|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
|
|
| Hamburg, den 03. Januar 2022 |
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
| Liebe Kund*innen und Abonnent*innen des Newsletters, |
| ich freue mich, Ihnen die erste Ausgabe des Newsletters im neuen Jahr präsentieren zu dürfen und hoffe, dass Sie alle frohe Festtage und einen guten Rutsch hinein in das Jahr 2022 hatten. Hoffen wir, dass in diesem Jahr die Normalität zurückkommt und wir uns nicht weiter von Welle zu Welle kämpfen. Ich habe heute auch nur zwei Themen im Newsletter: |
- Datenschutz auf Webseiten
- Ein kurzer Rückblick auf den Datenschutz in 2021
|
1. Datenschutz auf Webseiten
| Das Jahr startet mit einer Thematik, die sich aus dem neuen TTDSG, ab 1.12.2021 in Kraft getreten, ergibt, und die man sehr ernst nehmen muss. Um es von hinten aufzurollen: Im §28 des neuen TTDSG steht, dass bei Verletzung des §25 selbigen Gesetzes Bußgelder bis zu 300.000 Euro verhängt werden können. Zuständig ist der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Daneben ist noch völlig ungeklärt, ob Verstöße gegen §25 TTDSG auch den Verstoß einer Marktverhaltensregel beinhalten und damit abmahnfähig im Sinne des Wettbewerbsrechts sind. Das hat Sprengstoff und betrifft quasi jede Organisation, denn alle haben zu mindestens eine Webseite. Natürlich bezieht sich der Paragraf nicht nur auf Webseiten, aber ich möchte hier nur diese betrachten. |
| Die brennende Frage ist dann die, was in diesem §25 TTDSG genau steht. Vereinfacht steht darin, dass jeder, der eine Webseite betreibt, mit dieser technisch nur Informationen auf einem Endgerät eines Nutzers speichern oder Informationen von einem Endgerät eines Nutzers weg übertragen darf, wenn einer von zwei nachfolgenden Fällen vorliegt: Entweder es ist für die vom Nutzer erwünschte Leistung zwingend erforderlich oder es liegt eine Einwilligung vor, welche den Vorgaben der Verordnung der EU 2016/679 entspricht. Dabei ist „Information“ nicht mehr an ein personenbezogenes Merkmal gebunden, wie es bisher mit der DS-GVO als Grundlage der Fall war, sondern es bezieht sich auf alle Daten, gleich welcher Art. |
| Es wird schwierig, denn es ist nicht immer klar abzugrenzen, wann eine Technik für die erwünschte Leistung eines Endnutzers zwingend erforderlich ist oder auch mit milderen Mitteln ein gleichwertiges Ziel erreicht werden kann. Es wird aber auch schwierig, wie eine Einwilligung nach EU 2016/679 inhaltlich gestaltet sein muss. Das ist eine Problematik, die auch im Rahmen der DS-GVO bereits besteht. Und es wird noch komplizierter, da die DSK (Datenschutzkonferenz) zum TTDSG eine Auslegung veröffentlicht hat. Hiernach muss dem Nutzer ersichtlich werden, dass er ggf. eine gebündelte Einwilligung (nach TTDSG und nach DS-GVO zusammen) tätigt. Wie die DSK zu diesem Schluss gekommen ist, weiß ich persönlich nicht, noch habe ich eine Idee, wie das in der Praxis genau aussehen soll. Immer einen Text anzuhängen wie „Dieses ist eine gebündelte Einwilligung nach Art. 6 Abs. 1. lit a.) DS-GVO und §25 Abs. 1. TTDSG“ wird den Nutzer nur verwirren. Ob es hingegen ausreichend ist, dass dem Nutzer bei Einwilligung bewusst ist, dass sowohl personen-bezogene wie andere Daten erhoben werden, bleibt offen. Die nächsten Monate werden das klären. Sicher hingegen ist, dass Einwilligungen mit Texten wie „Wie verwenden Cookies“ etc. ungenügend sind. |
| Um die Sache nicht zu kompliziert zu machen: Wer eine gewöhnlich Webseite betreibt, der darf fortan gar keine Skripte, Cookies oder Techniken verwenden, die Informationen auf dem Endgerät speichern oder von einem Endgerät Informationen an sich oder Dritte übertragen. Tut man es dennoch, muss man eine Einwilligung einholen, die vorab klar über den Zweck, die Art und Menge der Information, Empfänger sowie Risiken für den Nutzer informiert. Anderenfalls riskiert man ein Bußgeld oder vielleicht auch eine Abmahnung. Ich kann daher nur dringend empfehlen Webseiten am besten ganz ohne (dritte) Skripte und Cookies zu betreiben. Für den autonormal Webseitenbetreiber, der mit seiner Seite über das eigene Unternehmen, Produkte und Leistungen informieren will, besteht dafür zwingend keine Notwendigkeit. |
