Wiesbadener-Kreis

Im „SANS 2021 Top New Attacks and Threat Reports“ stellt das SANS Institute die aktuell entscheidendsten Bedrohungen aus der Cyberwelt vor.

Phishing in allen Formen (Spear Phishing, Business E-Mail Compromise, etc.) steht dabei an oberster Stelle, auch wenn Ransomware zunehmend mehr Unternehmen trifft und Supply-Chain-Attacken öfter in der Berichterstattung zu finden sind.

Laut John Pescatore, SANS Instructor und Autor der Studie, nehmen erfolgreiche Hackerangriffe auf Unternehmen zu, weil es für IT-Fachleute tendentiel schwerer wird, wirkungsvollen Schutz vor Angreifern zu etablieren. Dies begründet er mit den schnelllebigen Innovationszyklen der IT und der Arbeitswelt allgemein.
Denn bei der Entwicklung neuer Technologien stehen in der Regel Geschwindigkeit, Rentabilität und Nutzerfreundlichkeit im Vordergrund, nicht die Sicherheit. Unternehmen sind meist nicht gewillt, diese Technologien erst zu übernehmen, wenn die Sicherheit ausgereift ist, da sie in der Zwischenzeit einen Marktvorsprung einbüßen. Diese mangelnde Sicherheit der neuen Technologien wird wiederum von Hackern, Kriminellen und böswilligen Staaten ausgenutzt.

Folgende Sicherheitstipps werden vom SANS Institute empfohlen:

• Wiederverwendbare Passwörter sollten durch mehrstufige Authentifizierung ersetzt werden.
• Grundlegende Sicherheitshygiene, einschließlich Konfigurationsmanagement und rechtzeitiges Patchen, sollte eingehalten werden.
• Netzwerke und Anwendungen sollten segmentiert und Privilegien minimiert werden.
• Purple Teaming sollte regelmäßig genutzt werden, um Bedrohungen frühzeitig zu erkennen.
• Nachrichtendienstliche Informationen sollten genau und zeitnah zur Verfügung gestellt werden.
• Sicherheit sollte in alle Geräte und Workloads integriert werden, um große Sprünge beim Schutz von Endgeräten und Cloud-Systemen zu unterstützen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/cyberbedrohungen-2021-phishing-und-identitaetsdiebstahl-am-wichtigsten-18142

Bund und Länder haben sich am 23. August 2021 für die Einführung der 3G-Regel (geimpft, genesen, getestet) entschieden. Viele Arbeitgeber gehen daher fälschlicherweise davon aus, dass sie deshalb auch dazu berechtigt sind den Impfstatus Ihrer Beschäftigten abzufragen. Nach der derzeitigen Rechtslage ist das aber nicht ohne weiteres möglich. Die 3G Regel gilt zunächst nur für öffentlich zugänglichen Innenräume, wie die Innengastronomie und Beherbergungen, Krankenhäuser- und Pflegeheime, Kinos, Fitnessstudios, Schwimmbäder, körpernahe Dienstleistungen wie Frisöre und bei Veranstaltungen in Innenräumen und auch hier nur für die Besucher. Möchte der Arbeitgeber dennoch den Impfnachweis seiner Beschäftigten erheben, muss er derzeit nach rechtlichen Alternativen suchen.

Rechtliche Einordnung

Der Impfstatus ist ein Gesundheitsdatum im Sinne des Art. 9 Absatz 1 DSGVO und deshalb besonders schützenswert. Gesundheitsdaten dürfen in der Regel nur mit einer Einwilligung verarbeitet werden oder wenn eine Ausnahmevorschrift vorliegt. Die Ausnahmetatbestände sind jedoch nur eingeschränkt anwendbar, da Verarbeitungen von personenbezogenen Daten nach Art. 9 Absatz 1 nach dem Willen des Gesetzgebers grundsätzlich nicht erwünscht sind.

