26. April 2022
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Dr. Stefan Brink erwartet von Schulen, dass sie Schüler:innen bis zu den Sommerferien 2022 Alternativen zum Cloud-Dienst MS 365 für den Schulbetrieb anbieten.
Microsoft 365 ist ein Online- bzw. Cloud-Dienst des Anbieters Microsoft. Spätestens ab dem kommenden Schuljahr sei die Nutzung von MS 365 an Schulen zu beenden. Andernfalls müssten die Schulen den datenschutzkonformen Betrieb des Cloud-Angebots eindeutig nachweisen können.
Pilotprojekt gescheitert
Die Entscheidung deutete sich schon länger an, der LfDI begleitete und beriet zuvor das Kultusministerium Baden-Württemberg über einen längeren Zeitraum in einem umfangreichen Pilotprojekt zum möglichen Einsatz von MS 365. Auch eine eigens modifizierte Version von Microsofts Programmpaket konnte Baden-Württembergs Datenschutzbeauftragten nicht überzeugen. Im Zuge dessen gab es weitere Sicherheitsfunktionen und Accounts ausschließlich für Lehrkräfte, nicht jedoch für Schüler:innen. Trotz der funktionell eingeschränkten und möglichst datenschutzkonformen Konfiguration von MS 365 sei eine datenschutzkonforme Nutzung kaum möglich. Nach dem Test kam Stefan Brink zu dem Ergebnis, dass die Schulen keine vollständige Kontrolle über das Gesamtsystem und den Auftragsverarbeiter in den Vereinigten Staaten hätten. Sie könnten nicht ausreichend nachvollziehen, welche personenbezogenen Daten wie und zu welchen Zwecken verarbeitet würden. Auch könne man nicht nachweisen, dass die Verarbeitung auf das notwendige Minimum reduziert sei. Die Ergebnisse der Prüfung sind hier abrufbar.
Alternativen vorhanden
Man werde in Kürze auf etwa 40 Schulen zugehen, die den Cloud-Dienst Microsoft 365 oder MS Teams verwenden und sie über seine rechtliche Bewertung zur Nutzung dieses Online-Dienstes informieren. Darüber hinaus werde man die Schulen um einen verbindlichen Zeitplan für den Umstieg auf Alternativen bitten. Zusammen mit dem Kultusministerium sollen die Schulen dann bei der Implementierung neuer Systeme unterstützt werden. Der Landesbeauftragte für den Datenschutz verweist dabei auf bereits erprobte Alternativen. Dazu gehören beispielsweise Moodle, itslearning oder das Web-Konferenzsystem BigBlueButton.
Umstieg kaum zu vermeiden
Sollten die Schulen dennoch den Cloud-Dienst weiter nutzen möchten, so müssten sie begründen, wie sie den datenschutzkonformen Betrieb garantieren und dies entsprechend ihrer Rechenschaftspflicht nach Artikel 5 Absatz 2 Datenschutz-Grundverordnung eindeutig nachweisen könnten. Dabei würde insbesondere die Drittstaatenübermittlung in die Vereinigten Staaten die Schulen vor größere Probleme stellen.
21. April 2022
In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.
Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.
Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.
Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.
20. April 2022
In seinem Tätigkeitsbericht für das Jahr 2021 informierte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über den Missbrauch von Kundendaten zu privaten Zwecken.
Hintergrund waren die Beschwerden mehrerer Kunden, die sich an das ULD gewendet hatten. Sie wiesen darauf hin, dass verschiedene Unternehmen ihre personenbezogenen Daten nicht nur zu den vorgesehenen geschäftlichen Zwecken verwendeten. So kam es vor, dass ein Kunde beispielsweise in einem Kontaktformular seine Handynummer angab, um leichter erreichbar zu sein. Einige Mitarbeiter nutzten die angegebenen Handynummern allerdings nicht ausschließlich für geschäftliche Zwecke. Stattdessen kontaktierten sie die Kunden, um ein persönliches Kennenlernen oder privates Treffen zu arrangieren.
Beim Umgang mit Kundendaten sind die datenschutzrechtlichen Vorgaben der DSGVO zu beachten. Insbesondere sind die Grundsätze der „Integrität und Vertraulichkeit“ nach Art. 5 Abs. 1 lit. f DSGVO beachtet. Demzufolge müssen personenbezogene Daten in einer Weise verarbeitet werden, „(…) die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich [dem] Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (…)“. Laut dem ULD hat das Unternehmen die Aufgabe geeignete technische und organisatorische Maßnahmen zu ergreifen, um diesen Grundsatz bei der Datenverarbeitung zu garantieren. Dazu zählt es Mitarbeiterschulungen durchzuführen, die über den datenschutzkonformen Umgang mit Kundendaten informieren.
