Datenschutz-Newsletter Tobias Lange Externer Datenschutzbeauftragter
Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. November 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,
ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Das Verzeichnis der Verarbeitungstätigkeiten
  2. Aktuelles aus dem Datenschutz
  3. Die „Freiwilligkeit“ einer Einwilligung im Arbeitsrecht
  4. Der Einsatz von KI in der Strafverfolgung

1. Das Verzeichnis der Verarbeitungstätigkeiten

Es war im Entstehungsprozess der DS-GVO ursprünglich einmal so gedacht, dass kleinere und mittlere Unternehmen bis zu einer bestimmten Größe beim Erstellen eines Verzeichnisses der Verarbeitungstätigkeiten (VVT) entlastet werden sollten. Der Gedanke war der, dass es, bis zu einer bestimmten Größe, in einer Organisation immer noch mindestens eine Person auf Leistungsebene gibt, die einen Überblick über alle Prozess innerhalb der Organisation hat, und damit auch den Überblick über die Prozesse mit einer Verarbeitung personenbezogener Daten. Dann wollten die EU-Gesetzgeber die besonders schutzwürdigen Daten doch ein wenig transparenter machen, es gab Verständnisirrtümer in den verschiedenen Sprachen der EU und am Ende führte das alles zusammen zum Absatz 5 des Art. 30 der DS-GVO.
Um diesen besagten Absatz in verständliche Kurzform zu bringen: Im juristischen Sinne sind die dort genannten Ausnahmekriterien zusammen nicht erbringbar und es besteht somit tatsächlich für jede Organisation die Pflicht zum Führen eines VVT, auch wenn diese nur eine(n) Mitarbeiter*in hat. Es gab Ansätze bei Einführung der DS-GVO diese eigentlich so gar nicht gewollte Tatsache juristisch auszuhebeln und sich auch beim VVT an Ansätze aus dem Art. 37 der DS-GVO zu hängen. Letztlich hat das alles zu nichts geführt und nie seinen Weg in die Praxis gefunden. Auch auf eine Änderung der Ausnahmen zur Pflicht der Führung des VVT in der geplanten e-privacy Richtlinie der EU, was zwischenzeitlich angeregt wurde, ist nicht mehr zu hoffen. Somit besteht diese Pflicht zu Führen eines VVT quasi absolut und muss natürlich erfüllt werden.
Die meisten VVTs, die ich kenne, haben wenig konkreten Inforationsgewinn. Sie bestehen aus einer recht simplen Auflistung der Prozesse, entnommen aus den jeweiligen betrieblichen Arbeitsanweisungen. Dabei wird meistens auf Details gar nicht eingegangen. Auch sind die in Art. 30 DS-GVO genannten Inhalte für eine umfassende Datenschutzbewertung eines Prozesses keineswegs erschöpfend. Daher bin ich mit der derzeitigen Führung der VVTs, auch was mich und meine meine Kunden betrifft, nicht wirklich glücklich. Ich habe mich in verschiedene Datenschutzmanagement-Anwendungen vertieft und mir dort angesehen, wie man das Thema VVT behandelt. Auch das hat mich nicht überzeugen können, insbesondere deswegen auch nicht, weil alle diese Anwendungen auf eine verallgemeinerte Universalbranche abzielen und nicht spezifisch für konkrete Branchen erstellt wurden.
Ich habe mir daher vorgenommen, diesem Thema Anfang 2022 mehr Aufmerksamkeit zu widmen und für das VVT eine detaillierte Lösung mit mehr Informationsgehalt und einem praktischen Nutzen für die Leitungsebenen zu entwickeln

2. Aktuelles aus dem Datenschutz

Werfen wir einmal einen Blick zu unseren südlichen Nachbarn nach Österreich. Dort hat sich Anfang Oktober eine bemerkenswerte Regierungskrise abgespielt. Das politische dabei lassen wir einmal beiseite und werfen den Blick auf die Tatsache, dass der Staatsanwalt-schafft ganze Chatverläufe aus diversen Messenger-Diensten verschiedener Personen vorliegen. Ich möchte dieses Beispiel nutzen, um darauf hinzuweisen, dass man auch ein Auge auf seine Chats in Messenger-Diensten haben sollte. Auch diese können personenbezogene oder geschäftsgeheime Inhalte haben, die nicht an die Öffentlichkeit kommen sollten. Es ist ratsam bei manchen Dingen vorab gut darüber nachzudenken, ob man diese schriftlich fixieren will. Und wenn man es tut, dann sollte man seine Chatverläufe auch des Öfteren mal löschen. Allerdings bedeutet ein gelöschter Chatverlauf oder eine gelöschte Nachricht nicht unbedingt auch, dass diese ebenso bei der Gegenseite gelöscht wurde. Und sind Nachrichten oder Chatverläufe wirklich komplett gelöscht, so kann man doch nie sicher sein, dass die Gegenseite vielleicht davon vorher einen Screenshot angefertigt hat und irgendetwas unerwünschtes damit tut. So ging es zum Beispiel im Oktober, neben dem österreichischen Kanzler Kurz, auch mit einem WhatsApp Chat von Lena Meyer-Landrut nicht anders: Er landete in der Öffentlichkeit, weil ihn jemand „screengeschottet“ hatte. Man ist also gut beraten vorsichtig zu sein, was man so auf Messengern schreibt und wem.