Einwilligung

Möchte man nun als Arbeitgeber wissen, ob die Beschäftigten geimpft sind, so kann man eine Einwilligung einholen. Problematisch ist dabei jedoch, dass eine datenschutzrechtliche Einwilligung immer nur dann wirksam ist, wenn sie auch freiwillig erteilt wurde. Man kann die Beschäftigten also nicht dazu zwingen eine Einwilligungserklärung zu unterschreiben, eine unterlassene Unterschrift darf auch nicht zu anderen Nachteilen führen (z.B. den Zutritt zum Betrieb verweigern).
Bei der Einwilligung muss auch das sogenannte Kopplungsverbot nach Art. 7 Absatz 4 DSGVO berücksichtigt werden. Das wird dann relevant, wenn die Beschäftigen durch eine Prämie dazu motiviert werden sollen, einen Impfnachweis vorzulegen. Ein Verstoß gegen das Kopplungsverbot liegt vor, wenn die betroffene Person eine Leistung nur unter der Bedingung angeboten wird, dass in die Datenverarbeitung eingewilligt wird. Dabei schließt nicht jede Unannehmlichkeit die Freiwilligkeit aus. Daher sind kleine Prämien (z.B. Kinogutscheine) zulässig. Beförderungen oder Gehaltserhöhungen als Prämien sind dagegen ein Verstoß gegen das Kopplungsverbot.
Neben der Freiwilligkeit sind unbedingt auch die weiteren datenschutzrechtlichen Voraussetzungen zu beachten (Datenschutz-Information, insbesondere ein Hinweis auf das Widerrufsrecht, Nachweisbarkeit der Einwilligung).
Auch bei einer wirksam erteilten Einwilligung ist der Grundsatz der Datenminimierung zu beachten, der besagt, dass so wenig personenbezogene Daten wie möglich zu verarbeiten sind. Das hat zur Folge, dass die Einwilligung keine Kopie oder Scan des Impfnachweises rechtfertigt. Die Dokumentation der Kontrolle kann durch die Anfertigung einer internen Aktennotiz über Vorlage und Sichtung des Impfausweises erfolgen. Durch die Hinzuziehung einer zweiten beschäftigten Person kann außerdem in datenschutzkonformer Weise Missbrauch verhindert und der Beweiswert der Aktennotiz gestärkt werden (Vier-Augen-Prinzip).

Ausnahmevorschriften

Für Arbeitgeber wird es schwierig sein, ein Hygienekonzept zu entwickeln, das auf einer Datenlage aufbauen soll, die auf Einwilligungen beruht, da man damit rechnen muss, dass einige Beschäftigte diese verweigern werden. Daher liebäugeln viele Unternehmen damit, die Abfrage des Impfstatus auf eine andere rechtliche Grundlage zu stützen.
Einer dieser Rechtsgrundlagen ist der Artikel 9 Absatz 2 b DSGVO iVm § 26 Absatz 3 BDSG. Danach können Gesundheitsdaten erhoben und verarbeitet werden, wenn dies erforderlich ist, damit der Arbeitgeber seine Rechte bzw. Pflichten aus dem Arbeitsrecht ausüben kann. So ergibt sich für den Arbeitgeber gegenüber seinen Beschäftigten eine Fürsorgepflicht hinsichtlich deren Gesundheit.
Der Knackpunkt der Regelung ist hierbei der Begriff der Erforderlichkeit. Die Verarbeitung ist nach der Ausnahmeregelung erforderlich, wenn sie unabdingbar ist für die Erfüllung der rechtlichen Pflichten aus dem Arbeitsverhältnis.
Die Datenschutzbehörde in NRW stellt auf Ihrer Website klar, dass eine Abfrage des Impfstatus nach der aktuellen Lage nicht als erforderlich angesehen werden kann. Als Argumente führt sie u.a. an, dass die Abfrage des Impfstatus einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Grundrechtseingriffe dürfen jedoch nur durch Gesetze gerechtfertigt werden. Aktuell sieht der Gesetzgeber keine generelle Reglung zur Abfrage des Impfstatus vor.
Daher empfehlen die Behörden das Hygienekonzept auf die bisher bekannten Maßnahmen zu stützen (Abstand, Hygiene, Maske, Lüften).
Eine weitere Ausnahmevorschrift ist § 23a Infektionsschutzgesetz (IfSG). Danach darf der Impfstatus der Beschäftigten unter bestimmten Voraussetzungen verarbeitet werden. Jedoch handelt es sich dabei nur um die folgenden Einrichtungen:

