|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
|
|
| Hamburg, den 01. März 2022 |
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
| Liebe Kund*innen und Abonnent*innen des Newsletters, |
| ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie: |
- Datenschutz und digitales Erbe
- Neues Urteil zum Datenschutz auf Webseiten
- Herausgabe digitaler Daten bei Hass und Hetzte
- Aktuelles aus dem Datenschutz
|
1. Datenschutz und digitales Erbe
| Wir wissen leider alle, dass das Leben für uns endlich ist. Und nicht jeder, so tragisch das auch ist, erreicht mit Sicherheit das wohlverdiente hohe Alter. Es kann jeden jederzeit treffen. Ganz gleich wann es einen trifft, der Nachlass verbleibt für die Erben. Die Erben sind im Regelfall die Kinder oder nahe Verwandte, die unsere Angelegenheiten dann einem Ende zuführen müssen. Früher bestand das darin, dass man sich durch Berge von Papier wühlte. Hier ein Konto, da eine Versicherung und so weiter. Heutzutage ist fast alles digital. Vieles findet sich nicht mehr auf Papier. Damit finden es auch nicht ohne weiteres diejenigen, die den Nachlass bearbeiten. Das gilt für den privaten Bereich genauso wie für die Arbeitswelt. Auch in Unternehmen, gerade in der Führung, können Menschen sterben und einen Nachlass hinterlassen, den dann jemand anderes weiter bearbeiten muss. Um etwas weiter bearbeiten oder überhaupt darüber zu entscheiden zu können, was damit passieren soll, muss zuerst einmal jemand an diese Dinge heran kommen. |
| Datenschützer wie ich reden einen Großteil der Zeit von Sicherheit, sicheren Passwörtern, Zwei-Faktor-Authentisierung, biometrischer Authentisierung und so weiter. Damit sind alle Konten und Zugänge sehr sicher, manchmal so sicher, dass auch der Erbe nicht mehr an diese Dinge herankommt. Und manchmal so gar noch sicherer, so dass der Erbe nicht einmal herausfindet, wo überall ein digitaler Nachlass besteht. Denn außer dem Wissen im Kopf der verstorbenen Person, das jetzt nicht mehr verfügbar ist, gibt es keine Information darüber, wo in der digitalen Welt etwas herumliegt. Diejenigen, die sich um den Nachlass kümmern, finden einen Teil davon einfach gar nicht. Und an einen anderen Teil kommen sie nicht heran, weil Ihnen der digitale Zugang nicht möglich ist. Bis der Erbschein da ist und man auf manuellen Wegen diese Angelegenheiten abwickeln kann, vergehen oft Monate. Gerade in Unternehmen hat man aber keine Monate, sondern die Geschäfte müssen weitergehen. |
| Worauf ich hinaus will ist dieses: Datenschutz und sichere digitale Zugänge sind wichtig und richtig. Aber bitte machen Sie sich auch alle einmal Gedanken darüber, was ist, wenn Sie von einem auf den anderen Tag nicht mehr da sind. Informationen für Nachfolger, Erben und Verwalter sind wichtig. Diese müssen an bestimmte Dinge herankommen und über Sie Bescheid wissen. Und wenn manche Dinge gar nicht auf Papier und in einer ersichtlichen Form existieren, muss jemand die Information finden können. Organisieren Sie Ihr privates wie berufliches digitales Erbe bei Zeiten. Informationen an einem sicheren Ort, nur für den Fall und nur wenn er eintritt, sind eine gute Sache. Ihre Erben und Nachfolger werden Sie dafür doppelt lieb in Erinnerung behalten, denn es ist auch ein Zeichen der Wertschätzung an diese zu zeigen, dass man nicht mit dem Motto „nach mir die Sintflut“ gelebt hat. |
2. Neues Urteil zum Datenschutz auf Webseiten
| Das kam aus „heiterem Himmel“. Ich wäre auf ein solches Urteil nie gekommen. Das Landgericht München I hat im Urteil vom 20.01.2022, Az. 3 O 17493/20, einem Kläger EUR 100,00 Schmerzensgeld zugesprochen. Dieses dafür, dass auf der Webseite der beklagten Partei, die der Kläger besucht hatte, rechtswidrig Google Fonts eingesetzt worden war. Dieses klingt unspektakulär, da EUR 100,00 nicht viel sind, aber es ist alles andere als das. |