| Die Einführung des TTDSG bedeutet ferner nicht, dass die DS-GVO von diesem nun in gewissen Punkten abgelöst wird. Vielmehr bestehen beide Gesetze nebeneinander und sind unabhängig voneinander einzuhalten. Es können, und das wird in der Praxis sehr häufig der Fall werden, beide Anforderungen auf einen Sachverhalt zutreffen. Entsprechend kann man auch nach beiden Gesetzen belangt werden, wenn man diese nicht erfüllt. Unklar bleibt dabei weiterhin das sogenannte Geschäftsmodell einer „Paywall“ in Hinblick auf die Freiwilligkeit einer Einwilligung. Dieses muss die Rechtsprechung klären. Ebenso fraglich ist weiterhin, wie das so genannte „Fingerprint-Tracking“ technisch erkannt und nachgewiesen werden kann. Dennoch stärkt das neue TTDSG die Datenschutzrechte der Endnutzer im Internet auf breiter Front. Das Gesetz verbietet eigentlich jede Praktik einer nicht zwingend notwendigen Datenerhebung im Netz ohne Einwilligung. Es wird aber maßgeblich darauf ankommen, dass das Gesetz auch konsequent umgesetzt wird und entsprechende Vergehen von den Aufsichtsbehörden und Gerichten auch geahndet werden. Hier gibt es auch zur DS-GVO immer deutlichere Rechtsprechungen, so dass Hoffnung dahingehend besteht. |
| In einem aktuellen Fall wurde kürzlich auch die DS-GVO in Bezug auf Webseiten gestärkt: Die 6. Kammer des Verwaltungsgerichts Wiesbaden hat am 1. Dezember eine vorläufige Verfügung erlassen, wonach der Hochschule RheinMain die Nutzung des Tools Cookie-Bot (www.cookiebot.com) untersagt wird. Cookie-Bot ist ein Einwilligungstool in Form eines Popup-Fensters beim Betreten von Webseiten. Also eines dieser Einwilligungsformular-Tools, die wir alle kennen, und wo man zwischen Cookies Ablehnen und Akzeptieren wählen kann. In der Verfügung heißt es: „Der Cookie-Dienst verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Daten-übermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.“ |
| Wenn man sich Cookie-Bot einmal näher anguckt, stellt man folgendes fest: Cookiebot gehört zur Firma Cybot, welche in Dänemark sitzt und somit der DS-GVO unterliegen sollte. Das ist hier aber nebensächlich, da es maßgeblich darauf ankommt, wohin die Daten transferiert werden. Löst man die Domain in eine IP-Adresse auf und trackt den Server, so stellt man fest, dass die Server von Cookiebot in Portland USA stehen. Guckt man sich dann das Cookie-Bot Tool an, das Cookiebot.com auch auf seiner eigenen Webseite einsetzt, stellt man zwei Dinge fest: Auch wenn man Ablehnen drückt, wird trotzdem Google Analytics samt Cookie geladen. Das Tool ist auf der eigenen Seite entweder falsch konfiguriert oder funktioniert nicht. Und die andere Sache ist die, dass das Tool keineswegs nur einen „True or False“ Wert für das Cookiebanner speichert, wie meistens üblich, sondern einen individuellen Schlüssel, der in die USA übertragen wird, und mit dem ein Nutzer der Webseite, wo es eingebaut ist, getrackt werden kann. |
| Die Entscheidung des VG Wiesbaden ist somit nachvollziehbar und richtig. Cookie-Bot steht mit dieser Praktik letztlich aber nur stellvertretend für das Problem von Tracking auf Webseiten ohne korrekte Einwilligung. Der Fall ist exemplarisch für quasi 80% bis 90% aller Webseiten im Netz. Mit dem TTDSG kann jetzt recht unkompliziert ein Bußgeld von bis zu 300.000 Euro fällig werden. Nach der DS-GVO, wenn diese zusätzlich greift und der Personenbezug nachgewiesen werden kann, noch mehr. Und es wird kaum mehr Spielraum für die Aufsichtsbehörden geben, keine Bußgelder zu verhängen. Somit nochmals mein klarer Rat: Als autonormal Webseitenbetreiber am besten keine Tracking Tools, Skripte und Cookies mehr einsetzen. Es ist nicht notwendig und das Plus dabei ist zusätzlich: Es bedarf keines Einwilligungsfensters beim betreten der Webseite, wenn man nichts zum Einwilligen hat, und jeder Nutzer freut sich dann endlich mal nicht diese nervigen Einwilligungen abzuarbeiten, bevor man auf eine Webseite kommt. |
