|
Liebe Kund*innen und Abonnent*innen des Newsletters, |
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie: |
- Vier Jahre DS-GVO
- Ein Blick in den Bericht der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit
- Menschliches Versagen bei E-Mail Anhängen
- Aktuelles aus dem Datenschutz
|
1. Vier Jahre DS-GVO
Wieder jährt sich ein Jahr und wieder stellt sich die Frage, wie weit der Datenschutz vorangeschritten ist und was uns die DS-GVO tatsächlich gebracht hat. Das Fazit ist dabei in weiten Teilen immer noch ernüchternd. Die Umsetzung der DS-GVO erfolgte vor allem in den kleinen und mittleren Organisationen. Diese haben große Anstrengungen unternommen, TOMs umzusetzen und sich im Umgang mit dem Datenschutz auf allen Ebenen zu verbessern. Aber letztlich wurde die DS-GVO dafür in Kraft gesetzt, dass die großen Konzerne, insbesondere die der digitalen Welt, unsere Daten nicht mehr nach Belieben sammeln und verarbeiten. Auf diesem Gebiet hat sich wenig getan. Die Internet-Konzerne entziehen sich durch rechtliche und organisatorische Tricks einer wirksamen Aufsicht. Wenn es zu mehr Datenschutz kommt, zum Beispiel wie bei Apple und einer voreingestellt deaktivierten Werbe-ID im IOS-Betriebssystem, geschieht dieses aus eigenen Überlegungen. Der Druck durch die DS-GVO ist dabei nicht maßgebend. Vielmehr beugt man sich den Erwartungen der Nutzer*innen. |
Gerade was den eben genannten Punkt angeht, das hemmungslose Datensammeln im Netz, hat die DS-GVO bisher wirklich versagt. Webseiten sind, trotz zahlreicher Urteile, in der großen Masse nicht besser geworden. Weiterhin wird das Nutzerverhalten auf die verschiedensten Weisen aufgezeichnet und an alle möglichen Orte übertragen. Entweder holt man dafür gar keine Einwilligung ein oder man täuscht eine Einwilligung vor, die technisch gar nicht wirkt. Nutzer*innen-Daten im Internet zu tracken ist nach wie vor ein großes Geschäft und läuft wie gewohnt weiter. Nur wenige Unternehmen halten sich an die Regeln. Dieses haben auch die Aufsichtsbehörden so festgestellt und in zahlreichen Stellungnahmen sehr direkt gesagt. Leider passiert dort nichts weiter und selbst diejenigen, die vorsätzlich täuschen, müssen nicht mit ernsthaften Konsequenzen rechnen. So kann man als betroffene Person eine Auskunftsanfrage nach Art. 15 an solche Unternehmen stellen; diese antworten dann, dass sie keine Daten speichern und verarbeiten. Frei nach dem Motto: „Kann mir ja keiner was anderes beweisen und klagen wird keine betroffene Person, weil die Gerichtskosten abschrecken.“ Und damit kommen diese Unternehmen bisher auch durch. Hier wären die Aufsichtsbehörden gefragt. Dieses wäre auch ihre Funktion, die sie bisher aber nicht entschieden wahrnehmen. |
Da wir schon bei den Aufsichtsbehörden sind, muss ich zu deren Verteidigung sagen, dass auch nach 4 Jahren DS-GVO diese in den meisten Bundesländern völlig unterbesetz sind. Die Landesdatenschutzbeauftragte aus Niedersachsen, und sie ist damit nicht allein, beschwerte sich jüngst öffentlich über zu wenig Personal und erklärte, dass ihre Behörde nicht mehr in der Lage ist, allen ihr gesetzlich vorgeschriebenen Aufgaben nachzukommen. Sie prangerte in dieser Stellungnahme auch an, dass der Datenschutz zunehmend als Sündenbock für anderes Versagen missbraucht wird. Und da kann ich ihr nur recht geben. Nach 4 Jahren DS-GVO ist zunehmend festzustellen, dass vielfach, wenn jemand seine Aufgaben falsch oder schlecht macht, man einfach sagt, dass der „Datenschutz“ daran Schuld ist und man es deswegen nicht besser hätte machen können. Das ärgert mich zunehmend. Es ist nicht der Fehler des Datenschutzes, wenn jemanden die Welt zu komplex wird und er damit überfordert ist, zeitgemäße Lösungen für seine Probleme zu erarbeiten. |
