Kategorie: Coronavirus

Apple und Google verbünden sich im Kampf gegen Covid-19

16. April 2020

Die beiden Internetriesen Apple und Google gaben am vergangenen Freitag in einer gemeinsamen Stellungnahme bekannt, dass sie an einer Software zur Bekämpfung von Covid-19 arbeiten. Die jeweiligen Betriebssysteme iOS und Android, betreiben die überwiegende Mehrheit der weltweit verwendeten Smartphones. Vorrangiger Zweck der Zusammenarbeit ist die Entwicklung einer App, um Menschen zu warnen, die kürzlich mit Infizierten in Kontakt gekommen sind.

Zur Erfassung von Abständen werde die App auf die Bluetooth-Funktion der Geräte zurückgreifen. Konkret geplant ist, dass die Betriebssysteme temporär Identifikationsnummern austauschen. Dabei werde mithilfe der Bluetooth-Signale eines Smartphones ermittelt, zu wem der Nutzer kürzlich längeren räumlichen Kontakt hatte, um so ein mögliches Ansteckungsrisiko feststellen zu können.

Aktuell planen Apple und Google bis Mitte Mai einen Software-Baustein zu veröffentlichen. Mithilfe dieser API (Application Programming Interface) könnten auch Apps anderer Hersteller auf derselben Basis ausgeführt werden. Für die Nutzer bedeutet dies, dass sie die App, die sie benutzen möchten, separat herunterladen müssen, diese sodann aber unabhängig vom Hersteller und unter Zuhilfenahme des Software-Bausteins von Apple und Google, miteinander kommunizieren können.

Eine infizierte Person könne dann ihren Status in der jeweiligen App angeben, wodurch wiederum Personen benachrichtigt würden, die in den vorangegangen zwei Wochen mit dieser Person in Kontakt gekommen sind. Dabei würde der tatsächliche Standort des infizierten Benutzers nicht preisgegeben. Die Daten wären dann für Behörden zugänglich, enthielten jedoch keine Informationen, durch die die betroffenen Personen identifiziert werden könnten. Für die Zukunft planen Apple und Google, die Software direkt standardmäßig in die Betriebssysteme einzufügen. Zudem möchten beide Unternehmen die Gesundheitsbehörden bei der Entwicklung der Apps unterstützen.

Allerdings bleiben noch viele Fragen bezüglich der genaueren Umstände der ungewöhnlichen Partnerschaft sowie der Sicherheit der personenbezogenen Daten offen. So stellt sich die Frage, ob Verbraucher den Unternehmen und Behörden weltweit vertrauen können, ein System, das auf sensiblen Gesundheits- und Bewegungsdaten beruht, nicht für anderen Zwecke zu missbrauchen.

„Datenschutz, Transparenz und Einwilligung sind bei diesen Bemühungen von größter Bedeutung. Wir freuen uns darauf, die neuen Funktionen in Absprache mit den Interessengruppen aufzubauen“, verkündeten Apple und Google in der gemeinsamen Erklärung. „Wir werden offen Informationen über unsere Arbeit veröffentlichen, damit andere sie analysieren können.“

Nach ersten Informationen sollen die Kontaktdaten dezentral auf den Geräten der Anwender gespeichert werden und somit nicht auf einem zentralen Server. Die Daten würden erst auf einen Server übertragen, wenn der Betroffene positiv getestet werden würde. Darüber hinaus müsste in diese Übertragung einwilligt werden. Die Apps anderer Nutzer hätten dann wiederum Zugriff auf die Listen der anonymisierten IDs der Erkrankten. Darüber hinaus wolle man die Software-Quellcodes veröffentlichen. So könne jeder nachvollziehen, wie die Daten behandelt werden. Zusätzlich soll so gewährleistet werden, dass keinerlei Daten für Werbezwecke eingesetzt werden.

Der Datenschutzbeauftragte der Europäischen Union äußerte sich positiv auf Twitter: „Wir begrüßen die gemeinsame Initiative zur Beschleunigung des weltweiten Kampfes gegen die Covid19-Pandemie. (…) Die Initiative muss weiter geprüft werden. Auf den ersten Blick scheint sie jedoch die richtigen Kästchen in Bezug auf Benutzerauswahl, Datenschutz durch Design und europaweite Interoperabilität angekreuzt zu haben.“ „Die Achtung fundamentaler Rechte sei der Schlüssel und man werde die Entwicklungen in enger Zusammenarbeit auch weiterhin überwachen“, so der Datenschutzbeauftragte Wojciech Wiewiórowski.

