1. April 2020
Laut New York Times ist die Videokonferenz-App Zoom ins Blickfeld der New Yorker Generalstaatsanwaltschaft geraten.
Die Staatsanwaltschaft forderte das verantwortliche Unternehmen demnach auf, Auskunft über die getroffenen Sicherheitsmaßnahmen zum Schutz von Nutzerdaten zu erteilen. Des weiteren will die Staatsanwaltschaft prüfen, welche Kategorien von Daten die App genau sammle.
Hintergrund
Die Videokonferenz-App Zoom hat seit der Corona Krise eine enorme Nachfrage zu verzeichnen, war aufgrund seiner Datenschutzpraxis jedoch bereits mehrfach in die Kritik geraten:
So häufen sich in den USA Fälle des sogenannten „Zoombombing“. Hierbei wählen sich Fremde in die meist schlecht geschützten Konferenzen ein und spielen beispielsweise rassistische Beleidigungen ein.
Ende März berichtete das Magazin Motherboard, dass Zoom die Daten seiner Nutzer an Facebook weitergebe. Dies geschehe unabhängig davon, ob der Nutzer über ein Facebook Profil verfüge oder nicht. Sobald der Nutzer die App öffne, gebe Zoom beispielsweise Einzelheiten über das verwendete Gerät des Nutzers – wie das Modell, die Zeitzone und die Stadt von der die Verbindung hergestellt wird – und den Namen des Mobilfunkanbieters an Facebook weiter.
Kritisiert wurde dabei weniger die Form der Datenübermittlung, als dass die Datenschutzhinweise von Zoom über diese Vorgehensweise nicht aufklärten. Dort hieß es lediglich, dass Facebook-Profilinformationen gesammelt werden könnten, wenn man sich mit seinem Facebook Konto anmeldet. Dass darüber hinaus eine generelle Datenübermittlung an Facebook stattfinde, ging aus den Datenschutzhinweisen nicht hervor.
Erst als die Datenweitergabe an Facebook öffentlich wurde, reagierte das Unternehmen umgehend und beendete die uneingeschränkte Datenweitergabe an Facebook mittels eines Updates.
Auch die US-Bürgerrechtsorganisation EFF wies jüngst darauf hin, dass Administratoren in Zoom erhebliche Einblicke in das jeweilige Nutzerverhalten erhielten. So hätten Administratoren die Möglichkeit sich darüber zu informieren, wie, wann und wo der jeweilige Nutzer Zoom benutze und könnten über ein Ranglistensystem Kenntnis von der Gesamtzahl der Sitzungen eines Nutzers erlangen. Weiterhin ermögliche Zoom die Aufmerksamkeit der Nutzer zu kontrollieren, in dem der Gastgeber einer Konferenz eine Mitteilung erhalte, sobald das Zoom-Fenster eines Konferenzteilnehmers länger als 30 Sekunden nur im Hintergrund liefe.
Sicherheitsmaßnahmen prüfen
Der Staatsanwaltschaft gehe es, laut NY Times, vor allem darum, sicherzustellen, dass Zoom eine umfassende Überprüfung seiner Sicherheitspraktiken vorgenommen hat und die Sicherheitsmaßnahmen des Unternehmens dem neuen und erhöhtem Datenverkehr auch in datenschutzrechtlicher Hinsicht gerecht werden.
Das Unternehmen selbst teilte mit, der Generalstaatsanwaltschaft die gewünschten Informationen zur Verfügung stellen zu wollen.
Nachdem zunächst im Rahmen der Novelle des Infektionsschutzgesetzes geplant war, mögliche Kontaktpersonen von am Covid-19-Virus erkrankten Personen „anhand der Auswertung von Standortdaten des Mobilfunkgerätes zu ermitteln, dadurch die Bewegung von Personen zu verfolgen und im Verdachtsfall zu kontaktieren“, dieses Vorhaben wegen Kritik aus Politik und von Datenschützern jedoch fallengelassen wurde, arbeiten das Robert-Koch-Institut (RKI) und das Heinrich-Hertz-Institut (HHI) an einer App, welche die Ermittlung von Kontaktpersonen und die Benachrichtung der Betroffenen ermöglichen soll.