| Das Google Fonts im Sinne der DS-GVO nicht ohne eine vorherige freiwillige und informierte Einwilligung eingesetzt werden darf, ist inzwischen Konsens im Datenschutz. Tut man es dennoch, ist das ein Verstoß gegen die DS-GVO. Dagegen kann Beschwerde vor einer Aufsichtsbehörde erhoben werden, die dann die Abstellung des Mangels verlangen und auch Bußgelder verhängen kann. Dass in einem Zivilprozess ein Kläger aber einen immateriellen Schaden geltend macht, war bisher nicht denkbar. Ein Schaden muss nachweislich erlitten sein. Dazu reicht nicht allein die rechtswidrige Handlung aus, sondern der Kläger muss auch tatsächlich eine Beeinträchtigung seines körperlichen Wohls beweisen. Das LG München I urteilt hier, dass durch den Einsatz von Google Fonts, und dadurch, dass der Kläger ein ungutes Gefühl hat, nicht genau zu wissen ob und welche Daten von ihm ggf. gesammelt wurden und was mit diesen passiert sein könnte, denn genau zu bestimmen ist das alles nicht, noch weniger ein tatsächlicher Nachteil hieraus für den Kläger nachzuweisen, er dennoch EUR 100,00 Schmerzensgeld bekommt. Einfach nur, weil er sich unwohl fühlt, dass Daten von ihm vielleicht gesammelt wurden und irgendwie genutzt werden, ohne dass das irgendwie belegt ist. |
| Wenn es EUR 100,00 Schmerzensgeld für Google Fonts gibt, dann müsste es folgerichtig EUR 1.000,00 für Google Analytics geben und die gleiche Summe für Facebook, Amazon & Co. Auf einigen Webseiten werden diverse Tools eingesetzt. Rechne ich den Einsatz von Skripten auf einer Webseite, deren Betreiber ich hierfür jüngst mit einem Verfahren belegt habe, zusammen, dann kämen da EUR 15.000,00 heraus. Aber selbst wenn wir nur bei den EUR 100,00 Schmerzensgeld bleiben, und jemand macht eine Sammelklage von 1000 Webseitenbesuchern, dann sind dass 100.000,00 Euro. Dazu kommen die Gerichtskosten und für die meisten meiner Kunden käme danach dann ein Antrag auf Insolvenz. Von daher hat dieses Urteil schon erhebliches Gewicht. Ich kann nur jedermann raten: Betreibt die Webseiten ohne jede Art von Cookies und dritten Skripten! Und das gilt auch für die Webdesigner, denn die werden, im Falle des Falles, in Regress genommen werden. Wer eine Webseite gewerblich erstellt, der ist verpflichtet diese nach den allgemeinen üblichen technischen Standards und rechtlichen Bedingungen zu liefern. Dazu gehört heutzutage, dass keine dritten Skripte und Cookies, ohne vorherige freiwillige Einwilligung, geladen werden. |
3. Herausgabe der digitaler Daten bei Hass und Hetze
| Nicht nur das LG München I hat ein interessantes Urteil gefällt. Auch das BVerfG war fleißig und hat ein Urteil zur Herausgabe von IP und Adressdaten im Falle einer Beleidigung im Internet erlassen. Dieses Urteil möchte ich einmal näher beleuchten, denn es ist auch für den Datenschutz relevant. |
| Zugrunde liegt hier der Fall der Renate Künast, die vor Jahren auf Facebook deutlich beleidigt wurde. Die gefallenen Ausdrücke will ich nicht wiederholen, aber sie waren schon sehr schlimm. Wird jemand auf Social Media Kanälen beleidigt, ist der Täter meistens anonym. Nur in seltenen Fällen treten Menschen mit ihrem Klarnamen auf oder haben ein Impressum. Um einen Täter zu ermitteln, braucht man dessen IP-Adresse oder andere Anmeldedaten zur Person. Diese Daten hat nur der Betreiber der Social Media Plattform und gibt sie grundsätzlich nicht heraus. Tatsächlich darf er das auch gar nicht, denn er verstieße damit gegen den Datenschutz. Die Herausgabe darf nur dann erfolgen, wenn ein Gericht dieses angeordnet hat. Also muss zuerst ein Gericht entscheiden, ob tatsächlich eine Beleidigung vorliegt oder zu mindestens ein hinreichender Verdacht hierfür besteht. Nur dann ordnet es an, dass die Daten des Täters herausgegeben werden dürfen, damit dieser ermittelt und dafür belangt werden kann. |