Empfehlung der Leopoldina zur Anpassung des Datenschutzrechts in der Kritik

14. April 2020

Die Deutsche Akademie der Naturforscher Leopoldina hat am 13.04.2020 in einer Ad-hoc-Stellungnahme Vorschläge präsentiert, wie aus ihrer Sicht COVID-19 wirksam bekämpft und die aktuelle Krise nachhaltig überwunden werden kann. Nachdem die Empfehlungen auf Seiten der Politik zunächst überwiegend Lob geerntet hatten, wird nun aber auch Kritik geäußert. Gegenstand kritischer Äußerungen sind dabei die Anmerkungen im Rahmen der Stellungnahme, die auf eine Überprüfung datenschutzrechtlicher Standards abzielen.

So heißt es in der Stellungnahme (S. 7): „Angesichts der Erfahrung der derzeitigen Pandemie sollten auf europäischer Ebene die Datenschutzregelungen für Ausnahmesituationen überprüft und ggfs. mittelfristig angepasst werden. Dabei sollte die Nutzung von freiwillig bereit gestellten personalisierten Daten, wie beispielsweise Bewegungsprofile (GPS-Daten) in Kombination mit Contact-Tracing in der gegenwärtigen Krisensituation ermöglicht werden.“

Dieser Vorschlag wird sowohl von Datenschützern als auch von einigen Politikern zurückgewiesen und auf die geplante App zur Nachverfolgung von Corona-Kontakten verwiesen. Während der Bundesdatenschutzbeauftragte Ulrich Kelber die Sinnhaftigkeit der Nutzung von GPS-Daten mit Verweis auf Testergebnisse und Umfragen in der Bevölkerung hinterfragt, hält sein Hamburger Kollege Johannes Caspar die bestehenden Eingriffstatbestände der DSGVO zum Gesudheitsschutz – insbesondere unter Berücksichtigung nationaler Regelungsmöglichkeiten durch entsprechende Öffnungsklauseln – für ausreichend. Zudem verweist auch Caspar darauf, dass die bestehenden Möglichkeiten zur Datennutzung (anonymisierte Standortdaten, Datenspenden von Gesundheitsdaten) sowie die geplante App zur Nachverfolgung der Kontaktpersonen ausreichend seien.

In die gleiche Kerbe schlägt Stephan Thomae, Vizechef der FDP-Bundestagsfraktion. Auch wenn das GPS-Tracking in Ländern wie Südkorea Erfolge gezeigt habe, solle Südkorea nicht als Vorbild genommen werden, sondern der Fokus darauf liegen, die Akzeptanz der Bevölkerung in die geplante, auf freiwilliger Basis und mittels Bluetooth-Technologie operiende App zu stärken. Auch Konstantin von Notz (Grüne) sieht kein Bedürfnis für eine Änderung der datenschutzrechtlichen Rechtslage; die derzeitige sei ausreichend.

Eingeschränkte Unterstützung für die Empfehlung der Leopoldina kommt hingegen vom digitalpolitischen Sprecher der SPD-Bundestagsfraktion, Jens Zimmermann. „Mittelfristig“ sei eine entsprechende Debatte angebracht, kurzfristig jedoch die derzeit geplanten digitalen Maßnahmen ausreichend. Nur wenn sich dabei zeige, „dass gesetzliche Änderungen notwendig werden, sollte dies auf der Grundlage dieser Erfahrungswerte diskutiert werden.“

Wann in Deutschland eine entsprechende App zur Nachverfolgung von Corona-Kontakten zum Einsatz kommen kann, ist derzeit immer noch offen. Mehrere mögliche Modelle werden durch das Robert-Koch-Institut (RKI) geprüft. Bis zur „Marktreife“ steht daher zunächst nur die Datenspende-App des RKI zur Verfügung.

Corona-Datenspende-App des RKI

9. April 2020

Am 07. April 2020 veröffentlichte das Robert-Koch-Institut (RKI) die „Corona Datenspende“-App.
Die App, die sowohl für iOS- als auch Android-Geräte verfügbar ist, funktioniert in Zusammenhang mit Smartwatches und Fitnessarmbändern.
Ziel der App ist es, die Ausbreitung der Infektionen einschätzen zu können. So können die Wissenschaftlerinnen und Wissenschaftler des RKI die aktuelle Lage besser bewerten und mit Hilfe der Daten von Fitnessarmbändern die mögliche Dunkelziffer an Coronavirus-Infektionen besser einschätzen.

Zunächst soll der Nutzer der App einmalig Angaben zu seinem Geschlecht, Alter, Gewicht und der Körpergröße machen.
Die weiterhin durch die Smartwatch oder das Fitnessarmband des Nutzers gesammelten Gesundheits- und Aktivitätsdaten zum Schlafverhalten, Herzfrequenz und Körpertemperatur, werden über die App an das RKI gesendet.
Mithilfe von Algorithmen können dann anhand der übertragenen Daten verschiedene Symptome erkannt werden, die mit einer Coronavirus-Infektion in Verbindung gebracht werden.