Durch die App sollen Smartphones unter Aktivierung der Bluetooth-Technik scannen können, welche anderen Geräte sich in der Nähe befinden. Diese Informationen würden zunächst nur lokal auf dem Smartphone selbst gespeichert, und erst im Falle einer postiven Diagnose auf einen zentralen und sicheren Server gesendet, auf welchen nur das RKI oder das HHI Zugriff haben.
Dabei sollen jedoch keine Klarnamen oder sonstige Informationen zur Identifizierung der Betroffenen verwendet werden, sondern ausschließlich zufällig erstellte und anonyme IDs. Auch die Benachtichtigung der möglichen Kontaktpersonen erfolge anonym, für das RKI oder HHI sei nur die ID der möglichen Kontaktperson sichtbar. Diese werde dann aufgefordert, sich einem Test zu unterziehen und sich bis zum Erhalt der Diagnose in Quarantäne zu begeben.
Obwohl diese Vorgehensweise und technische Ausgestaltung einen möglichst weitgehenden Schutz der personenbezogenen Daten der Nutzer sowie deren Privatsphäre ermöglichen soll, wird auch hier Kritik geäußert. Von Seiten der FDP wird eine vorherige Überprüfung der App durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie durch das Bundesamt für Sicherheit in der Informationstechnik gefordert, um den Abbau der Bürgerrechte auch in Zeiten der Coronakrise zu verhindern. Auch der Hamburgische Datenschutzbeauftragte, Johannes Caspar, warnte, dass eine Überwachung aller Infizierten zu einem nicht hinnehmbaren Generalverdacht führe. Eine Nutzung der App auf der Grundlage einer Einwilligung sei jedoch denkbar, doch müsse noch geprüft werden, wie weit die Anonymisierung der verarbeiteten Daten tatsächlich erfolge.
Wann eine entsprechende App zur Nachverfolgung der Infektionsketten und zur Benachrichtigung möglicher Betroffener zum Einsatz kommen kann, bleibt somit abzuwarten. Die Epidemiologen hoffen im Falle eines Einsatzes, dass möglichst viele Bürger die App auf freiwilliger Basis nutzen. So könne eine bessere Nachverfolgung der Infektionen und somit auch eine Ausbreitung des Virus verhindert werden.
31. März 2020
Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.
Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.
Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.
Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.
Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.
27. März 2020
Die Corona-Krise stellt nicht nur das Gesundheitssystem, die Wirtschaft und jeden Einzelnen vor Schwierigkeiten. Menschen in den sogenannten ‚systemrelevanten‘ Berufen arbeiten seit Tagen sowohl körperlich als auch psychisch am Limit und sind ständig dem Virus und seinen Folgen ausgesetzt.
Die zu befürchtenden wirtschaftlichen Schäden sind bislang nur zu erahnen und führen zu zusätzlichen Sorgen. Das Thema ist derzeit allgegenwärtig. Die Bevölkerung ist in Sorge, sich oder andere Menschen anzustecken und ob Sie selbst, Familie, Freunde und Bekannte die Krise gesundheitlich und wirtschaftlich überstehen.
In diesen Zeiten fällt es verständlicher Weise schwer sich auch weiterhin mit Datenschutz zu beschäftigen. Nicht Wenige haben gerade in Zeiten des Coronavirus schlicht keine Lust auf die „leidigen“ datenschutzrechtlichen Themen und Einige sehen den Datenschutz sogar als zusätzliche Hürde, wenn es zum Beispiel darum geht im Home-Office arbeiten zu können.
Gesellschaftliche Einschätzung zum Datenschutz
In den letzten zwei Wochen haben wir uns die größte Mühe gegeben, Ihnen, mit Hilfe unserer Themenreihe Datenschutz und Corona, datenschutzrechtliche Vorgaben und Maßnahmen sowie die Besonderheiten der aktuellen Situation näher zu bringen. Mit diesem Beitrag möchten wir noch die allgemeine gesellschaftliche Haltung gegenüber dem Thema Datenschutz und seine nicht mindergeringe Bedeutung zu Zeiten des Coronavirus diskutieren.