Der Datenschutz wird aber auch zunehmend, hier besteht ein eindeutiger Trend über die letzten Jahre, für die Austragung anderer Konflikte missbraucht. Insbesondere im Arbeitsrecht sowie bei Gutachten und Bewertungen, ist dieses Phänomen zu sehen. Gibt es einen Konflikt oder ist das Ergebnis einer Einschätzung nicht das, welches man sich wünscht, und es kommt zum Streit zwischen den Parteien, dann werden die verschiedensten Datenschutzverletzungen angezeigt und Auskünfte angefordert. Und das geht hin bis ins wirklich absurde. |
Fazit nach 4 Jahren DS-GVO ist also, dass der Weg zu mehr Datenschutz weiterhin weit ist und gerade auf dem Gebiet des hemmungslosen Datensammelns im Internet noch viel getan werden muss. Die DS-GVO ist Regulation. Regulation funktioniert nur dann, wenn diese wirksam überwacht und Verstöße geahndet werden. Datenschutz in Eigenverantwortung der Unternehmen funktioniert nicht. Aus Kostengründen geht der Trend in der Politik leider dorthin. Ich sehe keine personell verbesserte Ausstattung der Aufsichtsbehörden in den nächsten Jahren kommen. Aber man sollte immer Hoffnung haben. Also blicke ich positiv in die Zukunft und bin gespannt, was ich in 12 Monaten, zum 5jährigen Jubiläum der DS-GVO, schreiben kann. |
2. Ein Blick in den Bericht der Berliner Beauftragten für den Datenschutz und die Informationssicherheit
Bisher hatte ich noch nie den Berliner Bericht der Aufsichtsbehörde in einem Newsletter, aber er ist an einigen Stellen schon bemerkenswert. Ich fange auch gleich mit dem Punkt an, der mich sehr nachdenklich gemacht hat. Die Polizei Berlin schneidet grundsätzlich nicht schlechter in dem Bericht ab, als in den Berichten anderer Bundesländer. Aber einen Punkt habe ich noch nie so deutlich gelesen: Bußgelder für die unbefugte Nutzung der Polizeidatenbank POLIKIS. Ich zitiere aus dem Bericht: „So fragte ein Polizeibeamter alle Personen aus dem Umfeld seiner Ex-Lebensgefährtin ab, die mit dem Umstand der Trennung hätten vertraut sein können.“ Ich zitiere nochmal: „In einem weiteren Fall fragte ein Polizeibeamter den Ermittlungsvorgang seines Stiefsohnes ab, um diesen auf seine Zeugenaussage vorzubereiten und um den zuständigen Sachbearbeiter von einem anderen Tathergang zu überzeugen.“ Und noch ein Zitat aus dem Bericht: „In einem anderen Fall wollte ein in einem Strafverfahren beschuldigter Polizeibeamter die Informationen aus POLIKS verwenden, um sich auf seine Aussage vor Gericht vorzubereiten.“ Und dann noch dieses Zitat aus dem Bericht, welches mich sprachlos macht: „In einem anderen Fall schrieb ein Polizeibeamter eine Zeugin nach deren Vernehmung über ihre private Handynummer an, um diese nach einer Verabredung zu fragen, nachdem er die Telefonnummer aus POLIKS abgerufen hatte.“ – Und wenn jetzt noch jemand Fragen hat, ob wir eine funktionierende und personell ausreichend ausgestatte Datenschutzaufsicht brauchen, dann weiß ich auch nicht! |
In einer Auskunftsanfrage an die Berliner S-Bahn vertritt die Behörde die Position, dass auch Videomaterial in Kopie herauszugeben ist und es verhältnismäßigen Aufwand für die S-Bahn darstellt, dritte Personen in den Videos zum Schutz ihrer Persönlichkeitsrechte zu verpixeln oder anders unkenntlich zu machen. Die S-Bahn sieht das anders und will die Frage vor Gericht klären lassen. |
Auch gegen 4 Mitarbeiter*innen in Jobcentern wurden Verfahren eingeleitet und bereits ein Bußgeld verhängt. Auch hier zitiere ich aus dem Bericht: „In einem von uns eingeleiteten Verfahren wollten Mitarbeitende nachweisen, dass zwei ihrer Kolleg:innen eine Beziehung miteinander haben und überprüften dafür die Meldeadressen der beiden.“ Und ich zitiere nochmal: „In einem weiteren Fall fragte eine Mitarbeitende die Meldedaten der Ex-Frau ihres
Bruders ab, die den Kontakt zum Ex-Mann abgebrochen hatte.“ Dass diese Fälle überhaupt aufgedeckt werden, zeigt, dass das Überwachungssystem der Abfragen grundsätzlich funktioniert. Auch in den Behörden gibt es TOMs und es werden Logfiles angelegt anhand derer man Unregelmäßigkeiten auf die Verursacher zurückführen kann. |