In Schulungen kommt am Ende oft die Frage danach, was man mit seinem Smartphone im öffentlichen Raum so alles aufnehmen darf, und was nicht? Zu einer dieser vielen Möglichkeiten hat das LG Osnabrück ein Urteil erlassen. Gem. Beschluss vom 24.09.2021, 10 Qs 49/21 des LG Osnabrück sind Videoaufnahmen von Polizeieinsätzen durch Privatpersonen nicht Strafbar nach §201 StGB.
In der Ukraine, auch dort gibt es noch Rechtsstaatlichkeit, wurde eine Gruppe von Hackern verhaftet und ein Botnet mit mehr als 100.000 infizierten Drittgeräten, auf der die Malware installiert war, lahmgelegt. Die Hacker haben Ihre Dienste vor allem via Telegramm vermarket und ihr Geld über WebMoney, einer russischen Geldtransfer-Plattform, erhalten. Zu den Erfolg haben internationale Hinweise und Ermittlungen geführt, sowohl aus Russland als auch aus den USA. Es ist nicht bekannt, ob die Hacker mit dem „Sinkhole the Merris DDoS“ oder „The WireX“ Botnet in Verbindung standen, aber eines von beiden ist wahrscheinlich.
Ein paar Zahlen zur Bewusstseinsbildung: Wenn man 1000 Terabyte per LTE überträgt, dann dauert das ca. 30 Tage. Mit 5G verringert sich diese Zeit um etwa 1/3 auf nur noch 10 Tage. Wir nennen dabei 5G schon eine „Echtzeitübertragung“. Tatsächlich ist Echtzeit eine Frage der Menge der Daten, die übertragen wird. Um so mehr Daten, desto weniger Echtzeit. In der Forschung wird aber bereits mit ganz anderen Datenraten hantiert und in der Welt von morgen, werden wir wohl diese 1000 Terabyte dann in 10 Minuten übertragen können. Das bedeutet auch neue Herausforderungen für den Datenschutz und vor allem eines: Wer einmal falsch geklickt und einen Datentransfer gestartet hat, für den ist danach alles weitere zu spät und nichts mehr zu retten.
Die Polizei Berlin berichtet in einer Pressemitteilung ein 5jähriges Mädchen, das seine Eltern verloren hat, nach Passanten-Meldung in Obhut genommen zu haben. Das kleine Mädchen hat angegeben, dass sie sehr wohl weiß, wie sie selbst und ihre Eltern mit Namen heißen und wo sie wohnen, sie solche Informationen aber nicht an Fremde (auch nicht die Polizei) gibt. Wenn das nicht gelebter Datenschutz ist, dann weiß ich auch nicht! Ich wünschte mir die Polizei nimmt sich ein Beispiel an diesem Kind und überlegt zukünftig einmal öfter, bevor man selbst Namen und Adressen von Personen herausgibt. Leider kann ich nicht sagen, dass Datenschutz für die Polizei „bester Freund und Helfer“ ist. Der Datenschutz ist auch in der Polizei so lästig wie auf allen Behörden und Ämtern, und es gibt immer wieder Fälle von Datenpannen. Nur die wenigsten davon werden publik, weil auch die Meldungen an die Aufsichtsbehörden meistens nicht als notwendig angesehen werden.