Bereits Anfang März hat die FAZ einen Artikel veröffentlicht, der die Ergebnisse einer repräsentativen Umfrage zum Thema hatte, die das Marktforschungsunternehmen Innofact im Auftrag von Usercentrics durchgeführt hat. Ergebnis dieser Studie war, dass ein großer Teil der deutschen Bevölkerung zur Bekämpfung der Corona-Krise bereit ist, Einschränkungen beim Datenschutz und damit des Rechts auf informationelle Selbstbestimmung hinzunehmen. Darüber hinaus spricht sich die Mehrheit der Befragten auch für die Ausweitung der Vorratsdatenspeicherung (beispielsweise von Flug- und Reisedaten) aus, um die Verbreitung der Pandemie nachvollziehen zu können. Zudem sind mehr als 50% der Befragten bereit, ihre Gesundheitsdaten freiwillig preiszugeben.
Als das Robert-Koch-Institut (RKI) bekannt gab, dass es von einer Tochterfirma der Deutschen Telekom AG mehrere Terrabyte anonymisierter Daten bekommen hat, um Bewegungsmuster von Telekom-Nutzern nachzuvollziehen und so die Wirksamkeit der bislang verhängten Maßnahmen zu bewerten, gab es ebenfalls kaum Stimmen, die eine solche Datenweitergabe kritisch sahen. Dies mag daran liegen, dass es sich um anonymisierte Daten handelt. In anderen Ländern ist es aber nicht bei einer anonymisierten Datenweitergabe geblieben. In China, Südkorea und Taiwan zum Beispiel wurden Phone-tracking-Technologien und Handy-Apps eingesetzt, um die Bewegungsmuster auf Individuen herunterbrechen zu können.
Zum Thema Handy-Apps gibt es auch Neuigkeiten aus Österreich. Das Österreichische Rote Kreuz hat die App „Stopp Corona“ entwickelt. Ziel der App ist, es dass die Nutzer der App tracken sollen, mit wem sie Kontakt hatten. Im Falle einer Infektion soll der Nutzer diese in der App angeben, um die Kontakte der letzten 48 Stunden automatisiert über die Infektion zu unterrichten und diese aufzufordern, sich selbst zu isolieren. Auch hier soll die Datenverarbeitung laut Angaben des Roten Kreuzes anonymisiert erfolgen. Die App ist seit Dienstag, 24.03.2020, in Österreich für Android-Geräte verfügbar. Ob und mit welchem Erfolg diese und ähnliche Apps bei der Ausbreitung der Pandemie helfen können bleibt abzuwarten.
Ansicht des BfDI
Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, wiederholt dieser Tage jedenfalls immer wieder, dass der Verhältnismäßigkeitsgrundsatz gewahrt werden muss. Das bedeutet, dass zu ergreifende Maßnahmen wirksam sein müssen, um überhaupt aus datenschutzrechtlicher Sicht, gerechtfertigt werden zu können.
Darüber hinaus betont der BfDI, dass seine Behörde in ständigem Kontakt mit dem RKI sei und bereit für datenschutzrechtliche Prüfungen möglicherweise zu ergreifender Maßnahmen. Den Einsatz einer App, ähnlich der „Stopp Corona“ App, schließt er grundsätzlich nicht aus, bringt in die Diskussion aber ein, dass die Datenverarbeitung an eine Einwilligung des Betroffenen geknüpft werden sollte.
Handelt es sich um neue Erkenntnisse?
Aber sind diese Erkenntnisse wirklich neu, oder erscheinen sie durch den Bezug zur Corona-Krise nur in einem anderen Licht?
Der überwiegende Teil der Bevölkerung nutzt die Social Media Dienste Facebook und Instagram. Darüber hinaus erfreuen sich auch Messenger wie WhatsApp nach wie vor großer Beliebtheit in der Gesellschaft und stehen weltweit genauso hoch im Kurs wie der Kartendienst Google Maps. Was all diese Dienste gemein haben ist, dass sie bereits alle wegen Konflikten mit datenschutzrechtlichen Vorgaben in den Medien waren. Nutzern muss also bewusst sein, dass sie sehr viel über sich persönlich, Interessen, Hobbies, Aufenthaltsorte usw. preisgeben. Dies wird gerne in Kauf genommen, um die vermeintlich kostenlosen Vorteile, die sich ihnen durch die Verwendung der oben genannten Dienste ergeben, zu nutzen. Die Betreiber dieser Dienste lassen sich jedoch allzu gerne mit den freiwillig bereit gestellten Daten der Nutzer entschädigen, beispielsweise um auf den Einzelnen zugeschnittene Werbung zu platzieren.