| Fraglich war die Beurteilung der Sachlage, wie man eine Beleidung von Politiker*innen feststellt und wann diese genau vorliegt. Politiker müssen deutlich mehr hinnehmen als andere Personen. Nur wie viel mehr darf das sein? Mobbing, Hass und Hetzte im Internet sind unerträglich und inakzeptabel. Auf der anderen Seite darf die freie Meinungsäußerung im demokratischen Streit nicht eingeschränkt werden. Dazu gehört auch eine weitgefasste Kritikmöglichkeit der Personen an der Macht. Das BVerfG hat hier die Rechte betroffener Politiker*innen gestärkt, was ich persönlich für richtig und wichtig halte. Gleichzeitig hat es damit auch das Recht der Täter auf Datenschutz eingeschränkt. Das Urteil, das ein wenig komplizierter ist, will ich nicht im Detail ausführen. Das BVerfG hat aber deutlich gemacht, dass Politiker*innen nicht alles hinnehmen müssen und deren Schutz vor einer Verächtlichmachung im öffentlichen Interesse liegt. Es ist daher immer im Einzelfall genau abzuwägen, in welchem Kontext Äußerungen getroffen werden und wie diese zwischen der Meinungsfreiheit auf der einen Seite und der Verletzung der persönlichen Ehre auf der anderen Seite zu beurteilen sind. Die Methodik einer qualitativen Gesamtschau ist also anzuwenden. Der Datenschutz als solcher ist bei dieser Gesamtschau nicht einzubeziehen. Ein Berufen auf den Datenschutz als höheres Recht vor dem Persönlichkeitsrecht der Opfer ist nicht statthaft. Der Datenschutz ist als Schutzrecht des potentiellen Täters auch nicht in der Überprüfung abzuwägen. Der Datenschutz besteht schlichtweg dann, wenn keine Beleidigung erkannt wird, und dann nicht mehr, wenn eine erkannt wird. Eine weiterreichende Rolle kommt dem Datenschutz hierbei nicht zu. |
4. Aktuelles aus dem Datenschutz
| In einer Veröffentlichung von Stefan Hessel und Moritz Schneider aus dem schönen Saarland habe ich einen Kommentar zu einer Frage gelesen, die mich auch schon seit geraumer Zeit beschäftigt: Dürfen Aufsichtsbehörden für den Datenschutz eigentlich Produktwarnungen aussprechen? – Auf den Webseiten und in den Publikationen der Aufsichtsbehörden finden wir zahlreiche Aussagen, die bestimmte Produkte, zum Beispiel Microsoft 365, als nicht zulässig im Einsatz bezeichnen. Laut den vorgenannten Juristen ist dieses eine rechtswidrige Beeinflussung des Wettbewerbs und verstößt gegen Artikel 12 GG. Ich persönlich sehe es vor allem deswegen sehr kritisch, weil sich immer wieder einige Produkte als Warnung bei den Aufsichtsbehörden finden, andere genauso fragliche gleichartige aber nicht genannt werden. Es ist also nur sehr selektiv. Und dass kann nicht mit dem Wettbewerbsrecht konform sein. Es wäre schön, wenn die Aufsichtsbehörden diese Praxis der öffentlichen Produktwarnungen einstellen würden. |
| Dann gibt es noch ein Urteil von OLG Dresden, Urt. v. 30.11.2021 – 4 U 1158/21, das ich schon im letzten Newsletter ansprechen wollte, aber vergessen hatte. Das OLG Dresden urteilt, dass Geschäftsführer einer GmbH, neben der Gesellschaft selbst, Verantwortliche im Sinne der DSVGO sind. Das heißt auf gut Deutsch: Geschäftsführer haften auch persönlich für den Datenschutz und eine Datenpanne. Ein Schaden oder ein Bußgeld kann damit nicht nur gegen das Vermögen des Unternehmens geltend gemacht werden, sondern auch gegen das Privatvermögen der Geschäftsführer. Ich denke, dass jeder Geschäftsführer, der das eben gelesen hat, weiß, was das bedeutet. Weitere Ausführungen, wie „Nehmen Sie den Datenschutz ernst!“, muss ich sicher nicht dazu machen. |
