Schlagwort: Corona-Virus

Bundesdatenschutzbeauftragter warnt vor Einsatz von WhatsApp

23. Juni 2020

In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.

Hintergrund

Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.

Kritik

Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.

Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.

Fazit

In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:

Hessische Aufsichtsbehörde prüft Fiebermessung im Apple Store

16. Juni 2020

Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.

Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.

Personenbezogene Daten

Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.

Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.

Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.

Verhältnismäßigkeit

Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.

Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.

Fazit

Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.

Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.

Ulrich Kelber nimmt Stellung zum zweiten Pandemiegesetz

20. Mai 2020

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber hat Stellung zum Entwurf des zweiten Pandemiegesetz genommen und übt scharfe Kritik an der aktuellen Fassung.

Mögliche Verfassungswidrigkeit

Kern der Kritik ist, dass auch gesunde Bürger bei einem negativen Test auf SARS-CoV und SARS-CoV-2 an die Behörden gemeldet werden sollen. Dies unter Angabe von Geschlecht, Geburtstagsdatum, Wohnort, Untersuchungsergebnisse und Gründe für die Untersuchung. Der Name und Geburtstag soll pseudonymisiert werden. Eine Anonymisierung der Daten ist nicht vorgesehen. Diesen Vorgang hält Kelber für einen unverhältnismäßigen Eingriff in in das Recht auf informationelle Selbstbestimmung nach Art. 1 Abs. 1, 2 Abs. 1 GG. Daraus folgt aus seiner Sicht die Verfassungswidrigkeit des Gesetzes. 

Eine Meldung soll zudem auch bei einfachem Verdacht auf Ansteckung erforderlich sein. Wann ein solcher Verdacht zu bejahen ist beschreibt das Gesetz nicht.

Kelber merkt zwar an, dass der Wissenschaft noch wesentliche Erkenntnisse zu Infektionswegen und –gefahr, Erkrankungswahrscheinlichkeit und Wiederansteckungsgefahr zum Virus fehlen. Nach seiner Ansicht würde eine rein statistische Erfassung der erhobenen Daten jedoch völlig genügen, um dem Zweck des Gesetzes gerecht zu werden. Dies insbesondere, weil von gesunden Personen keine Gefahr ausgehe.

Für Unverständnis sorgt ebenfalls, warum nicht auf die Möglichkeit einer Einwilligung der betroffenen zurückgegriffen wird. So würden es auch Universitäten und eine Vielzahl an Institutionen zur Forschung des Virus handhaben. Kelber fehlt es auch hier an einer Begründung für die gewählten Maßnahmen im Gesetz.

Es bestehe die Gefahr, dass die Dokumentation der Daten missbraucht werden könnte. Insbesondere weil Gesundheitsdaten verarbeitet werden, die durch die DSGVO einen besonders hohen Schutz genießen. Nach Art. 9 DSGVO ist die Verarbeitung dieser Daten grundsätzlich untersagt und nur ausnahmsweise zulässig. Die aktuelle Fassung des Pandemiegesetzes lasse jedoch nicht erkennen, warum ein solcher Ausnahmefall gegeben sein könnte.

Parlament lag Stellungnahme von Kelber vor

Letzten Donnerstag hat die erste Lesung zu dem Gesetzesentwurf stattgefunden. Gegenwind bekam der Entwurf nur von einem Abgeordneten der FDP. Dies, obwohl den Abgeordneten die Zweifel von Ulrich Kelber vorlagen. In der Kritik steht nun insbesondre auch die Justizministerin Christine Lambrecht. Die Zweifel an der Verfassungsmäßigkeit des Gesetztes teilt sie nicht. Das Parlament verabschiedet das Gesetzt voraussichtlich noch diesen Donnerstag.

Streit um Videokonferenzsysteme – Microsoft mahnt Berliner Datenschutzbehörde ab

Microsoft Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit wegen der Empfehlungen für Videokonferenzen abgemahnt. Über die Veröffentlichung der Guidelines für Videokonferenzen berichteten wir bereits im April. Die Behörde warnte darin insbesondere vor unbefugtem Mithören, Aufzeichnen und Auswerten der Videoinhalte. Gegenstand der Warnung waren auch die beiden Microsoft-Produkte Skype und Teams. Wie t-online.de berichtete, hat Microsoft die Behörde mit Schreiben vom 5. Mai aufgefordert, „unrichtige Aussagen so schnell wie technisch möglich zu entfernen und zurückzunehmen“. In der Warnung sieht Microsoft eine erhebliche Rufschädigung, die zu einem kommerziellen Schaden führe.

