Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter (DSB) |
| Externer IT-Sicherheitsbeauftragter (ISB) |
|
|
|
|
|
| Hamburg, den 01. September 2022 |
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
| Liebe Kund*innen und Abonnent*innen des Newsletters, |
| ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie: |
- Bußgelder in Deutschland und im europäischen Vergleich
- Aktuelles aus dem Datenschutz
|
1. Bußgelder in Deutschland und im europäischen Vergleich
| Es war die niedersächsische Datenschutzbeauftragte, die gleich zweimal zugeschlagen hat, und weswegen ich jetzt einmal einen Blick auf Bußgelder und die Verfahren dahinter werfen möchte: |
| Es wurde zum einen in Niedersachsen ein Bußgeld in Höhe von EUR 900.000,– gegen ein Kreditinstitut festgesetzt. Aus der Pressemitteilung geht leider nicht hervor, gegen welches Kreditinstitut und ob dieses Einspruch erhoben hat. Der zugrunde liegende Sachverhalt ist aber recht simpel: Es wurden Kundendaten in großer Zahl für eine Profilbildung zu Zwecken von Online-Werbung genutzt. Hierfür holte sich das Kreditinstitut keine Einwilligung ein, sondern informierte lediglich die Kunden im Kleingedruckten darüber, dass sie es auf Grundlage eines berechtigten Interesses (Art. 6 Abs. 1 lit. f.) DS-GVO) so tun. Dass das so nicht legitim im Sinne des Datenschutzes ist und eine Einwilligung notwendig gewesen wäre, ist eigentlich bekannt. Darüber, warum deren DSB diesen simplen Sachverhalt nicht wusste oder ob man es bewusst ignorierte, spekulieren wir mal nicht. Das Kreditinstitut kooperierte jedenfalls im Verfahren und hat diese Praxis von Online-Werbung inzwischen eingestellt. |
| Viel interessanter ist aber ein Bußgeld gegen den Volkswagen-Konzern über 1,1 Millionen Euro. VW hat das Bußgeld akzeptiert und vermutlich aus der Portokasse beglichen. Der Fall dahinter ist interessant und man würde nicht ohne weiteres darauf kommen: Ein Testfahr-zeug von VW zur Erprobung eines Fahrassistenzsystems mit zahlreichen Aufbauten am Auto, darunter vor allem Kameras in alle Richtungen, fuhr durch das schöne Österreich. Warum es unbedingt durch Österreich fahren musste, wissen wir nicht. Bei Salzburg wunderte sich jedenfalls eine Polizeistreife über das Auto und fragte sich, was das ist. Sie hielten das Testfahrzeug an und befragten den Fahrer, wer er ist und was er da macht. Der Fahrer erklärte es und die Polizisten wussten danach nicht, ob das so in Ordnung ist oder nicht. Daher schrieben sie einen Bericht, der letztlich an die österreichische Datenschutz-aufsicht ging. Diese informierte die niedersächsische Datenschutzbeauftragte und die eröffnete ein Verfahren gegen Volkswagen. Interessant wird es jetzt, denn die niedersächsische Behörde sagt, dass grundsätzlich nichts gegen eine solche Testfahrt spricht, aber! Auf das „Aber“ kommt es an: |
- Am Auto hätten deutlich sichtbar Schilder mit einem Kamerasymbol und einem Datenschutzhinweis angebracht sein müssen. Der Datenschutzhinweis muss die verantwortliche Stelle, den Zweck der Aufzeichnungen, die Löschung und die Rechte der betroffenen Personen, also der anderen Verkehrsteilnehmer, beinhalten. Ich frage mich hier, ob man das Auto dann damit komplett überzieht oder den Text so klein macht, dass kein anderer Verkehrsteilnehmer ihn lesen kann? Und ob man das ganze auf jeder Seite anbringen muss? Und ob im Vorbeifahren überhaupt jemand so schnell lesen kann? Ich habe viele Fragen, die sich mir hier stellen. Jedenfalls soll das Testfahrzeug solche Magnettafeln mit Hinweisen auch gehabt haben. Allerdings lagen diese nur im Kofferraum. Der Fahrer hatte vergessen diese anzubringen. Menschliches Versagen, ohne dass es vielleicht nie zu diesem Fall gekommen wäre.
- Es stellte sich in der Prüfung dann ferner heraus, dass die Durchführung der Testfahrten von einem Subunternehmen gemacht wurden, dass die Fahrten im Auftrag von VW durchgeführt hat. Hierfür war kein AVV (Auftragsverarbeitungsvertrag) geschlossen worden.