Die Erkenntnis, dass personenbezogene Daten freiwillig zur Verfügung gestellt werden, ist also eigentlich gar nicht neu. In der derzeitigen Situation erscheint der zweifelsohne wichtige Zweck der Pandemiebekämpfung nur als willkommene Ausrede, weil es ‚erstrebenswert‘ erscheint den Datenschutz gegenüber einem höheren Ziel hintanzustellen.
Aber auch, wenn gewisse Maßnahmen, insbesondere bei anonymisierter Verwendung von Daten zur Bekämpfung des Corona Virus sinnvoll zu sein scheinen, so sollten Eingriffe in die informationellen Selbstbestimmung jedes Einzelnen auch jetzt nur nach behutsamer Abwägung erfolgen, damit sich jeder Mensch im Rahmen seiner Freiheiten und Rechte auch weiterhin frei entfalten kann. Deshalb ist es auch in Zeiten der Corona-Krise wichtig, die datenschutzrechtlichen Voraussetzungen der DSGVO und der anderen Datenschutzgesetze des Bunds sowie der Länder, die den Gedanken der informationellen Selbstbestimmung in sich tragen, zu wahren, auch und vor allem, wenn sensible Daten wie Gesundheitsdaten verarbeitet werden sollen.
Mit diesem Beitrag enden die täglichen Beiträge zur Themenreihe Datenschutz und Corona. Von Zeit zu Zeit werden wir diese Reihe selbstverständlich um neue Beiträge aus dem Bereich ergänzen und Sie natürlich auch weiterhin über datenschutzrechtliche Neuigkeiten auf dem Laufenden halten, die keinen Bezug zur Corona-Krise haben.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
26. März 2020
Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.
Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen. Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.
Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.
Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.
Die Corona Krise hat das
gesellschaftliche Leben fest im Griff. Auch das Schulwesen ist hiervon nicht verschont
geblieben. Die Schulen in ganz Deutschland wurden geschlossen. Im Saarland
greift diese Maßnahme sogar bis zum 24. April. Dies stellt Lehrer, Schüler und
Eltern vor neue und schwierige Herausforderungen. Lehrer sind gezwungen Wege
und Mittel zu finden den Lernstoff von zuhause aus zu vermitteln. Eltern müssen
es wiederum schaffen, den Heimunterricht ihrer Kinder mit der eigenen Arbeit zu
vereinbaren. Aber auch Schüler sind dazu angehalten den Unterrichtstoff selbstständig
auf- und nachzuarbeiten.
Der Austausch zwischen den Lehrern und den Schülern zuhause findet dabei über Emails, Social Media Kanäle oder verschiedene Lernportale statt. In unserem heutigen Beitrag wollen wir in Kürze zusammenstellen, welche datenschutzrechtlichen Aspekte beim sog. Homeschooling beachtet werden müssen, welche sicheren Austauschmöglichkeiten zwischen Schule und Schüler bestehen und welche Lernportale den Anforderungen der DSGVO am ehesten gerecht werden.
DSGVO gilt auch für Schulen
Die Schule hat sich an die Vorgaben und Richtlinien der DSGVO zu halten. Sie ist als Verantwortlicher anzusehen und hat beispielweise einen Datenschutzbeauftragten zu bestellen oder muss darauf achten, dass jede Datenverarbeitung oder -übermittlung aufgrund der entsprechenden Rechtsgrundlage erfolgt. Dies erfordert auch einen verantwortungsvollen Umgang mit Informations- und Kommunikationstechnologien, vgl. Art. 32 DSGVO.
