Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter
Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. Juni 2022

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
  1. Der Paragraf 73 des BDSG
  2. Tätigkeitsbericht des BfDI
  3. Aktuelles aus dem Datenschutz

1. Der Paragraf 73 des BDSG

Vielen ist gar nicht bewusst, dass es neben der DS-GVO das BDSG überhaupt noch gibt bzw. dieses noch etwas relevantes über die DS-GVO hinaus beinhaltet. Doch es gibt das BDSG noch und einiges darin ist relevant. Dazu gehört eine Kategorie von personen-bezogenen Daten, die zu meinen Lieblingskategorien gehört: „Einschätzungen“.
Der Datenschutz kennt den Begriff der personenbezogenen „Informationen“. Hierunter fallen alle aus einer Quelle gesammelten Informationen zu einer natürlichen Person. Dabei kommt es erst einmal nicht darauf an, ob es sich hierbei um richtige oder um falsche Informationen handelt. Es sind schlichtweg gesammelte Informationen. Sammelt man solche Informationen aus verschiedenen Quellen und führt diese zusammen, nennt sich das im Datenschutz „Erstellen eines Profils“. Erfolgt dann eine Auswertung dieser personenbezogenen Informationen zu einer Person in einem automatisierten Verfahren, nennt sich das im Datenschutz „automatisiertes Profiling“. Und hierüber hinaus gibt es noch eine Art der Verarbeitung, die zu einer eigenen Kategorie führt. Nämlich personenbezogene Daten, die dadurch entstehen, dass jemand zu einer natürlichen Person eine Bewertung vornimmt. Diese subjektive Analyse zu jemanden nennt sich im Datenschutz „Einschätzung“.
Ich nehme hierfür einmal das Beispiel einer Mitarbeiter*innen-Beurteilung für die Erstellung eines betrieblichen Zeugnisses. Dieses erfolgt durch die Leitungskräfte, die nach besten Wissen und Gewissen, aufgrund der Bewertung objektiver Tatbestände sowie subjektiver Eindrücke, zu einem Urteil darüber kommen, wie die Leistung der betroffenen Person zu einzuschätzen ist. In der Regel ist jede solche Beurteilung, im Sinne einer betroffenen Personen, soweit nicht eine „Eins-Plus mit Stern“ herauskommt, immer falsch. Wer hält sich selbst nicht für den Besten? Der Datenschutz gibt betroffenen Personen ausdrücklich das Recht, falsche Daten über sich korrigieren zu lassen. Doch wann ist eine Einschätzung wirklich falsch und gilt das so auch für Einschätzungen?
Eine Antwort findet sich im Zusammenspiel diverser Rechtsnormen. Der §73 BDSG weist die verantwortlichen Stellen an, dass gesammelte Informationen und gemachte Einschätzungen in den Akten strikt zu trennen und klar zu unterscheiden sein müssen. Ferner soll dokumentiert werden, auf Basis welcher Informationen, wenn dieses der Sache nach nicht offensichtlich ist, eine Einschätzung getätigt wurde. Das Grundgesetzt billigt ferner jeder betroffenen Person ein faires Verfahren zu. Dieses heißt, wie das BVerfG mehrfach betont hat, dass dadurch kein Recht auf Gerechtigkeit besteht. Es besteht lediglich ein Anspruch darauf, dass man mit bestmöglicher Fairness richtet und dieses Urteil auch überprüft und ggf. dagegen vorgegangen werden kann. Im Falle eines betrieblichen Zeugnisses kann eine betroffene Person also die Richtigkeit anfechten. Wenn dieses im Betrieb zu keinem Ergebnis führt, steht hierfür der Weg zum Arbeitsgericht offen. Was aber heißt das für die Richtigkeit einer Einschätzung im Sinne des Datenschutzes? Im Sinne des Datenschutzes ist eine Einschätzung richtig, wenn die Verarbeitung der Daten rechtmäßig war. Das heißt zum einen, dass, nehmen wir wieder das betriebliche Zeugnis, es der verantwortlichen Stelle erlaubt gewesen sein muss, ein solches erstellen zu dürfen. Und zum anderen muss die Einschätzung auf Informationen beruhen, die nicht verwechselt und rechtmäßig erlangt wurden. Der Datenschutz bewertet ausdrücklich nicht die Richtigkeit der Einschätzung und es ist auch nicht die Aufgabe des Datenschutzes. Es ist nur die Aufgabe des Datenschutzes zu dokumentieren, dass es Informationen zu einer Person gab und daraus eine Einschätzung in einem Abwägungsprozess erfolgt ist. Ist dieses gewährleistet, ist der Datenschutz erfüllt.
In der Praxis werden leider immer mehr Beurteilungen, Bewertungen und Gutachten zu Personen mit dem Datenschutz angegriffen. Frei nach dem Motto: „Meine Daten wurden nicht rechtmäßig verarbeitet, weil das Ergebnis aus meiner Sicht nicht richtig ist, ich aber ein Recht habe, unrichtige Daten zu meiner Person korrigieren zu lassen, wovon ich ich jetzt Gebrauch mache.“ Das ist natürlich Quatsch. So könnte jeder sein Wunschergebnis erzwingen und Beurteilungen als auch Gutachten täten gar keinen Sinn mehr machen. Selbstverständlich besteht ein solches Recht, begründet auf den Datenschutz, nicht!

