Kategorie: COVID-19-Virus

Bitkom: DS-GVO für viele Unternehmen Mehraufwand und Innovationsbremse – und trotzdem überwiegend positiv bewertet

30. September 2020

Der Digitalverband „Bitkom“ hat am gestrigen Dienstag (29.09.2020) die Ergebnisse einer repräsentativen Umfrage vorgestellt, die unter mehr als 500 deutschen Unternehmen durchgeführt wurde. Dabei wird deutlich, dass längst noch nicht alle Unternehmen die „neuen“ Datenschutzanforderungen umgesetzt haben. Gleichzeitig kritisieren die Teilnehmer die gesetzlichen Vorgaben sowie die Tätigkeit der Aufsichtsbehörden und monieren, die Datenschutz-Grundverordnung (DS-GVO) stelle ein Hindernis für technologische Innovationen dar.

Mehraufwand, Kritikpunkte und Verbesserungsvorschläge

Die wohl wichtigste Erkenntnis stellt die Bitkom direkt vorweg: auch mehr als zwei Jahre nach dem Inkrafttreten der DS-GVO haben noch längst nicht alle befragten Unternehmen die „neuen“ datenschutzrechtlichen Vorgaben umgesetzt (nur 20% haben sie vollständig implementiert, 37% größtenteils, 35% teilweise und 6% beginnen erst mit der Umsetzung), und ganze 89% der Teilnehmer halten sie ohnehin für praktisch nicht vollständig umsetzbar. Zurecht bezeichnet Susanne Dehmel, Mitglied der Bitkom-Geschäftsführung, diese Zahlen als ernüchternd.

Wie kommt es zu diesen Zahlen und der scheinbar allgemeinen Unzufriedenheit mit dem geltenden datenschutzrechtlichen Regelwerk? Neben der bereits erwähnten Frage, ob die Vorgaben überhaupt praktisch vollständig umsetzbar sind, werden folgende Punkte moniert: anhaltende Rechtsunsicherheit durch die gesetzlichen Vorschriften (74%), zu viele Änderungen oder Anpassungen bei der Auslegung (68%), fehlende Umsetzungshilfen durch die Aufsichtsbehörden (59%), uneinheitliche Auslegungsergebnisse innerhalb der EU (45%) und fehlendes Fachpersonal (26%).

All diese Probleme führten laut 36% der Teilnehmer seit dem Inkrafttreten der DS-GVO zu einem Mehraufwand, und 35% erwarten künftig noch eine Zunahme. Auch wirke sich das neue Datenschutzrecht auf die Umsetzung verschiedenster technologischer Innovationen aus: Datenpools könnten nicht aufgebaut (41%), Big Data oder künstliche Intelligenz nicht genutzt (31%), Geschäftsprozesse nicht digitlalisiert (24%) und neue Datenanalysen nicht verwendet werden (20%). Insgesamt seien bei 56% der befragten Unternehmen „neue, innovative Projekte wegen der DS-GVO gescheitert“, für 71% mache die DS-GVO Geschäftsprozesse komplizierter.

So fällt dann auch die Bewertung des geltenden europäischen Datenschutzrechts erst einmal negativ aus. Für 92% der Teilnehmer sind Nachbesserung an den bestehenden Regeln erforderlich, beispielsweise eine „praxisnähere“ Gestaltung der Informationspflichten (91%), verständlichere Regelungen (85%) oder auch eine bessere Unterstützung durch die Aufsichtsbehörden (83%). Laut 12% der befragten Unternehmen führe die DS-GVO sogar zu einer Gefahr für die eigene Geschäftstätigkeit.