Um den Schutz von Schülerdaten zu
gewährleisten haben Schulen und Lehrkörper, gerade auch in Bezug auf
Homeschooling, hier einiges zu beachten:
- Sollte für eine Datenverarbeitung keine Rechtsgrundlage vorliegen, z.B. zur Veröffentlichung von Bildern von Personen, ist eine entsprechende Einwilligung der Betroffenen erforderlich, vgl. Art. 7 Abs. 1 DSGVO,
- Bei der Verarbeitung von Schülerdaten sind Schulen und Lehrer dazu angehalten, auf die Datensicherheit zu achten. Es ist daher auf ein angemessenes Schutzniveau zu achten, vgl. Art 32 DSGVO. Dies z.B. durch regelmäßige Datensicherungen oder das Updaten eigener Geräte,
- Unbefugte Dritte müssen vom Zugriff auf die Daten ausgeschlossen werden. Eine Datenübermittlung an Dritte ist ohne Weiteres nicht gestattet,
- Sind die verarbeiteten Daten nicht mehr erforderlich, sind diese zu löschen.
Der Austausch zwischen Lehrer, Schüler & Eltern
Immer wieder problematisch ist die Frage, welche Kommunikationskanäle ausreichenden Datenschutz und Datensicherheit bieten. Whatsapp, Facebook und Instagram gelten als Datensammler und sind für die Kommunikation zwischen Schüler und Lehrer in einigen Bundesländern, wie z.B. in Hamburg, sogar komplett untersagt. In anderen Bundesländern werden lediglich Empfehlungen ausgesprochen. Der Bundesbeauftragte Für Datenschutz Ulrich Kleber rät von der Nutzung von WhatsApp ab.
Rheinland-Pfalz nutzt zur Kommunikation hingegen eine auf Moodle basierende Lernplattform. Diese ist kostenfrei und läuft auf landeseigenen Servern. Eine Datenübermittlung an Drittländer findet nicht statt. Daneben empfiehlt der Landesdatenschutzbeauftragte europäische Messenger-Anbieter wie (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).
Darüber hinaus unterscheidet sich
die externe Kommunikation zwischen Schule und Schüler von Bundesland zu
Bundesland sehr. Auch unter den Schulen gibt es immer wieder Unterschiede.
Eine allgemeine Untersuchung einzelner Messenger-Dienste hat die Verbraucherzentrale NRW vorgenommen. Gerade Threema und Hoccer stechen als anonym nutzbare Messenger heraus.
Online-Lernplattformen
Online-Lernangebote gibt es viele. Bei der Auswahl sollte folgendes
beachtet werden:
- werden durch die Applikation (freiwillige) Daten erfragt, sollte dem Grundsatz der Datensparsamkeit gefolgt, d.h. so weinige Angaben wie möglich gemacht werden.
- im Allgemeinen sollten Eltern die Privatsphäre ihrer Kinder so gut es geht schützen. Das heißt, sie sollten kontrollieren, welche Lernprogramme genutzt werden und Kinder bei der Installation und Anmeldung unterstützen.
Zur Frage, welche Online-Lernplattformen zu empfehlen sind, hat die Seite Datenschutzbeauftragter-info.de kürzlich verschiedene Anbieter vorgestellt und auf ihren Datenschutz untersucht.
Dabei scheint besonders StudySmart zu überzeugen. Neben einem umfangreichen Angebot für Schüler und Studenten, ist für die Anmeldung nur eine Emailadresse erforderlich. Zur Verwendung der Applikation ist nur noch das jeweilige Bundesland anzugeben. Eine Verarbeitung von Nutzerdaten soll lediglich zur Optimierung der Plattform und der Auswertung von Lernzeit und -fortschritt erfolgen. Problematisch ist, dass StudySmart u.a. Applikationen von Google und Facebook nutzt. Der damit verbundene Datentransfer in die USA soll zwar pseudonymisiert erfolgen, eine Herausgabe an US-Behörden kann aber nicht ausgeschlossen werden.
Eher kritischer bewertet wird die Plattform SimpleClub. Diese bietet Lernvideos für Schüler der 8. Bis 13. Klasse an. Sie erhebt jedoch wesentlich mehr Daten als StudySmart und nutzt ebenso Applikationen wie zum Beispiel Facebook.
Auch LernAttack erhebt viele Daten zur Anmeldung. Die von Duden entwickelte Lernplattform bietet Videos und Aufgaben für Schüler ab der vierten Klasse. Auch hier werden Applikationen von beispielsweise Facebook genutzt. Anders als SimpleClub wird hier aber ausdrücklich über die Datenverarbeitungen informiert.