Der Nachrichtendienst Golem berichtet über ein Datenleck bei der Firma Modern Solution. Diese arbeitet unter anderem für Check24 und Otto. Davon sind ca. 700.000 Personen betroffen. Die verschiedenen Onlinehändler, die die Anwendung nutzen, konnten dabei auch alle Transaktionen eines Kunden bei den anderen Onlinehändlern einsehen. Ein Programmierer, der einen Auftrag für eine Erweiterung der Software hatte, fand diese Sicherheitslücke zufällig und meldete sie dem Unternehmen. Modern Solution bestritt das bestehen der Sicherheitslücke und kümmerte sich nicht weiter darum, worauf der Programmierer diese Sicherheitslücke dann öffentlich machte. Dieses hatte zur Folge, dass der Programmierer wegen des Ausspähens von Daten von Modern Solution angezeigt und von der Polizei hausdurchsucht wurde. Seine sämtliche EDV wurde beschlagnahmt. Und da stellt sich wieder das Problem des § 202c StGB, wonach jeder, der auch nur zufällig eine Sicherheitslücke findet, sofort in die Gefahr gerät strafrechtlich verfolgt zu werden. Hier muss der Gesetzgeber dringend nachbessern.
Etwas neues gibt es dann auch von der Microsoft 365 Front zu berichten. Dieses beginnt mit einer Studie der Telekom Stiftung zu Lernportalen. Diese Studie kommt zu dem Schluss, dass der Aufbau von zentralen Lösungen bei Behörden, wie z.B. einer „Bundes-Cloud“, utopisch ist und die Zukunft dieser Anwendungen an Schulen in der Vielfalt der Privatwirtschaft liegt. Diese Erkenntnis hätte eigentlich keiner Studie bedurft, aber endlich hat es einmal jemand wissenschaftlich festgestellt. Hierauf nahm die Datenschutzbeauftragte des Landes NRW, Bettina Gayk, Bezug und erklärte, dass man MS365 an Schulen in NRW b.a.w. weiter duldet und davon ausgeht, dass zeitnah für die Anwendung ein rechtlicher Rahmen vorliegt. Dabei beruft sie sich auf die Verhandlungen der Aufsichtsbehörden der Länder Bayern und Brandenburg mit Microsoft zu M365. Diese Gespräche laufen nun schon fast zwei Jahre und inzwischen war die Hoffnung hier Lösungen zu finden bereits minimiert. Es gab keine Fortschritte, und eben gerade die Frau Gayk von der Aufsichtsbehörde NRW hatte noch vor gut einem Monat eigentlich das Gegenteil verkündet. Es ist schon schwer hier den Durchblick zu behalten und ich will daher auch nicht voreilig herausschreien, dass in Bezug auf M365 hier endlich einmal Licht am Ende des Tunnels zu sehen ist und diese „Never-Ending-Story“ bald ein Ende hat.
Der „Businessinsider“ berichtet in einem Online-Artikel über die technische Möglichkeit aus hochauflösenden Fotos, die die Handinnenflächen zeigen, Fingerabdrücke nehmen und verwenden zu können. Zum einen zum Abgleich und zum anderen, und vor allem, zur Möglichkeit der Entsperrung etc. von Endgeräten. Diese Thematik, um ehrlich zu sein, hatte zu mindestens ich gar nicht auf der Liste der zu beachtenden Sicherheitsprobleme und bin auch selbst etwas skeptisch über die praktische Relevanz dieser Möglichkeit. Ich werde das Thema aber einmal im Augen behalten und schauen, wie sich diese Problematik entwickelt.
Regelmäßig berichte ich über ein Unternehmen, das im letzten Monat gehackt wurde, stellvertretend für zig andere und die Gesamtproblematik. Natürlich ist „Gehacktwerden“ nicht nur ein Problem in Deutschland und der EU. Im Oktober wurde der Iran Opfer eines Angriffs und dort das zentrale Abrechnungssystem für Benzin an Tankstellen. Im Iran ist es so, dass alle Bürger eine Abrechnungskarte für Benzin haben und darüber niedrigere Preise zahlen. Man muss es sich wie eine EC-Karte vorstellen, mit der bezahlt wird. Dieses Abrechnungssystem wurde gehackt und lahmgelegt. Dadurch konnten iranische Bürger einige Tage lang nicht tanken, wenn sie nicht bar und das doppelte bezahlen wollten. Schadsoftware ist ein weltweites Problem!