Dadurch, dass der Nutzer der App einmalig seine Postleitzahl angibt, können diese Ergebnisse dann auch geographisch aufbereitet und die Verbreitung von möglicherweise infizierten Personen bis auf die Ebene der Postleitzahl auf einer Karte visuell dargestellt werden. Diese Karte soll regelmäßig aktualisiert und auf der Webseite der Corona-Datenspende veröffentlicht werden.

Die Corona-Datenspende-App wurde durch den Datenschutzbeauftragten des Robert Koch-Instituts in datenschutzrechtlicher Hinsicht geprüft und freigegeben. Im Vorfeld wurde das RKI hinsichtlich der Umsetzung der App auch durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) beraten. Auch die weitere Datenverarbeitung durch die App soll von Seiten des BfDI begleitet werden.
Sichergestellt ist, dass die Daten durch das RKI pseudonymisiert verarbeitet werden. Nach eigenen Angaben erlangt das RKI zu keinem Zeitpunkt Kenntnis über persönliche Informationen wie Name oder Anschrift der App-Nutzer. Weiterhin findet die Übertragung der Daten ausschließlich über TLS/SSL-verschlüsselte Schnittstellen unter Nutzung des individuellen Pseudonyms statt.

Videoaufzeichnungen von Gerichtsverhandlungen in Zeiten von Corona

8. April 2020

Video-Verhandlungen gewinnen durch die Corona Krise immer mehr an Relevanz, da die Gerichte seit Ausbruch der Pandemie zu einem Notbetrieb gezwungen werden und viele Termine um Monate verschoben wurden. Die Justizminister der Länder verlangten sogar öffentlich, die Gerichte sollten ihren Dienst weitgehend einstellen, denn gefüllte Gerichtssäle stellen zweifellos eine Gesundheitsgefahr dar, „Social Distancing“ ist so schwer möglich.

Da dies für viele Richter und Anwälte inakzeptabel erscheint, werden Forderungen nach Online-Verhandlungen und Videoübertragungen immer lauter. Die Angst der Gerichte vor einem nicht mehr aufholbaren Rückstau bei totalem Verhandlungsausfall ist groß.  „Die Zivilprozessordnung erlaubt es, Verhandlungen ohne körperliche Präsenz der Parteien durch allgemein übliche Ton- und Bildübertragungen durchzuführen“, so Uwe Freyschmidt, Vorsitzender des Berliner Anwaltvereins. „Videoübertragungen können die persönliche Präsenz in Gerichtsverhandlungen auf einfachem Weg ersetzen.“

Vereinzelt bedienen sich die Gerichte schon der Video-Verhandlung. Bei einigen Arbeitsgerichten in Niedersachsen werden die Gütetermine nach § 54 ArbGG beispielsweise bereits im Rahmen von Video- oder Telefonkonferenzen durchgeführt.

Der Öffentlichkeitsgrundsatz wird durch die Videoübertragung in den Sitzungssaal gewahrt, wobei hier während der Corona-Krise sehr fraglich bleibt, ob es sinnvoll ist, Zuschauer in den Sitzungssaal zu lassen.

Voraussetzung für die Video-Verhandlung ist ein kompatibles Videokonferenzsystem. Die Gerichte, die die Video-Verhandlung bereits eingeführt haben, benutzen zumeist Skype Business, bei denen das Gericht die Konferenz administriert und den Parteien entsprechende Einladungslinks elektronisch (per Mail) übermittelt. Die Möglichkeit, Gerichtsverhandlungen per Skype durchzuführen, wirft datenschutzrechtliche Fragen auf:

  • Drittstaatenübermittlung: Es gab im Zusammenhang mit Skype in der Vergangenheit bereits Verstöße gegen die DSGVO bzgl. der Datenübermittlung an Drittstaaten. Es wurde bekannt, dass Transkribierungen von Skype-Mitschnitten durch Auftragnehmer in China durchgeführt wurden.
  • Einwilligungen der Parteien: Der Anwalt kann nicht für seinen Mandanten in die Verarbeitung dessen Daten durch die Skype nutzenden Gerichte einwilligen. Es ist somit zwingend notwendig, dass die Parteien der Verhandlung selbst datenschutzrechtliche Einwilligungserklärungen abgeben. Die Einwilligung sollte sich ausdrücklich auch auf die Datenübermittlung in Drittstaaten beziehen.
  • Auftragsverarbeitung: Außerdem ist durch die Gerichte sicherzustellen, dass etwaige Auftragnehmer die Daten der Prozessteilnehmer nicht zu eigenen Zwecken nutzen.
  • Zugriff Unbefugter: Bei der Nutzung von Skype wird auch der U.S. Cloud-Act relevant, der fast zeitgleich mit der DSGVO in Kraft getreten ist. Gemäß des U.S. Cloud-Act könnten US-Ermittlungsbehörden Daten direkt von Unternehmen wie beispielsweise Microsoft, Google, Skype oder Amazon anfordern. Der U.S. Cloud-Act verpflichtet US-Unternehmen selbst dann zur Datenherausgabe, wenn lokale Gesetze am Ort des Datenspeichers dies verbieten. Wie Gerichte die Prozessbeteiligten vor diesem DSGVO-widrigen Verhalten schützen wollen, ist noch unklar.