Chance zur
Digitalisierung des Schulwesens
Die Digitalisierung der Schulen schreitet in den Bundesländern mit unterschiedlichem Tempo voran. Je nach Schule gibt es hier immense Unterschiede. Die aktuelle Krise kann hier jedoch als Chance verstanden werden die Schulen ins digitale Zeitalter voranzutreiben und gleichsam für einen hohen Datenschutzstandard sorgen.
Unsere Themenreihe Datenschutz und Corona endet morgen mit unserem neunten und letzten Beitrag zum Thema Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes in Zeiten der Corona-Krise.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen Sie sich und andere.
25. März 2020
Im Kampf gegen die Ausbreitung des Coronavirus stellt die Deutsche Telekom dem Robert-Koch-Institut (RKI) kostenlos anonymisierte Handydaten ihrer Kunden zur Verfügung. Die Datensätze dienen der Erforschung der Ansteckungsrate des Coronavirus sowie der Beurteilung der verhängten Maßnahmen.
Die Deutsche Telekom AG bestätigte gegenüber „Tagesspiegel Background Digitalisierung & KI“ ihre Zusammenarbeit mit der Bundesoberbehörde. Das Telekommunikationsunternehmen hat bereits am 17.03.2020 einen ersten Handydatensatz im Umfang von fünf Gigabyte aus dem letzten Quartal 2019 dem RKI übermittelt. Rund 46 Millionen Handykunden sind hiervon betroffen. Eine zweite Lieferung von Datensätzen, die aktuelle Bewegungsdaten bis zum 19. März 2020 enthält, erhielt das RKI in dieser Woche.
Betroffene Telekom-Kunden könnten sich nun die Frage stellen, welche Erkenntnisse das RKI aus ihren Handydaten im Kampf gegen das Coronavirus schöpfen? Dazu erklärt RKI-Präsident Lothar Wieler auf einer Pressekonferenz am 18.03.2020: „Diese aggregierten und anonymisierten Daten werden uns zeigen, wie sehr die Mobilität tatsächlich nachgelassen hat.“ Die Sprecherin der Deutschen Telekom führt dazu weiter aus: „Damit lassen sich Bewegungsströme modellieren – bundesweit, auf Bundesland-Ebene sowie auf die Kreis-Gemeinde-Ebene heruntergebrochen.“
Die Deutsche Telekom versichert auf Twitter, keine individuellen Handydaten freizugeben. Mit den übermittelten Handydaten sei eine digitale Beobachtung einzelner Bürger oder infizierter Menschen ausgeschlossen. Vielmehr handle es sich hierbei um sogenannte „Schwarmdaten“.
Der BfDI Ulrich Kelber erklärte dazu auf Twitter: „Die Weitergabe von Standortdaten durch die Deutsche Telekom an das Robert-Koch-Institut ist in der gewählten Form datenschutzrechtlich vertretbar. Vor allem unter den aktuellen Umständen spricht nichts gegen die Weitergabe dieser Daten zum Zweck des Gesundheitsschutzes. (…) Es handelt sich vorliegend um Daten, die keine Rückschlüsse auf einzelne Personen ermöglichen.“
Auch andere Länder erhoffen sich mit dem Erfassen von Bewegungsdaten neue Erkenntnisse über das Verbreitungsverhalten des Coronavirus zu erhalten. In Österreich übermittelt der Mobilfunkanbieter A1 nach eigenen Angaben der Regierung die Bewegungsdaten aller österreichischen Bürger. In China, Südkorea und Taiwan greift die Regierung zu härteren Überwachungstechniken, wie z.B. Phone-tracking-Technologie und Handy-Apps.
Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Datenschutz und Homeschooling“ fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und
schützen sich und andere.
24. März 2020
Am 17. März 2020 gab der Exekutivausschuss der Global Privacy Assembly („GPA“) eine Erklärung ab, in der sie ihre Ansicht darlegte, dass die Verarbeitung personenbezogener Daten durch Organisationen und Regierungen zur Bekämpfung der Ausbreitung der COVID-19-Pandemie grundsätzlich legal sei.