Das ULD stellte fest, dass in den zur Beschwerde gebrachten Fällen eine unrechtmäßige Verarbeitung personenbezogener Daten stattfand. Daraufhin erteilte sie den Verantwortlichen einen Hinweis nach Art. 58 Abs. 1 lit. d DSGVO. Obwohl die betroffenen Unternehmen ihre Mitarbeiter bereits vor den Missbräuchen im Datenschutzrecht geschult hatten, fand eine erneute Sensibilisierung der Mitarbeiter statt. Als weitere Sanktion verhängten einige Unternehmen arbeitsrechtliche Konsequenzen.
14. April 2022
In diesem Blog-Beitrag geht es einmal nicht um Datenschutz und Datensicherheit, sondern um eine Information zu unserer Spenden-Aktion für Kinder in und aus der Ukraine.
Die Lage in der Ukraine wird für die Menschen immer dramatischer und die täglichen Nachrichten über weitere Angriffe bewegen und erschüttern uns alle. Insbesondere Kinder in der Ukraine und auf der Flucht sind von dem Krieg betroffen.
Im Zuge der Aufnahme von Flüchtlingen in unserem Kanzleigebäude haben wir in den letzten Wochen in unseren täglichen Gesprächen erlebt, dass die Hilfsbereitschaft und Solidarität in unserer Kanzlei, aber auch in unserem Kanzleiumfeld bei Anwälten, Bekannten und Freunden insgesamt überwältigend ist. Wir möchten dabei helfen, diese Bereitschaft in konkrete Hilfe umzuwandeln. Deshalb haben wir in diesen Tagen unsere Aktion „Kanzleien4Kids“ zugunsten unserer Partner Save the Children und SOS-Kinderdorf e.V. gestartet. Hier finden sie alle weiteren Informationen: https://kanzleien4kids.de
Wir appellieren an Ihre Hilfsbereitschaft und hoffen, dass wir mit unserem Engagement den Kindern in dieser schrecklichen Notlage helfen können. Herzlichen Dank.
8. April 2022
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt Verbraucherinnen und Verbraucher, Unternehmen und Behörden vor dem Einsatz von Virenschutzsoftware des russischen Herstellers Kaspersky. Demnach könne die Softwarefirma Cyber-Angriffe ausführen.
Nach Angaben des BSI könnte Kaspersky selbst offensive Operationen durchführen, oder aber auch gezwungen werden, Zielsysteme anzugreifen. Es sei auch nicht auszuschließen, dass ein russisches Unternehmen selbst ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werde.
„Das Vorgehen militärischer und/oder nachrichtendienstlicher Kräfte in Russland sowie die im Zuge des aktuellen kriegerischen Konflikts von russischer Seite ausgesprochenen Drohungen gegen die EU, die NATO und die Bundesrepublik Deutschland sind mit einem erheblichen Risiko eines erfolgreichen IT-Angriffs verbunden“, erklärte das BSI.
Des Weiteren seien Unternehmen und Behörden mit besonderen Sicherheitsinteressen und Betreiber kritischer Infrastrukturen in besonderem Maße gefährdet. Betroffene Unternehmen und andere Organisationen sollten nach den Empfehlungen des BSI den Austausch wesentlicher Bestandteile ihrer IT-Sicherheitsinfrastruktur sorgfältig planen und umsetzen. Es wird empfohlen, eine individuelle Bewertung und Abwägung der aktuellen Situation vorzunehmen und dazu gegebenenfalls vom BSI zertifizierte IT-Sicherheitsdienstleister hinzuzuziehen.
Weitere Informationen für Verbraucherinnen und Verbraucher, Unternehmen und Behörden veröffentlichte das BSI in einer eigens dafür angelegten Rubrik (FAQ).
Kaspersky wies die Darstellung zunächst zurück und ging rechtlich gegen die Entscheidung vor. Nachdem das Verwaltungsgericht Köln Anfang April den Antrag zurückgewiesen hatte, reichte die Kaspersky Labs GmbH Beschwerde beim nordrhein-westfälischen Oberverwaltungsgericht (OVG) ein.