Themenreihe Datenschutz und Corona – Teil 10: App zur Nachverfolgung von Corona-Kontakten in der Diskussion

1. April 2020

Nachdem zunächst im Rahmen der Novelle des Infektionsschutzgesetzes geplant war, mögliche Kontaktpersonen von am Covid-19-Virus erkrankten Personen „anhand der Auswertung von Standortdaten des Mobilfunkgerätes zu ermitteln, dadurch die Bewegung von Personen zu verfolgen und im Verdachtsfall zu kontaktieren“, dieses Vorhaben wegen Kritik aus Politik und von Datenschützern jedoch fallengelassen wurde, arbeiten das Robert-Koch-Institut (RKI) und das Heinrich-Hertz-Institut (HHI) an einer App, welche die Ermittlung von Kontaktpersonen und die Benachrichtung der Betroffenen ermöglichen soll.

Durch die App sollen Smartphones unter Aktivierung der Bluetooth-Technik scannen können, welche anderen Geräte sich in der Nähe befinden. Diese Informationen würden zunächst nur lokal auf dem Smartphone selbst gespeichert, und erst im Falle einer postiven Diagnose auf einen zentralen und sicheren Server gesendet, auf welchen nur das RKI oder das HHI Zugriff haben.

Dabei sollen jedoch keine Klarnamen oder sonstige Informationen zur Identifizierung der Betroffenen verwendet werden, sondern ausschließlich zufällig erstellte und anonyme IDs. Auch die Benachtichtigung der möglichen Kontaktpersonen erfolge anonym, für das RKI oder HHI sei nur die ID der möglichen Kontaktperson sichtbar. Diese werde dann aufgefordert, sich einem Test zu unterziehen und sich bis zum Erhalt der Diagnose in Quarantäne zu begeben.

Obwohl diese Vorgehensweise und technische Ausgestaltung einen möglichst weitgehenden Schutz der personenbezogenen Daten der Nutzer sowie deren Privatsphäre ermöglichen soll, wird auch hier Kritik geäußert. Von Seiten der FDP wird eine vorherige Überprüfung der App durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit sowie durch das Bundesamt für Sicherheit in der Informationstechnik gefordert, um den Abbau der Bürgerrechte auch in Zeiten der Coronakrise zu verhindern. Auch der Hamburgische Datenschutzbeauftragte, Johannes Caspar, warnte, dass eine Überwachung aller Infizierten zu einem nicht hinnehmbaren Generalverdacht führe. Eine Nutzung der App auf der Grundlage einer Einwilligung sei jedoch denkbar, doch müsse noch geprüft werden, wie weit die Anonymisierung der verarbeiteten Daten tatsächlich erfolge.

Wann eine entsprechende App zur Nachverfolgung der Infektionsketten und zur Benachrichtigung möglicher Betroffener zum Einsatz kommen kann, bleibt somit abzuwarten. Die Epidemiologen hoffen im Falle eines Einsatzes, dass möglichst viele Bürger die App auf freiwilliger Basis nutzen. So könne eine bessere Nachverfolgung der Infektionen und somit auch eine Ausbreitung des Virus verhindert werden.

Datenpanne bei der Investitionsbank Berlin

31. März 2020

Der Berliner Beuftragte für Datenschutz und Informationsfreiheit, teilte in der Pressemitteilung vom 30.März 2020 mit, dass sich bei der Investitionsbank Berlin eine Datenpanne ereignet hat.

Seit vergangenem Freitag zahlt die Investitionsbank Berlin (im Folgenden: IBB) bedürftigen Einzel- und Kleinstunternehmern bis zu 15.000 € aus dem Hilfspaket des Landes Berlin aus. Dadurch sollen die Liquiditätsengpässe, die den Unternehmen durch die Corona-Krise entstandenen sind, aufgefangen werden.

Die IBB hatte die dänische Software-Firma „Queue-it“ dazu beauftragt eine Warteschlange für die 150.000 eingegangenen Anträge zu erstellen. Dadurch wurde ein schwerwiegender Programmierfehler ausgelöst, der zu einer Datenpanne führte.

Nach Abschluss des Antragsverfahren wurde den Antragsstellern die Kopie einer fremden Person zum Herunterladen angezeigt. Bei den einsehbaren personenbezogenen Daten handelte es sich um Ausweis-, Bank- und Steuerdaten, sowie um Angaben zum Unternehmen.

