|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 06. März 2021
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund:innen und Abonnent:innen des Newsletters,
|
ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und Habe folgende Themen für Sie ausgesucht:
|
Als Themen diese Newsletters habe ich folgendes ausgewählt:
|
- Neues von der ePrivacy-Verordnung der EU
- Aktuelles aus dem Datenschutz
|
1. Neues von der ePrivacy-Verordnung der EU
Die ePrivacy-Verordnung ist bereits seit vor Einführung der DS-GVO im Gespräch und war schon vielfach angekündigt worden. Jedoch wurde das Vorhaben immer wieder verschoben, da man sich weder auf einen Inhalt noch auf die rechtliche Form einigen konnte. Nunmehr hat der Rat der EU eine Fassung dieser Weiterentwicklung des Datenschutzes als Verordnung verabschiedet. Es ist inhaltlich leider kein Fortschritt für den Datenschutz geworden, sondern teilweise ein deutlicher Rückschritt. Diese Einschätzung hat auch Professor Kelber, der Bundesbeauftragte für den Datenschutz, in einer Pressemitteilung sehr deutlich zum Ausdruck gebracht.
|
Wesentliche kritische Eckpunkte sind folgende:
|
- Wiedereinführung der Vorratsdatenspeicherung, obwohl diese bereits mehrfach von Gerichten als verfassungswidrig erklärt wurde.
- So genannte "Cookie-Walls" werden für rechtens erklärt.
- Es werden Nutzer:innenrechte im Internet, insbesondere auch Widerspruchsrechte eingeschränkt, so dass Nutzer:innendaten zukünftig auch ohne Einwilligung auf Webseiten gesammelt und zu allen denkbaren Zwecken weiterverarbeitet werden können.
Hingegen gibt es keine sinnvollen Verbesserungen oder Erleichterungen für praktische Dinge, die man aus der Umsetzung der DS-GVO gelernt hat, und die kleinen und mittleren Unternehmen im Datenschutz entlasten könnten. Die Verschlechterungen der Rechte der Bürger:innen im Internet sind dagegen erschreckend. Um hier Professor Kelber, den Bundesbeauftragten für den Datenschutz, zu zitieren: "Es macht mich fassungslos, wie schwerwiegend hier in Grundrechte der europäischen Bürgerinnen und Bürger eingegriffen wird." Ich teile seine Fassungslosigkeit voll und ganz.
|
Um das Geschehen verstehen zu können, muss der Newsletter an dieser Stelle leider auch ein wenig politisch werden. Der Kampf um das Internet hatte in 2011 richtig Fahrt aufgenommen. Und hierbei, durch den Erfolgt mobiler Geräte wie Smartphones und Tablets in Verbindung mit Social Media, insbesondere auch der Kampf um unsere personenbezogenen Nutzer:innendaten. Nutzer:innendaten vorwiegend zu Werbezwecken zu sammeln und mit diesen Daten zu handeln, ist inzwischen zu einem Milliardengeschäft herangewachsen. Auf der anderen Seite stehen die Rechte der Nutzer:innen und eine Regulierung der Datensammlung im Internet. Als die DS-GVO auf den Weg gebracht wurde, ist der konservativen Politik in der EU dieses entglitten. Man wollte eigentlich etwas anderes für das eigene Klientel erreichen. Entsprechend groß war am Ende das Entsetzen. Das betraf vor allem eine Branche, nämlich die großen Verlagshäuser. Hier gingen und gehen die Auflagen der Printwerke seit Jahren in großer Zahl zurück. Die Verluste sind hoch. Die Verlagshäuser, die das Internet zunächst alle verschlafen hatten, mussten nachziehen und auf Online umstellen. Allerdings sind die Verlagshäuser im Onlinegeschäft nicht mehr nur unter sich, sondern jeder kann im Internet bloggen, Artikel schreiben, Wissen verbreiten und vieles mehr. Es tummeln sich von Influencer:innen bis freien Journalist:innen alle nach Belieben auf Plattformen von Youtube bis Facebook. Die Verlagshäuser kontrollieren das Geschehen nicht mehr und haben noch weniger ein Oligopol, wie es vormals, bei den Printmedien, der Fall war. Das war ein unvorstellbarer Schock für die Branche. Entsprechend versucht man jetzt die Kontrolle zurück zu gewinnen. Man wünscht sich, dass Youtube, ganz Social Media und alle freien Blogger am besten verschwinden, und man selbst das Online-Oligopol erhält.