Ausweislich der Erklärung des GPA erkennt die GPA die beispiellosen Herausforderungen an, denen sich die Organisationen bei der Bekämpfung der Verbreitung von COVID-19 gegenübersehen. Zur Bewältigung dieser Herausforderungen seien koordinierte Antworten auf nationaler und globaler Ebene erforderlich. Dies beinhalte den erforderlichen Austausch personenbezogener Daten durch Organisationen und Regierungen sowie über Grenzen hinweg.
Was ist die GPA denn überhaupt?
Das GPA trat erstmals 1979 als Internationalen Konferenz der Beauftragten für den Datenschutz und den Schutz der Privatsphäre zusammen. Sie ist seit mehr als vier Jahrzehnten das wichtigste globale Forum für Datenschutzbehörden. An ihr nehmen Datenschutzbehörden aus über 80 Ländern teil. Sie besteht aus derzeit mehr als 130 Teilnehmern. Insbesondere nehmen Mitglieder aus Behörden aller EU-Mitgliedstaaten teil.
Was sagt das Europäische Datenschutzausschuss (EDSA)?
Für die konkrete Bewertung einer datenschutzrechtlichen Zulässigkeit sind die europäischen Aufsichtsbehörden zuständig. Deren Standpunkt hängt oft von dem gemeinsamen Gremium, dem Europäischen Datenschutzausschuss (EDSA) ab.
Dieser konstatiert, dass die in Europa geltende Datenschutzgrundverordnung (DSGVO) auch für Fälle gilt, in denen die Verarbeitung personenbezogener Daten in einem Kontext wie dem des COVID-19 geschieht. In diesem Kontext ermögliche das Gesetz jedoch die Verarbeitung personenbezogener Daten, ohne vorab die Zustimmung der betroffenen Person einholen zu müssen. Dies gelte zum Beispiel, wenn die Verarbeitung personenbezogener Daten für die Arbeitgeber aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder zum Schutz lebenswichtiger Interessen (Art. 6 und 9 GDPR) oder zur Erfüllung einer anderen gesetzlichen Verpflichtung notwendig sei.
Einschätzung entspricht der des BfDI
Die Einschätzung der GPA und des EDSA korreliert mit der des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Auf dessen Homepage werden ferner die grundsätzlich mögliche Verarbeitung besonderer Kategorien personenbezogener Daten (iSv Art. 9 DSGVO) erläutert.
So sei eine Verarbeitung von Gesundheitsdaten zwar grundsätzlich nur restriktiv möglich. Für verschiedene Maßnahmen zur Eindämmung der Corona-Pandemie oder zum Schutz von Mitarbeiterinnen und Mitarbeitern könnten jedoch datenschutzkonform Daten erhoben und verwendet werden. Insoweit sei jedoch der Grundsatz der Verhältnismäßigkeit und der gesetzlichen Grundlage zu beachten.
Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zur Nutzung von Daten der Telekomnutzer durch das RKI fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
Um das Infektionsschutzgesetz (Gesetz zur Verhütung und Bekämpfung von Infektionskrankheiten beim Menschen, IfSchG) an die aktuelle Situation anzupassen, hat das Bundeskabinett einen Entwurf zur Änderung des Gesetzes vorgelegt. In einer Stellungnahme kritisiert der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Ulrich Kelber, dass nicht alle Einschränkungen des Grundrechts auf informationelle Selbstbestimmung in jeder Hinsicht verhältnismäßig seien.
Der BfDI spricht sich in der Stellungnahme zunächst dafür aus, dass ein vorgesehener Bericht des Bundesministeriums für Gesundheit zu den Erkenntnissen aus der durch das neuartige SARS-CoV-2 verursachten Epidemie auch Informationen zu Maßnahmen, die geeignet sind das Recht auf informationelle Selbstbestimmung einzuschränken (§ 5 Abs.3 Nr.1 lit.c), d) und e) des Enwurfs), enthalten soll. Des Weiteren sollen Löschregelungen für (teils sensible) personenbezogene Daten von Reisenden, die nach § 5 Abs.3 Nr.1 und 2 des Entwurfs verarbeitet werden dürfen, aufgenommen werden. Außerdem regt der BfDI an, dass seine Bundesdatenschutzbehörde bei Vorhaben der Versorgungs-und Gesundheitsforschung, an denen mehrere Verantwortliche beteiligt sind, die zuständige Aufsichtsbehörden sein soll. Darüber hinaus begrüßt der BfDI, dass die Regelung zur Erfassung von Daten aus Mobilfunkgeräten, die im vorangegangenen Entwurf des BMG noch enthalten waren, nicht in den aktuellen Entwurf des Kabinetts aufgenommen wurden.