Nach aktuellem Stand sollen 390 Personen am Freitag in der Zeit von 15:30-16:30 von der Datenpanne betroffen gewesen sein. Am Montag wurde der Datenschutzverstoß fristgemäß bei der zuständigen Aufsichtsbehörde gemeldet. Aktuell werden alle betroffenen Personen ermittelt, um sie gemäß Art. 34 DSGVO über den Vorfall zu informieren. Informationen zu einem möglichen Bußgeldverfahren liegen noch nicht vor.

Themenreihe Datenschutz und Corona – Teil 9: Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes

27. März 2020

Die Corona-Krise stellt nicht nur das Gesundheitssystem, die Wirtschaft und jeden Einzelnen vor Schwierigkeiten. Menschen in den sogenannten ‚systemrelevanten‘ Berufen arbeiten seit Tagen sowohl körperlich als auch psychisch am Limit und sind ständig dem Virus und seinen Folgen ausgesetzt.

Die zu befürchtenden wirtschaftlichen Schäden sind bislang nur zu erahnen und führen zu zusätzlichen Sorgen. Das Thema ist derzeit allgegenwärtig. Die Bevölkerung ist in Sorge, sich oder andere Menschen anzustecken und ob Sie selbst, Familie, Freunde und Bekannte die Krise gesundheitlich und wirtschaftlich überstehen.

In diesen Zeiten fällt es verständlicher Weise schwer sich auch weiterhin mit Datenschutz zu beschäftigen. Nicht Wenige haben gerade in Zeiten des Coronavirus schlicht keine Lust auf die „leidigen“ datenschutzrechtlichen Themen und Einige sehen den Datenschutz sogar als zusätzliche Hürde, wenn es zum Beispiel darum geht im Home-Office arbeiten zu können.

Gesellschaftliche Einschätzung zum Datenschutz

In den letzten zwei Wochen haben wir uns die größte Mühe gegeben, Ihnen, mit Hilfe unserer Themenreihe Datenschutz und Corona, datenschutzrechtliche Vorgaben und Maßnahmen sowie die Besonderheiten der aktuellen Situation näher zu bringen. Mit diesem Beitrag möchten wir noch die allgemeine gesellschaftliche Haltung gegenüber dem Thema Datenschutz und seine nicht mindergeringe Bedeutung zu Zeiten des Coronavirus diskutieren.

Bereits Anfang März hat die FAZ einen Artikel veröffentlicht, der die Ergebnisse einer repräsentativen Umfrage zum Thema hatte, die das Marktforschungsunternehmen Innofact im Auftrag von Usercentrics durchgeführt hat. Ergebnis dieser Studie war, dass ein großer Teil der deutschen Bevölkerung zur Bekämpfung der Corona-Krise bereit ist, Einschränkungen beim Datenschutz und damit des Rechts auf informationelle Selbstbestimmung hinzunehmen. Darüber hinaus spricht sich die Mehrheit der Befragten auch für die Ausweitung der Vorratsdatenspeicherung (beispielsweise von Flug- und Reisedaten) aus, um die Verbreitung der Pandemie nachvollziehen zu können. Zudem sind mehr als 50% der Befragten bereit, ihre Gesundheitsdaten freiwillig preiszugeben.

Als das Robert-Koch-Institut (RKI) bekannt gab, dass es von einer Tochterfirma der Deutschen Telekom AG mehrere Terrabyte anonymisierter Daten bekommen hat, um Bewegungsmuster von Telekom-Nutzern nachzuvollziehen und so die Wirksamkeit der bislang verhängten Maßnahmen zu bewerten, gab es ebenfalls kaum Stimmen, die eine solche Datenweitergabe kritisch sahen. Dies mag daran liegen, dass es sich um anonymisierte Daten handelt. In anderen Ländern ist es aber nicht bei einer anonymisierten Datenweitergabe geblieben. In China, Südkorea und Taiwan zum Beispiel wurden Phone-tracking-Technologien und Handy-Apps eingesetzt, um die Bewegungsmuster auf Individuen herunterbrechen zu können.

Zum Thema Handy-Apps gibt es auch Neuigkeiten aus Österreich. Das Österreichische Rote Kreuz hat die App „Stopp Corona“ entwickelt. Ziel der App ist, es dass die Nutzer der App tracken sollen, mit wem sie Kontakt hatten. Im Falle einer Infektion soll der Nutzer diese in der App angeben, um die Kontakte der letzten 48 Stunden automatisiert über die Infektion zu unterrichten und diese aufzufordern, sich selbst zu isolieren. Auch hier soll die Datenverarbeitung laut Angaben des Roten Kreuzes anonymisiert erfolgen. Die App ist seit Dienstag, 24.03.2020, in Österreich für Android-Geräte verfügbar. Ob und mit welchem Erfolg diese und ähnliche Apps bei der Ausbreitung der Pandemie helfen können bleibt abzuwarten.