1.  Krankenhäuser
2. Einrichtungen für ambulantes Operieren
3. Vorsorge- oder Rehabilitationseinrichtungen, in denen eine den Krankenhäusern vergleichbare medizinische Versorgung erfolgt,
4. Dialyseeinrichtungen,
5. Tageskliniken,
6. Entbindungseinrichtungen,
7. Behandlungs- oder Versorgungseinrichtungen, die mit einer der in den Nummern 1 bis 6 genannten Einrichtungen vergleichbar sind,
8. Arztpraxen, Zahnarztpraxen,
9. Praxen sonstiger humanmedizinischer Heilberufe,
10. Einrichtungen des öffentlichen Gesundheitsdienstes, in denen medizinische Untersuchungen, Präventionsmaßnahmen oder ambulante Behandlungen durchgeführt werden,
11. ambulante Pflegedienste, die ambulante Intensivpflege in Einrichtungen, Wohngruppen oder sonstigen gemeinschaftlichen Wohnformen erbringen, und
12. Rettungsdienste

Zudem hat die die Bundesregierung beschlossen, dass der Arbeitgeber zukünftig den Impfstatus von Beschäftigten in Pflegeheimen, Kitas, Schulen und Massenunterkünften abfragen darf

Rechtsfolgen

Verarbeitet der Arbeitgeber den Impfstatus, obwohl keine Einwilligung oder gesetzliche Erlaubnis vorliegt, riskiert er damit ein Bußgeld oder setzt sich Schadensersatzansprüchen aus.
Verweigert der Arbeitgeber ohne rechtliche Grundlage einem Beschäftigten den Zutritt zum Betrieb, so behält der Beschäftigte seinen Entgeltanspruch (§§ 615, 612a BGB).

Fazit

Da bis auf die oben genannten Ausnahmen der Gesetzgeber keine rechtliche Grundlage geschaffen hat, die es gestattet den Impfstatus zu verarbeiten, wird die Verarbeitung ohne Einwilligung durch die meisten Unternehmen rechtswidrig sein.
Bis zur Schaffung einer neuen Rechtsgrundlage besteht die Herausforderung darin, neben der Erfüllung der rechtlichen Verpflichtungen zur Bekämpfung der Pandemie auch den Datenschutz im Auge zu behalten, um einer Haftung zu entgehen. Bei dieser Herausforderung stehen Ihnen unsere Experten der GINDAT zur Seite.

Max Macht
Volljurist

Angriffe durch Ransomware sind nach wie vor ein Problem für Unternehmen wie Behörden. Trotz allen Präventionsmaßnahmen sollte man immer auf den schlimmsten Fall vorbereitet sein. Somit werden Panik und die daraus resultierenden Folgefehler vermieden.

• Geräte schnell isolieren.
  Die vom Ransomware-Angriff betroffenen Systeme sollten umgehend vom Netzwerk isoliert werden, um eine Ausbreitung zu verhindern.
• Den Angriffsvektor verstehen.
  Es gilt, sowohl für die unmittelbare Reaktion als auch für zukünftige Maßnahmen, nachzuvollziehen, woher der Angriff kam. Wie wurde er durchgeführt und welches Gerät im Netzwerk war als erstes betroffen?
• Backups sichern und überprüfen.
  Daten sind unersetzlich, weswegen Angreifer häufig speziell nach Backups suchen. Sicherungen sollten vom Netzwerk offline genommen werden, damit die Malware sich nicht darauf ausbreitet.
  Generell ist es sinnvoll getrennt aufbewahrte Offline-Backups zu führen.
• Projekte und geplante Aufgaben stoppen.
  IT-Administratoren sollten alle Ressourcen auf die Ransomware-Attacke konzentrieren und andere Anwendungen und Aufgaben (einschließlich automatisierter Vorgänge wie Backups) stoppen. Nicht zuletzt, um damit die Ausbreitung der Malware auf weitere, in Benutzung stehende Teile der IT-Architektur zu unterbinden.
• Potenziell kompromittierte Bereiche unter Quarantäne stellen.
  Nach dem Angriff sollten alle potenziell betroffenen Teile der Infrastruktur vom Netz genommen und einzeln untersucht werden.
• Nach dem Angriff ist vor dem Angriff: Passwörter ändern.
  Egal ob der Angriff von einfacher Natur war oder mit viel Vorarbeit und erbeuteten Authentifikationsdaten durchgeführt wurde: die Passwörter von systemrelevanten Nutzerkonten sollten in jedem Fall geändert werden, um evtl. Folgeangriffen vorzubeugen.
• Keine Panik – Kritische Sicherheitssituationen planen und üben
  Grundsätzlich sollten im Vorfeld Sicherheitsmaßnamen definiert werden, sodass im Ernstfall eine Blaupause für zu ergreifenden Maßnahmen bereit steht.
  Damit wird eine Situation verhindert, in der die IT-Administration besonders hohem Druck ausgesetzt ist und infolge dessen falsche Entscheidungen trifft.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/keine-panik-nach-dem-ransomware-angriff-18079

Noch immer sieht man vielerorts an den Türen und Zufahrten von Geschäften und Unternehmen die alt hergebrachten Bildchen von Kameras, die auf eine eingerichtete Videoüberwachung hindeuten sollen.

