanischen Unternehmen selbst der Zugriff gar nicht erst möglich ist. Dies könnte in der Gestalt gelöst werden, dass nur verschlüsselte Daten auf amerikanischem Boden landen, wobei der Schlüssel zum Entschlüsseln der Daten nur dem Verantwortlichen selber zur Verfügung steht.

Möglich ist dies natürlich nur bei Empfängern, die die betroffenen Personen zur Erfüllung der Zusammenarbeit nicht kennen müssen. Um ein plakatives (wenn auch etwas abwegiges) Beispiel zu nennen: ein externer Kuvertierdienst ist sinnlos, wenn der Dienstleister nicht den konkreten Empfänger auf den Umschlag drucken kann.

Anders sieht es aus bei reinem Speicherplatz in einem Cloud-Dienst. Die enthaltenen Informationen sind für den Cloud-Anbieter irrelevant. Die Dienstleistung besteht in der reinen Bereitstellung von Speicherplatz. Hierfür ist die Kenntnis der Inhalte nicht notwendig. Bei solcherlei Übermittlungen könnten kurzfristig umzusetzende Verschlüsselungs-Lösungen gefunden werden.

In Software-as-a-Service-Umgebungen, also Software, die innerhalb einer Cloud betrieben wird, dürfte die Verschlüsselung einen erheblichen Programmieraufwand nach sich ziehen, da oftmals die komplette Software-Architektur dafür angepasst werden muss. Soll der Schlüssel ausschließlich beim Auftraggeber liegen, muss der Schlüssel irgendwo in der Hardware des Auftraggebers platziert werden und ein Teil der Rechenleistung auf Client-Seite erfolgen. Die meisten Dienste dürften diesbezüglich noch in den Kinderschuhen stecken, wenn solche Lösungen überhaupt praktikabel umsetzbar gefunden werden können.

Auf lange Sicht ist die Trennung von Inhalten beim Host und Schlüsselverwaltung zur Entschlüsselung der Inhalte in der eigenen IT allerdings der sicherste Ansatz, weswegen es sich lohnt, diesen Ansatz weiterzuverfolgen, sei es bei bestehenden Dienstleistungen, sei es bei künftigen.

Vertragliche Schutzmaßnahmen:

  • Gibt es keine europäischen gleichwertigen alternativen Lösungen,
  • kann technisch die Übermittlung personenbezogener Daten nicht unterbunden werden und
  • besteht kein Angemessenheitsbeschluss der Europäischen Kommission,

können Verantwortliche auf vertraglicher Basis ein Datenschutzniveau vereinbaren, das die Daten der Betroffenen bestmöglich schützt. Es liegt in der Natur der Sache, dass ein zwischen zwei Parteien getroffener Vertrag kein staatliches Handeln regulieren kann, so dass der Schutz nie so effektiv sein kann, als wenn sich die Staaten untereinander auf ein verpflichtend einzuhaltendes Datenschutzniveau geeinigt hätten (festgestellt durch einen Angemessenheitsbeschluss), oder technische Maßnahmen den Zugriff von vorneherein unmöglich machen. Vertragliche Maßnahmen entbinden nicht davon, alle anderen Möglichkeiten (Europäische Anbieter oder technische Maßnahmen) nachweislich zu prüfen und gegeneinander abzuwägen.

Als vertragliche Schutzmaßnahme können vertragliche Regelungen aufgesetzt werden, die im Einzelfall von den Aufsichtsbehörden geprüft und genehmigt werden können: verbindliche interne Datenschutzrichtlinien (Art. 47 DSGVO – binding corporate rules).

Für die meisten Sachverhalte ist es allerdings praktikabler auf vorgefertigte, von der Europäischen Kommission vorab genehmigte Standarddatenschutzklauseln zurückzugreifen. Bereits unter der Geltung der Europäischen Datenschutz-Richtlinie (DS-RL), der Vorläufer zur DSGVO, wurden die sogenannten Standardvertragsklauseln für verschiedene Sachverhaltskonstellationen herausgegeben. Diese wurden zwar durch den EuGH grundsätzlich für zulässig erklärt. Gleichwohl stellte das Gericht fest, dass der Abschluss dieser Vertragsklauseln die Verantwortlichen nicht davon entbindet, eine Prüfung des Datenschutzniveaus im Einzelfall vorzunehmen und bei Feststellungen von Mankos zusätzliche Maßnahmen zu ergreifen.

Als Mankos galten bei der Übermittlung nach Amerika die gleichen Vorwürfe hinsichtlich der staatlichen Eingriffsbefugnisse ohne adäquate Rechtsschutzmöglichkeiten für Betroffene wie auch beim Sturz des Angemessenheitsbeschlusses. Letztlich waren Verantwortliche wieder dazu gezwungen, weitere Maßnahmen, technische wie vertragliche, zu prüfen und umzusetzen.

Umsetzung der neuen Standarddatenschutzklauseln:

In dieser misslichen Lage hat die Europäische Kommission neue Standarddatenschutzklauseln erarbeitet und verabschiedet. Diese treten am 27.06.20201 in Kraft.

Durchführungsbeschluss mit Standardvertragsklauseln im Anhang:

https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2021.199.01.0031.01.DEU&toc=OJ%3AL%3A2021%3A199%3ATOC

(Die deutsche und englische Version sind für unsere Kunden auch im myGindat-Portal hinterlegt.)

Die bisherigen Standardvertragsklauseln werden mit Wirkung zum 27.09.2021 aufgehoben und dürfen ab diesem Zeitpunkt nicht mehr für Neuverträge oder neue Tätigkeiten verwendet werden. Bereits abgeschlossene Standardvertragsklauseln können bis zum 27.12.2022 weiter genutzt werden, sofern dadurch gewährleistet ist, dass die Übermittlung personenbezogener Daten geeigneten Garantien unterliegt. In aller Regel wird dies bedeuten, dass Sie nach wie vor verpflichtet sein werden, zusätzliche technische oder vertragliche Maßnahmen zu ergreifen. Falls Sie nach dem Urteil bereits Maßnahmen ergriffen haben, die den Datenschutz sicherstellen, können Sie diese Verträge bis dahin weiter nutzen. Sollten Sie nach dem EuGH-Urteil zum Sturz des Privacy Shields noch nicht weiter tätig geworden sein, sollten Sie die neuen Standardvertragsklauseln unverzüglich abschließen, da die Maßgaben des EuGH-Urteils in den neuen Vertragsklauseln bereits berücksichtigt wurden.