|
Ein weiterer großer Schlag gegen die Verlagshäuser war, wie bereits gesagt, die in 2018 in Kraft getretene DS-GVO und deren Verbot, Daten von Websitebesucher:innen, ohne deren vorherige Einwilligung, zu sammeln. Dagegen haben die Verlagshäuser mobil und allen ihren Einfluss auf die Politik geltend gemacht. Ergebnis ist eine fragliche Reform des Urheberrechts (Richtlinie der EU 2019/790) und nunmehr die ePrivacy-Verordnung. Das Ziel ist hierbei so simpel wie klar: Man will, dass zum einen unliebsame Anbieter:innen von Content im Internet aus dem Markt gedrängt werden können, um so seine Marktanteile auszubauen. Zum anderen will man unbeschränkt mit Nutzer:innendaten Geld verdienen, ohne dass Nutzer:innen dabei Rechte haben. Von dieser Seite weht der Wind und die konservativen Kräfte in der EU sind hier ihren Lobbyist:innen gefolgt. So erklärt sich dieser Teil der ePravacy-Verordnung.
|
Der andere Teil ist die Vorratsdatenspeicherung. Das ist eine komplexe Thematik, die man sehr differenziert betrachten kann. Natürlich wünschen wir uns alle, dass Verbrechen aufgeklärt werden können und zu diesem Zweck Personen oder Verbindungen rückverfolgbar sind, wenn unsere Strafverfolgungsbehörden ermitteln. Gleichzeitig wollen wir aber auch ein freies Internet und nicht generell rückverfolgbar für alles, was wir so online tun, sein. Das ist ein schwieriges Dilemma zwischen demokratischen Grundrechten: Presse- und Meinungsfreiheit, die gewährleistet werden müssen, auf der einen Seite. Auf der anderen Seite wehrhafter Schutz der Demokratie gegen Systemgegner:innen, Terrorist:innen und Verbrecher:innen. Es muss in jedem Fall sichergestellt werden, dass es durch Vorratsdatenspeicherung nicht zu politisch motivierten Verfolgungen und einer Beschränkung unserer demokratischen Grundrechte kommt.
|
2. Aktuelles aus dem Datenschutz
Als erste muss ich darüber berichten, dass wir erst Anfang März haben, und es dieses Jahr bereits im Kundenkreis zwei schwerwiegende Hacks von Webseiten gab. Beide mit dem Ziel Schadware über die Webseiten zu verteilen und in beiden Fällen grundsätzlich erfolgreich. Offensichtlich ist das Hacken von Webseiten, wenn es auch nur die kleinste Sicherheitslücke gibt, inzwischen die neue Realität, der wir uns stellen müssen. Die technischen Administrator:innen und Webdesigner:innen müssen das leider so zur Kenntnis nehmen und die Sicherheitsmaßnahmen stärker in den Fokus rücken, wenn das bisher nicht bereits erfolgt ist.
|
Auch nach inzwischen 1000 Tagen DS-GVO, so resümiert der Bundesbeauftragte für den Datenschutz, wurden bisher das TMG und andere Rechtsnormen nicht angepasst. Dadurch kommt es zu unklaren Rechtslagen in verschiedenen Bereichen. Dieses betrifft insbesondere die Anbieter:innen von Telekommunikationsdienstleistungen, aber führt auch zu einer unnötigen Bannerflut von Einwilligungen im Internet, da hier teilweise eine unklare Rechtslage herrscht. Die Bundesregierung gibt an, an Gesetzesvorlagen zu arbeiten. Konkrete Texte sind aber noch nicht veröffentlicht. Die Modifizierungen der Gesetze sollen aber noch dieses Jahr erfolgen.
|
Die wohl "aufregendste Meldung" des neuen Jahres war sicher die Zerschlagung der Emotet-Infrastruktur und das Ende dieser Erpressergruppe. Emotet war eine der schwerwiegendsten Bedrohungen in 2020 und für zahlreiche Verschlüsselungen mit Lösegelderpressung verantwortlich. In diesem Zusammenhang hat sich nunmehr eine Diskussion über die Rechte des BKA, das hier maßgeblich beteiligt war, im Zusammenhang mit Strafermittlungen aufgetan. Das BKA hatte zu Ermittlungs- und Abwehrzwecken der Emotet-Malware offensichtlich, ohne Wissen der Betreiber:innen einiger Systeme, dort Überwachungs-Software eingespielt. So berichtet es jedenfalls "netzpolitik.org". Letztlich ist dieses eine Verletzung der Integrität der Systeme und eine Straftat. Dass diese Praktik hier eindeutig nur zur Gefahrenabwehr vorgenommen wurde, ist dabei nicht erkennbar und die Sache an sich durchaus wert hinterfragt zu werden.
