27. Mai 2021
Der Europäische Datenschutzbeauftragte (EDSB) hat in einer Pressemitteilung erklärt, dass er zwei Untersuchungen im Hinblick auf das im vergangenen Jahr erlassene Schrems-II-Urteil eingeleitet hat. Eine zur Nutzung von Cloud-Diensten, die von Amazon Web Services (AWS) und Microsoft bereitgestellt und im Rahmen von sog. Cloud II-Verträgen von Institutionen, Einrichtungen und Agenturen der Europäischen Union genutzt werden, und eine zur Nutzung von Microsoft 365 durch die Europäische Kommission.
Hintergrund der Untersuchung ist, dass der EDSB im Oktober vegangenen Jahres die EU-Instiutionen dazu aufforderte, über ihre Übermittlung personenbezogener Daten an Drittländer Bericht zu erstatten. Das Ergebnis der Umfrage machte deutlich, dass auch EU-Institutionen die Tools und Dienste von internationalen Dienstleistern nutzen und damit personenbezogene Daten außerhalb der EU und insbesondere in die USA übertragen werden.
Der EDSB, Wojciech Wiewiórowski, sagte: “Nach dem Ergebnis der Berichterstattung durch die EU-Institutionen und -Einrichtungen haben wir bestimmte Arten von Verträgen ermittelt, die besondere Aufmerksamkeit erfordern, und aus diesem Grund haben wir beschlossen, diese beiden Untersuchungen einzuleiten. Mir ist bekannt, dass die „Cloud II-Verträge“ Anfang 2020 vor dem Urteil „Schrems II“ unterzeichnet wurden und dass sowohl Amazon als auch Microsoft neue Maßnahmen angekündigt haben, um sich dem Urteil anzupassen. Dennoch reichen diese angekündigten Maßnahmen möglicherweise nicht aus, um die vollständige Einhaltung des EU-Datenschutzrechts und damit die Notwendigkeit einer ordnungsgemäßen Untersuchung sicherzustellen.“
Nun will der EDSB sicherstellen, dass auch von EU-Institutionen die europäische Datenschutzgrundverordnung (DSGVO) eingehalten wird und EU-Institutionen in Bezug auf Privatssphäre und Datenschutz mit gutem Beispiel vorangehen.
Ziel der Untersuchungen ist es, die Einhaltung des Urteils bei den EU-Institutionen zu bewerten und die Empfehlungen bei der Nutzung von Produkten von US-Anbietern umzusetzen.
Die Tatsache, dass auch der EDSB Untersuchungen aufgenommen hat, zeigt einmal mehr, dass der Datentransfer in Drittländer und Sofortmaßnahmen dagegen dringend erforderlich sind. Gleichzeitig dürfte das Ergebnis dieser Untersuchungen auch wegweisend für einen weiteren Umgang mit den genannten Dienstleistern sein.
Nachdem WhatsApp jüngst mit seinen neuen Nutzungsbedingungen für Aufmerksamkeit gesorgt hatte und von Datenschützern für diese kritisiert wurde, tritt nun WhatsApp selbst verteidigend für ihren Datenschutz auf.
So hat WhatsApp beim obersten Gericht Delhi Klage gegen eine Vorgabe der neuen IT-Regelungen der indischen Regierung eingereicht. Diese Regelungen wurden bereits im Februar diesen Jahres vom indischen Ministerium für Elektronik und Informationstechnologie (MeitY) veröffentlicht und sind diese Tage in Kraft getreten. Die von WhatsApp konkret kritisierte Regelung sieht vor, dass Anbieter von Messengerdiensten, auf Anfrage einer Behörde oder auf richterlichen Beschluss hin, die Rückverfolgung von Nachrichten gewähren müssen. So soll ermittelt werden, wer der ursprüngliche Verfasser einer Information ist. Die indische Regierung begründet dies damit, dass dies der „Prävention, Aufdeckung, Untersuchung, Verfolgung oder Bestrafung“ von verschiedenen Straftaten diene. Als solche gelten u.a. die Verbreitung von Material über sexuellen Kindesmissbrauch, Angriffe auf die Staatssicherheit, Souveränität und Integrität Indiens oder die Störung der öffentlichen Ordnung. Auch ist eine Regelung gegeben, die besagt, dass Netzwerke bei gerichtlicher Aufforderung dazu, Inhalte innerhalb von 36 Stunden löschen müssen.