Neuerungen in den Standardvertragsklauseln:

Neu ist an den verabschiedeten Standardvertragsklauseln am augenscheinlichsten, dass es nunmehr nur noch ein Vertragswerk gibt, das modular auf alle denkbaren Sachverhaltskonstellationen angewendet werden kann. Folgende Konstellationen können dargestellt werden:

Datenübermittlungen

  • von einem Verantwortlichen an einen anderen eigenständig Verantwortlichen,
  • von einem Verantwortlichen an einen Auftragsverarbeiter (Dienstleister),
  • von einem Auftragsverarbeiter an einen anderen Auftragsverarbeiter, oder
  • von einem Auftragsverarbeiter an einen Verantwortlichen im Drittland.

Möglich ist auch der Eintritt in einen bestehenden Vertrag durch eine dritte Partei, z.B. bei Konzernstrukturen.

Inhaltlich sind einige Vorgaben des EuGH Urteils zusätzlich aufgenommen worden.

Verbindlich zu dokumentieren von beiden Parteien ist die Vorab-Prüfung der Rechtmäßigkeit der Rahmenbedingungen der Datenübermittlungen unter Berücksichtigung der folgenden Aspekte:

  • die besonderen Umstände der Übermittlung, einschließlich der Länge der Verarbeitungskette, der Anzahl der beteiligten Akteure und der verwendeten Übertragungskanäle, beabsichtigte Datenweiterleitungen, die Art des Empfängers, den Zweck der Verarbeitung, die Kategorien und das Format der übermittelten personenbezogenen Daten, den Wirtschaftszweig, in dem die Übertragung erfolgt, den Speicherort der übermittelten Daten,
  • die angesichts der besonderen Umstände der Übermittlung relevanten Rechtsvorschriften und Gepflogenheiten des Bestimmungsdrittlandes (einschließlich solcher, die die Offenlegung von Daten gegenüber Behörden vorschreiben oder den Zugang von Behörden zu diesen Daten gestatten) sowie die geltenden Beschränkungen und Garantien,
  • alle relevanten vertraglichen, technischen oder organisatorischen Garantien, die zur Ergänzung der Garantien gemäß diesen Klauseln eingerichtet wurden, einschließlich Maßnahmen, die während der Übermittlung und bei der Verarbeitung personenbezogener Daten im Bestimmungsland angewandt werden.

Darüber hinaus wurde eine vertragliche Verpflichtung für den Datenimporteur (also das empfangende Unternehmen im Drittland) aufgenommen, sich quasi stellvertretend für Betroffene gegen hoheitliche Eingriffsmaßnahmen gerichtlich zur Wehr zu setzen, soweit die Maßnahmen nach sorgfältiger Beurteilung durch den Datenimporteur nicht mit völkerrechtlichen Verpflichtungen vereinbar sind. Die bisher bereits üblichen Benachrichtigungspflichten durch den Datenimporteur sind beibehalten worden.

Ausgeweitet hat sich auch die Zuständigkeit europäischer Stellen für die juristische Aufarbeitung. Der Datenimporteur verpflichtet sich stärker als bisher, sich der Europäischen Datenschutzaufsicht und der Europäischen Judikatur zu unterwerfen.

Insbesondere die letzten Punkte dürften schwer zu schlucken sein für amerikanische Dienstleister, bringen diese doch erhebliche praktische Auswirkungen mit sich. Es bleibt abzuwarten, wie sich der Markt weiter entwickeln wird.

Überprüfung durch die Aufsichtsbehörden:

Um diesen Vorgaben zu einer effektiven Durchsetzung zu verhelfen, haben sich mehrere Landesdatenschutz-Behörden zusammengetan und zum 01.06.2021 eine länderübergreifende koordinierte Prüfung internationaler Datentransfers gestartet. Die dafür genutzten Fragebögen können beispielsweise hier nachgelesen werden:

https://datenschutz-hamburg.de/pages/fragebogenaktion/

Die Datenschutzbehörden haben umfassende Ermittlungs- und Abhilfebefugnisse, insbesondere in Art. 58 DSGVO. Stellt die Behörde Verstöße gegen die Datenschutzgrundverordnung fest, kann sie verschiedene Verfügungen aussprechen:

  • Unterlassung der Datenübermittlung
  • Nachbesserung innerhalb einer Frist
  • Bußgelder

Inwiefern die Aufsichtsbehörden von diesen Befugnissen Gebrauch machen werden, ist derzeit nicht bekannt und bleibt abzuwarten. Klar ist allerdings, dass es nicht angeraten ist, die Hände in den Schoß zu legen.

ToDos:

Wir empfehlen zumindest folgende aktuellen ToDos:

  • Prüfen Sie Ihre Verarbeitungsprozesse im Hinblick auf Datenübermittlungen in Drittländer (auch Unterauftragsverarbeiter), insbesondere USA
  • Prüfen Sie mögliche Alternativen und dokumentieren Sie dies, wenn und warum die Alternativen nicht in Betracht kommen.
  • Prüfen Sie mögliche technische Maßnahmen zum Datenschutz und dokumentieren Sie dies. Holen Sie hierzu ggf. die Stellungnahme des Dienstleisters ein.
  • Treten Sie mit Ihrem Geschäftspartner in Kontakt, um die neuen Standardvertragsklauseln abzuschließen
  • Sprechen Sie den Dienstleister konkret auf die aufgeworfenen Fragen des EuGH Urteils an (Cloud Act und FISA) und bitten um Stellungnahme. Ein Musteranschreiben finden unsere Kunden im myGindat-Portal unter dem Punkt „Auftragsverarbeitung“.

Zur Unterstützung steht Ihnen Ihr Datenschutzbeauftragter zur Seite.

Fazit:

Wir hoffen, dass eine politische Annäherung die derzeit angespannte Lage wieder beruhigen wird. Bis dahin bleiben Rechtsunsicherheiten bestehen. Eines jedenfalls hat die Situation bewirkt: Stärker denn je zeigt die derzeitige Lage, wie stark die europäische Wirtschaft und Politik von amerikanischen Diensten abhängig ist. Wenn diese Situation zu ein wenig mehr Europäischer Datensouveränität führt, hätte das EuGH-Urteil auf jeden Fall etwas bewirkt.