7. April 2022
Während der 103. Sitzung der Datenschutzkonferenz (DSK) stellte eine eigens eingerichtete Taskforce ihr Gutachten zur datenschutzrechtlichen Konformität des Betriebs von Facebook– Fanpages vor. Die DSK hatte diese Taskforce anlässlich eines Urteils des EuGH vom 05. Juni 2018 (C-210/16 „Wirtschaftsakademie“) eingerichtet. Der EuGH hatte festgestellt, dass der Betreiber einer Fanpage auf Facebook und Facebook gemeinsam Verantwortliche iSd Art. 26 DSGVO sind. Ausreichend für die gemeinsame Verantwortlichkeit war es, dass der Betreiber der Fanpage Kriterien festlegen kann, nach denen Facebook eine anonymisierte Statistik erstellt und somit „(…) an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“ (EuGH, Urteil v. 05.06.2018, C-210/16, Rn. 39)
Die Taskforce untersuchte in ihrem Gutachten, ob die Verwendung der sog. Insights durch die Betreiber von Fanpages vor dem Hintergrund der gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO rechtmäßig ist. Insights sind von Facebook gesammelte Statistiken, mit denen das Nutzerverhalten auf Fanpages dokumentiert werden kann.
Es wurde festgestellt, dass Facebook keine ausreichenden Informationen zur Verfügung stelle, um bewerten zu können, ob die Datenverarbeitung im Zusammenhang mit Insights datenschutzkonform erfolge. Der Betreiber einer Fanpage müsse als gemeinsam mit Facebook Verantwortlicher eine für die Datenverarbeitung erforderliche Rechtsgrundlage nachweisen können.
Als Rechtsgrundlage komme weder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO noch ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Aufgrund der unzureichenden Informationslage stünden den Betreibern nicht die Informationen zur Verfügung, derer es für eine wirksame Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO bedarf. Aus dem gleichen Grund könne ebenfalls keine Interessenabwägung erfolgen, die für die Begründung eines berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO erforderlich sei. Außerdem sei es den Betreibern einer Fanpage demnach auch nicht möglich ihren Informationspflichten nach Art. 13 DSGVO nachzukommen.
Reaktion auf das Kurzgutachten
Als Reaktion auf dieses Gutachten hat die DSK beschlossen, dass alle den Datenschutzbeauftragten des Bundes und der Länder unterstehende Bundes- und Landesbehörden ihre Facebook-Fanpages auf datenschutzrechtliche Konformität überprüfen und ggf. abstellen sollten. Aufgrund ihrer Vorbildfunktion sollten zunächst die Facebook – Fanpages öffentlicher Stellen kontrolliert werden.
Daraufhin informierten u.a. die Datenschutzbeauftragten der Länder Bremen und Brandenburg die ihnen unterstehenden öffentlichen Behörden über die nun zu ergreifende Maßnahmen.
In ihren Entscheidungen über Vertragsverletzungsverfahren hat die Europäische Kommission die Länder Deutschland, Griechenland, Finnland und Schweden dazu aufgefordert ihren Meldepflichten aus der Datenschutzgrundverordnung (DSGVO) und der Richtlinie zum Datenschutz bei der Strafverfolgung nachzukommen.
Aus der Entscheidung der Kommission geht hervor, dass Deutschland noch keine Maßnahmen zur Umsetzung der Richtlinie zum Datenschutz bei der Strafverfolgung in Bezug auf die Tätigkeiten der Bundespolizei mitgeteilt habe. Auch Griechenland habe einige Bestimmungen nicht ordnungsgemäß umgesetzt. Betroffen sind hier insbesondere Festsetzungen hinsichtlich des Anwendungsbereichs der Richtlinie zum Datenschutz bei der Strafverfolgung und die Fristen für die Speicherung von Daten. Neben Deutschland und Griechenland bemängelte die Kommission ebenfalls die mangelhafte Umsetzung datenschutzrechtlicher Verpflichtungen in den Ländern Finnland und Schweden. Im Rahmen der Durchsetzung von Betroffenenrechten wären die Länder in bestimmten Fällen dem Recht auf einen wirksamen gerichtlichen Rechtsbehelf nicht nachgekommen.
Die Länder haben nun innerhalb von zwei Monaten die Möglichkeit auf das Schreiben zu reagieren und die für das Abstellen der von der Kommission festgestellten Verstöße notwendigen Maßnahmen zu ergreifen. Kommen die Länder diesem Erfordernis nicht nach, so kann die Kommission eine begründete Stellungnahme übermitteln.