Datenschutz in der Pandemie

Auch in Zeiten der Covid-19-Pandemie erschwere das Datenschutzrecht die tägliche Arbeit bzw. die Umstellung insbesondere auf die Tätigkeit im Home Office. So würde wegen datenschutzrechtlicher Bedenken auf Kollaborationstools verzichtet (23%) bzw. diese nur eingeschränkt genutzt (17%), bei Cloud-Diensten würden 2% der Teilnehmer verzichten und 26% diese nicht vollumfänglich nutzen. Auch Videotelofonie werde eingeschränkt (10%) oder gar nicht genutzt (3%). Dasselbe gelte für Messanger-Dienste (4%). Um die Arbeit im Home Office dennoch besser koordinieren und kontrollieren zu können, haben 42% der befragten Unternehmen Leitlinien hierfür erstellt (20% hatten solche bereits vor der Pandemie implementiert) und bei 37% der Teilnehmer sind solche in Planung oder Diskussion. Nur 6% schließen solche Leitlinien grundsätzlich aus, in 13% der Unternehmen ist Home Office ohnehin untersagt.

Die teilnehmenden Unternehmen wurden aber nicht nur nach den unmittelbaren Auswirkungen der Pandemie gefragt, sondern auch danach, wie diese besser bewältigt werden könnte. So geben 62% der Teilnehmer an, mehr Möglichkeiten zur Datennutzung könnten helfen; Deutschland übertreibe es beim Datenschutz (40%). Aus diesem Grund könnten dann auch eigene Corona-Maßnahmen aus Datenschutzgründen nicht umgesetzt werden (10%). So sei in keinem der befragten Unternehmen eine eigene Corona-Tracing-App im Einsatz, in 22% der Unternehmen mit mehr als 500 Mitarbeiten sei dies aber geplant oder werde immerhin diskutiert.

Nicht nur Kritik, sondern auch positive Aspekte

Immerhin sehen die befragten Unternehmen auch positive Eigenschaften an der Datenschutz-Grundverordnung. So setze sie weltweit Maßstäbe für den Umgang mit Personendaten (69%), schaffe einheitliche Wettbewerbsbedingungen innerhalb der EU (66%) und führe gar zu einem Wettbewerbsvorteil für europäische Unternehmen (62%). So sehen dann auch 20% der Unternehmen insgesamt Vorteile für die eigene Geschäftstätigkeit.

Dass die durch die Bitkom befragten Unternehmen ganz überwiegend erheblichen Mehraufwand durch die Vorgaben der DS-GVO verzeichnen, überrascht nicht. Über Jahrzehnte hat das Thema „Datenschutz“ in deutschen Unternehmen ein Schattendasein gefristet, nicht unbedingt wegen fehlender gesetzlicher Regelungen, sondern auch bedingt durch eine lasche Kontrolle seitens der Aufsichtsbehörden bzw. eines geringen Risikos durch Bußgelder. Dies ist unter Wirkung der DS-GVO nun anders. Betrachtet man auch die dargestellten positiven Effekte, so scheint es nicht ausgeschlossen, dass deutsche und europäische Unternehmen – nach einem durchaus verständlichen Stotterstart – langfristig durch das neue Datenschutzrecht profitieren könnten. Sicherlich muss aber auch immer wieder evaluiert werden, welche Regelungen des Datenschutzrechts Sinn ergeben, und welche eher „gut gemeint“ waren, in der Praxis aber ihren Schutzauftrag nicht erfüllen.

Darf die Polizei auf Corona-Gästelisten zugreifen?

16. Juli 2020

Strafverfolgungsbehörden greifen offenbar vermehrt auf Gästelisten zu, die Restaurants und andere Betriebe in Umsetzung der jeweiligen Bestimmungen der Corona-Schutz-Verordnungen der Länder anlegen. Wie etwa FAZ.net und SZ.de berichten kam es deswegen in mehreren Bundesländern zu Meinungsverschiedenheiten zwischen Strafverfolgungs- und Datenschutzbehörden.

Je nach landesrechtlicher Bestimmung müssen Kunden oder Besucher auf den Listen ihren Namen, Adresse(n), Mail-Adresse(n), Telefonnummer, Zeitraum des Aufenthalts und gegebenenfalls weitere Angaben wie die Tischnummer angeben. Der Zweck der Datenerhebung liegt darin, im Infektionsfall eine einfache Rückverfolgbarkeit der anwesenden Personen zu gewährleisten, diese über das Risiko informieren zu können und Gesundheitsämtern eine Nachverfolgung der Infektionsketten zu ermöglichen.