WhatsApp wehrt sich nun gegen diese Vorgaben mit der Begründung, sie würden Nachrichten Ende-zu-Ende verschlüsseln und könnten die Identifikation einer Einzelperson nicht leisten. Würde die Verschlüsselung aufgebrochen, wären sowohl Absender als auch Empfänger betroffen. Die Regelung verlange praktisch, einen Fingerabdruck von jeder einzelnen auf WhatsApp gesendeten Nachricht zu speichern. Dadurch würde eine Verletzung von Datenschutzrechten der Betroffenen stattfinden. Auch das Recht auf Privatsphäre sei betroffen, somit sei die Regelung verfassungswidrig.
Immer wieder betont WhatsApp, dass es Nachrichten selbst nicht speichere und keine Einsicht in Nutzerdaten habe. Trotzdem steht der Konzern häufig selbst wegen seines Umgangs mit Daten in der Kritik, sodass die Streitigkeit mit der indischen Regierung auch für das Image von WhatsApp nicht uninteressant sein dürfte.
26. Mai 2021
Der Essenslieferdienst Lieferando speichert detaillierte Tracking-Daten seiner Fahrer. Dies berichtet der Bayerische Rundfunk. Den Stein ins Rollen gebracht hatten Angestellte von Lieferando, die Auskunft über ihre gespeicherten personenbezogenen Daten verlangten, die dem BR vorliegen.
Über die App “Scoober” werden pro Lieferung 39 Datenpunkte erfasst – von der Zuteilung der Bestellung über die Abholung bis zur Auslieferung an die Kunden. Alle 15 bis 20 Sekunden wird der genaue Standort des Fahrers gespeichert. Über diese Datenpunkte kann festgestellt werden, ob die Fahrer die jeweiligen Vorgaben erreichen, Verspätungen werden personalisiert gespeichert. Für Fahrer in Vollzeit kommen so 100.000 Datenpunkte pro Jahr zusammen. Die Datensätze reichen überdies zum Teil bis ins Jahr 2018 zurück.
Lieferando selbst hält die Daten für notwendig, um den Lieferbetrieb ordnungsgemäß durchführen zu können. Außerdem stehe die Datenverarbeitung im Einklang mit der Datenschutz-Grundverordnung. Eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter finde nicht statt. Daran zweifelt der Vorsitzende des Gesamt-Betriebsrats für Deutschland, Semih Yalcin, und hält die Datenverarbeitung für “totale Überwachung” und “unverhältnismäßig”.
Diese Kritik teilt der Datenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink. Er hat sich der Sache nach einer Beschwerde eines Fahrers angenommen. Die dauerhafte Überwachung der Arbeitsleistung sei nach Einschätzung seiner Behörde “klar rechtswidrig”. Allerdings hat er die Angelegenheit und seine Untersuchungsergebnisse an die niederländische Datenschutzbehörde weitergegeben. Lieferando gehört zum niederländischen Mutterkonzern Just Eat Take Away, daher muss die DPA die weiteren Ermittlungen anstellen. Diesem droht nun eine zweistellige Millionenstrafe: da der Umsatz von Just Eat Take Away in der Corona-Pandemie im Jahr 2020 um 54 % auf 2,4 Milliarden Euro gestiegen ist und nach der DSGVO die Strafe bis zu vier Prozent des weltweiten Jahresumsatzes betragen kann, droht ein Bußgeld von bis zu 96 Millionen Euro.
25. Mai 2021
Am 25.05.2018 trat die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Ihr Ziel ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Doch diese positiven Aspekte haben auch Nachteile, besonders für kleine und mittlere Unternehmen.
Viel Bürokratie, wenig Kontrolle
Für viele, besonders kleinere, Unternehmen bedeutet die Umsetzung der DS-GVO viel Bürokratie. Es kommt auch immer häufiger vor, dass ehemalige Mitarbeiter Auskunft über ihre personenbezogenen Daten vom Unternehmen verlangen. Ein Anspruch, der kleinere Unternehmen vor große Herausforderungen stellt und nicht selten damit endet, dass das Unternehmen eine höhere Abfindung zahlt, um sich, ohne Auskunft, zu vergleichen.