| Ebenso hatte ich vergessen einmal kurz anzusprechen, dass Prof. Dr. Johannes Casper nicht mehr der Hamburger Beauftragte für den Datenschutz ist. In diese Position wird man von der Bürgerschaft für 6 Jahre gewählt. Es sind maximal zwei Amtsperioden möglich. Herr Prof. Dr. Casper stand der Behörde seit 2009 vor und hat seine maximalen 12 Jahre voll ausgeschöpft. Seit dem 1. November ist sein Nachfolger Thomas Fuchs. Er wurde bereits im August in der Bürgerschaft mit 88 von 92 Stimmen zum Nachfolger von Prof. Dr. Casper gewählt. Er ist SPD-Politiker, Manager und eigentlich ein Medienrechtler mit einem Kultur-Hintergrund. Er tritt in große Fußstapfen, die Herr Prof. Dr. Casper hinterlässt. Seine ersten 100 Tage im Amt hat er jetzt hinter sich. Großes in dieser Zeit zu leisten lag nicht an, so dass alles seinen Gang genommen hat, wie man so schön sagt. Herr Fuchs scheint den Datenschutz im Sinne der betrieblichen Organisation der klein- und mittelständischen Unternehmen praxisorientierter zu sehen. Sein Ziel, so sagt er in einem Interview, sind die großen Internetkonzerne. Die haben und hatten bisher alle Datenschützer als Ziel. Leider wurde wenig wirklich Durchschlagendes dabei erreicht. Letzterer Satz soll nicht heißen, dass gar nichts erreicht wurde. Der Datenschutz schlägt sich schon wacker, wenn auch in kleinen Schritten. |
| Bei den Cyberangriffen hat es dieses Mal, laut Handelsblatt, ein Unternehmen aus Hamburg erwischt. Und zwar den Tanklogistiker „Oiltanking“. Andere Unternehmen der Firmengruppe sind ebenso betroffen. Konkurrenz-Konzerne, allen voran die Shell Gruppe, können die damit verbundenen Lieferprobleme über andere Ladepunkte ausgleichen. Das genaue Ausmaß und der Zeitraum der Beeinträchtigungen waren bei Erscheinen des Artikels noch unbekannt. In jedem Fall ist ein Angriff auf kritische Infrastruktur alles andere als nur ein theoretisches Szenario. Er kann direkt vor unserer Haustür im Hamburger Hafen stattfinden. |
| Und das schlägt die Brücke zu einem aktuellem Thema, den Ukraine-Krieg. Dieses ist kein politischer Newsletter, so dass ich hierauf nicht näher eingehe. Das Geschehen dort ist sehr besorgniserregend und es stellt sich natürlich die Frage, ob Russland mit Mitteln des Cyberkriegs auch Ziele in der EU und Deutschland angreifen könnte. Ebenso möglich ist eine Auswirkung auf digitale Infrastruktur, die zu Systemausfällen an anderen Orten auf der Welt führt, da alles irgendwie mit allem verbunden ist. Am Morgen des Beginns des Ukraine-Kriegs fiel der Kontakt zu knapp 6000 Windrädern in Zentraleuropa aus. Diese haben zusammen ein Volumen von 11 Gigawatt und werden per Satteliten gesteuert. Ursache ist, laut Handelsblatt, der Ausfall eines Breitbandsatteliten KA-SAT, der uns mit Satteliteninternet versorgt. Hierfür kann es schon ausreichen, dass eine Bodenstation in der Ukraine ausfällt, zum Beispiel weil sie „weggebombt“ wurde, und das Signal nicht mehr reflektiert wird, so dass der Satellit nicht mehr richtig arbeiten kann. Das betrifft dann auch Zentral-Europa und es dauert, bis die Neuausrichtung anderswohin vorgenommen ist. Ich persönlich halte diese Begründung für wahrscheinlicher als die eines Cyberangriffs. |
| Bei der weniger kritischen Infrastruktur ist die Unfallkasse Thüringen zum Jahresanfang das Opfer eines Ransomware-Angriffs geworden. Alle Versichertendaten wurden verschlüsselt. Die Systeme konnten aber wiederhergestellt werden, was zwei Wochen in Anspruch nahm. Ich lass dazu in einem Blog den Kommentar, dass „zwei Wochen in der Verzögerung der Bearbeitung von Anträgen bei Unfallkassen eh keinen Unterschied machen und es daher nicht weiter tragisch ist“, was vielleicht richtig sein mag. |