Die Angaben in den Gästelisten können für Strafverfolgungsbehörden durchaus interessant sein: So berichtet FAZ.net über einen Fall aus Hamburg. Dort soll ein Mann vor einem Lokal einen Passanten mit einem Teppichmesser bedroht haben. Die zuständige Polizeibehörde ließ sich die Gästeliste des nahegelegenen Lokals übergeben und kontaktierte die Gäste, um sie als potentielle Zeugen zu vernehmen.

Die Sprecherin des hessischen Datenschutzbeauftragten, Ulrike Müller, äußerte, die hessische Verordnung sehe eine strikte Zweckbindung vor. Gastronomen dürften die Daten im Infektionsfall an die Gesundheitsämter herausgeben. Eine Weitergabe an andere Behörden sei aber ausgeschlossen.

Etwa die Oberstaatsanwältin Nadja Niesen aus Frankfurt ist dagegen der Ansicht, es handele sich nicht um eine Frage des Datenschutzes. Denn nach der Strafprozessordnung dürfe die Polizei in Abstimmung mit der Staatsanwaltschaft und Gerichten Beweismaterial sicherstellen, um die Namen möglicher Zeugen festzustellen. Darunter fielen auch die Gästelisten.

Nach Angaben von SZ.de suchte etwa die Polizeibehörde in Rosenheim nach einem Raubüberfall auf ein Schuhgeschäft und die Polizeibehörde in Starnberg bei den Ermittlungen in einem Rauschgiftfall über die Gästelisten nahegelegener Restaurants Zeugen.

Der bayerische Landesbeauftragte für Datenschutz, Thomas Petri, leitete daraufhin Prüfungen ein. Er kritisiert, die Datenerhebungen gingen „Richtung Vorratsdatenspeicherung“ und fordert eine bundesweite Regelung über die Zugriffsmöglichkeiten der Strafverfolgungsbehörden. Er befürchtet, dass anhand der Daten Bewegungsprofile erstellt werden könnten, sieht aber gleichzeitig keine grundsätzliche Unzulässigkeit der Nutzung der Gästelisten zu Ermittlungszwecken. Allerdings müssten die „Freiheitsrechte der betroffenen Gäste und die Strafverfolgung abgewogen und in eine rechtssichere Balance gebracht werden.“

Thomas Geppert, Landesgeschäftsführer des Hotel- und Gaststättenverbands Dehoga, fürchtet indessen, dass weitere Gäste ausbleiben könnten oder die Gäste falsche Angaben machen könnten und so eine Nachverfolgung nicht mehr gewährleistet ist. Geppert will deswegen in Abstimmung mit dem Datenschutzbeauftragten auf das Innen- und das Justizministerium zugehen, um eine Lösung in der Sache zu erreichen.

Bay LDA veröffentlicht „Best-Practice“ Checkliste für Home-Office

29. Juni 2020

Das Bayerische Landesamt für Datenschutzaufsicht (Bay LDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home-Office Regelungen in Unternehmen veröffentlicht.

So habe die Corona-Pandemie viele Unternehmen, Selbstständige und Freiberufler mit der Frage konfrontiert, wie die Arbeitsfähigkeit bei gleichzeitiger Infektionsprävention realisiert werden könne. Insoweit seien viele Home-Office Plätze geschaffen worden.

Die ausgegebene Handreichung solle einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Hierbei sei zu berücksichtigen, dass die aufgeführten Aspekte nicht abschließend seien. Vielmehr entsprächen sie einem Best-Practice-Ansatz, wenngleich nicht zugleich nicht immer alle Punkte notwendig seien. Insoweit sei eine kurze kritische Prüfung des Grundes samt kurzer Dokumentation anzuraten.