|
Ein ganz neuer Social Media Trend ist in den vergangenen Monaten aus den USA auch nach Deutschland gekommen, und zwar mit der App "Clubhouse", die es bisher nur für IOS gibt. Einlass bekommt man nur mit einer Empfehlung, und das Konzept basiert auf Audio. Man kann dort zu vorwiegen politischen Sachthemen, zum Teil so gar mit Expert:innen und Politiker:innen, die sich schnell diesem Format zugewandt haben, in einer Art "Broadcast" diskutieren. Die Datenschutzbehörden monieren nicht die Idee oder das Format, weisen aber daraufhin, dass die technische Umsetzung alles andere als sicher ist und es viele Datenschutzprobleme in der App gibt. In der Tat ist der Dienst weit davon entfernt, die Vorgaben der DS-GVO zu erfüllen. Ob alle altbewährten Social Media Dienste letzteres dagegen bereits erfüllen, ist aber ebenso zweifelhaft.
|
Bei Malware, wo der ganz normale Wahnsinn seinen Lauf auch in 2021 nimmt, möchte ich hier kurz auf "DreamBus" eingehen. Dieses Schadprogramm generiert Kryptowährungen auf infizierten Geräten. Interessant ist hierbei, dass es sich um eine Malware handelt, die Linux-Systeme befällt und sich auf diesen auch extrem schnell ausbreitet. Die bisherige Annahme, dass Linux sicherer und gegen Schadprogramme weitgehend immun ist, ist damit widerlegt. Auch Linux-Systeme sind genauso gefährdet wie Windows- oder IOS-Systeme.
|
Nicht nur Linux kämpft mit Malware, sondern auch Android. So warnt das BSI vor einer neuen Betrugsmasche, bei der Benachrichtigungen für einen Paketversandt per SMS verschickt werden. In diesen SMS ist ein Link, den man bestätigen soll. Klickt man diesen Link, wird eine Malware, die Android-Gräte befällt, heruntergeladen. Die Malware generiert einen Massenversandt von SMS. Dieses kann nicht nur Kosten bei den Betroffenen verursachen, sondern auch zu Sperrungen des Services oder der ganzen SIM-Karte führen.
|
Im August 2020, wegen der Corona-Krise wenig beachtet, kam es zu einem Facebook-Hack, in dessen Zusammenhang ca. 500 Millionen Telefonnummern erbeutet wurden. Dieses betraf also 25% aller Nutzer:innen von Facebook und auch die Telefonnummern, die nur aus Sicherheits-gründen für die Nutzer:innen selbst hinterlegt waren. Diese Datensätze sind jetzt aufgetaucht und werden offensichtlich über Telegramm angeboten. Hier können Interessent:innen für 20,-- USD die Telefonnummer zu einem x-beliebigen Facebook-Konto kaufen. Facebook-Nutzer:innen sollten unbedingt Ihre Telefonnummer auf dem Portal löschen oder ändern.
|
Ein Blick auf Zahlen und Statistiken sagt aktuell folgendes: In 2020 gab es letztendlich ca. 117,4 Millionen neuer Schadprogramm-Varianten. Dieses ist eine Stagnation zu 2019, wo mit 114 Millionen der Wert nur wenig niedriger lag. In den Netzen des Bundes stieg hingegen der Anteil der Spam-Mails nochmals an, und zwar von 69% auf 76%. Davon waren monatlich ca. 35.000 Spam-Mails direkt mit Schadsoftware versehen. Spam-Emails sind auch in der freien Wirtschaft und für Privatpersonen ein großes Ärgernis wie auch ein Sicherheitsrisiko. Beim BSI geht man auch weiterhin von täglich bis zu 20.000 Bot-Infektionen auf Systemen in Deutschland aus. Und weltweit waren den Schätzungen nach über 24 Millionen Patient:innen-Datensätze mit sensiblen Gesundheitsdaten frei im Internet zugänglich. Ein kleiner Auszug aus dem Grauen.
|
Das BSI weißt in einem seiner Newsletter ferner auf Sicherheitslücken bei Babykameras hin. Das Thema war lange nirgends zu lesen, ist aber sehr relevant. Denn sicher möchten keine Eltern die Augen fremder in ihrem Kinderzimmer haben. Noch weniger, dass Fremde ihr Kind filmen und gar Nacktaufnahmen machen, die sich später irgendwo im Internet finden. Der Life-Stream vieler solcher Kameras ist sogar ungesichert im Internet zu finden. Das Problem betrifft Überwachungskameras generell. So hat ein Team von Expert:innen ohne Mühen 110.000 solcher ungesicherten Übertragungen gefunden. Davon ca. 10%, also um die 11.000 aus Wohnräumen. Hierunter waren sogar Kindertagesstätten.