31. März 2022
Am 25. März 2022 haben sich die Vereinigten Staaten und die Europäische Kommission mit einer gemeinsamen Erklärung im Grundsatz auf einen neuen transatlantischen Datenschutzrahmen geeinigt. Dieser soll möglicherweise bald den vom Europäischen Gerichtshof verworfenen Privacy-Shield-Rahmen ablösen.
Die Entscheidung ist das Ergebnis von mehr als einem Jahr intensiver Verhandlungen zwischen den USA und der EU. Die Hoffnungen sind groß, dass dieser neue Rahmen eine dauerhafte und rechtssichere Grundlage für den Datenverkehr zwischen der EU und den USA bildet.
Das Weiße Haus erklärte, dass der transatlantische Datenschutzrahmen „den transatlantischen Datenverkehr fördern und die Bedenken ausräumen wird, die der Gerichtshof der Europäischen Union geäußert hat, als er im Jahr 2020 die Angemessenheitsentscheidung der Kommission, die dem EU-US-Datenschutzschild zugrunde lag, für ungültig erklärte“.
Wie das Privacy Shield ist die Grundlage dieses neuen Rahmens die Selbstzertifizierung gegenüber dem US-Handelsministerium. Für Datenexporteure in der EU ist es dann von entscheidender Bedeutung sicherzustellen, dass ihre Datenimporteure in den USA nach dem neuen Rahmenwerk zertifiziert sind.
Durch den Rahmen soll außerdem neben einer effektiveren Aufsicht über die Geheimdienste ein mehrstufiges Rechtsbehelfssystem eingerichtet werden. Dieses schließt einen „Independent Data Protection Review Court“ ein, der die Befugnis haben soll, von EU-Bürgern erhobene Ansprüche gegen Überwachungsmaßnahmen der Geheimdienste zu beurteilen und erforderlichenfalls Abhilfemaßnahmen in rechtlich bindender Weise anzuordnen.
Aus mehreren Gründen steht diese Entscheidung jedoch auf wackeligen Beinen. Erstens handelt es sich bei der Entscheidung zunächst nur um eine politische Entscheidung im Grundsatz. Weder sind Details geklärt noch hat die Europäische Kommission den Prozess zu einer Angemessenheitsentscheidung anlaufen lassen. Entsprechend der Ankündigungen des Datenschutzaktivisten Max Schrems und noyb dürfte sich zudem auf Klagen vor den EU-Gerichten einzustellen sein. Es bleibt daher abzuwarten, ob dieser neue Rahmen den erhofften Abschluss zum Thema transatlantische Datenströme bringen wird. Bis dahin müssen Unternehmen weiterhin auf die Standardvertragsklauseln und zusätzliche Maßnahmen für ein angemessenes Datenschutzniveau setzen.
30. März 2022
Spätestens seit Einsetzen der Corona-Pandemie erfreuen sich Online-Apotheken immer größerer Beliebtheit. Nun hat eine Marktanalyse des Münchner Unternehmens „Usercentrics“ ergeben, dass 89 % der 150 beliebtesten Arzneimittelversender in der EU rechtswidrig Cookies einsetzen. Besonders brisant daran ist, dass gerade in diesem Geschäftsbereich sensible Gesundheitsdaten ohne Einwilligung der Betroffenen abgefragt werden.
Hintergrund
„Cookies“ sind Datensätze, die bei dem Besuch fast jeder Website gespeichert und oft an Dritte übermittelt werden. Wer eine Website betreibt und dabei Cookies verwendet, muss nach Art. 6 Abs. 1 lit. a, 7 DSGVO die Einwilligung der Besucher in die Verarbeitung ihrer personenbezogenen Daten einholen. Ausgenommen davon sind lediglich solche Cookies, die technisch notwendig sind, um den Besuch der Website zu ermöglichen. Die Einwilligung in Cookies erfolgt über Cookie-Banner, deren oft fehlerhafte Ausgestaltungen immer wieder Gegenstand von Busgeldverfahren sind (wir berichteten zuletzt hier).
Ergebnis der Marktanalyse
„Usercentrics“ ist genau auf diesem Gebiet tätig und entwickelt Software, mithilfe derer Einwilligungen in Cookies rechtskonform eingeholt werden sollen. Für das Unternehmen selbst hat sich die Marktanalyse als äußerst ergiebig erwiesen: Es besteht großer Nachholbedarf beim Cookie-Management.
