Datenschutz Newsletter März 2023

Hamburg, den 03. März 2023

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

1. Aktueller Trend im Datenschutzes
2. Aktuelles aus dem Datenschutz

1. Aktueller Trend im Datenschutzes

Ich bin, lassen Sie mich diesen Punkt so beginnen, mit einer Entwicklung des Datenschutzes sehr unglücklich. Der ursprüngliche Gedanke des Datenschutzes war, in der Verarbeitung großer Mengen an personenbezogenen Daten durch digitale Technologien, die damit verbundenen Risiken zu kontrollieren. Auf diesem Gebiet hat der Datenschutz bisher nicht viel erreicht. Die globalen Player in der Informationstechnologie ignorieren den Datenschutz in vielfältiger Weise oder finden immer neue Wege, wie man den Datenschutz umgeht. Mit personenbezogenen Daten wird in der digitalen Welt Geld verdient und niemand denkt daran, dieses Geldverdienen beenden zu wollen.

Hingegen hat sich der Datenschutz aber in vielen anderen Feldern zu unserem täglichen Begleiter entwickelt. Wenn wir eine Arztpraxis besuchen, unterschreiben wir erst einmal die Datenschutzerklärung. Und nicht anders ergeht es uns überall, wo wir hingegen. Gefühlt glaubt jeder zu jederzeit gegen Datenschutz und Persönlichkeitsrechte zu verstoßen, und nicht selten erlebe ich, dass Gewerbetreibende völlig unnütze Einwilligungen einholen, nur weil sie Angst haben und auf der sicheren Seite sein wollen. Irgendwie hat der Datenschutz uns hier ein Stück unserer Freiheit genommen, was vor allem daran liegt, dass kein Laie das Fachgebiet Datenschutz wirklich komplett durchschaut.

Besonders seltsam empfinde ich dabei die Entwicklung in den Beschwerdeverfahren und den Verfahren vor den Aufsichtsbehörden. Die meisten meiner Fälle sind gar keine klassischen Datenschutzfälle. Vielmehr geht es um ganz andere Disziplinen, wie Arbeitsrecht, Familienrecht, Kindeswohlgefährdung, Schulrecht, Steuerrecht und sonstige Gesetze. Bei quasi allem, was wir im Leben machen und was passiert, werden in irgendeiner Form auch personenbezogene Daten übertragen. Und dass auf der Grundlage von Gesetzen und Verordnungen. Damit werden alle Abläufe automatisch auch zu Fragen des Datenschutzes. Wird ein in einem Gesetz vorgeschriebenes Verfahren nicht eingehalten oder sind Bedingungen strittig, dann wird die Angelegenheit als Datenschutzbeschwerde geführt. Und damit wird dem Datenschutz eine Rolle zu Teil, in der er eine Art Oberaufsicht über alle Fachgebiete ausübt und diesen attestiert, richtig gearbeitet zu haben (oder eben nicht). Diese Entwicklung finde ich sehr bedenklich und ich weiß nicht, ob der Datenschutz das leisten kann. Als Datenschutzbeauftragter fehlen mir hierbei in einigen Bereichen auch zunehmend die Kompetenzen und Ressourcen. Wenn wir uns in diese Richtung weiterentwickeln, dann wächst das Aufgabengebiet der Datenschutzbeauftragten stark an, was sich am Ende kein kleineres Unternehmen mehr leisten kann. Viele sind bereits jetzt am Limit der Erfüllungsmöglichkeiten von Compliance-Anforderungen, inhaltlich wie finanziell, angekommen. Diese Entwicklung besorgt mich und es fehlt mir ein wenig an Visionen dafür, wie es hier in der Zukunft weitergehen soll. Der Datenschutz als Oberaufsicht über alle betrieblichen Prozesse, auch inhaltlich und vor allem juristisch, war sicher nicht der Ansatz die DS-GVO ins Leben zu rufen.