In einem Bußgeldfall einer Fachklinik, die rein präventiv umfangreiche durchgehende Videoüberwachung betrieb, führte die Aufsichtsbehörde nochmals deutlich aus, dass eine dafür eingeholte Einwilligung im Arbeitsvertrag unwirksam ist, weil es, durch das Druckverhältnis ungleicher Parteien, grundsätzlich an Freiwilligkeit mangelt. Überhaupt ist Videoüberwachung in den Berichten aller Länder immer wieder ein führendes Thema. Sei es ein Unternehmen, das eine öffentliche Straße mit aufzeichnet, oder eines, dass exzessiv Mitarbeiter*innen oder Kunden überwacht. |
Aus der Kategorie „Kann man sich nicht ausdenken!“ zitiere ich noch diesen Absatz aus dem Bericht: „Wir haben ein Bußgeld gegen einen Rechtsanwalt verhängt, der seit Jahren mit einem ehemaligen Mandanten über eine Geldforderung streitet. Er veröffentlichte dessen Vor- und Nachnamen, die Wohnanschriften des Mandanten und dessen Familienmitgliedern sowie diverse ungeschwärzte Aktenbestandteile zwei Jahre lang auf seinem Blog – und
berief sich dabei auf das Presseprivileg.“ Die Sache mit dem „Presseprivileg“ war offensichtlich nicht das Schwerpunkthema dieses Anwalts im seinerzeitigen Jura-Studium gewesen. |
Es gibt noch viele Punkte in dem Bericht, die durchaus interessant sind. Ich will aber nur einen wählen und zwar Wikipedia. Wie ist es mit der Veröffentlichung von personen-bezogenen Daten in Wikipedia? Besteht dafür ein Recht auf Berichtigung der betroffenen Personen? Die Berliner Behörde verweist dabei auf folgenden Sachverhalt: Personen-bezogen Daten in Wikipedia-Artikeln stellen grundsätzlich eine Verarbeitung zu sach-literarischen Zwecken da und sind nach derzeitiger Gesetzeslage damit der Kontrolle der Aufsichtsbehörden entzogen. |
3. Menschliches Versagen bei E-Mail Anhängen
E-Mail ist inzwischen die meist genutzte Versandart von Informationen oder Dokumenten. Leider ist eine einfache Art der End-To-End-Verschlüsselung politisch immer noch nicht gewollt. Doch auch wenn man perfekte Verschlüsselung hat, kann immer noch etwas schief gehen. Der Faktor Mensch ist eine potentielle Gefahrenquelle. So berichtet die IITR-Datenschutz GmbH in München in ihrem Newsletter, den ich sehr schätze, von einem Fall eines Vereins, wo jemand eine falsche Excel-Datei an eine E-Mail anhing. Dadurch kam es zu über 1000 betroffenen Personen, von denen sensible personenbezogene Daten unberechtigten Empfängern bekannt wurden. Diese Form von menschlichen Versagen kennen wir alle: Ein falscher Anhang! Wem ist es nicht schon mal passiert? Und leider kenne ich darunter auch viele Fälle, wo es sensible personenbezogene Daten betraf und es zu keiner Behördenmeldung kam. Am Ende ging es in diesem Fall ohne Bußgeld aus. Die Aufsichtsbehörde hat die Unvollkommenheit des Menschen gewürdigt und die Tatsache, dass es sofort korrekte Meldungen, wie Mitteilungen und eingeleitete Maßnahmen der verantwortlichen Stelle, damit sich der Fehler nicht wiederholt, gab. Man kann sich natürlich nie sicher sein, kein Bußgeld zu erhalten, aber ob man eines erhält und die Höhe des Bußgelds hängen immer maßgeblich von einem korrekten Umgang mit einer Datenpanne ab. Ich kann korrekte Datenpannen-Meldungen und den Umgang mit solchen Szenarien nur empfehlen. Versucht man zu verschleiern oder zeigt sich gleichgültig, aber betroffene Personen wenden sich an die Behörde, dann hat man sehr schlechte Karten heil aus der Sache heraus zu kommen. |
4. Aktuelles aus dem Datenschutz
Der Bundesbeauftragte für den Datenschutz (BfDI) hat ein Anhörungsverfahren zur Nutzung einer Facebook-Fanpage beim BPA (Bundespresseamt) eingeleitet. Weiterhin gelten Facebook-Fanpages als nicht datenschutzkonform. Der sensible Punkt dabei ist die Funktion, dass jeder Betreiber einer Fanpage von Facebook, Nutzerdaten bekommen kann. So genannte „Seiten-Insights“ Statistiken. Die Funktion ist nicht abzubestellen. Durch die Funktion werden Daten der Nutzer der Seite aufgezeichnet. Auch von solchen Nutzern, die nicht bei Facebook angemeldet sind oder dort ein Konto haben. Laut Entscheidung des EUGH aus 2018 sind hierbei Betreiber der Fanpage und Facebook gemeinsame verantwortliche Stellen im Sinne des Datenschutzes. Es müssten also zwischen den Betreibern und Facebook datenschutzkonforme Vereinbarungen getroffen werden. Wie das endet und wer sich bewegt, oder ob alle Fanpages eingestellt werden müssen, bleibt abzuwarten. Jedenfalls sind Facebook Fanpages nicht datenschutzkonform und das BVerwG hat entschieden, dass deutsche Datenschutzaufsichtsbehörden unmittelbar gegen die Betreiber von Facebook Fanpages vorgehen dürfen. Es ist, aus Sicht des Datenschutzes betrachtet, also besser keine Facebook Fanpage zu haben. |