Ansicht des BfDI

Der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, wiederholt dieser Tage jedenfalls immer wieder, dass der Verhältnismäßigkeitsgrundsatz gewahrt werden muss. Das bedeutet, dass zu ergreifende Maßnahmen wirksam sein müssen, um überhaupt aus datenschutzrechtlicher Sicht, gerechtfertigt werden zu können.

Darüber hinaus betont der BfDI, dass seine Behörde in ständigem Kontakt mit dem RKI sei und bereit für datenschutzrechtliche Prüfungen möglicherweise zu ergreifender Maßnahmen. Den Einsatz einer App, ähnlich der „Stopp Corona“ App, schließt er grundsätzlich nicht aus, bringt in die Diskussion aber ein, dass die Datenverarbeitung an eine Einwilligung des Betroffenen geknüpft werden sollte.

Handelt es sich um neue Erkenntnisse?

Aber sind diese Erkenntnisse wirklich neu, oder erscheinen sie durch den Bezug zur Corona-Krise nur in einem anderen Licht?

Der überwiegende Teil der Bevölkerung nutzt die Social Media Dienste Facebook und Instagram. Darüber hinaus erfreuen sich auch Messenger wie WhatsApp nach wie vor großer Beliebtheit in der Gesellschaft und stehen weltweit genauso hoch im Kurs wie der Kartendienst Google Maps. Was all diese Dienste gemein haben ist, dass sie bereits alle wegen Konflikten mit datenschutzrechtlichen Vorgaben in den Medien waren. Nutzern muss also bewusst sein, dass sie sehr viel über sich persönlich, Interessen, Hobbies, Aufenthaltsorte usw. preisgeben. Dies wird gerne in Kauf genommen, um die vermeintlich kostenlosen Vorteile, die sich ihnen durch die Verwendung der oben genannten Dienste ergeben, zu nutzen. Die Betreiber dieser Dienste lassen sich jedoch allzu gerne mit den freiwillig bereit gestellten Daten der Nutzer entschädigen, beispielsweise um auf den Einzelnen zugeschnittene Werbung zu platzieren.

Die Erkenntnis, dass personenbezogene Daten freiwillig zur Verfügung gestellt werden, ist also eigentlich gar nicht neu. In der derzeitigen Situation erscheint der zweifelsohne wichtige Zweck der Pandemiebekämpfung nur als willkommene Ausrede, weil es ‚erstrebenswert‘ erscheint den Datenschutz gegenüber einem höheren Ziel hintanzustellen.

Aber auch, wenn gewisse Maßnahmen, insbesondere bei anonymisierter Verwendung von Daten zur Bekämpfung des Corona Virus sinnvoll zu sein scheinen, so sollten Eingriffe in die informationellen Selbstbestimmung jedes Einzelnen auch jetzt nur nach behutsamer Abwägung erfolgen, damit sich jeder Mensch im Rahmen seiner Freiheiten und Rechte auch weiterhin frei entfalten kann. Deshalb ist es auch in Zeiten der Corona-Krise wichtig, die datenschutzrechtlichen Voraussetzungen der DSGVO und der anderen Datenschutzgesetze des Bunds sowie der Länder, die den Gedanken der informationellen Selbstbestimmung in sich tragen, zu wahren, auch und vor allem, wenn sensible Daten wie Gesundheitsdaten verarbeitet werden sollen.

Mit diesem Beitrag enden die täglichen Beiträge zur Themenreihe Datenschutz und Corona. Von Zeit zu Zeit werden wir diese Reihe selbstverständlich um neue Beiträge aus dem Bereich ergänzen und Sie natürlich auch weiterhin über datenschutzrechtliche Neuigkeiten auf dem Laufenden halten, die keinen Bezug zur Corona-Krise haben.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

Experten warnen vor einer erhöhten Gefahr von Cyberattacken in der Corona- Krise

26. März 2020

Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.

Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen.                 Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.

Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.

Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.

Themenreihe Datenschutz und Corona – Teil 8: Homeschooling und Datenschutz

Die Corona Krise hat das gesellschaftliche Leben fest im Griff. Auch das Schulwesen ist hiervon nicht verschont geblieben. Die Schulen in ganz Deutschland wurden geschlossen. Im Saarland greift diese Maßnahme sogar bis zum 24. April. Dies stellt Lehrer, Schüler und Eltern vor neue und schwierige Herausforderungen. Lehrer sind gezwungen Wege und Mittel zu finden den Lernstoff von zuhause aus zu vermitteln. Eltern müssen es wiederum schaffen, den Heimunterricht ihrer Kinder mit der eigenen Arbeit zu vereinbaren. Aber auch Schüler sind dazu angehalten den Unterrichtstoff selbstständig auf- und nachzuarbeiten.