Nicole Krause

als juristische Mitarbeiterin für die GINDAT GmbH

Dateiablage auf myGINDAT

Ab Juli 2021 ist es soweit – unser Upload-Tool findet seinen Platz in Ihrem myGINDAT-Portal.
Damit möchten wir Ihnen den Datenschutz-Alltag noch einfacher machen.

Alle datenschutzrechtlich notwendigen Dokumente, wie bspw. Auftragsverarbeitungsverträge, können Sie jederzeit hochladen und entscheiden selbst, ob nur Sie oder alle angemeldeten Benutzer Ihrer Organisation auf die jeweilige Datei zugreifen können.
Des Weiteren können Sie den Dateinamen, das Thema und die Beschreibung 24 Stunden lang editieren. Danach gelangen die Uploads in unseren Verarbeitungs-Workflow oder bleiben einfach nur dauerhaft in Ihrem Profil gespeichert.

Probieren Sie es gerne aus – wir freuen uns auf Ihr Feedback!

Nutzung von WhatsApp im betrieblichen Kontext

Viele Menschen nutzen Messenger-Dienste wie WhatsApp für ihre alltägliche Kommunikation. So ist es nur nachvollziehbar, dass man diesen Dienst auch gerne in seinem beruflichen Kontext nutzbar machen möchte. Sei es, weil man selbst die Handhabung kennt und sich so den Arbeitsalltag erleichtern möchte, sei es auch, um Kunden den Kontaktweg anzubieten, den sie auch sonst nutzen. Aus Sicht des Datenschutzes ist dies leider nicht unproblematisch. Es handelt sich nämlich nicht um eine private Kommunikation, sondern um eine berufliche, bei der anders als im Privaten gesetzliche Vorgaben zu beachten sind.

Bei einer beruflichen Nutzung ist ein Unternehmen verpflichtet, die Bestimmungen zum Datenschutz einzuhalten. Dazu gehört, dass die Verarbeitung von personenbezogenen Daten über den Messenger einer Rechtsgrundlage bedarf. Sofern sich keine gesetzliche Erlaubnisnorm findet, ist einzig die Legitimation über eine Einwilligung der Betroffenen möglich.

Besteht die Notwendigkeit für eine schriftliche Kommunikation, lässt sich die reine Kommunikation grundsätzlich über das zugrunde liegende Vertragsverhältnis rechtfertigen. Erfolgt die Kommunikation beispielsweise über einen Telefonanbieter mittels Kurznachricht, sind die Inhalte sowie die Rahmenbedingungen der Kommunikation durch das Fernmeldegeheimnis geschützt.

WhatsApp, anders als ein Telefonanbieter, sichert sich allerdings den Zugriff auf das Telefonbuch, also die Kontakte, die auf dem Smartphone gespeichert sind, für eigene Auswertungs-Zwecke zu. Die Daten werden bei WhatsApp auf Servern in den USA gespeichert. Gespeichert und ausgewertet werden auch die sogenannten „Metadaten“, wie Kommunikationsteilnehmer, Zeitpunkt der Kommunikation also Datum und Uhrzeit, Datenvolumen und ähnliche Verbindungsdaten. Diese Übermittlung an WhatsApp geht weit über die reine Kommunikation zwischen Vertragspartnern hinaus, ist nicht durch das Fernmeldegeheimnis geschützt und bedarf dementsprechend einer eigenständigen Rechtsgrundlage.

Als Zwischenfazit ist daher festzustellen, dass damit eine unerlaubte Weitergabe von personenbezogenen Daten an WhatsApp und somit ein Verstoß gegen Datenschutzrecht vorliegen kann.

Eben dies veranlasste die Schleswig Holsteinische Datenschutzbeauftragte Hansen in einem Interview, welches am 10.06.2016 von DAZ.online veröffentlicht wurde, darauf hinzuweisen, dass WhatsApp im Moment nicht das deutsche Datenschutzrecht erfüllt.

Bislang gab es einige Bußgeldbescheide in Europa im Zusammenhang mit dem Einsatz von WhatsApp im Unternehmenskontext. So hatte zum Beispiel ein Bankmitarbeiter Fotografien von Personalausweisen an ein kooperierendes Unternehmen via WhatsApp weitergeleitet. Die grundlegende Befugnis zur Datenübermittlung stand dabei nicht in Frage. Das Bußgeld belief sich insgesamt auf 170.000 Euro.

Sofern man den Einsatz von WhatsApp datenschutzrechtlich legitimieren wollte, bedürfte es einer rechtskonformen Einwilligung des Kunden. Eine Einwilligung müsste transparent sein, das bedeutet der Kunde ist darüber zu informieren, wie seine personenbezogenen Daten im Rahmen der Nutzung des Dienstes verarbeitet werden. Das schließt insbesondere auch die Datenverarbeitung von WhatsApp mit ein.

Ob eine ausreichend informierte Einwilligung möglich ist, ist ungewiss. Daher kann es derzeit keine Gewähr für eine rechtskonforme berufliche Nutzung von WhatsApp geben.

Es bestehen datenschutzfreundlichere Alternativen gegenüber WhatsApp, die beispielsweise keinen Zugriff auf Kontaktbücher erzwingen und teilweise auch ohne die Übermittlung von Telefonnummern einsetzbar sind. Als Alternativen kämen zum Beispiel in Betracht: Threema, SIMSme, Wire, Hoccer, Signal und Chiffry.

Da uns allerdings bewusst ist, dass diese Anbieter nicht zwingend dem Einsatzzweck dienen, nämlich dem Kunden den Kontaktweg zu bieten, den er auch sonst in seinem Alltag nutzt, möchten wir auf die Empfehlungen der bayrischen Datenschutzaufsicht verweisen. Punkt 8.6 des Tätigkeitsberichts 2017/18-Bayerisches Landesamt für Datenschutzaufsicht empfiehlt dazu:

Sollten Verantwortliche dennoch nicht auf WhatsApp verzichten wollen, sind folgende Anforderungen zu berücksichtigen:

    • WhatsApp darf von Berufsgeheimnisträgern grundsätzlich nicht eingesetzt werden (Ausnahmen nur unter ganz speziellen Voraussetzungen möglich).
    • Für die interne Unternehmenskommunikation sollte der Einsatz von WhatsApp grundsätzlich unterbleiben.
    • Nachrichtenverläufe über WhatsApp sollten nicht archiviert werden.
    •  Automatische Speicherung der Nachrichten im internen Speicher, insbesondere der Anhänge, sollte vermieden werden, wenn weitere Apps auf dem mobilen Gerät installiert sind, denen Zugriff auf den internen Speicher gestattet wird (Gefahr eines unberechtigten Zugriffs und Fehlversand von Anhängen).
    •  WhatsApp sollte von einem separaten Smartphone oder über eine Container-Lösung/Mobile Device Management betrieben werden.
    • Soweit der Zugriff auf das Telefonbuch gewährt wird, muss sichergestellt werden, dass nur Kontakte (z. B. Kunden/Klienten) im Telefonbuch gespeichert sind, die ihre Einwilligung erteilt haben.