2. Tätigkeitsbericht des BfDI

Ein Schwerpunkthema in dem Tätigkeitsbericht, denn der Bericht bezieht sich auf das Jahr 2021, ist natürlich Corona. Ich lasse das Thema aus, denn wir wissen alle, wie gut und sicher die Corona-Warn-App funktioniert hat und wie digital die Übertragung von Informationen an und zwischen den Gesundheitsämtern lief. Unser empfinden hierzu wird im Bericht des BfDI bestätigt.
Ein weiterer Schwerpunkt ist die Thematik der Regulierung von KI (Künstlicher Intelligenz). Der BfDi misst diesem Thema zurecht eine sehr hohe und gesamt-gesellschaftliche Bedeutung zu. Das gilt insbesondere für den Einsatz von KI in der Strafverfolgung. Mit diesem Thema habe ich mich auch schon mehrmals im Newsletter befasst. Wir wollen sicher alle nicht, dass Algorithmen darüber entscheiden, ob wir verhaftet werden oder nicht. Andererseits gibt es Ermittlungsnotwendigkeiten auf Gebieten, wo Datenmengen so groß sind, dass diese händisch nicht bearbeitet werden können. Das Mittelmaß von KI in der Strafverfolgung, unter Wahrung des Datenschutzes, zu finden, ist eine der großen Herausforderungen unserer Zeit.
Ein Thema, was man hingegen gar nicht als Schwerpunkt vermutet, welches beim BfDI aber sehr hochangesiedelt ist, ist der Beschäftigtendatenschutz. Der BfDI fordert vom Gesetzgeber, und das schon seit längerem, ein Beschäftigten-Datenschutzgesetz. Mit anderen Worten: Datenschutz fürs Arbeitsverhältnis. Er hält das in der modernen Zeit für dringend erforderlich. Ich sehe das auch so, wenn auch aus einer anderen Perspektive heraus. Die DS-GVO regelt vieles, aber nicht explizit den Datenschutz im Arbeitsverhältnis. Hier gibt es nicht nur einen Bedarf an Verbesserung für Arbeitnehmer*innen, sondern vor allem auch für Arbeitgeber*innen. Es wäre für viele Branchen gut, wenn explizit geregelt wäre, was den Arbeitgeber*innen erlaubt ist. Und welche Datenschutzrechte Arbeitnehmer*innen nicht für Konflikte im Arbeitsverhältnis missbrauchen dürfen. Aber ich glaube nicht, dass der Gesetzgeber zeitnah die Muße findet, sich mit dieser Thematik auseinanderzusetzen und ein solches Gesetz zu schaffen.
Der BfDI geht auch kurz auf die seit Dezember 2021 in Kraft getretenen neuen Gesetze TTDSG und das neue TKG (TKMoG) ein. Die dort geregelten Sachverhalte sind zum Teil kompliziert. Sie betreffen auch innereuropäische Regelungen und die Telefonie. So kritisiert der BfDI u.a. den §170 Abs. 11 des neuen TKG, wonach Anbieter bei innereuropäischer Grenzüberschreitung das Signal unverschlüsselt zur Verfügung stellen müssen. In diesem Zusammenhang, wie an weiteren Stellen des Berichts, weißt der BfDI auf die Wichtigkeit von sicherer Verschlüsselung als Grundlage von Datenschutz und dem Recht auf Privatsphäre hin, das nicht aufgeweicht werden darf.
Der BfDI lobt auch ausdrücklich das geplante Lobbyismus-Gesetz als richtigen Schritt für mehr Informationsfreiheit. Ebenso beschäftig sich der Bericht mit dem neuen Open-Data-Gesetz. Das die Bundesregierung sich hier bei explizit zum Datenschutz bekennt, wird gelobt. Daneben ist die Thematik hierzu aber komplex und zeigt beim Lesen auf, wie weit Behörden in der Digitalisierung hinterherhinken. Ferner kritisiert der BfDI, dass das Bundespolizeigesetz immer noch nicht an die europäischen Vorgaben angepasst wurde und in diesem Zusammenhang auch Datenschutz-Aspekte betroffen sind. Und wenn man den ganzen Bericht durchgeht, dann geht es eigentlich immer so weiter. Neue Gesetze, die Kompetenzen zuweisen und Dinge in der Digitalisierung regeln, sowie schon bestehende Gesetze, die in der Umsetzung Fragen aufwerfen oder schlichtweg ignoriert werden. Das ist auch mein eigentliches Fazit aus dem Bericht. Die Welt der Digitalisierung wird zunehmend komplizierter. Die Gesetzgebung kommt nur mühsam und wenig effektiv hinterher. Es kämpfen Lobbygruppen, Politik und Datenschutz gegeneinander, wobei es um die Frage geht, wer wen zu welchen Zweck überwachen darf und auf welche Daten Zugriff bekommt. Und während man sich aneinander aufreibt, wird so der Fortschritt der Digitalisierung aufgehalten. Das ist ein etwas bitteres Resümee, aber der Bericht zeigt schon sehr deutlich: Wir Diskutieren viel „Kleinkram“ oder die „wirtschaftlichen/politischen Interessen Einzelner“ und kommen nicht voran. Deutschland wird mit dieser Methode nicht in der Digitalisierung aufholen!