Der Austausch zwischen den Lehrern und den Schülern zuhause findet dabei über Emails, Social Media Kanäle oder verschiedene Lernportale statt. In unserem heutigen Beitrag wollen wir in Kürze zusammenstellen, welche datenschutzrechtlichen Aspekte beim sog. Homeschooling beachtet werden müssen, welche sicheren Austauschmöglichkeiten zwischen Schule und Schüler bestehen und welche Lernportale den Anforderungen der DSGVO am ehesten gerecht werden.

DSGVO gilt auch für Schulen

Die Schule hat sich an die Vorgaben und Richtlinien der DSGVO zu halten. Sie ist als Verantwortlicher anzusehen und hat beispielweise einen Datenschutzbeauftragten zu bestellen oder muss darauf achten, dass jede Datenverarbeitung oder -übermittlung aufgrund der entsprechenden Rechtsgrundlage erfolgt. Dies erfordert auch einen verantwortungsvollen Umgang mit Informations- und Kommunikationstechnologien, vgl. Art. 32 DSGVO.

Um den Schutz von Schülerdaten zu gewährleisten haben Schulen und Lehrkörper, gerade auch in Bezug auf Homeschooling, hier einiges zu beachten:

  • Sollte für eine Datenverarbeitung keine Rechtsgrundlage vorliegen, z.B. zur Veröffentlichung von Bildern von Personen, ist eine entsprechende Einwilligung der Betroffenen erforderlich, vgl. Art. 7 Abs. 1 DSGVO,
  • Bei der Verarbeitung von Schülerdaten sind Schulen und Lehrer dazu angehalten, auf die Datensicherheit zu achten. Es ist daher auf ein angemessenes Schutzniveau zu achten, vgl. Art 32 DSGVO. Dies z.B. durch regelmäßige Datensicherungen oder das Updaten eigener Geräte,
  • Unbefugte Dritte müssen vom Zugriff auf die Daten ausgeschlossen werden. Eine Datenübermittlung an Dritte ist ohne Weiteres nicht gestattet,
  • Sind die verarbeiteten Daten nicht mehr erforderlich, sind diese zu löschen.

Der Austausch zwischen Lehrer, Schüler & Eltern

Immer wieder problematisch ist die Frage, welche Kommunikationskanäle ausreichenden Datenschutz und Datensicherheit bieten. Whatsapp, Facebook und Instagram gelten als Datensammler und sind für die Kommunikation zwischen Schüler und Lehrer in einigen Bundesländern, wie z.B. in Hamburg, sogar komplett untersagt. In anderen Bundesländern werden lediglich Empfehlungen ausgesprochen. Der Bundesbeauftragte Für Datenschutz Ulrich Kleber rät von der Nutzung von WhatsApp ab.

Rheinland-Pfalz nutzt zur Kommunikation hingegen eine auf Moodle basierende Lernplattform. Diese ist kostenfrei und läuft auf landeseigenen Servern. Eine Datenübermittlung an Drittländer findet nicht statt. Daneben empfiehlt der Landesdatenschutzbeauftragte europäische Messenger-Anbieter wie (z. B. Pidgin/OTR, Hoccer, Chiffry, Wire oder Threema).

Darüber hinaus unterscheidet sich die externe Kommunikation zwischen Schule und Schüler von Bundesland zu Bundesland sehr. Auch unter den Schulen gibt es immer wieder Unterschiede.

Eine allgemeine Untersuchung einzelner Messenger-Dienste hat die Verbraucherzentrale NRW vorgenommen. Gerade Threema und Hoccer stechen als anonym nutzbare Messenger heraus.

Online-Lernplattformen

Online-Lernangebote gibt es viele. Bei der Auswahl sollte folgendes beachtet werden:

  • werden durch die Applikation (freiwillige) Daten erfragt, sollte dem Grundsatz der Datensparsamkeit gefolgt, d.h. so weinige Angaben wie möglich gemacht werden.
  • im Allgemeinen sollten Eltern die Privatsphäre ihrer Kinder so gut es geht schützen. Das heißt, sie sollten kontrollieren, welche Lernprogramme genutzt werden und Kinder bei der Installation und Anmeldung unterstützen.

Zur Frage, welche Online-Lernplattformen zu empfehlen sind, hat die Seite Datenschutzbeauftragter-info.de kürzlich verschiedene Anbieter vorgestellt und auf ihren Datenschutz untersucht.

Dabei scheint besonders StudySmart zu überzeugen. Neben einem umfangreichen Angebot für Schüler und Studenten, ist für die Anmeldung nur eine Emailadresse erforderlich. Zur Verwendung der Applikation ist nur noch das jeweilige Bundesland anzugeben. Eine Verarbeitung von Nutzerdaten soll lediglich zur Optimierung der Plattform und der Auswertung von Lernzeit und -fortschritt erfolgen. Problematisch ist, dass StudySmart u.a. Applikationen von Google und Facebook nutzt. Der damit verbundene Datentransfer in die USA soll zwar pseudonymisiert erfolgen, eine Herausgabe an US-Behörden kann aber nicht ausgeschlossen werden.