Die Datenschutzkonferenz der Länder hat sich mit dem Thema „Impfstatus von Mitarbeiter*innen abfragen“ beschäftigt. Letztlich ist nichts konkret neues dabei herausgekommen. Weiterhin ist es nur erlaubt, wenn eine gesetzliche Grundlage besteht. In bestimmten Fällen kann es darüber hinaus, auf Grundlage eines berechtigten Interesses, auch dann erlaubt sein, wenn es um Lohnfortzahlungen oder Sanktionen im Arbeitsrecht geht. Ohne dieses vertiefen zu wollen weise ich einmal daraufhin, dass, sollte die epidemische Notlage im November nicht mehr verlängert werden, ein erfassen des Impfstatus, dort wo es nach IfSG § 36 zwischenzeitlich erlaubt war, ab dem 25.11.2021 nicht mehr erlaubt ist und bereits erfasste Daten darüber sodann gelöscht werden müssen.
In Niedersachsen hat die Datenschutzbehörde eine Handreichung zu Datenschutz für kommunale Abgeordnete herausgegeben. Dabei wird der §9 Abs. 2 Satz 1 auch explizit erwähnt, den ich immer noch ein „wenig unglücklich“ finde, um es einmal so zu formulieren. Hiernach kann einer betroffenen Person das Auskunftsrecht jederzeit verweigert werden, wenn es dem Wohl des Landes aus sonstigen Gründen entgegen steht. Wann dieses Wohl des Landes gefährdet ist, darf dann in Niedersachsen jede verantwortliche Stelle selbst entscheiden und muss es gegenüber der betroffenen Person nicht begründen.
Bei den Sicherheitswarnungen des BSI vielen mir mal wieder die Browser ins Auge, und zwar alle gleichermaßen: Chrome, edge, Safari etc. Hier gab es mit der Stufe 4 eine relative hohe Sicherheitswarnung, die den Bemerk enthielt: „Ein Angreifer kann diese Schwachstellen ausnutzen, um Schadcode auszuführen und um Sicherheitsmaßnahmen zu umgehen. Zur Ausnutzung genügt das Öffnen einer bösartig gestalteten Webseite bzw. das Anklicken eines Links zu einer solchen Seite. Berichten zufolge werden zwei dieser Schwachstellen bereits aktiv in Angriffen ausgenutzt.“ Diese Warnungen kommen jeden Monat und kontinuierlich. Es ist grundsätzlich nicht ratsam nicht vertrauenswürdige Internetseiten zu öffnen oder Links dazu auch nur anzuklicken. Und für diejenigen, die glauben durch Antiviren-Software dagegen geschützt zu sein: Gleich hinter dieser Warnmeldung kam die Warnmeldung für Bitdefender, stellvertretend für alle Anbieter von Antivirensoftware, dass diese Software eine schwerwiegende Schwachstelle hat und Systeme darüber angegriffen werden können. Und für Android Betriebssysteme, also unsere Smartphones, gab es eine solche Sicherheitswarnung auch. Alles wie immer in der Welt, kann man sagen, und installierte Updates machen ggf. am Ende den Unterschied. Spielen Sie immer sofort alle Sicherheitsupdates ein!

3. Die Freiwilligkeit einer Einwilligung im Arbeitsrecht

Dieses Thema kommt immer öfter auf der Agenda mit meinen Kunden vor und es gibt dafür leider keine wirklich einfache Antwort, die universell gültig ist. Es ist also kompliziert.
Grundsätzlich basiert ein Arbeitsverhältnis auf einer Parteienungleichheit. Der Erwägungs-grund 43 zur DS-GVO ist hier maßgeblich. Daraus geht vor allem eines hervor. Eine kombinierte Einwilligung, wo die Einwilligung von einem Arbeitsvertrag oder anderen Vereinbarungen abhängig und in diesem Schriftstück eingebunden ist, ist rechtsunwirksam. Wenn Einwilligungen zu erweiterten Datenverarbeitungen von Mitarbeiter*innen im Rahmen von Arbeitsverhältnissen getätigt werden, müssen diese immer separat erfolgen und dürfen keinen Nachteil für die einwilligenden Arbeitnehmer*innen haben.
Eine separate Einwilligung ist grundsätzlich dennoch kein Garant für eine Freiwilligkeit. Die Arbeitehmer*innen könnten sich genötigt sehen einzuwilligen, weil man ansonsten einen Nachteil fürchtet, zum Beispiel bei Beförderungen etc. Diesem kann auch allein dadurch nicht abgeholfen werden, dass der Arbeitgeber darauf hinweist, dass eine Nichteinwilligung sanktionsfrei ist. Die alleinige Aussage der dominierenden Partei ist hier kein Beweis einer auch praktischen Tatsächlichkeit.