Microsoft wirft der Datenschutzbehörde vor, dass mehrere Annahmen der Guideline faktisch oder rechtlich unzutreffend seien. Die Warnung suggeriere, dass die Produkte nicht nur datenschutzrechtlich, sondern auch strafrechtlich bedenklich seien. Das Unternehmen stört sich insbesondere daran, dass pauschal das Risiko aufgeführt wird, dass bei Videokonferenzen Dritte unbefugt mithören und aufzeichnen. Bei dieser Aussage differenzierten die Guidelines nicht und würden es damit auch auf die Microsoft-Produkte beziehen.

Am 6. Mai veröffentlichte Microsoft eine umfassende Stellungnahme zu den Guidelines. Darin beklagt das Unternehmen, vor der Veröffentlichung der Guidelines nicht angehört worden zu sein. Zudem seien die Produkte im Allgemeinen und Microsoft Teams und Skype for Business Online im Besonderen datenschutzkonform .

Die Stiftung Warentest testete kürzlich mehrere Videokonferenz-Programme. Microsoft erlangte mit Teams und Skype einen Doppelsieg. Allerdings kritisierten die Tester, dass die Datenschutzerklärung „keine ernsthafte Befassung mit der DSGVO erkennen“ ließe.

Mittlerweile hat die Berline Datenschutzbehörde die Warnung von ihrer Website ohne Kommentar gelöscht. Auch andere Landesdatenschutzbehörde befassten sich mit Microsoft-Produkten. So verbat etwa die Hessische Datenschutzbehörde die Nutzung von Microsoft Office 365 in hessischen Schulen und die Baden-Württembergische Datenschutzbehörde riet zum Einsatz von Open-Source-Produkten. Die Datenschutzbehörde NRWs veröffentlichte erst kürzlich „Leitplanken für die Auswahl von Videokonferenzsystemen während der Kontaktbeschränkungen aufgrund der Corona-Pandemie„. Danach sollen Verantwortliche zunächst prüfen, ob sie mit verhältnismäßigem Aufwand einen eigenen Dienst implementieren können. Im Übrigen listet die Behörde mehrere Prüfkriterien für einen datenschutzkonformen Einsatz bestehender Online-Dienste bereit. Ähnliche Kriterien finden sich in der Checkliste des Dokuments „Best-Practice zum Homeoffice“ der Bayerischen Datenschutzbehörde.

Experten warnen vor einer erhöhten Gefahr von Cyberattacken in der Corona- Krise

26. März 2020

Laut IT-Sicherheitsexperten machen sich Kriminelle die momentanen Sorgen und Ängste von Nutzern, hinsichtlich des Coronavirus, zu Nutze.

Demnach würden Kriminelle unter anderem gefälschte E-Mails zu Coronavirus-Themen im Namen der Weltgesundheitsorganisation WHO oder im Namen von Hotelketten, Fluggesellschaften und Fitnessstudios verschicken. Ziel sei es, an die Passwörter der Nutzer zu gelangen.                 Mit Anklicken der in den E-Mails enthaltenen Links werde der Nutzer auf eine Pishing-Seite weitergeleitet oder es lade sich eine Schadsoftware im Hintergrund.

Aber auch das von vielen Arbeitgebern im Zuge der Corona-Krise angesetzte Homeoffice berge laut den Experten große Risiken. Da viele Arbeitscomputer nun dauerhaft außerhalb der Firmennetzwerke liefen, seien diese auch nicht mehr so gut geschützt. Die Experten empfehlen daher Arbeitgebern, die Ihren Mitarbeitern einen Fernzugriff auf das Firmennetzwerk ermöglichen, den Zugang mit einer Zwei-Faktor-Authentifizierung abzusichern – lesen Sie in diesem Zusammenhang auch gerne unseren Beitrag aus der Themenreihe.

Vor allem aber bestehe für öffentliche Gesundheitseinrichtungen ein hohes Risiko, Opfer von Cyberangriffen zu werden. Insbesondere Krankenhäuser seien ein beliebtes Ziel für Attacken mit sogenannten Erpresserprogrammen, die die IT-Systeme verschlüsseln und anschließend ein Lösegeld fordern. Für einige Kriminelle sei gerade die Corona-Krise ein großer Anreiz um Krankenhäuser anzugreifen.