3. Aktuelles aus dem Datenschutz

Man hat auf EU-Ebene eine neues Gesetz beschlossen. Den Digital Services Act. Einige nennen es ein Grundgesetz für das Internet, was in meinen Augen ein wenig übertrieben scheint. Der endgültige Text liegt noch nicht vor, so dass ich auch nicht ins Detail gehen will. Das Europäische Parlament und die EU-Länder, sowie die Kommission, haben sich jedenfalls auf die Inhalte geeinigt, und Frau von der Leyen hat es freudestrahlend verkündet. Demnächst gibt es neben dem EDSA (Europäischer Datenschutzausschuss), der auf Englisch eigentlich EDPB (European Data Protection Board) heißt, dann auch ein EDSB (European Digital Services Board). Seien wir gespannt, ob es irgendwann auch ein EDSC gibt. Inhaltlich, so schätze ich es ein, wurden viele kleine Schritte zu mehr Verbraucher-schutz erzielt. Der große Schlag blieb aber aus, was vor allem auch an dem Lobbyismus der Konzerne lag. Im Laufe des Jahres, sobald ein Text vorliegt, wird das sicher Thema in einem Newsletter werden.
Es tobt natürlich, wie in jedem Newsletter, weiterhin der ganz normale digitale Wahnsinn: Golem berichtet über ein Daten-Leck bei der Universität Leipzig mit 70.000 betroffenen Personen. Cyberkriminelle haben erfolgreich die Donau-Stadtwerke angegriffen und lahmgelegt, was das BSI berichtet. Laut FAZ wurde die Krypto-Börse Beanstalk, die es erst seit einigen Monaten gibt, angegriffen. Der Angriff war sehr trickreich und kann hier im Detail nachgelesen werden. Unter dem Strich erbeuteten die Diebe 80 Millionen Dollar und es dauerte in der Durchführung nur 13 Sekunden. Das ist die neue Form von Bankraub im 21ten Jahrhundert. Die TU Berlin verliert bei einem Hackerangriff hunderte Zeugnisse und vertrauliche Protokolle. Eine kleine Stadt in Baden-Württemberg muss hunderte Bürger über deren Daten im Darknet informieren, da Hacker diese abgegriffen hatten. Beim European Song Contest konnte nur mit Mühe ein DDOS Angriff abgewehrt und der Zusammenbruch der IT verhindert werden. Sicherheitslücken mit hohem Risiko gab es natürlich auch jede Menge, dieses zum Beispiel bei der Sony Playstation und bei der ZoneAlarm Desktop Firewall. Es ist also alles wie immer. Der ganz normale Wahnsinn.
Cyberkriminelle habe Malware als Upgrade für Windows 11 getarnt. Das an sich ist nicht erwähnenswertes, führt mich aber zu Windows 11. Die Upgrades sind nun möglich und ich kann dazu folgendes sagen: Windows 11 läuft stabil und ist in der pro Version auch problemlos für Microsoft 365 Business einsetzbar. Aus meiner Sicht hat sich nichts zu Windows 10 geändert. Einige Menüs sehen optisch anders aus. Wesentliche neue Funktionen gibt es nicht. Dass Windows 11 schneller ist, kann ich persönlich auch nicht verifizieren. Aus Datenschutzsicht ist an Windows 11 auch nichts besser noch schlechter. Von daher ist ein sofortiges Upgrade auf Windows 11 nicht zwingend erforderlich.