Außerdem ist der Vollzug der DS-GVO schwierig. Jeder EU-Mitgliedstaat hat eigene Aufsichtsbehörden, in Deutschland gibt es 17 Landesbehörden und den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. Es ist leicht nachvollziehbar, dass die DS-GVO unterschiedlich interpretiert wird. Der Bundesdatenschutzbeauftragte Kelber spricht sich daher für eine engere Abstimmung der einzelnen Aufsichtsbehörden aus.
Einheitlichkeit in Europa
Dennoch dürfte das Fazit nach drei Jahren DS-GVO positiv ausfallen. Viele Menschen in Europa machen Gebrauch von ihren Betroffenenrechten. Die DS-GVO hat die Vereinheitlichung des Datenschutzes in Europa erreicht. Außerdem ist es ein Kernanliegen der DS-GVO, natürlichen Personen verschiedene Instrumente an die Hand zu geben, um sich auch gegen die großen Unternehmen und sozialen Netzwerke zur Wehr setzen zu können. Sie hat das Bewusstsein der Nutzer für Privatsphäre im Internet gestärkt. Damit hat sich die DS-GVO zu einem weltweiten Vorbild für den Datenschutz entwickelt.
Quo vadis, DS-GVO?
Wie praktisch jedes Gesetz hat auch die DS-GVO noch Luft nach oben. Die EU-Kommission hat im Sommer 2020 eine Prüfung in Aussicht gestellt, ob kleinere und mittlere Unternehmen von manchen Regelungen ausgenommen werden können. In diesem Zusammenhang könnte sich Ulrich Kelber vorstellen, einzelne Pflichten zu entbürokratisieren, zumindest in Fällen, in denen jedem klar sein müsse, dass eine Datenverarbeitung stattfinde. Außerdem möchte er Schwächen beim Scoring und Profiling ausbessern. Die Evaluierung der DS-GVO ist allerdings erst für 2024 angesetzt.
20. Mai 2021
Dass der Wahlkampf der Parteien nicht mehr ausschließlich auf Wahlplakaten stattfindet, ist kein Geheimnis. Auch die Politik geht mit der Zeit und bemüht sich zunehmend um den Einsatz „neuer“ Medien. So setzt die CDU zur Unterstützung des eigenen Wahlkampfs seit der Bundestagswahl im Jahr 2017 auf eine eigene App, die CDU-Connect-App.
Mit Hilfe der Connect-App soll es den Wahlkampfhelfern der CDU möglichst einfach gemacht werden, einen effizienten Haustürwahlkampf zu organisieren. So kann in der App beispielsweise eingetragen werden, in welcher Straße man es bereits versucht, bei welchem Haus man geklingelt, ob und wer geöffnet hat und letztlich natürlich auch, wie die Person zur CDU steht. Über die Jahre sollen sich dabei riesige Datensätze angesammelt haben. Auf die Sicherheitslücke aufmerksam geworden ist die Softwareentwicklerin Lilith Wittmann, die nach eigenen Angaben über Twitter auf die App hingewiesen wurde. Ihre Herangehensweise und Ergebnisse veröffentlichte sie dann in einem eigenen Blogpost.
Das Besondere an ihrem Fund sind dabei allerdings nicht die oben genannten Rohdaten, sondern vielmehr die erfassten Zusatzinformationen, die bei einem Besuch notiert wurden. So wurde etwa der Inhalt einzelner Gespräche paraphrasiert oder politische Meinungen in Kurzform festgehalten. Auf Anfrage des Spiegels hin versicherte die CDU jedoch, die Daten nur anonymisiert gespeichert zu haben, sodass Aussagen nicht auf einzelne Personen rückführbar seien.