- Darüber hinaus wäre für diese Art der Speicherung und Verarbeitung personen-bezogener Daten eine Datenschutz-Folgenabschätzung (DSFA) notwendig gewesen. Diese hatte Volkwagen nicht getätigt.
- Volkswagen hatte ferner das VVT (Verzeichnis der Verarbeitungstätigkeiten) an die Aufsichtsbehörde übermittelt und diese bemängelt, dass darin die technischen und organisatorischen Maßnahmen zum Schutz der aufgezeichneten Daten nicht genannt worden waren. Dieses wurde als Verstoß gegen die Dokumentationspflicht gewertet.
| Es gibt also vier klare Verstöße aus Sicht der Aufsichtsbehörde. Und dem folgt ein bemerkenswerter Satz, den ich zitiere: „Diese vier Verstöße haben jeweils einen niedrigen Schweregrad.“ An dieser Stelle habe ich kurz mit den Augen gerollt und das dann mal so zur Kenntnis genommen. Ein schlampiges VVT, das Fehlen eines AVV und einer DSFA sowie vergessene Hinweise am Auto sind für die niedersächsische Behörde ein niedriger Schweregrad. Das werde ich demnächst dann auch so argumentieren. 😉 |
| Bevor ich zu Bußgeldern in anderen EU-Ländern komme, bleiben wir noch kurz im Norden Deutschlands. Der Hamburgische Beauftragte für den Datenschutz und die Informations-freiheit hatte im September 2021 ein Bußgeld gegen Vattenfall in Höhe von 901.389,00 Euro verhangen. Vattenfall Europe Sales hatte gegen Informationspflichten verstoßen. Dieses in Bezug auf eine fehlende Information für Neukund*innen in einer bestimmten Sonderaktion, dass diese auf ihr Anbieter-Wechselverhalten in ihrer Kundenhistorie hin überprüft würden. Die Überprüfung an sich war rechtlich vertretbar, jedoch fehlte die Information darüber. Also eine Verletzung der Transparenzpflichten. Vattenfall hat den Bußgeldbescheid akzeptiert. |
| In Bremen wurden im März 2022 1,9 Millionen Euro Bußgeld gegen die BREBAU GmbH festgesetzt, die rechtswidrig Daten von Mietinteressent*innen gespeichert und verarbeitet hatte. Es handelt sich um einen moralisch mehr als fraglichen Fall. Ich zitiere aus der Pressemitteilung: „Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich. Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand. Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.“ Einfach ausgedrückt: Man bekam eine Wohnung bei der BREBAU nur, wenn man die richtige Hautfarbe hatte, gut roch und regelmäßig zum Friseur ging. Mir fehlen da die Worte! |
| Spanien hat der Amazon Rod Transport Spain S.L. im Februar 2022 glatte 2 Millionen Euro Bußgeld aufgedrückt. Dort wurden Nachweise der Mitarbeiter*innen über Vorstrafen unrechtmäßig verarbeitet und auch in die USA transferiert, ohne dass hierfür geeignete Garantien nach Art. 46 DS-GVO vorlagen. Man tat dieses immer noch auf Grundlage des inzwischen lange gekippten EU-US-Privacy-Shield Abkommens. Amazon kann sich das Bußgeld sicher leisten. Im Mai diesen Jahres haben die Spanier ferner einen Bußgeldbescheid über 10 Millionen Euro gegen die Google LLC wegen unzulässiger Übermittlung personenbezogener Daten erlassen. Die Irländer hatten diese Summe im März des Jahres schon getoppt und einen Bußgeldbescheid über 17 Millionen Euro gegen den Meta-Konzern (Facebook) erlassen. Die anderen EU-Länder hatten Irland dazu gedrängt, die eigentlich gar nicht so recht wollten. |
| Die Niederlande hatten Ende des Jahres 2021 ein Bußgeld in Höhe von EUR 400.000,– gegen die Fluggesellschaft Transavia erlassen. Grund war ein Hackerangriff, in welchem die Daten von 83.000 Passagieren heruntergeladen worden waren. Der Zugriff erfolgte über zwei Konten der IT-Abteilung des Unternehmens, die nur mit leicht zu erratenen Passwörtern und ohne Zwei-Faktor-Authentisierung geschützt waren. Ganz ohne Passwortschutz konnte man in Finnland auf die Datenbank eines großen Psychotherapiezentrums zugreifen. Ein Port der SQL-Datenbank war nicht gesichert und die Datenbank insgesamt nicht mit einer Firewall geschützt. Ein unbekannter Dritter drang ein, stahl die Gesundheitsdaten der Patienten und forderte Lösegeld. Für diese Nachlässigkeit hat die finnische Aufsicht Ende 2021 EUR 608.000,– an Bußgeld festgesetzt. |