In einigen, vorwiegend amerikanischen Organisationen, sehe ich hierfür eine neue Struktur entstehen, in der der Titel „Head of Compliance“ oder „Head Legal & Compliance“ zunehmend eingeführt wird. Es wird also eine übergeordnete Stelle geschaffen, welche die finale Entscheidung über allen anderen Disziplinen trifft, so dass dieses nicht mehr beim Datenschutz angelagert ist. Das ist für große Organisationen sicherlich sinnvoll und zeitgemäß. Wie sollen aber kleine Organisationen, die letztlich dasselbe Dilemma in der Praxis haben, diese Anforderung umsetzen. Man kann die Aufgabe nur irgendwo, bei Geschäftsführung, Qualitätsmanagement oder Datenschutz mit angliedern. Anderes bleibt nicht übrig, denn finanzielle Ressourcen für mehr fehlen. Dazu kommt noch, dass in Zeiten des Fachkräftemangels derartig ausgebildete Personen, selbst zu den besten Konditionen, nicht auf dem Markt verfügbar sind. Darüber hinaus fehlt auch immer mehr Zeit für Weiterbildungen, die auf jeder Ebene dringend notwendig wäre. Wie die Compliance der Zukunft daher aussehen wird, erschließt sich mir gegenwärtig noch nicht.

2. Aktuelles aus dem Datenschutz

Ein Bußgeld von EUR 250 Millionen erging kürzlich an WhatsApp. Allerdings wollte man es dort nicht zahlen und klagte. Die Vorgeschichte dazu war die, dass diverse nationale EU Aufsichtsbehörden sich nicht einig in der Bewertung des Vorfalls geworden waren. Daraufhin gab es einen Beschluss des EDSA (Europäischer Datenschutzausschuss), der einen Verstoß feststellte. Hiergegen wandte sich WhatsApp an das EuG, eine Vorinstanz des EuGH. Diese Klage war erfolglos. Beschlüsse des EDSA,  jetzt ist es rechtssicher, können nicht angefochten werden. Juristisch ist das „Warum“ etwas komplizierter, aber die Tatsache klärt ein paar diesbezügliche Fragen auf supranationaler Ebene für den Datenschutz. Ob WhatsApp jetzt zahlen muss ist dagegen weiterhin offen, denn man klagt nun auf anderen Wegen.

Ein anderes Urteil gab es vom Verwaltungsgericht Hannover. Die Landesbeauftragte für den Datenschutz in Niedersachen hatte Amazon in Winsen bei Lüneburg untersagt, ununter-brochen und jeweils aktuell sowie minutengenau Qualitäts- und Quantitätsleistungen der Mitarbeiter*innen zu erheben und zu verarbeiten. Diese Untersagung wurde durch das Verwaltungsgericht Hannover aufgehoben. Grund war nicht die Tatsache, dass hierbei das allgemeine Persönlichkeitsrecht der Mitarbeiter*innen in der Auffassung des Gerichts nicht überwog. Vielmehr musste die Unterlassung aufgehoben werden, weil es hier an einer eindeutigen rechtssicheren Regelung seitens des Gesetzgebers fehlte. Dieses bringt wieder das Thema Beschäftigtendatenschutz auf den Tisch, wo dringend Handlungsbedarf besteht.

Es gibt einen Google Transparenzbericht, falls Sie es nicht wussten. Ob dieser wirklich etwas mit Transparenz zu tun hat. sei einmal dahin gestellt. Jedenfalls kann man diesem Bericht entnehmen, dass Google im Zeitraum Januar bis Juni 2022 weltweit 25.402 Ersuchen für eine Nutzerauskunft erhalten hat, die 45.095 Konten betrafen. Davon wurden 74% beantwortet bzw. es wurde eine Auskunft erteilt. Was für Ersuchen es waren und vom wem diese waren, wird dabei nicht transparent offengelegt. Dennoch kann man sagen, dass ca. 4.150 Auskunftsersuchen an Google pro Monat weltweit, eine sehr geringe Zahl sind. Wenn diese Zahl richtig ist, dann kann keine Rede davon sein, dass Sicherheitsbehörden im große Stil bei Internetkonzernen Nutzerauskünfte einholen.