Aus Unternehmenssicht sollten Sie zudem berücksichtigen, dass Ihnen der Zugriff auf die Informationen, die über  WhatsApp fließen, möglicherweise verschlossen ist. Dies wird insbesondere dann relevant, wenn ein Mitarbeiter vorübergehend oder auch dauerhaft aus dem Unternehmen ausscheidet. Machen Sie sich auch diesem Grunde frühzeitig Gedanken darüber, wie eine Vertretungsregelung organisiert werden kann, bzw. wie Sie die Informationen grundsätzlich für das Unternehmen verfügbar machen können.

Kontaktieren Sie bitte Ihren Datenschutzbeauftragten für Hilfestellungen beim Einsatz von WhatsApp oder zur Erarbeitung einer Einwilligungserklärung für Ihre Kunden.

Nicole Krause
Juristische Mitarbeiterin der Gindat GmbH

Datenschutzbehörden prüfen Cookie-Consent-Banner

Die Datenschutzbehörden kündigen länderübergreifend eine groß angelegte Aktion an, bei der die neuen Tracking-Vorgaben auf Webseiten näher ins Visier genommen werden sollen. Seit Oktober des vergangenen Jahres nach einem Urteil des EuGH im Vorabentscheidungsverfahren (EuGH C‑673/17 vom 01.10.2019) ist klar, dass es für Tracking-, Analyse- und Werbemaßnahmen, die nicht der reinen technischen Auslieferung einer Seite dienen, einer ausdrücklichen Einwilligung des Seitenbesuchers bedarf.

Spätestens mit der daraufhin ergangenen deutschen Entscheidung vom 28.05.2020 (BGH I ZR 7/16) ist dies die geltende verbindliche Rechtslage in Deutschland. Nachdem bereits in unserem Hause einige Anfragen von Seiten der Behörde eingetrudelt waren, haben die Datenschutzbehörden nunmehr eine groß angelegte Überprüfung angekündigt (Pressemitteilung des LDI BW vom 19.08.2020).

Beginnen wolle man mit reichweitenstarken Medienunternehmen. Dies stellt allerdings nur einen ersten Schritt dar. Wunderbar plastisch beschreibt der LDI BW, wie Tracking-Maßnahmen in der realen Welt aussehen würden.
Stellen Sie sich vor, Sie machen eine Shopping-Tour. Dabei hätten Sie einen oder mehrere Ihnen unbekannte Begleiter an Ihrer Seite. Diese protokollieren jeden Ihrer Handgriffe, jeden Schritt Ihrerseits. Es würde aufgezeichnet, was Sie sich angesehen haben und wie lange Sie sich vor bestimmten Schaufenstern aufgehalten haben. Besonders interessant sind auch Ihre Einkäufe, die selbstverständlich mit sämtlichen Details festgehalten werden. Und das nicht nur in einem Geschäft, sondern oftmals während Ihrer gesamten Shopping-Tour über mehrere Geschäfte, über mehrere Tage hinweg. Diese heimlichen Begleiter laufen schnurstracks zu den einzelnen Geschäften zurück, um diesen im Detail zu berichten, was oder wie sie Ihnen bei der nächsten Einkaufstour Produkte anbieten sollen.

Da ist mir der Brötchen-Bäcker um die Ecke wesentlich lieber, der lediglich weiß, welches Brötchen ich esse und wann er morgens mit mir rechnen kann.

Sofern Sie bis jetzt noch nicht aktiv geworden sind, prüfen Sie kritisch, welche Tracking- und Werbetools in Ihrer Webseite eingebunden sind. Sollten Sie solche nicht technisch notwendigen Technologien auf Ihrer Seite eingebunden haben, bedarf dies einer aktiven Einwilligung.
Bisherige Cookie-Banner, die im Weitersurfen eine Einwilligung sehen, sind nicht mehr zulässig. Es bedarf – vor – dem Ausführen solcher Technologien einer aktiven Einwilligung des Nutzers.

Für unsere Kunden haben wir eine Checkliste in den Fragebögen hinterlegt, mit Hilfe der Sie die rechtlichen Anforderungen an ein Cookie-Consent-Banner prüfen können. Für Detailfragen sprechen Sie bitte Ihren Datenschutzbeauftragten an.

Datenverarbeitung in Unternehmen zur aktuellen Pandemie-Eindämmung gegenüber Besuchern

Neue Situationen benötigen neue Lösungen. Ohne Erfahrungswerte bedarf es einiger Kreativität, um Möglichkeiten zu finden, die neue Situation zu klären. Die Pandemie ist sicherlich eine solche neue Situation, die neue Lösungen fordert. Das Gebot der Stunde lautet Eindämmung der Pandemie. Die meisten Unternehmen werden Ihre Türen aus diesem Anlass für Besucher ohnehin gänzlich geschlossen haben. Manche Termine lassen sich allerdings nicht verschieben oder telefonisch erledigen. Beispielsweise Klempner haben noch keinen Weg gefunden, einen Wasserrohr­bruch im Gebäude virtuell zu beheben.

Im Einzelfall kann es also nötig sein, Besuchern den Zutritt zum Unternehmen zu ermöglichen. Im Rahmen der Fürsorgepflicht des Arbeitgebers muss der Besuch dabei so gefährdungslos wie möglich für Mitarbeiter und Besucher gestaltet werden. Hierfür bietet das Robert-Koch-Institut weitere Informationen. Sollte es dennoch zu einer Infektion gekommen sein, möchte man möglichst effektiv an einer Aufklärung und damit auch im Nachhinein an einer Eindämmung der Weiter­verbreitung mitwirken. Einige Unternehmen sind deshalb dazu übergegangen Fragebögen von Besuchern zu erfassen, die auch Gesundheitsdaten enthalten, wie z.B. „Wurde bei Ihnen das Coronavirus positiv getestet?“ oder „Leiden Sie unter grippeähnlichen Symptomen?“.