| Wir könnten noch einige Zeit so weiter machen: Die Dänen haben kürzlich ein Bußgeld gegen die Den Danske Bank erlassen, die Polen gegen die Santander Bank, die Schweden gegen die Klarna Bank, Frankreich gegen ein Gasunternehmen, Griechenland gegen zwei Telekommunikationsunternehmen und Italien satte 26,5 Millionen Euro gegen einen Energiekonzern wegen zahlreicher Verstöße, darunter auch aggressives rechtswidriges Telefonmarketing. Es ist nicht so, dass die Aufsichtsbehörden nichts tun und die großen Konzerne nicht entsprechend angehen. Das wenigste davon landet aber in der Presse oder wird in der Öffentlichkeit wahrgenommen. |
2. Aktuelles aus dem Datenschutz
| Zuerst ein Sicherheitshinweis: Das BSI (Bundesamt für die Sicherheit in der Informationstechnik) warnt offiziell vor ABUS Funk Türschlössern Modell HomeTec Pro CFA3000. Dieses ist eines der ehemals beliebtesten Funktürschlösser in Deutschland. Seit gut einem Jahr gibt es für dieses Schloss ein Nachfolgemodel und das HomeTec Pro CFA3000 wird selbst nicht mehr vertrieben. Natürlich ist es aber noch in großen Mengen im Einsatz. ABUS bestätigt die Sicherheitslücke, welche das Verriegeln und Entriegeln durch Personen in der Nähe ermöglicht, und stellt dafür keinen Fix bereit. Das BSI empfiehlt den umgehenden Austausch dieser Schlösser. |
| In eigener Sache muss ich berichten, dass es in den letzten zwei Monaten deutlich mehr Datenschutz-Anfragen zu beantworten gab. Gewöhnlich habe ich jeden Monat ca. 4 Fälle von Auskunftsersuchen und Beschwerden auf dem Tisch. Also ca. einen Fall die Woche. Im Juli waren es hingegen 16 Stück, was einen neuen Rekord darstellte. Dieses war nicht allein Google Fonts in Webseiten geschuldet, sondern es gab auch mehr Anfragen im Zusammenhang mit arbeitsrechtlichen Sachverhalten. Im August waren es 9 Fälle. Es ist also eine deutliche Zunahme in der Geltendmachung von Datenschutzrechten festzustellen. Ich bin gespannt, ob diese Zahlen so anhalten werden. Erfreulich dabei ist, dass es nach jetzigem Stand danach aussieht, dass keiner der Fälle dieser beiden Monaten eskalieren wird. |
| Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) schließt sich einer Stellungnahme des EDSA (Europäische Datenschutzausschuss) und der EDPS (Europäische Datenschutzbeauftragte) an und kritisierte aufs schärfste den Entwurf der EU-Kommission zu einer Verordnung zur Prävention und Bekämpfung des sexuellen Missbrauchs von Kindern. Dieses ist ein kompliziertes Thema und selbstredend stellt niemand den Schutz von Kindern und eine funktionierende Strafverfolgung auf diesem Gebiet in Frage. Zitat des BfDI: „Die sogenannte Chatkontrolle bietet kaum Schutz für Kinder, wäre aber Europas Einstieg in eine anlasslose und flächendeckende Überwachung der privaten Kommunikation.“ Ich würde diese Einschätzung auch ganz klar teilen. Schutz, Aufdeckung und Verfolgung von sexuellen Missbrauchsdelikten an minderjährigen Schutzbefohlenen im Internet ist eine sehr komplexe Sache. Eine anlasslose, komplette Chatkontrolle aller Messenger und Dienste ist hierfür nicht hilfreich noch auswertbar. Es geht der EU-Kommission offensichtlich um andere Ziele, die man unter diesem Mantel umsetzen will. |
| Der BfDI, wenn wir schon bei diesem sind, hat in einer anderen Pressemitteilung nochmals bemängelt, dass Deutschland weiterhin nicht die so genannte JI-Richtlinie vollständig umgesetzt hat. Hiermit ist die EU-Richtlinie 680 aus 2016 gemeint, welche sich auf den Datenschutz in der Strafverfolgung und dem Strafvollzug bezieht. Es wurde dazu auch inzwischen ein Vertragsverletzungsverfahren der EU gegen Deutschland eröffnet. |