Leider genügt diese Beschilderung nicht mehr den Anforderungen der Datenschutzgrundverordnung (DSGVO).

Werden personenbezogene Daten erhoben, zu denen Bilddaten von natürlichen Personen zu zählen sind, sind die Betroffenen vorab (das Gesetz schreibt „bei Erhebung“) über die geplante Verarbeitung in Kenntnis zu setzen. Um selbstbestimmt darüber entscheiden zu können, was mit ihren Daten geschieht, müssen Betroffene zumindest über grundlegende Informationen verfügen, bevor Sie sich mit der Datenverarbeitung, in dem Falle der Aufzeichnung einer Videokamera, konfrontieren.

Der komplette Anforderungskatalog an eine Datenschutz-Information findet sich in Art. 13 DSGVO. Grundsätzlich ist es zulässig, diese Informationen in mehreren Stufen bekannt zu geben, deren Einteilung sich nach folgenden Kriterien richten sollte:

• Erste grobe Orientierung für die Betroffenen auf den ersten Blick
• Detailinformationen im zweiten Schritt zur tieferen Auseinandersetzung

Die Datenschutzkonferenz nennt dabei folgende Informationen, die bereits im ersten Schritt bereitgestellt werden müssen. Grundsätzlich zählen dazu folgende Angaben:

• Umstand der Videoüberwachung mittels Pictogramm
• Kontaktdaten des Verantwortlichen (ggf. Europäischer Vertreter)
• Kontaktdaten des Datenschutzbeauftragten
• Zwecke in Stichworten und Rechtsgrundlage der Verarbeitung
• Berechtigtes Interesse
• Speicherdauer
• Hinweis, wo weitere Informationen zu finden sind

z.B. Aushang am Empfang oder Verweis auf eine Webseite

Auf der weitergehenden Information müssen dann auch die restlichen Informationen bekanntgegeben werden:

• Empfänger oder Kategorien von Empfängern
• Drittlandübertragung
• Betroffenenrechte
• Beschwerderecht bei einer Aufsichtsbehörde

Details und Vorlagen finden unsere Kunden im myGINDAT-Portal oder auch in der Orientierungshilfe der Datenschutzkonferenz

https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf

Die Einteilung der einzelnen Informationen in die verschiedenen Schritte ist in der Fachwelt nicht unumstritten. Rechtsprechung zu dieser Thematik gibt es bislang noch nicht. Den Grundgedanken des Datenschutzes folgend, betroffenen Personen die Durchsetzung Ihrer informationellen Selbstbestimmung zu ermöglichen, bedarf es allerdings dieser Informationen.

Es empfiehlt sich also, sich an die Vorgaben der Datenschutzaufsichtsbehörden zu halten. Nur so ist sichergestellt, dass sich Betroffene gegen Eingriffe in die informationelle Selbstbestimmung zur Wehr zu setzen können, sei es gegenüber dem Verantwortlichen selbst, sei es über die Aufsichtsbehörden. Die Transparenzpflichten sowie auch die Ahndungsmöglichkeiten haben sich mit der DSGVO zudem deutlich verschärft, so dass Verantwortliche Ihre bestehenden Pictrogramme mit weiteren Informationen anfüttern sollten.

Für Detailfragen oder zur Ausgestaltung Ihrer Hinweisschilder steht Ihnen Ihr Datenschutzbeauftragter zur Verfügung.

Phishing-Angriffe steigen deutlich in Zahl und Raffinesse und nehmen, laut einer Umfrage von Ivanti unter 1.000 IT-Experten aus Unternehmen in Deutschland, Großbritannien, Frankreich, Australien, Japan und den USA, besonders Mitarbeiter in den IT-Abteilungen ins Visier.

• Unter allen Befragten gaben 74% an, im letzten Jahr Opfer eines Phishing-Angriffes geworden zu sein. 40% sogar innerhalb des letzten Monats.
• Darunter richteten sich 73% der Angriffe speziell gegen IT-Mitarbeiter.
• 47% dieser Angriffe waren sogar erfolgreich.