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Bundesdatenschutzbeauftragter lobt Corona-App, warnt aber auch

17. Juni 2020

Die geplante Corona-Tracing-App ist nach langer Entwicklungszeit und umfangreichen Diskussionen (wir berichteten) am gestrigen Dienstag (16.06.2020) für die Nutzung freigegeben worden. Nachdem sich der Bundesdatenschutzbeauftragte, Ulrich Kelber, bereits vor einigen Tagen zufrieden mit der gefundenen Lösung zeigte und die App aus Sicht des Datenschutzes als „solide“ bezeichnete, hat seine Behörde (BfDI) in einer Pressemitteilung nun ausführlicher Stellung bezogen.

Lob für Transparenz

Insgesamt sieht Kelber keine Gründe, die aus datenschutzrechtlicher Sicht gegen die Installation sprechen. Dabei sei insbesondere entscheidend, dass sowohl der Quellcode der App als auch die durchgeführte Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (durch welche potentielle Gefahren für die Rechte und Freiheiten der Nutzer ermittelt und mögliche Abhilfemaßnahmen festgelegt werden sollen) für die Öffentlichkeit zugänglich gemacht wurden. „Je transparenter das gesamte Projekt ist, umso mehr Vertrauen werden die Bürgerinnen und Bürger haben“, so Kelber.

Kritik an TAN-Verfahren

Trotz dieser ingesamt positiven Bewertung sieht der Bundesdatenschutzbeauftragte jedoch auch noch „Schwachstellen“, die von den zuständigen Behörden und Unternehmen angegangen werden müssten. Darunter falle insbesondere die Telefonhotline, durch welche der Nutzer eine TAN-Nummer erhält. Mittels dieser Nummer kann der Nutzer dann ein positives Testergebnis über die App melden. Durch diese zusätzliche Sicherheitsmaßnahme soll ein Missbrauch der App durch Meldung falscher Ergebnisse erschwert werden. Kelber sieht diese Lösung jedoch kritisch, weil so eben keine vollständig anonymisierte Nutzung der App möglich sei. Immerhin habe seine Behörde abwenden können, dass eine unangemessene Speicherung personenbezogener Daten aller Anrufer der Hotline stattfindet. Die zuständigen Behörden und Unternehmen müssten nun aber schnellstmöglich daran arbeiten, dass eine vollständig automatisierte Nutzung der App ermöglicht wird. Als zuständige Aufsichtsbehörde werde der BfDI dies überwachen und „alle Möglichkeiten der Datenschutz-Grundverordnung“ heranziehen, im Falle von auftretenden Mängeln somit auch entsprechend einschreiten.

Warnung an Dritte vor Einsichtnahmeversuchen

Schließlich spricht der Bundesdatenschutzbeauftragte in der Pressemitteilung noch eine Warnung an alle Personen, Unternehmen und Einrichtungen aus, die auf die Idee kommen könnten, sich durch Einsicht in die Corona App – und somit in die darin gespeicherten personenbezogenen Daten – darüber zu informieren, ob für die betroffene Person ein positives Testergebnis vorliegt oder nicht. Dabei handle es sich um eine Grenze, die nicht überschritten werden dürfe. Wörtlich sagte Kelber: „Es ist in keinem Fall zulässig, dass Dritte Einblick in die App fordern. Ich kann die Inhaber von Geschäften oder öffentlichen Verkehrsmitteln nur dringend warnen: Versucht es erst gar nicht!“

Hessische Aufsichtsbehörde prüft Fiebermessung im Apple Store

16. Juni 2020

Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.

Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.

Personenbezogene Daten

Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.

Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.

Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.

Verhältnismäßigkeit

Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.

Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.

Fazit

Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.

Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

20. Mai 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

HamBfDI warnt vor Einführung eines Immunitätsausweises

6. Mai 2020

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HamBfDI) Johannes Caspar äußerte sich kritisch bezüglich der Einführung eines Immunitätsausweises. Gegenüber dem Handelsblatt betonte er, dass „der Einsatz eines solchen Ausweises der gefährliche Weg in eine Diskriminierungs- und Entsolidarisierungsfalle“ wäre. „Gesundheitsdaten könnten über den Zugang zu Leistungen entscheiden und in der Konsequenz die Gruppe der Personen, die eine Immunität nicht nachweisen, vom öffentlichen Leben ausschließen.“

Die Pläne für die Einführung eines solchen Immunitätsausweis hat das Kabinett im „Entwurf eines Zweiten Gesetzes zum Schutz der Bevölkerung bei einer epidemischen Lage von nationaler Tragweite“ beschlossen. Demnach soll es einen Nachweis analog zum Impfpass geben, der auch als Grundlage bei der Entscheidung über zielgenauere Schutzmaßnahmen dienen soll.  