| Das BSI berichtet über Sicherheitsmängel und Angriffe auf sogenannte kritische Infrastruktur. Diese Berichte mehreren sich von verschiedenen Seiten und es muss gesagt werden, dass die Sicherheitsmängel hier vor allem in den Steuerungseinheiten von Industriegeräten liegen. Es wurde in der Industrie vor allem die Sicherheit der Verwaltung investiert, jedoch sehr wenig die Sicherheit der „Industrial Controlled Panels (ICS)“. Damit sind die Steuergräte und Industriegeräte selbst gemeint. Diese sind meistens älter und haben entsprechend alte Chips wie Prozessoren mit wenig Speicherplatz und wenig Sicherheitstechnik. Viele Anlagen waren nie dafür entworfen worden ans Internet angeschlossen zu werden. Die Chips in solchen Anlagen sicher(er) zu machen, wäre theoretisch nicht schwierig. Es würde aber sehr hohe Investitionen erfordern. Und da liegt dann leider das Problem. |
| Es gibt eine europäische Datenbank für gestohlene Ausweispapiere (iFado). Die Süddeutsche Zeitung berichtet, dass Hackern offensichtlich der Zugriff auf diese Datenbank gelungen ist und Einträge dieser Datenbank im Darknet angeboten wurden. |
| Das Medienhaus heise-online berichtet über 5,4 Millionen gestohlene Nutzer*innendaten von Twitter-Accounts. Hierin enthalten sind auch die Klarnamen der Nutzer*innen hinter den jeweiligen Accounts. Die Daten wurden über eine inzwischen schon geschlossene Sicherheitslücke bereits im Januar gestohlen und sind jetzt im Darknet zum Verkauf aufgetaucht. |
| Der Dienst „Silicon“ berichtet über eine veränderte Voreinstellung bei Windows 11, welche den Schutz vor Brute-Force Attacken auf das RDP (Remote Desktop Protocol) sehr deutlich erschwert und so für mehr Sicherheit sorgt. Diese Richtline gibt es inzwischen auch für Windows 10, ist dort aber werksseitig inaktiv. Die Aktivierung ist zu empfehlen. |
| Auch der EuGH hat mal wieder etwas zum Datenschutz beigetragen: Grundsätzlich sind Namensdaten ja nicht besonders schutzwürdig. Der EuGH hat jetzt aber entschieden, dass dieses auch anders sein kann. Nämlich dann, wenn diese Namensdaten, wie wir es alle zum Beispiel aus der Steuererklärung kennen, irgendwo als „Angaben zur Lebenspartner*in“ gemacht werden. Dann können diese Daten Rückschlüsse zur sexuellen Orientierung geben. Ist das der Fall, dann fallen diese Daten unter Art. 9 DS-GVO und sind besonders schutzwürdig zu behandeln oder dürfen so ggf. gar nicht erst erhoben werden. |
| Das BSI sieht in der 2-Faktor-Authentisierung einen sehr effektiven Schutz gegen Hacker und empfiehlt dieses Verfahren möglichst für alle digitalen Konten anzuwenden. Viele Hacker geben bei einem solchen Schutz auf oder können mit ihren traditionellen Methoden keinen Erfolg mehr erzielen. Ich kann auch nur jedermann empfehlen, 2-Faktor-Authentisierung als Schutz immer zu aktivieren. |
| Laut einem Artikel im Spiegel gab es bei Zoom für Mac eine Sicherheitslücke und alle Besitzer eines Apple Mac sollten dringend ihre Zoom-App updaten. Gut 100 Karten-bezahlgeräte im Besitz des Landes Mecklenburg-Vorpommern, insbesondere in Museen, sind derzeit nicht einsetzbar und es muss mit Bargeld bezahlt werden. Das Android-Betriebssystem der Geräte hatte eine Sicherheitslücke und eine Schadsoftware wurde darüber installiert. Und so könnte man jetzt noch seitenlang mit dem ganz normalen Wahnsinn der digitalen Welt weitermachen. |
|
| Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter wird es mal wieder um das leidige Thema Datentransfer in die USA bzw. die Nutzung von digitalen Diensten amerikanischer Unternehmen in der EU gehen. |
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
| Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.
Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar. |
| Tobias Lange – Unternehmensberater |
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de |
|
|
|
|
|
|