So setzten 89% der gescannten Apotheken mindestens ein Cookie, ohne die hierzu erforderliche Einwilligung der Nutzer einzuholen. In Deutschland waren es sogar 100 % der untersuchten Anbieter.
62 % dieser rechtswidrig gesetzten Cookies waren solche, die Marketingzwecken von Drittanbietern dienten.
Außerdem aktivierten die Website-Betreiber 55 % der nicht notwendigen Cookies sofort beim Besuch der Website, ohne eine Einwilligung der Nutzer abzuwarten.
Missbrauch von Gesundheitsdaten
Im Einzelnen heißt das: Ein Großteil der Online-Apotheken speichert ohne die Einwilligung ihrer Besucher Datensätze, die Rückschlüsse auf die Gesundheit des Nutzers zulassen. Darunter sind personenbezogene Daten wie die IP-Adresse, die gesuchten Produkte, angesehene Produkte und Browserverlauf. Diese Daten können dazu genutzt werden, ein Profil des Kunden zu erstellen, um gezielt Produkte zu bewerben. Bei den Marketing-Unternehmen handelt es sich oft nicht über den Apothekenhändler selbst, sondern Drittanbieter. So werden sensible Daten über individuelle Krankheiten -völlig außer Kontrolle der Betroffenen- rechtswidrig erhoben, zweckentfremdet und weitergegeben.
Es bleibt zu hoffen, dass die Online-Arzneimittelhändler spätestens jetzt ihre Cookie-Banner überprüfen und aktualisieren, um Bußgelder zu vermeiden.
Mit Urteil vom 17.01.2022 (6 K 1164/21.WI) hat sich das Verwaltungsgericht Wiesbaden zur GPS-Überwachung von Fahrzeugen geäußert.
Ein Unternehmen der Logistikbranche hatte seit April 2020 GPS-Systeme in ihre 55 Firmenfahrzeuge eingebaut. Diese Systeme erheben und speichern Daten zum Tracking dieser Fahrzeuge. So sind u.a. die Bestimmung des Live-Standorts der Fahrzeuge, die Speicherung der Standortdaten und die Messung des Benzinverbrauchs möglich. Das Unternehmen begründet dies damit, dass das Geo-Tracking der Ortung einzelner Fahrzeuge diene, um bei Missbrauch und Diebstahl eingreifen zu können. Zudem sollen der Benzinverbrauch und der jeweilige Kraftstoffbestand in den Tanks überwacht werden, um Kraftstoffdiebstahl zu verhindern. Teilweise fanden auch Zuordnungen zum Inhaber der Fahrerkarte statt. Die Daten der Fahrerkarten wurden für 28 Tage gespeichert, alle übrigen Daten für 400 Tage.
Eine Information der Mitarbeiter über die Einführung des GPS-Trackings erfolgte nicht. Der hessische Datenschutzbeauftragte erfuhr von diesem Vorgehen und meldete sich bei dem Unternehmen. Letztlich forderte er das Unternehmen auf, das GPS-Tracking zukünftig zu unterlassen und erhobene Daten zu löschen. Gegen diesen Bescheid erhob das Unternehmen Klage.
Die Klage wies das VG Wiesbaden nun ab. Im Ergebnis ging das Gericht davon aus, dass für die Datenverarbeitung des Unternehmens keine Rechtsgrundlage existiere, sodass die Verarbeitung nicht rechtmäßig sei, Art. 5 Abs. 1 lit. a) DS-GVO. Eine Einwilligung der betroffenen Beschäftigten lag nicht vor. Auch seien die berechtigten Interessen des Unternehmens gem. Art. 6 Abs. 1 lit. f) DS-GVO nicht gegenüber den berechtigten Interessen der Betroffenen vorrangig. Dazu führt das Gericht u.a. aus: „Die danach vorzunehmende Abwägung der Interessen der Klägerin einerseits und der betroffenen Mitarbeiter andererseits fällt zu Lasten der Klägerin aus, weil die Datenspeicherung des Standorts, zumal über 400 Tage lang, nicht verhältnismäßig ist. […] Die Zulässigkeit der Datenerhebung und erst recht der Speicherung scheitert nach Auffassung des Gerichts schon daran, dass sie geheim erfolgt, ohne dass erkennbar ist, warum die Mitarbeiter der Klägerin nicht wissen dürfen, dass ihr Arbeitgeber sie bei Fahrten konstant überwacht.“
Das Urteil verdeutlicht einmal mehr, dass Unternehmen mit den Daten ihrer Beschäftigten sehr bedacht umgehen sollten.