Diese Problematik führt unweigerlich zu der Frage danach, ob in einem Arbeitsverhältnis überhaupt freiwillige Einwilligungen möglich sind und wenn ja, mit welcher Methodik die Freiwilligkeit hier belegbar ist. Und hier wird es sehr schwierig. Verschiedene Rechtsgüter sind dabei abzuwägen. Zum einen gibt es die unternehmerische Freiheit ein Unternehmen in einem verhältnismäßigen und gewissen Rahmen so führen zu dürfen, wie es einem gefällt, und hierfür auch ein Weisungsrecht gegenüber Mitarbeiter*innen auszuüben. Dieses kann durchaus auch den Einsatz von Anwendungen und Verfahren beinhalten, welche personenbezogene Daten bei den Mitarbeiter*innen generieren. Es ist dann sehr genau abzuwägen, ob dieses verhältnismäßig und vom Arbeitsverhältnis an sich gedeckt ist. Dabei sind auch die berechtigten Schutzrechte der Mitarbeiter*innen abzuwägen. Kommt man zu dem Schluss, dass eine unternehmerische Freiheit nicht besteht, dann kann zum anderen eine freiwillige Einwilligung natürlich eine Option sein. Persönlich halte ich den grund-sätzlichen Ausschluss einer solchen Möglichkeit für falsch. Sehr wohl können auch Arbeitnehmer*innen freiwillig Einwilligungen abgeben. Zum Beispiel dann, wenn etwas auf Antrag der Arbeitnehmer*innen erfolgt. In meinen Augen aber auch im Rahmen einer demokratischen betrieblichen Mitbestimmung der Arbeitnehmer*innen. Hierbei ist dann die Schlüsselfrage, ob eine Minderheit das Ergebnis der Mehrheit mittragen muss und, so gesehen nur gezwungen einwilligt. Oder ob man das Ergebnis dieses betrieblichen Mitbestimmungsprozesses dann ohne zusätzliche Einwilligung unter dem Arbeitsverhältnis als legitim ansehen darf. Hier gibt es viel offene Fragen, für die es noch keine finale Rechtsprechung gibt. Ich empfehle derzeit solche Fälle immer individuell zu bewerten und in enger Zusammenarbeit mit dem zuständigen Datenschutzbeauftragten zu führen.

4. Der Einsatz von KI in der Strafverfolgung

Dieses Thema kann ich hier nicht einmal annähernd erschöpfen, denn es ist viel zu komplex. Grundsätzlich müssen wir alle aber verstehen, dass die Menschheit inzwischen so viele Daten generiert, dass diese von Menschen allein nicht mehr geprüft und verarbeitet werden können. Man sieht dieses sehr gut an den Panama-Papers, die von investigativen Journalisten nur mit Hilfe von Algorhythmen ausgewertet werden konnten, weil es, auch für weit über 100 Journalisten, einfach zu viele Daten waren. Diese Problematik gilt natürlich auch für Polizei und Staatsanwaltschaft in der Auswertung von Daten in Bezug auf eine Straftat und deren Ermittlung.
Wir müssen uns hier alle klar machen, dass es für funktionierende Ermittlungsbehörden in der modernen Welt keinen anderen Weg als den des Einsatzes von KI geben wird. Wir müssen uns aber eben so klar darüber sein, dass dieser Weg bestimmte Gefahren für die Bürger*innen mitbringt. Nicht umsonst habe ich den Bundebeauftragten für den Datenschutz und die Informationssicherheit in Deutschland in vielen Newslettern unseren obersten Verbraucherschützer genannt. Wenn wir hier in eine Richtung automatisierter Verarbeitungsprozesse gehen, muss sichergestellt werden, wo Menschen noch eine Endkontrolle haben. Es kann und darf nicht dahin gehen, dass zukünftig KI Daten automatisiert durchsucht und personenbezogene Daten extrahiert. Diese Daten dann selbst bewertet, mit anderen personenbezogenen Daten ggf. verknüpft und am Ende eines voll automatisierten Ermittlungs- und Bewertungsprozesses auch noch den Strafbefehl herausschickt. Das alles, ohne dass ein Mensch einmal darüber gesehen hat, ob auch alles seine Richtigkeit hat.
Wir sind als Gesellschaft also gut beraten den Einsatz von KI in den Strafverfolgungsbehörden und bei der Polizei genau zu beobachten und hier auf Regeln zu pochen, die die Datenschutzrechte und weiteren Grundrechte der Bürger*innen wahren.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich u.a. einen Blick auf die Themen des jüngst veröffentlichten Berichts des BSI zur Lage der IT-Sicherheit in Deutschland 2021 werfen.
Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange – Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de