Ein besonderes Datenleck gab es beim US-Militär. Dort nutzt man, wogegen nichts spricht, die Microsoft Azure Cloud für den Betrieb von E-Mailservern. Ein Server konnte für mindestens 14 Tage, so ein Bericht  bei t3n, von jedermann eingesehen werden. Dafür war nur die IP-Adresse notwendig. Es wurde vergessen ein Passwort zu setzen und der Server war ohne jede Authentisierung erreichbar, also eine 0-Faktor Authentisierung. Ursache war Menschliches Versagen. Es betraf 3 Terrabyte sensibler, aber nicht als hoch-geheim klassifizierter Daten, zum Beispiel den E-Mailverkehr des U.S. Special Operations Command und dergleichen. Für mich klingt das schon sehr dramatisch, aber das US Militär nimmt es gelassen.

Der Bundesdatenschutzbeauftragte (BfDI) hat den weiteren Betrieb der Facebook-Fanpage der Bundesregierung untersagt. Diese Seite hat gut 1 Million Follower. Ob diese auch alle Fans sind, ist eine andere Frage. Spannend wird es jetzt, ob die Bundesregierung sich daran hält oder ihr der BfDI und der Datenschutz, wie meistens, gleichgültig ist. Bisher wurde die Seite nicht abgeschaltet. Es muss sich halt nicht jeder an Gesetze und Anordnungen halten.

Der BfDI teilt ebenso mit, dass er mit Telekommunikations-Dienstleistern im Austausch über einen brancheneinheitlichen Standard für die Authentisierung von Kunden in Callcenter-Gesprächen ist. Erste Unternehmen der Branche nehmen bereits Umstellungen vor. Natürlich muss auch am Telefon sichergestellt sein, dass ein Anrufer auch wirklich der für den Vertrag berechtigte Kunde ist, und kein anderer.

Für M365 haben Juristen der Kanzlei Reuschlaw eine Datenschutz-Folgenabschätzung für Bildungseinrichtungen erstellt. Sie hat fast 40 Seiten und wer Sie lesen möchte, kann das hier tun. Ich habe das Papier gelesen und ich kann dem, um ehrlich zu sein, nichts konkretes abgewinnen. Weitgehend entspricht es auch meinen Ausführungen, aber im Teil der Risiken-Behandlung differiert es dann stark. Dort lese ich einige Dinge, die ich so nicht als praktikabel ansehe noch für notwendig erachte. Andererseits fehlen mir Dinge, insbesondere zu der für Schulen sehr relevanten Problematik von Mobbing in der Zusammenarbeit. Auch frage ich mich, warum Telemetriedaten von US-amerikanischen Anbietern, wenn wir doch jetzt wieder ein Datenschutzabkommen mit den USA haben und die Zusicherungen in den Standartvertragsklauseln absolut DS-GVO konform sind, so verteufelt werden. Für mich hat das etwas von Datenschutzparanoia und setzt an einer komplett falschen Stelle an.

Im Bereich der Online-Werbung startet ein neues Projekt. Es heißt TrustPID und wird von einigen großen Mobilfunkanbietern betrieben. Ziel ist es die Vormachtstellung von Google & Co auf dem Werbemarkt zu brechen. Ansatz ist eine pseudonymisierte personenbezogene Werbung auf Basis einer informierten Einwilligung. Das ganze ist also im eigentlichen Sinne kein neuer Ansatz. Nur der Teil kein Cookie einzusetzen, sondern aus Telefonnummer und IP-Adresse ein Pseudonym zu bilden, welches mit Drittanbietern die Daten austauscht ist neu. Eigentlich ist auch der Ansatz nicht neu, denn wir kennen diesen von den TC-Strings. Aufgrund der Einwilligung, die vorab erfolgt, ist das ganze aus Datenschutzsicht nicht zu beanstanden. Allerdings sehe ich persönlich nicht, wie man damit die Vormachtstellung  der Internetkonzerne angreifen will.

Weiter fraglich ist der Austausch und Transfer von personenbezogenen Daten mit den USA. Der EDSA hat eine weitere Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses abgegeben. Gegenüber anderen solchen Verfahren sieht man deutlich, dass das EU-U.S. DPF (Data Privacy Framework) nicht in jeder Hinsicht der große Wurf ist. Und am Horizont winkt bereits die Klage von Herrn Schrems, die dann vermutlich zu einem baldigen Schrems-III Urteil führen wird.