Anders sieht es allerdings bezüglich der Daten von eigenen Wahlkampfhelfern und Unterstützern aus. Nach Angaben von Wittmann waren die Informationen von knapp 20.000 Menschen einsehbar. Davon umfasst sein sollen Daten, wie etwa E-Mail-Adressen, Fotos und teilweise auch Facebook-Tokens. Weitreichendere Angaben wurden von etwa 1350 Unterstützern entdeckt. Bei ihnen ließen sich Adressen, Geburtsdaten und Interessen finden.
Ihren Fund hat Wittmann dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der CDU mitgeteilt. Die Partei reagierte schnell und entfernte die App vorsorglich aus dem Play und App Store. Zusätzlich meldete man sich bei Twitter und verspricht die Sicherheitslücke schnellstmöglich zu schließen. Außerdem sollen laut Angaben der CDU alle Betroffenen informiert werden.
14. Mai 2021
Nach einer Entscheidung des Hamburger Verwaltungsgerichts muss sich ein Grundschüler nicht an seiner Schule auf Corona testen lassen, um am Präsenzunterricht teilnehmen zu dürfen. Laut Beschluss vom 29. April (Az.: 2 E 1710/21) reiche ein negatives Ergebnis aus einem anerkannten Schnelltestzentrum, welches maximal 24 Stunden alt sei.
Die Schulbehörde hat gegen die Eilentscheidung Beschwerde beim Oberverwaltungsgericht eingelegt, wie ein Gerichtssprecher am Mittwoch mitteilte. Der Schüler hatte sich zu Hause testen lassen und der Schule nur das Ergebnis mitteilen wollen. Einen solchen Selbsttest akzeptiere das Verwaltungsgericht nicht. Eine Bescheinigung von einem Testzentrum sei schon erforderlich.
Seit dem 6. April müssen sich Schüler in Hamburg zweimal pro Woche unter Aufsicht an der Schule testen, wenn sie am Präsenzunterricht teilnehmen wollen. Als einzige Alternative ist ein PCR-Test erlaubt, der nicht älter als 48 Stunden sein darf.
Laut Verwaltungsgericht verletzt die Testpflicht an der Schule den Datenschutz, zumindest wenn ein Test positiv ausfällt und das Ergebnis an das Gesundheitsamt weitergeleitet werden muss. „Die derzeitige Ausgestaltung der testabhängigen Zugangsbeschränkung verstößt nach summarischer Prüfung gegen die Vorschriften der Datenschutzgrundverordnung”, so laut Beschluss. Die Datenerhebung setze Freiwilligkeit voraus. Die Alternative Homeschooling bedeute allerdings einen Nachteil für den Schüler, er könne sich darum nicht freiwillig entscheiden. Damit stützt das Gericht die Linie des Thüringer Datenschutzbeauftragten Lutz Hasse. Er sieht durch die Testpflicht im Klassenraum die Rechte der betroffenen Schüler massiv beeinträchtigt und verlangt von Schulen zumindest eine Einverständniserklärung der Eltern für dieses Procedere einzuholen.
12. Mai 2021
In dem seit längerem schwelenden Streit um die neuen Nutzungsbedingungen von WhatsApp, hat sich nun auch der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, geäußert.
Hintergrund ist, dass ab dem 15.05.2021 für den Kurznachrichtendienst WhatsApp neue Nutzungsbedingungen gelten sollen. Diese Nutzungsbedingungen sollten ursprünglich schon seit Februar gelten, die Einführung wurde aber nach lautstarker Kritik um drei Monate verschoben. Stein des Anstoßes bei den neuen Nutzungsbedingungen ist ein Passus, der eine veränderte Datenschutzerklärung enthält. Kritiker sehen hier vor allem den unklaren Datenaustausch mit der Konzernmutter Facebook als problematisch an. Auch die Tatsache, dass die weitere Nutzung von WhatsApp von der Einwilligung in die Bedingungen abhängt, ist nicht unumstritten.
Am 11.05.2021 gab HmbBfDI Caspar bekannt, dass eine Anordnung gegen Konzernmutter Facebook erlassen wurde, in der die Weiterverarbeitung von WhatsApp-Daten für eigene Zwecke untersagt wird. Für eine solche Verarbeitung bestünde keine gesetzliche Grundlage. Er kritisiert auch, dass eine Einwilligung in die neuen Nutzerbedingungen nicht aus freien Stücken erfolgt, sondern für die Weiternutzung des Dienstes unumgänglich ist.