| Über den Hacker-Angriff auf Thalia sprachen wir bereits im letzten Newsletter. Hierzu ist jetzt bekannt, dass es sich um eine mittlere fünfstellige Zahl an betroffenen Kundenkonten handelte. Also um die 50.000. Das ist schon erheblich und mehr, als ursprünglich angenommen wurde. – Bei Qubit Finance sollen Hacker bei einem Angriff 80 Millionen Euro erbeutet haben. Das lasse ich einfach mal so stehen. – Apple hat einem Sicherheitsforscher für das Aufdecken einer Sicherheitslücke USD 100.000,00 gezahlt. Wir werden nie erfahren, was für eine Lücke das genau war. Sicher ist hierbei nur, wäre es in Deutschland passiert, dass man den Sicherheitsforscher nicht belohnt, sondern angeklagt hätte. – In verschiedenen Artikeln heißt es, dass Kaspersky 30.000 Log4j-Angriffe registriert hat. Das sind Angriffe auf die Java-Schwachstelle Log4Shell. Kaspersky empfiehlt dagegen die Installation von Kaspersky Sicherheitssoftware, welch eine Überraschung! Jede andere Sicherheitssoftware tut es aber auch und Kaspersky vergisst dabei zu erwähnen, dass man selbst, wie alle anderen der Branche, regelmäßig in den Warnungen des BSI mit eigenen Sicherheitslücken auftaucht. – Also alles zusammen der ganz normale Wahnsinn halt, der jeden Monat passiert! Und das nicht nur in Deutschland. In den USA warnt das FBI davor USB-Sticks für einen Datentransfer zu nutzen, da diese infiziert sein können. So genannte „Bad-USB-Sticks“. Der Warnung schließe ich mich gerne an. USB war gestern, und Ports für USB und SD-Karten bei Firmengeräten sollte man am besten für externe Datenträger sperren. |
| Als letzten Punkt möchte ich noch einmal auf das Thema Datenschutz-Folgenabschätzung (DSFA) kommen. Die Niederländer, denn die DS-GVO gilt natürlich auch dort, haben eine aktualisierte DSFA zu Microsoft365 veröffentlicht. Die Niederländer heißt hier genau genommen das niederländische Ministerium für Justiz und Sicherheit. Diese DSFA ist, wenn man das Inhaltsverzeichnis weglässt, 110 Seiten lang. Das liest dann vermutlich jeder beim Frühstück, weil es so spannend ist. Ich muss persönlich gestehen, dass ich während des Lesens auch ausgestiegen bin. Für die Praxis halte ich diese Vorgehensweise für nicht zielführend. Egal ob für MS365 oder irgend eine andere Anwendung, die personenbezogene Daten im größeren Umfang verarbeitet, stellt sich die berechtigte Frage: Können wir solche Anwendungen jetzt immer erst nutzen, nachdem wir zur Einführung 100 sinnlose Seiten für die Ablage verfasst haben? Ich bin sehr skeptisch, ob das der Weg ist, der den Datenschutz vorwärts bringt. Dieses um so mehr bei kleinen und mittelständischen Unternehmen. Der wirklich entscheidende Punkt ist: Gleich ob 50, 100 oder 200 Seiten; welchen Nutzen hat das Dokument für das Unternehmen und den Datenschutz? Und ich wäre so dreist zu sagen: Keinen! Daher tue ich mich mit dieser Form der Umsetzung einer DSFA immer noch sehr schwer. Die grundsätzliche Idee, eine DSFA unter bestimmten Voraussetzungen erstellen zu müssen, ist richtig und gut. Aber diese Form der Umsetzung führt in der Praxis zu gar nichts. In meiner persönlichen Philosophie zu diesem Thema sollte eine individuelle Betrachtung der Klient*innen und Mitarbeiter*innen in Hinblick auf die Risiken aus der Datenverarbeitung mehr im Mittelpunkt stehen. |
|
| Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Für den nächsten Newsletter habe ich noch keine konkreten Themen auf meiner Agenda. Aber ich bin sicher, dass sich etwas spannendes finden werde und der Datenschutz bis dahin die ein oder andere neue Geschichte schreiben wird. |
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
|
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de |
|
|
|
|
|
|