Trotz Krisenzeiten muss allerdings die Rechtsstaatlichkeit gewahrt bleiben. Dazu gehört die Einhaltung demokratisch legitimierter Wege. Sofern eine Anordnung des Gesundheitsamts ergeht, Auflagen zu erfüllen, liegt hierin zugleich auch die datenschutz­rechtliche Legitimation für diese Verarbeitung. Sollte zu diesen Auflagen gehören, dass Besucherdaten zu erheben sind, ist die Datenerhebung in dem geforderten Maße rechtmäßig.

Liegt eine solche Anordnung nicht vor, bedarf es einer anderen Rechtsgrundlage. Der Schutz Ihrer Mitarbeiter und die Wahrnehmung Ihres Hausrechts stellt grundsätzlich Ihr legitimes Interesse an einer Erfassung von Besucherdaten dar, was die meisten Unternehmen ohnehin auch ohne pandemische Lage tun. Diese Daten können, sofern es notwendig werden sollte, auch auf Anordnung der Gesundheits­behörde herausgegeben werden. Die Erfassung von Gesundheitsdaten bedarf allerdings einer eigenen Rechtfertigung.

In Betracht käme eine Rechtfertigung über Art. 9 Abs. 2 lit i DSGVO i.V.m. § 22 Abs. 1 lit. c BDSG, sofern „die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie des Schutzes vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren […] erforderlich ist“. Zu messen ist die Rechtmäßigkeit der Erhebung von Gesundheitsdaten somit am Maßstab der Erforderlichkeit. Erforderlichkeit ist gegeben, wenn das mildeste unter gleich geeigneten Mitteln gewählt wurde. Stehen also andere gleich geeignete Mittel zur Verfügung, die einen geringeren Grundrechtseingriff darstellen, ist die Erhebung von Gesundheitsdaten nicht erforderlich.

Statt die Daten zu erheben, könnte über ein deutlich sichtbares Hinweisschild eine Selbst­verpflichtung am Eingang angebracht werden. Hierin sollte darauf hingewiesen werden, das Betreten zu unterlassen, wenn man selbst positiv auf das Virus getestet wurde oder Kontakt zu einer infizierten Person hatte, oder bei sich selbst grippeähnliche Symptome feststellt. Da es sich sowohl bei dem Hinweisschild als auch bei einem Fragebogen um eine Selbsteinschätzung handelt, dürfte die Effektivität dieser Maßnahmen gleichermaßen hoch oder niedrig sein. Bei dem Hinweisschild findet weder eine Datenerhebung, noch eine Speicherung statt, und stellt damit ggf. ein milderes Mittel dar, zu dem wir grundsätzlich raten möchten.

Gleichwohl räumen wir ein, dass bei einer schriftlichen Erhebung zusätzlich sichergestellt wird, dass die Hinweise nicht übersehen werden können. Insofern ist der Schluss legitim, dass ein Hinweisschild nicht gleich geeignet wie die schriftliche Erfassung mittels eines Fragebogens ist.

Die unabhängige Konferenz der Datenschutz­behörden hat jedenfalls in Anbetracht der pandemischen Lage die Fürsorgepflicht des Arbeitgebers für das Wohl der Gesamtheit der Beschäftigten als überragendes berechtigtes Interesse an der Erhebung von Besucherdaten inklusive der Gesundheitsdaten anerkannt. Dies kann jedoch nur solange gelten, wie das Verfahren der Datenerhebung datenschutz­konform gestaltet ist.

Dementsprechend sollte der Fragebogen möglichst datensparsam gestaltet werden. Eine einfache Bestätigung des Besuchers über das Nicht­vorhandensein einer nachgewiesenen Infektion mit dem Virus, kein bekannter Umgang mit einem nachweislich Infiziertem, kein Aufenthalt in einem der Risikogebiete nach Angaben des Robert-Koch-Instituts und das Fehlen von Symptomen dürfte regelmäßig ausreichen. Nicht erforderlich ist es, jeden einzelnen Punkt separat abzufragen.

Zugleich muss eine adäquate Datenschutz-Information nach den Vorgaben des Art. 13 DSGVO erfolgen. Eine intransparente Verarbeitung kann niemals das Schutzinteresse des Betroffenen überwiegen.

Da es sich auch bei einer Negativauskunft um Gesundheitsdaten handelt, sind die Daten entsprechend Ihres erhöhten Schutzbedarfs verschlossen, gegen unbefugten Zugriff geschützt aufzubewahren, und nur einem begrenzten Personenkreis zugänglich zu machen. Nach Wegfall des Zwecks müssen die Fragebögen datenschutz­konform entsorgt werden.

Ein Muster eines solchen Fragebogens inklusive der Datenschutz-Information finden unsere Kunden im Online-Portal myGINDAT.

Telefonische Auskunftserteilung

Auf den letzten Metern des ausklingenden Jahres 2019 wurde ein Rekord-Bußgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI) in Höhe von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen.

Zum Hintergrund:

Der Telefonanbieter bot für seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die Möglichkeit, umfassende Informationen zu Ihren Verträgen zu erhalten. In den Fokus der Datenschutzbehörden geriet das Verfahren laut Stellungnahme des Unternehmens anlässlich eines konkreten Vorfalls: Bei einer telefonischen Anfrage erhielt eine nicht berechtigte Person die Telefonnummer eines ehemaligen Lebenspartners.

Die Sicherheitsrichtlinie des Unternehmens sah zu dem Zeitpunkt als Authentifizierungsmethode vor, den Kunden mittels Abfrage von Name und Geburtsdatum als den Kunden zu identifizieren und damit für die Auskunftserteilung zu legitimieren.

Dieses Verfahren beurteilte die Datenschutzbehörde als nicht ausreichend zum allgemeinen Schutz der personenbezogenen Daten der Kunden vor einer unrechtmäßigen Kenntnisnahme und sah hierin einen Verstoß gegen die Pflicht zur Ergreifung adäquater technischer und organisatorischer Maßnahmen zum Datenschutz aus Art. 32 DSGVO.