Gerade im Home-Office nehmen die Angriffe zu und sind auf mobilen Endgeräten auch erfolgreicher als auf Servern.

• 37% der Befragten sehen mangelhafte Technologie und Mitarbeiteraufmerksamkeit als Hauptursache für erfolgreiche Phishing-Angriffe an.
• 34% nennen fehlendes Gefahrenbewusstsein als Hauptursache.
• 96% der Unternehmen bieten nach eigenen Angaben Schulungen in Sachen Cybersecurity an.
• Allerdings bestätigen nur 30%, dass ein Großteil (mehr als 80%) der Mitarbeiter diese Schulungen tatsächlich abschließen.

52% der Unternehmen gaben außerdem einen Mangel an IT-Fachkräften im vergangenen Jahr an, wodurch Phishing-Angriffe zusätzlich begünstigt werden.
Hierbei müssen Experten sowohl den Angreifern als auch den eigenen Mitarbeitern einen Schritt voraus sein.
Als Gegenmaßnahmen sollte eine einheitliche Verwaltung der Endgeräte  zusammen mit einer internen Bedrohungserkennung eingerichtet werden. Außerdem sollten biometrische Zugänge auf mobilen Endgeräten anstatt Passwörtern zum Einsatz kommen.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/uebermuedete-it-teams-und-schlecht-vorbereitete-mitarbeiter-verlieren-den-kampf-gegen-phishing-18049

Bei dem Trojaner Pegasus handelt es sich um eine Schadsoftware, die von der Firma NSO Group aus Israel zur Überwachung von wichtigen Personen wie Journalisten, Politikern und Anwälten in 11 Ländern eingesetzt wurde:

• Aserbaidschan
• Bahrain
• Ungarn
• Indien
• Kasachstan
• Mexiko
• Marokko
• Ruanda
• Saudi-Arabien
• Togo
• die Vereinigten Arabischen Emiraten

Pegasus wird entweder über einen unauffälligen Link heruntergeladen oder durch eine Sicherheitslücke mit einer unsichtbaren Nachricht auf dem Smartphone installiert, um Zugriff von außen zu ermöglichen. Danach können mittels des Trojaners Anrufe, E-Mails, SMS und Chatnachrichten überwacht, sowie auf das Mikrofon und die Kamera des betroffenen Gerätes zugegriffen werden.

Aufgedeckt wurde dies von „Projekt Pegasus“, in das Recherchearbeit von über 80 Journalisten aus 10 Ländern in Zusammenarbeit mit Amnesty International und dem Medienprojekt Forbidden Stories geflossen sind.

Zusätzlich zu den 11 betroffenen Ländern unterhält die NSO Group Geschäftsbeziehungen zu zahlreichen weiteren Ländern.
Auch in Deutschland stand eine Nutzung der Software in Frage, denn sie wurde sowohl 2017 dem Bundeskriminalamt als auch 2019 dem bayrischen CSU-Innenminister Joachim Herrmann vorgestellt (aber nicht gekauft).

Zu den bekanntesten Betroffen zählen der französische Präsident Emmanuel Macron, EU-Ratspräsident Charles Michel und die Familie des ermordeten Jamal Khashoggi.

Die NSGO Group rechtfertigt den Einsatz ihrer Software mit dem Kampf gegen Terrorismus und streitet weite Teile der Aufdeckungen durch Projekt Pegasus ab.
Die Länder, in denen Pegasus eingesetzt wurde, streiten den Einsatz der Software ebenfalls ab oder drücken Desinteresse aus. Frankreich hat eine Untersuchung angekündigt.

Allgemein werden Untersuchungen und Verbote solcher und vergleichbarer Software gefordert, etwa von Reportern, Politikern und dem Whistleblower Edward Snowden.

Weitere Informationen finden Sie hier:
https://netzpolitik.org/2021/pegasus-der-staatstrojaner-skandal-im-ueberblick/

Das Unternehmen Beyond Identity hat eine Studie unter insgesamt 1008 Mitarbeitern aus verschiedenen, US-ansässigen Firmen zum Umgang mit Passwörtern durchgeführt.
Befragt wurden zu 57,6% Männer und 42% Frauen im Durchschnittsalter von 37,9 Jahren.