Eher kritischer bewertet wird die Plattform SimpleClub. Diese bietet Lernvideos für Schüler der 8. Bis 13. Klasse an. Sie erhebt jedoch wesentlich mehr Daten als StudySmart und nutzt ebenso Applikationen wie zum Beispiel Facebook.

Auch LernAttack erhebt viele Daten zur Anmeldung. Die von Duden entwickelte Lernplattform bietet Videos und Aufgaben für Schüler ab der vierten Klasse. Auch hier werden Applikationen von beispielsweise Facebook genutzt. Anders als SimpleClub wird hier aber ausdrücklich über die Datenverarbeitungen informiert.

Chance zur Digitalisierung des Schulwesens

Die Digitalisierung der Schulen schreitet in den Bundesländern mit unterschiedlichem Tempo voran. Je nach Schule gibt es hier immense Unterschiede. Die aktuelle Krise kann hier jedoch als Chance verstanden werden die Schulen ins digitale Zeitalter voranzutreiben und gleichsam für einen hohen Datenschutzstandard sorgen.

Unsere Themenreihe Datenschutz und Corona endet morgen mit unserem neunten und letzten Beitrag zum Thema Gesellschaftliche Einschätzung zur Wichtigkeit des Datenschutzes in Zeiten der Corona-Krise.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen Sie sich und andere.

Themenreihe Datenschutz und Corona – Teil 7: Kooperation der Deutschen Telekom mit dem Robert-Koch-Institut

25. März 2020

Im Kampf gegen die Ausbreitung des Coronavirus stellt die Deutsche Telekom dem Robert-Koch-Institut (RKI) kostenlos anonymisierte Handydaten ihrer Kunden zur Verfügung. Die Datensätze dienen der Erforschung der Ansteckungsrate des Coronavirus sowie der Beurteilung der verhängten Maßnahmen.

Die Deutsche Telekom AG bestätigte gegenüber „Tagesspiegel Background Digitalisierung & KI“ ihre Zusammenarbeit mit der Bundesoberbehörde. Das Telekommunikationsunternehmen hat bereits am 17.03.2020 einen ersten Handydatensatz im Umfang von fünf Gigabyte aus dem letzten Quartal 2019 dem RKI übermittelt. Rund 46 Millionen Handykunden sind hiervon betroffen. Eine zweite Lieferung von Datensätzen, die aktuelle Bewegungsdaten bis zum 19. März 2020 enthält, erhielt das RKI in dieser Woche.

Betroffene Telekom-Kunden könnten sich nun die Frage stellen, welche Erkenntnisse das RKI aus ihren Handydaten im Kampf gegen das Coronavirus schöpfen? Dazu erklärt RKI-Präsident Lothar Wieler auf einer Pressekonferenz am 18.03.2020: „Diese aggregierten und anonymisierten Daten werden uns zeigen, wie sehr die Mobilität tatsächlich nachgelassen hat.“ Die Sprecherin der Deutschen Telekom führt dazu weiter aus: „Damit lassen sich Bewegungsströme modellieren – bundesweit, auf Bundesland-Ebene sowie auf die Kreis-Gemeinde-Ebene heruntergebrochen.“

Die Deutsche Telekom versichert auf Twitter, keine individuellen Handydaten freizugeben. Mit den übermittelten Handydaten sei eine digitale Beobachtung einzelner Bürger oder infizierter Menschen ausgeschlossen. Vielmehr handle es sich hierbei um sogenannte „Schwarmdaten“.

Der BfDI Ulrich Kelber erklärte dazu auf Twitter: „Die Weitergabe von Standortdaten durch die Deutsche Telekom an das Robert-Koch-Institut ist in der gewählten Form datenschutzrechtlich vertretbar. Vor allem unter den aktuellen Umständen spricht nichts gegen die Weitergabe dieser Daten zum Zweck des Gesundheitsschutzes. (…) Es handelt sich vorliegend um Daten, die keine Rückschlüsse auf einzelne Personen ermöglichen.“

Auch andere Länder erhoffen sich mit dem Erfassen von Bewegungsdaten neue Erkenntnisse über das Verbreitungsverhalten des Coronavirus zu erhalten. In Österreich übermittelt der Mobilfunkanbieter A1 nach eigenen Angaben der Regierung die Bewegungsdaten aller österreichischen Bürger. In China, Südkorea und Taiwan greift die Regierung zu härteren Überwachungstechniken, wie z.B. Phone-tracking-Technologie und Handy-Apps.

Die Themenreihe zu Datenschutz und Corona wird morgen mit einem Beitrag zum Thema „Datenschutz und Homeschooling“ fortgesetzt.

Für aktuelle Informationen können Sie uns auch gerne auf Twitter folgen.

Wir wünschen Ihnen nur das Beste, bleiben Sie gesund und schützen sich und andere.

1 2 3