|
Überraschendes in Sachen Datenschutz kam Ende Februar auch aus Berlin. Hier hat ein Gericht den Bußgeldbescheid in Millionenhöhe gegen die Deutsche Wohnen gekippt und das Verfahren eingestellt. Wesentliche Grundlage dieser Entscheidung ist eine Auslegung darüber, ob der Bußgeldbescheid nach Europarecht überhaupt zulässig ist. Im Rahmen des Verfahrens gegen einen Mobilfunkanbieter hatte das Landgericht Bonn hier bereits eine europarechtskonforme Auslegung vorgenommen, und war zu einem anderen Ergebnis gekommen, das am Ende auch von allen Parteien akzeptiert wurde. Die Berliner Behörde hat über die Staatsanwaltschaft, die hier die Zuständigkeit hat, einen Rechtsbehelf eingelegt. In der Branche blickt man mit Spannung auf das Verfahren.
|
Die Bußgelder nehmen übrigens langsam Fahrt auf. Das gilt nicht nur für Deutschland. In Italien soll Vodafone 12 Millionen Euro für Datenschutzverletzungen zahlen. Dagegen sind die 100.000 Euro, die die Bundesnetzagentur in Deutschland gegen Vodafone, wegen illegaler Telefonwerbung verhangen hat, fast lächerlich. Die Bundesnetzagentur darf übrigens auch Bußgelder verhängen und macht vermehrt davon Gebrauch. Viele Bußgelder bekommt man dabei kaum mit. So erwischte eines dieser Bußgelder im Sommer 2020 mit 1,24 Millionen Euro die AOK Baden-Württemberg. Grund waren die unerlaubte Nutzung von Kund:innendaten zu Werbezwecken, die im Rahmen von Gewinnspielen erhoben wurden, ohne dass hierfür korrekte Einwilligungen eingeholt wurden. Bußgeld, wie auch die gesamte Aufarbeitung des Falls zwischen AOK und der Aufsichtsbehörde, sollen dabei, nach übereinstimmenden Berichten, im großen Einvernehmen und sehr konstruktiv erfolgt sein.
|
Aus Niedersachsen gibt es etwas von der Polizei zu berichten. Hier moniert die Landesbeauftragte für den Datenschutz den Einsatz eines Messenegers. Dabei geht es ihr nicht grundsätzlich um den Messenger selbst oder dessen Einsatz in der Polizei, die sehr sensible personenbezogene Daten verarbeitet. Diesem an sich steht man in der Datenschutzbehörde sehr offen gegenüber. Man moniert vielmehr, dass der Messenger auf privaten Endgeräten der Polizist:innen eingesetzt wird. Denn auch in der Polizei Niedersachsen gilt ""Bring Your Own Device (BYOD)". Diese Praxis hält die niedersächsische Beauftragte für den Datenschutz für sehr fraglich und wünscht sich dienstliche Endgeräte für alle Polizist:innen. Das wünschen sich diese sicher auch, nur die Politik hat kein Geld dafür.
|
|
Aus Hamburg gibt es etwas zum Datenschutz in Schulen zu berichten. Mit Einführung einer neuen Lernplattform (LMS) und in Verbindung mit dem Hamburger Schulgesetz, dass mit dem §98 besonders an den Datenschutz angepasst (oder auch nicht) ist, kommt es derzeit zu einer kleinen Flut an Anzeigen bei der Hamburger Datenschutzbehörde. Diese nimmt sich der Sache nunmehr auch an und die Schonfristen für Hamburger Schulen scheinen abgelaufen. Dabei hat die Aufsichtsbehörde aber keineswegs Böses gegen die Schulen im Sinn, sondern sie versucht Prozesse in Gang zu bringen, in denen es für alle Beteiligten sinnvolle Lösungen im Datenschutz an Schulen gibt. Hierüber, und über den neuen §98c des Hamburger Schulgesetzes, werde ich im nächsten Newsletter detaillierter berichten.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Neben dem Datenschutz an Hamburger Schulen wird es im nächsten Newsletter auch um die Themen Datenschutz und IT-Sicherheit bei digitalen Gesundheits- und Medizinprodukten sowie um den Dienstwagen gehen, denn Autos werden auch immer digitaler.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com
|
|
|
|
|