Die Anordnung gilt ab sofort für drei Monate. Für eine Entscheidung auf europäischer Ebene will der HmbBfDI Caspar eine Befassung durch den Europäischen Datenschutzausschuss (EDSA) beantragen. Facebook hat zwar eine Niederlassung in Hamburg, die Zuständigkeit liegt aber grundsätzlich bei der irischen Datenschutzbehörde. Handlungsbedarf sieht Caspar vor allem mit Blick auf die anstehende Bundestagswahl, bei der durch Anzeigekunden von Facebook eine gezielte Beeinflussung der Meinungsbildung möglich sei, würden diese über Nutzerdaten verfügen.
WhatsApp selbst versichert weiterhin, datenschutzrechtliche Vorgaben würden eingehalten. Die Behauptungen des HmbBfDI seien falsch, deswegen habe die Anordnung keine Wirkung. Ursprünglich plante WhatsApp, Konten die den Neuerungen nicht zustimmen nur noch eingeschränkt nutzbar zu machen und schließlich zu löschen. Dieses Vorhaben wurde jedoch zurückgenommen. Nutzer, die zunächst keine Einwilligung abgeben, können ihren Account weiter nutzen, bis nach einigen Wochen eine permanente Erinnerung auftaucht. Dann seien die Accounts nur eingeschränkt nutzbar. Ob die Stellungnahme des HmbBfDI daran etwas ändert, bleibt abzuwarten. Zwischenzeitlich macht es sicher Sinn, sich mit Alternativen zu WhatsApp zu beschäftigen.
11. Mai 2021
Nachdem das OVG Lüneburg bereits im vergangenen Jahr entschied, dass die Übermittlung personenbezogener Daten per Telefax rechtswidrig war, hat die Landesbeauftragte für Datenschutz der Freien Hansestadt Bremen diese Erkenntnis in eine Orientierungs- und Handlungshilfe fließen lassen.
Dort schreibt sie, dass durch technische Weiterentwicklungen das Schutzniveau gelitten habe. Früher seien Faxe über exklusive Ende-zu-Ende-Telefonleitungen verschlüsselt versandt worden. Heute werden die Daten jedoch paketweise in Netzen transportiert, die auf der Internet-Technologie beruhen. Außerdem existiert häufig an der Empfangsstelle kein echtes Fax-Gerät mehr. Faxe würden immer häufiger automatisch in E-Mails umgewandelt und an bestimmte Postfächer weitergeleitet.
Daraus folgt, dass das Schutzniveau dem einer unverschlüsselten E-Mail gleichkommt. Hierfür wird gern das Bild einer offen einsehbaren Postkarte zum anschaulichen Vergleich herangezogen. Faxe eignen sich daher regelmäßig nicht für den Versand personenbezogener Daten, da sie keine Schutzmaßnahmen zur Gewährleistung der Vertraulichkeit personenbezogener Daten haben. Besser geeignete Versandwege sind Ende-zu-Ende verschlüsselte E-Mails oder die traditionelle Post.
7. Mai 2021
Microsoft kündigte in einem Blogbeitrag vom 6. Mai 2021 an, ab Ende 2022 personenbezogene Daten europäischer Kunden nur noch innerhalb der EU zu verarbeiten und speichern. Dies gelte, so Microsoft, für alle zentralen Cloud-Dienste von Microsoft, d.h. Azure, Microsoft 365 und Dynamics 365. Microsoft verspricht mit seinem “EU Data Boundary for the Microsoft Cloud”, d.h. einer EU-Datengrenze für seine Cloud-Lösungen, zukünftig keine Daten seiner Kunden mehr aus der EU heraus transferieren zu müssen. Das Angebot richte sich an Kunden aus dem öffentlichen Sektor und Unternehmenskunden, so der Konzern.