Konsequenzen:

Die telefonische Auskunftserteilung steht im Spannungsfeld zwischen Kundenservice und Datenschutz. Eine allzu restriktive Handhabung von telefonischen Auskünften ist vom Kunden oftmals nicht gewünscht. Wenn dadurch allerdings tatsächlich Daten in unrechtmäßige Hände gelangen, wie beispielsweise die neue Telefonnummer an den ehemaligen Lebenspartner, ist am Ende keiner damit glücklich.

Vorgehensweise:

Wie sollten Sie vorgehen, wenn Sie telefonische Auskünfte für Ihre Kunden bieten wollen?

Wenn Sie Informationen über das Telefon austauschen, sollten Maßnahmen ergriffen werden, die eine unrechtmäßige Verfügung durch einen Unbefugten verhindern sollen, seien es Verfügungen mit Rechtswirkung, seien es Auskunftsweitergaben.
Eine telefonische Auskunft ergibt nur dann Sinn, wenn das Verfahren praktikabel ist. Das Verfahren sollte mithin möglichst einfach für alle Seiten gestaltet sein.
Es sollte allerdings ein dem Risiko angemessenes Schutzniveau bieten, um die Gefahr vor Missbrauch durch Unbefugte für die Kunden zu minimieren.

Schutzbedarf feststellen:

Zunächst sollten Sie klassifizieren, welche Informationen überhaupt am Telefon ausgetauscht werden dürfen. Je nach Organisationsgrad und Komplexität Ihres Unternehmens könnte es sinnvoll sein, zunächst typische Fallgestaltungen der Anfragen zu differenzieren und festzuhalten, um daraus die geforderten Datenarten abzuleiten. Beispielsweise:

Fragen zum Vertrag:

  • Vertragsinhalte
  • Laufzeiten
  • Vertragsende

Fragen zur Buchhaltung:

  • offene Posten
  • Kontoverbindung
  • getätigte Zahlungen

Vertragsabsprachen, rechtsgestaltende Absprachen:

  • Adressänderungen
  • Änderungen von Lieferadressen
  • Neuaufträge, Ergänzungsaufträge

… und weitere Fallgestaltungen.

Für alle diese Stationen müssen Sie dann eine Risikoabwägung vornehmen:

Was droht dem Kunden, wenn es sich um einen Unberechtigten handeln sollte?
→ Schwere des Risikos

Wie wahrscheinlich ist es, dass sich ein Unberechtigter Zugriff verschaffen kann?
→ Eintrittswahrscheinlichkeit

Je schwerer das Risiko für den Betroffenen wiegt, umso schärfere Maßnahmen müssen Sie ergreifen, um den Eintritt zu verhindern. Sinnvoll ist es, sämtliche Daten in Schutzstufen zu unterteilen und für die jeweilige Schutzstufe entsprechende Maßnahmen festzulegen.

Mögliche Maßnahmen:

Dass die Abfrage des Namens und des Geburtsdatums keinen zuverlässigen Ausschluss von Unberechtigten bietet, sollte mit einem Blick in ein beliebiges soziales Netzwerk nach Wahl hoffentlich jedem klar sein. Auch die Abfrage der Adresse dürfte kein ausreichendes Ausschlusskriterium für Unbefugte darstellen.

Die Abfrage vertragsspezifischer Details dürfte dahingehend bereits einen deutlich höheren Schutz bieten, da solche Daten üblicherweise nicht öffentlich kundgetan werden. Darunter leidet natürlich wieder die Benutzerfreundlichkeit. Eher selten hat der Kunde unterwegs die Vertragsunterlagen zur Hand.

Die Abfrage von Kontodaten kann zwar auch nicht zuverlässig Unberechtigte ausschließen, da Kontodaten an viele verschiedene Geschäftspartner bekannt gegeben werden, jedoch reduziert sich dadurch der Kreis möglicher Personen deutlich. Gegebenenfalls lässt sich dieses Kriterium in Zusammenschau mit weiteren Abfragen kombinieren, um ein höheres Schutzniveau zu erreichen.

Letztlich bieten technische Maßnahmen, wie ein Passwort- oder Tokenverfahren, je nach gewählten Vorgaben einen sehr zuverlässigen Schutz.

Alternativ dazu können auch Sicherheitsfragen vereinbart werden, deren Kenntnis üblicherweise nur dem Betroffenen selbst oder einem engsten Vertrautenkreis bekannt sind.

Um eine ausgewogene Balance zwischen Schutzbedarf und Benutzerfreundlichkeit herzustellen, können auch verschiedene Methoden miteinander kombiniert werden.

Sicherheitsrichtlinie erstellen und vermitteln:

Wenn Sie alle Daten nach Schutzbedarf erfasst haben, und entsprechende Sicherheitsvorgaben für jede Schutzstufe festgelegt haben, müssen diese Informationen an die Mitarbeiter vermittelt werden, angefangen mit einer entsprechenden Arbeitsanweisung und bestenfalls einer praktischen Einarbeitung. Die Einhaltung dieser Vorgaben sollte im Nachgang auch stichprobenartig überprüft werden.

So lassen sich Datenpannen vermeiden und die Datenschutzbehörden sollten ebenfalls zufriedengestellt sein.

Über die Details sprechen Sie am besten mit Ihrem Datenschutzbeauftragten.

Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH

Smartphones im Betrieb: Android vs. iOS

Aus dem Alltag der meisten Menschen ist das Smartphone nicht mehr wegzudenken. Morgens wird man vom Wecker des Geräts geweckt, schreibt schnell noch eine WhatsApp an Schatzi/Sohnemann/Mutti, und springt dann unter die Dusche, um dort über die wasserfesten Lautsprecher via Bluetooth die Musik-App abzuspielen. Auf dem Weg zur Arbeit ruft man noch schnell die letzten Börsennachrichten ab, fährt dank SmartHome die Heizung runter, die zu Hause noch auf voller Power brummt, weil man vergessen hat, sie auszuschalten. Abends auf dem Heimweg besorgt man noch die Sachen, die man im Laufe des Tages via Smartphone-Assistent auf die Einkaufsliste gesetzt hat, um im Anschluss an das Date erinnert zu werden, zu dem man sich natürlich mittels GPS lotsen lässt. Zum Tagesabschluss geht’s noch ins Fitnessstudio, dessen Auswertungs­ergebnisse dank SmartWatch direkt beim lokalen Sportschuh­geschäft, wahlweise direkt bei der Krankenkasse gespeichert werden. Oder hoffentlich doch nur auf dem Gerät?