2. Ein Rückblick auf den Datenschutz in 2021
| 2021 stand im Zeichen von Corona. Das galt auch für den Datenschutz. Zum Teil, und ich bin da ganz ehrlich, hat es mich selbst auch ziemlich angefressen. Gefühlt jede Woche eine neue Rechtsgrundlage, auf der personenbezogene Gesundheitsdaten erhoben und gespeichert werden, und gefühlt alle zwei Tage ein neuer Fall in der Praxis, wo es kompliziert wurde. Das ging hin bis zur Verarbeitung von Wärmebilddaten aus „Fieber-Prüfgeräten“ beim Betreten der Mitarbeiter*innen von Unternehmensräumen. So viel Tagesgeschäft an konkreten Fallanfragen aus meinen Klienten heraus kam in den Vorjahren nicht auf mich zu. In sofern war 2021 wirklich anders. Man muss aber auch sagen, dass es nicht der Datenschutz war, wie man es derzeit häufig in den Medien hört, der den Gesundheitsschutz beeinträchtigt hat. Der Datenschutz ermöglicht jede Verarbeitung von personenbezogenen Daten, wenn es dafür eine gesetzliche Grundlage gibt. Es war der Gesetzgeber, der für die Praxis unausgegorene, häufig nicht richtig durchdachte Bestimmungen erlassen hat. Ob das, wegen des zeitlichen Drucks nicht besser ging, sei dahingestellt. Aber in jedem Fall ist es nicht richtig dem Datenschutz hier die Schuld zu geben. |
| Es ging in 2021 aber nicht nur um Corona. Es gab auch das ganz normale Datenschutz-geschäft. Es ist nicht nur so, als Beispiel, wie ich häufig schreibe, dass man im Datenschutz, genau wie im Fußball, immer mit den Bayern rechnen muss. Auch der VFB Stuttgart hat sich 2021 hervorgetan. Gleich zu Jahresanfang bekam der Verein von der Datenschutzaufsicht Baden-Württemberg ein Bußgeld über EUR 300.000. Der Sachverhalt dahinter ist folgender: Man hatte einen DSB intern bestellt. Dieser hatte keine Ahnung von Datenschutz und hat sich auch nie darum gekümmert. Er war einfach nur auf dem Papier da, weil jemand auf dem Papier da sein musste. Ansonsten kümmerte sich auch keiner um den Datenschutz. Datenschutz war allen egal, auch den Verantwortlichen. Schließlich geht es um die höhere Sache „Fußball“ und nicht um Datenschutz, und merken und interessieren tut Datenschutz doch eh keinen. Und dann bewahrheitete sich dieses Zitat von Rudi Assauer, einem Urgestein des Fußballs: „Wenn der Schnee schmilzt, dann siehst Du, wo die Sche*ße liegt!“ Der Schnee schmolz, die Aufsichtsbehörde guckte auf den grünen Rasen und sah wohl viele braune Häufchen. Und dann kam der Bußgeldbescheid. – Was wir alle daraus lernen müssen ist, dass Datenschutz zu mindestens etwas ernst genommen werden muss. Ansonsten bekommt man ein Problem. Und das möchte ich allen Kunden ans Herz legen: Man kann nicht immer perfekt sein, aber die Absicht es ernsthaft versucht zu haben, auch wenn es manchmal nervt, zählt! |
| Quer durch das Jahr 2021 zog sich das Thema Videokonferenz, digitale Prüfungen und Distanzunterricht. Dabei kam es zu interessanten Umsetzungen, anders kann man es nicht sagen. Viele Stellen versuchten sichere und datenschutzkonforme Lösungen für Online-Wahlen und Online-Prüfungen zu schaffen. Einiges davon erinnerte an TV-Klassiker wie „Minority Report“ oder George Orwells Roman „1984“. An manchen Universitäten und Schulen witterte man schon im Vorfeld das Verbrechen und wurde wirklich sehr kreativ in der Überwachung zu Zwecken des „Unmöglichmachens von Mogeln“ bei Online-Klausuren. Wenn man von Möglichkeiten des Mogelns bei Videokonferenzen, davon gibt es zahlreiche, einmal absieht, zeigten sich die meisten Probleme im menschlichen Versagen im Umgang