• 1 von 4 Mitarbeitern kann nach wie vor auf die Konten früherer Arbeitsplätze zugreifen.
• 41,7% geben Passwörter an Kollegen weiter.
  Am häufigsten wird hier eine vereinfachte Zusammenarbeit im Team zitiert. Dies wird besonders häufig in mittelständigen Unternehmen praktiziert.
• 42,5% halten die Weitergabe von Passwörtern für einen Kündigungsgrund.
• 45% sind der Meinung, dass die selbstgewählten Passwörter sicher sind.
  26.3% halten ihre Passwörter sogar für sehr sicher.
  34% notieren ihre Passwörter allerdings nach wie vor auf Papier.
• 38% der Mitarbeiter verwenden einen Passwort-Manager.
  Über ein Viertel verlassen sich lieber auf ihr Gedächtnis.
• 73% halten Protokolle und Richtlinien in Bezug auf Passwörter im eigenen Unternehmen für ausreichend.
  Bei 10,8% werden sie als schwach und bei 16,3% als zu streng bewertet.

Aus den Ergebnissen lässt sich in erster Linie folgern, dass die Bequemlichkeit im Umgang mit Passwörtern den größten Risikofaktor repräsentiert.

Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/sicherheitsfalle-passwort-18042

Heinz-Peter Meidiger, Präsident des Deutschen Lehrerverbandes, sieht den Bildungsauftrag „massiv gefährdet“ und fordert zusammen mit zehntausend Schülern den Wiedereinsatz von Microsoft Teams an Schulen – trotz erheblicher Datenschutzbedenken, da es keine klare Rechtsgrundlage gibt, um die Weitergabe personenbezogener Daten an Microsofts Server in die USA zu rechtfertigen.

Während der Pandemie waren schnelle Lösungen für den Distanzunterricht gefragt, wodurch man überwiegend auf kommerzielle Software von großen Anbietern wie Microsoft kam. Übergangsweise war Teams daher erlaubt, sollte aber wegen datenschutzrechtlicher Bedenken verboten werden.
Stattdessen sind sogar Rückschritte zu verzeichnen – so müssen Schulen, die in Baden-Württemberg Netze für Moodle, Big Blue Button und Nextcloud eingerichtet haben, diese wieder verlassen.

Statt im Lauf des letzten Jahres Open-Source-Alternativen wie etwa Big Blue Button oder Jitsi zu etablieren, wurde allen Anschein nach nur abgewartet und weitergemacht wie bisher.
Deutschland droht, unter solchen Umständen den Anschluss an die Digitalisierung zu verlieren.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/bildung-digitaler-fatalismus-made-in-germany-2107-158066.html

Die Europäische Kommission hat am 28.06.21 die Angemessenheitsbeschlüsse, mit der personenbezogene Daten an das Vereinigte Königreich übermittelt werden dürfen, angenommen.

Unabhängig davon ist noch zu prüfen, ob die allgemeinen datenschutzrechtlichen Voraussetzungen für eine Datenübermittlung erfüllt sind.

Weitere Informationen finden Sie hier:
https://www.bfdi.bund.de/SharedDocs/Kurzmeldungen/DE/2021/11_Annahme-Angemessenheitsbeschl%C3%BCsse-UK.html

Der Datenschutzbeauftragte Ulrich Kelber hat bereits vor zwei Jahren darauf hingewiesen, dass deutsche Behörden keine Fanpages datenschutzkonform betreiben können.

Dies hat den Hintergrund, dass personenbezogene Daten von EU-Bürgern nur an Drittstaaten weitergegeben werden dürfen, wenn dort ein mit der EU vergleichbares Datenschutzniveau herrscht. Da das in den USA nicht der Fall ist, hätte es mit Facebook eine Vereinbarung geben müssen. Bei einer Kontaktaufnahme der Bundesregierung verwies Facebook lediglich auf deren öffentliches Addendum zur Datenverarbeitung: https://www.facebook.com/legal/terms/page_controller_addendum

Angekündigt ist nun in einem neuen Schreiben von Kelber (https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2021/Facebook-Auftritte-Bund.pdf?__blob=publicationFile&v=1), dass sämtliche Facebook-Fanpages von den Behörden abgeschaltet werden sollen. Ferner würden jetzt Instagram, TikTok und Clubhaus auf deren Datenschutzverarbeitung geprüft.

Weitere Informationen finden Sie hier:
https://www.golem.de/news/dsgvo-behoerden-muessen-ihre-facebook-pages-abschalten-2106-157719.html