Jemand fragte mich zu einer Einschätzung zu „Quisching“. Ich musste dann erst einmal passen und googeln, was dieses Wort überhaupt beinhaltet. „Quisching“ ist „Phishing“ mit QR-Codes. Es war mir neu, dass es dafür inzwischen ein extra Wort gibt, aber man lernt eben nie aus. Natürlich können Phishing-Links auch hinter QR-Codes verborgen sein und man auf diese Weise auf schädliche Webseiten gelockt werden.
Das BSI warnt berechtigterweise Fotos und Daten beim Weiterverkauf gebrauchter Smartphones richtig zu löschen. In der Tat ist es so, dass das Zurücksetzen auf Werkseinstellung keine zu 100% effektive Löschung der vorhandenen Daten beinhaltet. Die Daten sollten vorher entweder verschlüsselt werden, so dass ein neuer Besitzer sie auf dem Speicher im Gerät nicht wiederherstellen kann, oder die Daten sollten komplett mit anderen, nichtigen Daten überspielt werden.
Dann gibt es etwas neues in Bezug auf CSAM zu berichten. Inzwischen machen mich diese ganzen Abkürzungen etwas ratlos. CSAM steht eigentlich für CyberSecurity Asset Management. Es wird jetzt aber immer mehr für „Child Sexual Abuse Material“, also den schrecklichen Fotos, auf denen Kinder missbraucht werden, genutzt. Die europäische Union hat einen Gesetzesentwurf zur Bekämpfung von Kindesmissbrauch im Netz vorgelegt. Ein sehr wichtiges und sehr richtiges Thema. Und kein Thema findet bei mir mehr Gehör und Unterstützung als dieses. Es stellen sich aber viele Fragen zu diesem Entwurf. Sollte es so kommen, dann kann eine Umsetzung der Anforderungen nur dadurch erfolgen, dass end-to-end Verschlüsselungen aufgehoben werden und manche Dienste nicht mehr anonym, sondern nur noch nach einer Verifikation der Person, genutzt werden können. Es stünde also im kompletten Widerspruch zum Datenschutz. Ob für den wichtigen und richtigen Kampf gegen CSAM solche Schritte zu führen erforderlich und notwendig ist, glaube ich persönlich nicht. Vielleicht will die Kommission hier auch andere Ziele verfolgen. Ein schwieriges Thema, das ich weiter in der Entwicklung beobachten werde.
Tesla taucht auch mal bei den Sicherheitswarnungen auf. Das BSI berichtet, unter Bezug auf die NCC-Group, dass das Model 3 und das Model Y per Bluetooth auf simpelste Weise geöffnet und gestartet werden können. Das Signal der Funktion „über Smartphone öffnen und starten“ kann auf ein anderes Gerät weitergeleitet werden. Es gab ein Update, welches den Fehler aber nicht gänzlich beheben konnte, und bisher keine Lösung. Nutzern wird die Deaktivierung der Funktion dringend empfohlen.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Für den nächsten Newsletter gibt es auch schon reichlich Themen. Die DSG-VO ist jetzt vier Jahre in Kraft. Dieser Jahrestag ruft quasi nach einem Rückblick auf das bisher erreichte mit der DS-GVO. Und dann wird es auch mal wieder um E-Mails und den Datenschutz gehen.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de