mit der Technik. Wenn wirklich etwas schief ging, fremde Personen im Online-Distanzunterricht auftauchten, es zu Mobbing kam, sensible Daten auf den Bildschirmen auftauchten, spärlich bekleidete Angehörige im Hintergrund erschienen oder Schüler*innen ohne Admin waren, war es stets immer mangelnde technische und fachliche Ausbildung der Verantwortlichen für die richtige Handhabung der Anwendung. Der Weg der Digitalisierung an unseren Schulen ist noch lang. Das gilt insbesondere auch für den Datenschutz. In 2021 sind viele Datenschutzaufsichtsbehörden, darunter auch die Hamburger Behörde, Datenschutzthemen an unseren Schulen schärfer angegangen. Geholfen hat das nicht viel. Neben einigen rechtlichen Rahmenbedingungen kam wenig dabei heraus. Die Schulen und Lehrkräfte, gerade in der Pandemie sowieso schon überfordert, sind mit dem Thema Datenschutz und digitale Sicherheit von der Schulbehörde alleine gelassen worden. Datenschutz, in Bezug auf digitale Anwendungen an unseren Schulen, ist auch in 2021 wieder ein großes Problem gewesen und wird es weiterhin bleiben. Damit meine ich nicht jede IP, die man vielleicht auf ein Kind, zu mindestens theoretisch, rückverfolgen könnte. Ich meine vielmehr Anwendungen wie „padlet.com“, die im großen Stil in der Free-Version genutzt wurden und die Erstellung hochqualifizierter Profile unserer Kinder ermöglichen. Diese haben ein sehr hohes Risiko für erfolgreiche personifizierte kommerzielle oder auch andere Angriffe. Kompetenzen solche Anwendungen zu verstehen und richtig bewerten zu können, gibt es an unseren Schulen so gut wie gar nicht. Lehrkräfte sind damit komplett überfordert und tätigen diese Einschätzungen nach Intuition, anstatt nach wissenschaftlicher Methodik. Leider hat 2021 uns das sehr bewusst vor Augen geführt und ich sehe es mit Besorgnis, dass es bei der Ausbildung von Lehrkräften hier sehr große Mängel gibt. |
| Datenschutz von Kindern und Jugendlichen im Internet generell war ein Thema, dass mich in 2021 persönlich weiter beschäftigt hat. Ich versuche hier bereits über die ganzen letzten Jahre Ansätze zu finden, Jugendschutz mit Hilfe des Datenschutzes im Internet zu verbessern. Leider gelingt es mir nicht, und gerade in Zeiten der Pandemie noch weniger als sonst. Wenn überhaupt eine verantwortliche oder staatliche Stelle sich mit den von mir eingereichten Anfragen und Verfahren befasst, dann nur noch mit der Mitteilung einer Vertröstung bei der Bearbeitung. Das gilt neben dem Jugendschutz auch für die Umsetzung von barrierefreien Informationszugang im Web für Personen mit Beeinträchtigungen. Auch hier tut sich nichts. Manche Verfahren liegen schon Jahre herum und ich habe kaum Hoffnung, dass jemals jemand sich ernsthaft damit befassen wird. Auch diese bittere Erkenntnis hat 2021 gebracht. Wir haben zwar viele Schutzbestimmungen gesetzlich verankert, aber am Ende werden sie mangels Personal und Finanzmitteln nicht umgesetzt. |
| Im Ausblick für 2022 wünsche ich mir, dass nicht mehr Corona jeden Tag auf der To-Do-Liste erscheint. Ich würde lieber wieder mehr andere Themen bearbeiten und vor allem wieder mehr Präsenztermine und Präsenzschulungen abhalten. Online-Zusammenarbeit und Online-Schulungen haben während der Pandemie sehr gut funktioniert und werden auch für viele Kunden weiterhin das Mittel der Wahl bleiben. Diese Form der Zusammenarbeit wird auch die vorherrschende in der Zukunft sein. Aber sich ab und zu mal persönlich zu sehen, hat auch etwas für sich. So bin ich für einige Kunden schon zwei Jahre tätig und habe sie noch nie persönlich getroffen. Es fühlt sich schon etwas eigenartig an. Es wäre schön, wenn 2022 hier mehr Spielraum bringen würde. |
|
| Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. ich wünsche Ihnen allen ein frohes neues Jahr und erfolgreiches 2022. |
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de |
|
|
|
|
|
|