Bei der Datenübertragung in Drittstaaten hat der EDSA (Europäischer Datenschutz Ausschuss) Leitlinien für die Zertifizierung als Instrument der Übermittlung erlassen. Daneben wurde noch eine andere Richtlinie verabschiedet, welche sich mit irreführenden Designs auf Social Media Plattformen beschäftigt, welche das Verhalten von Nutzern dahingehend beeinflussen, ihre personenbezogenen Daten nicht wirksam zu schützen. Auf die Veröffentlichung dieser Richtlinie bin ich gespannt. Sie soll in kürze erfolgen.

Auch das Bundesverfassungsgericht war tätig und hat etwas auf dem Gebiet Datenschutz entschieden. Dabei wurden Regelungen der Gesetze zur automatisierten Datenanalyse in der vorbeugenden Bekämpfung von Straftaten in Hamburg und Hessen gekippt. Das BVerfG hat entschieden, dass mehrere Regelungen nicht konkret genug sind, der Strafverfolgung zu viel Spielraum geben und gegen die Persönlichkeitsrechte der betroffenen Personen verstoßen. Im Kern geht es hierbei auch um die Frage, ob Polizei & Co mit Hilfe von KI (künstlicher Intelligenz) Profile erstellen dürfen. Wer sich noch an Tom Cruise in „Minority Report“ erinnert – wir sind an diesem Punkt jetzt angekommen!

Das BSI war auch fleißig und hat neue Checklisten für den sogenannten IT-Grundschutz herausgegeben. Es sind so ca. um die 100 Checklisten mit zahlreichen Positionen. Dieses ist natürlich gut, zeigt aber auch gleichzeitig ein Problem auf: Wer soll das abarbeiten und wer bezahlt die Ressourcen, um sich detailliert damit auseinanderzusetzen? Alles wird immer komplexer und die Anforderungen werden immer mehr. Auf der anderen Seite stehen dafür immer weniger Ressourcen zur Verfügung. Diese Entwicklung ist ein Problem.

Einem UN-Expertenbericht zufolge soll Nordkorea im Jahr 2022 mindestens 630 Millionen Dollar durch Cyberkriminalität erbeutet haben. Das lassen wir mal so stehen.

Italiens Cybersicherheitsbehörde warnt vor massiven Ransomware-Attacken über eine Sicherheitslücke Namens „VMware-Lücke“. Das eigentlich interessante dabei ist, dass diese Lücke bereits 2 Jahre bekannt ist und es seitdem auch ein Sicherheitsupdate gibt. Die Zahl der betroffenen Unternehmen ist dennoch hoch, weil offensichtlich viele noch keine Zeit gefunden hatten, dieses Update einzuspielen. Letzteres ist natürlich Sarkasmus. Weiterhin funktioniert die Sache mit der IT-Sicherheit in vielen Unternehmen eher nicht so gut. Jeder, der gewollt hat und sich um IT-Sicherheit kümmert, hat dieses Update eingespielt. Allen anderen war IT-Sicherheit nicht so wichtig. Und das rächst sich dann!

Einem Bericht des BSI nach sind 13 Personen Opfer in einem EC-Karten Phishing geworden und haben Push-Tan Codes an vermeidliche Bankmitarbeiter herausgegeben oder auf falschen Webseiten eingegeben. Eigentlich sollte inzwischen jeder begriffen haben, dass man diese Codes nicht an irgendjemanden, egal wen, gibt. Ebenso munter geht der Telefonbetrug weiter. Hier ist eine neue Masche, dass sich die Betrüger als Anwälte einer Verbraucherzentrale ausgeben.

Und falls noch jemand dieses wissen will: Das globale System vom Toyota wurde kürzlich auch gehackt und der Möbelhersteller Häfele war wegen eines Cyberangriffs eine Zeitlang offline. Es ist also alles wie immer in der digitalen Welt.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Über die Themen des nächsten Newsletter habe ich mir noch keine Gedanken gemacht. Wir können aber sicher sein, dass bis dahin viele spannende Dinge passieren, über die man schreiben kann.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

IMPRESSUM:

Tobias Lange – Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de