Die Möglichkeiten dieser kleinen Wundercomputer sind scheinbar grenzenlos und ein Ende der Leistungsfähigkeit dieser Geräte ist noch lange nicht in Sicht. Kein Wunder, dass viele einen solchen Alleskönner auch im Unternehmen einsetzen möchten.

Als Unternehmen unterliegen Sie allerdings vielfachen rechtlichen Vorschriften, unter anderem denen der Datenschutz-Grundverordnung (DSGVO). Für die Frage, welche Smartphones rechtmäßigerweise im Unternehmen eingesetzt werden dürfen, spielt nicht zuletzt das Betriebssystem eine entscheidende Rolle. Hierbei spielen am Markt nur zwei Varianten eine Rolle – iOS von Apple und Android von Google. Bei der Beurteilung dieser Systeme wird man insbesondere zwei Betrachtungs­winkel beleuchten müssen: einerseits die Sicherheit des Geräts, damit unplanmäßige Datenabflüsse weitestgehend ausgeschlossen werden können, andererseits aber auch mögliche planmäßige Datenabflüsse, die das Gerät per se vorsieht.

Strukturell unterscheiden sich die Betriebssysteme deutlich. Das Android-Betriebssystem ist im Kern ein Open-Source-Projekt, das jedermann Einsicht in die zu Grunde liegende Programmierung gewährt. Im Unterschied dazu hält Apple sein Betriebssystem iOS ausschließlich in den eigenen Händen und lässt sich nicht in die Karten gucken. Dadurch können Hacker sehr viel einfacher Sicherheits­schwachstellen unter Android ausfindig machen und ausnutzen als dies bei iOS möglich ist, da der Quellcode für iOS nicht öffentlich ist.

Ein weiteres potentielles Sicherheits­risiko ist, dass es App-Herstellern sehr viel leichter gemacht wird, ihre Software bei Android im Play Store zu platzieren als dies im App Store von Apple der Fall ist. Apps, die in Apples App Store vertrieben werden wollen, durchlaufen ein strengeres Auswahlverfahren. Zudem werden die Zugriffs­berechtigungen auf die Ressourcen des Geräts durch Apple restriktiver beäugt als dies bei Google der Fall ist. Dementsprechend ist es einfacher, im Play Store von Google Schadsoftware zu platzieren als im App Store von Apple.

Darüber hinaus gibt es Unterschiede in der Verbreitung von Software-Updates, die unter anderem auch dazu dienen, potentielle Sicherheits­schwachstellen zu schließen. Bei Android läuft dies sehr viel schleppender als bei iOS. Dadurch dass viele Smartphone-Hersteller oder Mobilfunkanbieter eigene Anpassungen am Kern-Betriebssystem von Android vornehmen, ist ein unmittelbares Durchreichen an die Endnutzer nicht möglich. Erst müssen die Anpassungen der Hersteller in das neue Update eingearbeitet werden, bevor es an alle verteilt werden kann. Dadurch bleiben mögliche Sicherheitslücken länger als notwendig offen und sind dann durch die Freigabe des Updates auch noch allgemein bekannt. Dadurch dass iOS lediglich auf Apple-Geräten betrieben wird und keine weiteren Instanzen zwischen­geschaltet sind, kann die Verbreitung von Updates unmittelbar auf sämtliche Geräte ausgerollt werden. Insgesamt ist die Update-Rate des iOS-Betriebssystems ohnehin sehr viel höher als bei Android.

Auch aus Sicht der planmäßigen Datenabflüsse unterscheiden sich die Betriebssysteme wiederum strukturell. Das eigentliche Geschäftsmodell von Google ist die Sammlung möglichst vieler Nutzerdaten, um diese gewinnbringend zu verwerten. Nach einer Studie aus August 2018 funkt Android 10-mal öfter nach Hause (zu Google) als iOS [Fun-Fact am Rande: Google erhebt bei normalem Gebrauch sogar mehr Daten über iOS-Nutzer als Apple selbst].

Apple jedoch versucht weitestgehend, Dienste und Daten über das lokale Gerät abzuwickeln, wie beispielsweise Standort-Daten und Navigationsrouten, die bei Apple selbst lediglich mit einer zufälligen und damit nicht rückverfolgbaren Kennung verarbeitet werden. Auch intelligente Foto-Auswertungen finden auf dem Gerät selbst statt und nicht wie bei Google über die Server des Anbieters. Insgesamt finden viele der Verarbeitungs­schritte mit zufälligen Kennungen statt und zudem voneinander unabhängig, so dass eine Zusammenführung der Daten technisch bedingt eingeschränkt ist.

Im Hinblick auf alle diese Aspekte ist mithin aus Datenschutz-Sicht für ein Unternehmen iOS der Vorzug zu geben.

Für beide Varianten gilt allerdings: sofern Cloud-Dienste der Anbieter genutzt werden sollen, um dort personenbezogene Daten zu speichern wie beispielsweise Adressbücher, Terminbücher und ähnliches, egal ob Google, Apple oder ein anderer Anbieter, bedarf es hierfür einer datenschutz­rechtlichen Auftragsverarbeitungs­vereinbarung. In dieser Vereinbarung sind grundlegende Regeln zum Umgang mit diesen Daten festgehalten, insbesondere das Verbot, die Daten für eigene Zwecke zu nutzen. Liegt diese nicht vor, kann der Cloud-Dienst nicht datenschutzkonform eingesetzt werden. Bei grenz­überschreitendem Datenaustausch sind zusätzliche Maßnahmen zum Datenschutz zu treffen.

Darüber hinaus gilt für beide Betriebssysteme, dass eine strikte Trennung zwischen geschäftlichen und privaten Daten stattzufinden hat. Wenn Sie private und geschäftliche Daten vermischen, werden Sie eine saubere Lösung niemals hinbekommen. Scheidet ein Mitarbeiter aus, werden entweder die privaten oder die geschäftlichen Daten kompromittiert.