Die Einführung eines solchen Dokuments birgt insgesamt die Gefahr einer sozialen Stigmatisierung. Der HamBfDI warnt davor, dass dadurch Personen, die zur Risikogruppe gehören am stärksten diskriminiert würden. Einen Nachweis der Immunität ohne besonderes Ausweisdokument für Personen in relevanten Berufsgruppen hält der HamBfDI hingegen für „durchaus sinnvoll“.

Inzwischen hat Gesundheitsminister Spahn den Deutschen Ethikrat um eine Stellungnahme darüber gebeten, inwiefern ein solches Ausweisdokument genutzt werden kann. Über den Gesetzesentwurf soll bereits am Donnerstag (7. Mai 2020) im Bundestag beraten werden.

Kehrtwende bei Ausgestaltung der Corona-Tracing-App

28. April 2020

Die durch die Bundesregierung in Zusammenarbeit mit dem Robert-Koch-Insitut (RKI) geplante Tracing-App zur Nachverfolgung potentieller Corona-Kontakte ist seit Wochen Gegenstand reger Diskussionen und mit umfangreicher Kritik in Sachen Datenschutz verbunden. Diese Kritik scheint nun Gehör gefunden zu haben, jedenfalls rücken die Entwickler vom Vorhaben einer zentralen Speicherung ab.

Nachdem zunächst ein „zentraler Ansatz“ in der Form geplant war, dass durch die App erhobene Daten – in anonymisierter Form – zentral auf einem Server gespeichert werden sollten, soll nun ein „dezentraler Ansatz“ verfolgt werden. Bei dieser Variante werden die erzeugten Nutzer-IDs sowie die durch die Bluetooth-Funktion erfassten Geräte bzw. deren IDs nicht an einen zentralen Server gesendet, sondern zunächst lokal auf den Geräten gespeichert werden. Erst im Falle eines positiven Befundes wendet sich die positiv geteste Person mit einem geheimen Schlüssel an den Betreiber der App, sodass eine Übermittlung der Information, dass ein möglicher Kontakt bestand, an potentielle Kontaktpersonen übermittelt werden kann.

Dieser Kehrtwende ist umfangreiche Kritik am „zentralen Ansatz“ vorangegangen. Zuletzt kamen kritische Stimmen nicht nur von verschiedenen Digital-Vereinen, sondern vermehrt auch aus der Wissenschaft. Auch der Europarat hat in Bezug auf mögliche Tracing-Apps (nicht nur) datenschutzrechtliche Bedenken geäußert. Dabei wurde insbesondere hervorgehoben, dass der zentralen Speicherung besonders sensibler Gesundheits- oder Bewegungsdaten erhebliche Bedenken in der Bevölkerung bezüglicher einer potentiellen Totalübberwachung entgegenstehend könnten und der Nutzen einer solchen App eingeschränkt sei, wenn Bürger die App wegen dieser Bedenken nicht verwenden.

Oppositionspolitiker und Netzaktivisten lobten die Entscheidung, nunmehr einen dezentralen Ansatz zu verfolgen, wie dies etwa auch durch Apple und Google favorisiert wurde. Auch der Bundesdatenschutzbeauftragte, Ulrich Kelber, sprach sich ausdrücklich für diese Variante aus.

Diese Strategieänderung lässt jedoch befürchten, dass der Einsatz einer funktionierenden, und vor allem datenschutz-sensiblen Tracing-App weiter auf sich warten lassen wird. Nachdem diese eigentlich schon Mitte April bei der Bekämpung des Corona-Virus unterstützen sollte, wird nun über eine Veröffentlichung Mitte Mai spekuliert.

1 2 3