Die bayrische Datenschutzbehörde hat mal Klarheit bei Webseiten-Logfiles geschaffen: Lange war es unklar, ob und wie lange der technische Administrator eines Webservers Logfiles mit nicht anonymisierten IP-Adressen der Besucher*innen zu Zwecken von Missbrauch speichern darf. Es heißt von dort jetzt, dass bis zu 30 Tage auf Grundlage eines berechtigten Interesses möglich sind. |
Ebenso aus Bayern, von der dortigen Aufsichtsbehörde, kommt ein Papier zur Datenschutz-Folgenabschätzung. Das ist ein komplexes Thema und das Papier aus Bayern, es ist 82 Seiten lang und keinesfalls eine spannende Lektüre, befasst sich hierbei mit dem entscheidenden Punkt einer Risikoanalyse. Dabei ist vor allem auch die Darlegung der genutzten Methodik zur Findung, Analyse und Bewertung von Risiken wichtig. Dieser Punkt macht mir etwas Kopfzerbrechen. Mit welcher Methodik ich suche, vermag ich noch gut auszuführen, ohne dass es subjektiv wird. Aber bei der Analyse und spätestens bei der Bewertung wird es doch irgendwie subjektiv. Ich werde mich damit noch näher befassen. Es ist, aus Sicht wissenschaftlicher Methodenlehre und Anwendung, schon ein spannendes Thema. |
Sehr oft berichte ich im Newsletter von Sicherheitswarnungen des BSI (Bundesamt für Sicherheit in der Informationstechnik). Nicht selten sind darunter auch Virenschutzprogramme, zu welchen das BSI vor Sicherheitslücken in deren Software warnt. Einer dieser Hersteller solcher Software hat nun geklagt, weil er diese Warnmeldungen des BSI als rufschädigend und nicht förderlich für sein Geschäft ansieht. Keine Instanz hat der Klage recht gegeben und das BVerfG hat im Juni die Beschwerde dazu gar nicht erst angenommen. Ich würde sagen, dass dieses Thema damit eindeutig geklärt ist. |
Das im Newsletter vom März dieses Jahres angesprochene Urteil des LG München I zu Google Fonts, in welchem auch ein Schmerzensgeld von EUR 100,00 zugesprochen wurde, findet jetzt seine Auswirkungen im Alltag. Im norddeutschen Raum, und vermutlich nicht nur hier, wurden Unternehmen in großer Zahl angeschrieben und freundlichst um die Zahlung von EUR 100,00 gebeten, weil bei Ihnen Google Fonts, tatsächlich oder manchmal auch nur angeblich, von den Servern in den USA geladen werden. Natürlich ist ein solcher Anspruch in dieser Weise unbegründet und ich hoffe, dass niemand diese EUR 100,00 zahlt und die Versender auf ihren Portokosten sitzen bleiben. Vermutlich wird das Geschäftsmodell, was nicht illegal, nur moralisch fraglich ist, aber fruchten und den Initiatoren ein volles Konto bescheren. |
Und dann lass ich in diesem Newsletter einmal den Teil des ganz normalen Wahnsinns, wer verschlüsselt wurde, wer sonst wie gehackt wurde, wie viele neue Sicherheitsbedrohungen es so gibt etc. weg. Das Szenario ist das gleiche wie in jedem Monat und ich bin mir sicher, dass Sie hierzu im nächsten Newsletter wieder zahlreiche Beispiele und Informationen finden. |
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. In dem nächsten Newsletter wird es u.a. um das Thema Fachkunde und Fachkundenachweise für eine sichere IT gehen. |
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter |
|
|
Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.
Der Verfasser ist externer Datenschutzbeauftragter und führt die Befähigung nach Artikel 37 DSGVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent:innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter stellt keine Rechtsberatung dar. |
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|