Egal, welches Betriebssystem Sie letztendlich wählen, empfiehlt sich ein Mobile Device Management, mit dem Sie die Geräte zentral verwalten können, Updates zentral einspielen können, Sicherheits­einstellungen festlegen können und im Krisenfall die Geräte auch aus der Ferne zurücksetzen können. Ab zehn Geräten ist der Einsatz eines Mobile Device Managements unabdingbar. Bei einem geringeren Einsatz lässt sich statt eines MDM auch organisatorisch gegensteuern. Zu empfehlen ist in jedem Fall eine Richtlinie für die betreffenden Mitarbeiter, die genau regelt, welche Apps genutzt werden dürfen, welche Passwort-Vorgaben einzuhalten sind, wie mit den Verbindungs­möglichkeiten des Geräts umzugehen ist, welche Verschlüsselungen zu verwenden sind, welche Updates von wem unter welchen Bedingungen aufgespielt werden dürfen oder müssen, und weitere sicherheits­relevante Fragen geklärt werden können.

Das Bundesamt für Sicherheit in der Informations­technik (BSI) hat sich mit der Frage beschäftigt, welche Grund­einstellungen vorgenommen werden sollten und was zu beachten ist bei der Einrichtung sowohl eines iOS-Geräts als auch eines Android-Geräts, hier finden Sie die entsprechenden Informationen:

Letzen Endes bringen die besten Sicherheits­einrichtungen nichts, wenn der Nutzer nicht für sicherheits­kritische Belange sensibilisiert ist. Das größte Einfallstor für Durchbrechungen der Sicherheit ist derzeit der Mensch. Aus diesem Grunde empfehlen wir die Installation der App „Menschenverstand“ bei Ihren Mitarbeitern und regelmäßige Awareness-Maßnahmen.

Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH

Social-Plugins benötigen Einwilligung

Es gibt neuen Gegenwind gegen Datenkraken wie Facebook und Co. Nachdem bereits die Datenschutzkonferenz in ihrer jüngsten Orientierungshilfe für Telemediendienste (DSK Orientierungshilfe für Anbieter von Telemedien) eine klare Position für eine Einwilligungslösung bei der Einbindung von Facebook und Co. in die eigene Homepage bezogen hatte, hat der EuGH diese Position nunmehr bestätigt.

Viele der eingebundenen Social-Plugins wie der Facebook-Like- oder Share-Button funktionierten in der Weise, dass bereits bei Aufruf der Webseite, auf der die Tools eingebunden waren, eine Datenverbindung zu Facebook aufgebaut wurde. Hierdurch erhielt Facebook vielerlei Informationen über die Besucher, ohne dass die Besucher hierauf Einfluss gehabt hätten.

In einer Vorlagenanfrage der deutschen Gerichte an den EuGH ging es eben um diese Einbindung solcher Plugins, die bereits bei Aufruf der Webseite Daten an Dritte übertragen. In seinem Urteil vom 29.07.2019 stellte der EuGH klar, dass ein Webseiten-Betreiber, der ein Social-Plugin (Facebook-Like- oder Share-Button und andere) auf seiner Seite eingebunden hat, das eine unmittelbare Verbindung zu Facebook aufbaut, als Verantwortlicher für die Datenverarbeitung anzusehen ist und es für diese Datenübertragung einer ausdrücklichen Einwilligung bedarf.
Ausgangspunkt des Verfahrens war eine Klage der Verbraucherzentrale NRW gegen den Online-Shop Fashion-ID. Streitpunkt war die Einbindung eines Facebook-Plugins. Die Funktionsweise des Plugins ist so aufgebaut, dass Inhalte des fremden Anbieters (Facebook) in die eigene Webseite eingebunden werden, die es zum Abruf dieser Inhalte notwendig machen, die Daten des Webseiten-Besuchers an den Dritten (Facebook) zu übermitteln. Dies geschieht auch, wenn der Besucher nicht bei Facebook angemeldet ist. Er muss dafür noch nicht einmal ein Facebook-Konto besitzen. In dem Falle werden sogenannte Schattenprofile angelegt.

Das OLG Düsseldorf hatte in seinem Vorabentscheidungsersuchen an den EuGH eine Frage aufgenommen, die zumindest die Möglichkeit in Betracht zog, die Einbindung eines Social-Plugins in die eigene Webseite auf ein berechtigtes Interesse als Rechtsgrundlage zu stützen. Überraschend deutlich hat der EuGH die Frage nach dem berechtigten Interesse abgeschmettert mit dem Hinweis, dass es hierauf nicht ankomme, da keine rechtlich notwendige Einwilligung vorläge.
Zum Umfang der Informationspflicht, beziehungsweise zum Grad der Informiertheit der Einwilligung des Webseiten-Besuchers, stellt der EuGH allerdings klar, dass der Webseiten-Betreiber nur über den Teil aufklären muss, der in seinem Herrschaftsbereich liegt, nicht über vor- und nachgelagerte Phasen, die nicht in seinem Verantwortungsbereich liegen. Dies ist insofern beruhigend, da eine umfassende Information über die Verarbeitung bei Facebook schlicht nicht vorliegt und somit nicht möglich ist. Die Information durch den Webseiten-Betreiber muss demnach nur den Part umfassen, der in seinem Herrschaftsbereich liegt.

Was bedeutet das für Sie:
Grundsätzlich spricht der EuGH allgemein von Social-Media-Anbietern und stellt damit die Maßnahmen nicht nur für Facebook, sondern auch für alle anderen Anbieter mit ähnlich eingebundenen Plugins auf. Werden Inhalte von anderen Servern auf Ihrer Webseite eingespielt, müssen Sie davon ausgehen, dass Daten an diese Dritte übertragen werden, da die Auslieferung der Inhalte technisch nicht anders möglich ist. Als Beispiele: Newsfeeds, Videos von Videoportalen, Kartenmaterial und vieles mehr.

Prüfen Sie demnach die eingebundenen PlugIns auf Ihrer Seite gründlich:

  • Welche Datenübermittlungen über Ihre Besucher finden auf Ihrer Homepage statt?
  • Wie lassen sich diese gegebenenfalls unterbinden?
  • Welche Daten (IP-Adresse, Geräte-Information, Geräte-Standort, ggf. weitere) werden an wen übermittelt?

Falls Sie sich nicht sicher sind, fragen Sie bei den Anbietern nach. Die Haftung für Fehler liegt bei Ihnen als Verantwortlichem.
Falls der Einsatz der Tools weiterhin gewünscht ist, wie kann die informierte Einwilligung der Seitenbesucher eingeholt werden?
Bitte aktualisieren Sie Ihre Erklärungen und Prozesse auf der Webseite dementsprechend. Für Hilfestellung kontaktieren Sie Ihren Datenschutzbeauftragten.

Ass.iur. Nicole Krause
Für die Gindat GmbH