Damit reagiert Microsoft erneut auf das vom Europäischen Gerichtshof (EuGH) im Juli letzten Jahres ergangene Schrems-II-Urteil, dass das Datenschutzabkommen Privacy Shield und damit die rechtliche Grundlage für den Transfer personenbezogener Daten zwischen der EU und den USA wegen ungenügenden Datenschutzes gekippt hat. Nach Ansicht des EuGH haben die USA kein mit der EU vergleichbares Datenschutzniveau. Begründet wird dies insbesondere damit, dass US-Geheimdienste aufgrund des US Gesetzes “Cloud Act” einen umfangreichen Zugriff auf die bei amerikanischen Unternehmen gespeicherten Daten haben.
Geplant ist laut Microsoft in den kommenden Monaten in einen engen Austausch mit seinen Kunden aber auch den Aufsichtsbehörden zu gehen, um damit den Vorschriften zum Schutz der Daten gerecht zu werden. Ob dieses Vorhaben gelingen wird, bleibt abzuwarten. Unklar bleibt auch noch, ob dadurch die Unsicherheiten bei einem Datentransfer zwischen Europa und den USA beseitigt werden kann. Zunächst ist weiterhin der Microsoft-Konzern rechtlich für die Clouddaten verantwortlich. Dies könne laut dem österreichischen Datenschutzaktivist Max Schrems nur dadurch behoben werden, “wenn eine völlig weisungsfreie Einheit in der EU, bei der die Daten bleiben, erreicht würde” – so Schrems gegenüber der Deutschen Presse-Agentur.
Microsoft verweist diesbezüglich auf seine Nutzer selbst. Diese könnten bereits jetzt durch die Verwendung von kundenverwalteten Schlüsseln, die Verschlüsselung ihrer Daten selbst konfigurieren und insbesondere kontrollieren und damit vor einem unzulässigen Zugriff durch staatliche Stellen schützen.
Die Aufsichtsbehörden haben sich zu dem Plan von Microsoft noch nicht geäußert. Vielmehr haben diese erst vor kurzem eine Task-Force eingerichtet, um den Risiken bei der Nutzung von Cloud-Diensten entgegenzuwirken.
5. Mai 2021
Die Impfung gegen das Corona-Virus ist für viele Menschen auf der ganzen Welt aktuell das Licht am Ende des Tunnels. Die Impfquote und Impf-Geschwindigkeit nimmt in Deutschland stetig zu. Viele Menschen teilen ihre Freude über die erhaltene Impfung mit einem Foto des Impfausweises in sozialen Medien. Doch das ist aus verschiedenen Gründen keine gute Idee.
Zunächst enthält der Impfausweis sensible Gesundheitsdaten. Ärztliche Befunde, Gesundheitskarten oder der Impfausweis enthalten vertrauliche Informationen, die in der Regel nicht auf sozialen Medien geteilt werden sollten. Neben den Freundinnen und Bekannten erhalten auch die Betreiber der Netzwerke die Daten. Im Zusammenspiel mit der in Deutschland bestehenden Impfpriorisierung können daraus Rückschlüsse auf bestimmte, ernste Vorerkrankungen gezogen werden. Selbst wenn diese Rückschlüsse falsch sind, weil beispielsweise eine Krankenpflegerin oder der Ehemann einer Schwangeren geimpft wurden, bleiben sie dennoch im Fundus der Netzwerke.
Außerdem können Impfpass-Fälscher die Daten nutzen, um mit Hilfe der Chargennummer oder des Impfstempels Fälschungen in Umlauf zu bringen. Vor dem Hintergrund der sich abzeichnenden Aufhebung einiger Beschränkungen für Geimpfte dürfte dies aktuell ein lukratives Geschäft sein. Das Impfzentrum in Frankfurt am Main hat deshalb bereits angekündigt, Anzeige zu erstatten.
Mit den Chargennummern können Menschen zudem Impf-Nebenwirkungen an das Paul-Ehrlich-Institut melden. Bei tatsächlichen Nebenwirkungen sind diese Angaben wichtig, um Menschleben zu schützen, allerdings können so auch falsche Nebenwirkungen gemeldet werden, die dann der Pandemiebekämpfung insgesamt großen Schaden zufügen können. Die Freude über den erhaltenen Schutz vor einer Sars-Cov2-Infektion sollte daher lieber ohne Foto des Impfausweises geteilt werden.