Das IfSchG regelt, zum einen welche Krankheiten bei Verdacht, Erkrankung oder Tod und welche labordiagnostischen Nachweise von Erregern meldepflichtig sind. Zum anderen legt es fest, welche Angaben von den Meldepflichtigen gemacht werden müssen und welche weiteren Meldewege (z.B. an das Gesundheitsamt) einzuhalten sind.
23. März 2020
Im Zusammenhang mit der Corona-Pandemie entscheiden sich viele Arbeitgeber dafür ihre Mitarbeiter ins Home-Office zu versetzen. Dadurch leisten sie sowohl einen Beitrag zum Gesundheitsschutz der Beschäftigten, zur Verzögerung der Ausbreitung des Virus als auch zur Aufrechterhaltung des Betriebes. Das Arbeiten im privaten Umfeld erhöht jedoch gleichzeitig auch die Risiken für Datenschutzverstöße. Zur Verhinderung von Bußgeldern sollte der Arbeitgeber die Einhaltung der datenschutzrechtlichen Vorgaben anhand bestimmter Maßnahmen sicherstellen.
Nachfolgend werden einige technische und organisatorische Maßnahmen aufgelistet, die zur Einhaltung der Datenschutzvorgaben im Home-Office beitragen können:
Technische Maßnahmen
- Herstellung einer sicheren und schnellen Breitband-Internetverbindung mit einem verschlüsselten Zugriff zum Firmennetzwerk (z.B. als ASP-Lösung mit einem VPN)
- Installation eines Viren-Scanners und einer Firewall
- Einstellung eines passwortgeschützten Bildschirmschoners
- Verschlüsselung des Rechners zum Schutze vor unberechtigtem Zugriff von Familienmitgliedern oder anderen Mitbewohnern
- Verschlüsselung der E-Mails, Datenträger und Firmen-Handys
- Sicherstellung der Zugangsberechtigung mithilfe von Authentifizierungssystemen (z.B. durch eine Zwei-Faktor-Identifizierung)
- Durchführung von regelmäßigen System-Updates
- Datensicherung auf einem zentralen Server mithilfe eines zertifizierten Cloud-Anbieters
- Regelung und Kontrolle der Datensicherung
Organisatorische Maßnahmen
Zur Umsetzung der organisatorischen Maßnahmen kann eine Sicherheitsrichtlinie für den ordnungsgemäßen Umgang mit personenbezogenen Daten mit den Beschäftigten vereinbart werden. Darin können auch Regelungen zur Datenvernichtung, zu Sicherheitsanforderungen, zur korrekten IT-Nutzung, zur Datenübermittlung und zu den Kommunikationsarten festgelegt werden. Weiterhin sollte eine Verpflichtung auf das Datengeheimnis und ein Audit-Fragebogen ausgefüllt werden. Weitere Beispiele, ohne Anspruch auf Vollständigkeit, werden nachfolgend aufgeführt:
- Schulungen zur Sensibilisierung der Beschäftigten und zur Einweisung in die Heimarbeit
- Anweisungen zu Passwörtern und zur Datensicherheit
- Bereitstellung von Firmengeräten wie z.B. Laptops oder Handys
- Dokumentation der Ausgabe der Elektrogeräte an die Mitarbeiter
- Vereinbarungen zur Untersagung der Privatnutzung von unternehmensinterner Hardware oder eines Anschließens von privaten Datenträgern
- Einrichtung einer Rufumleitung
- Anweisung zur Meldung von Datenpannen
- Clean-Desk-Policy
Die Durchsetzung der Maßnahmen ermöglicht die Einhaltung des Datenschutzes im Home-Office und verringert somit das Risiko von Datenschutzverstößen.
Die Themenreihe Datenschutz und Corona wird morgen mit einem Beitrag zur Einschätzung der Global Privacy Assembly fortgesetzt.
Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.
Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.
