Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 05. Dezember 2022

DATENSCHUTZ NEWSLETTER
Liebe Kund*innen und Abonnent*innen des Newsletters,
ich freue mich, Ihnen eine weitere Ausgabe des Newsletters präsentieren zu dürfen und habe heute die folgenden Themen für Sie:
  1. Datenschutzfolgenabschätzung Microsoft 365
  2. Beschäftigten-Datenschutz
  3. Aktuelles aus dem Datenschutz

1. Datenschutzfolgenabschätzung Microsoft 365

Die Diskussionen um den Einsatz von M365 in Unternehmen kann man, nach den jüngsten neuen Standardvertragsklauseln und der Tatsache, dass es demnächst wieder ein Datenschutzabkommen mit den USA gibt, meiner Meinung nach beenden. Leider hat die Datenschutzkonferenz (DSK) der Länder sich dieser Meinung nicht angeschlossen. Dort sieht man weiter Hinderungsgründe. Diese bestehen darin, dass man, der Meinung der DSK nach, die Sicherheit und die tatsächlichen Datenschutzbedingungen vor Ort bei Microsoft nicht überprüfen kann. Wie sollte so eine Überprüfung auch aussehen? Jeder macht mal einen Termin bei Microsoft und schaut sich die Server an, oder wie? Hier wird es meiner Meinung nach absurd und ich lobe die Hamburger Aufsichtsbehörde, die dazu eine pragmatische Sichtweise eingenommen hat und der DSK diesbezüglich offensichtlich nicht gefolgt ist. Und auch von meiner Seite her sehe ich den Einsatz von M365 in Unternehmen grundsätzlich unproblematisch, wenn die erforderlichen Voraussetzungen bestehen.

Es stellt sich dann die Frage, was diese Voraussetzungen sind. Und das ist die Frage nach einer Datenschutzfolgenabschätzung (DSFA). Der Einsatz von M365 in Unternehmen ist ohne eine DSFA nicht zulässig, um es kurz und schmerzlos auf den Punkt zu bringen. Dieses liegt daran, dass mit der Anwendung regelmäßig umfangreiche und auch sensible personenbezogene Daten gespeichert und verarbeitet werden. Wie aber soll so eine DSFA aussehen? Die DS-GVO hat klare Anforderungen. Danach sind folgende Inhalte vorgeschrieben:
  1. Eine systematische Beschreibung der Verarbeitungsvorgänge in der Anwendung
  2. Eine Bewertung der Notwendigkeit in Bezug auf den Zweck
  3. Eine Bewertung der Verhältnismäßigkeit in Bezug auf den Zweck
  4. Eine Bewertung der Risiken für die Rechte Freiheiten betroffener natürlicher Personen
  5. Die für die Bewältigung der Risiken geplanten Abhilfemaßnahmen
Das klingt vermutlich etwas kompliziert, wenn man es das erste Mal liest. Das ist es aber gar nicht, wenn man sich näher damit auseinandersetzt und sich mit betrieblichen Management-systemen auskennt. Doch bei Punkt 5 "Bewältigung der Risiken" liegt in Bezug auf M365 der Teufel im Detail.

Nimmt man eine DSFA für M365 vor, dann kommt man folgerichtig zu dem Schluss, dass es Verarbeitungsvorgänge mit hohem Risko gibt und die Speicherung und Verarbeitung von umfangreichen Mengen sensibler personenbezogener Daten grundsätzlich ein sehr hohes Risiko birgt. Das ist nicht nur in M365 so, sondern auch in jeder anderen Anwendung. Und für diese Tatsache braucht man auch keine DSFA, denn genau wegen dieser bekannten Erkenntnis praktizieren wir ja Datenschutz und IT-Sicherheit. Der dann wirklich relevante Punkt in der DSFA ist der der Abhilfemaßnahmen, um die Risiken bei der Arbeit mit der Anwendung zu minimieren. Diese Abhilfemaßnahmen liegen in "optimalen Einstellungen" in M365 in Bezug auf Sicherheit, (Zugriffs)Rechte, Datenschutz usw. Und hier liegt der Hund begraben: Es gibt derzeit so ca. 30 Hauptanwendungen, 16 Admin-Center und in Teams noch einige dutzende Apps mehr, die man hinzufügen kann. Und überall kann man hunderte und mehr Einstellungen vornehmen. Es ist nicht untertrieben zu sagen, dass mindestens 5.000 Einstellungsoptionen bestehen. Wie soll man jetzt diese 5.000 Optionen alle in der DSFA erfassen, bewerten und dann die für die Risikoreduktion jeweils optimale Einstellung bestimmen? Das wären dann über 500 Seiten Management-Handbuch. - An dieser Stelle bin ich noch etwas ratlos, denn das bringt so niemanden weiter, weil es keiner lesen und noch viel weniger umsetzen wird.
Ratlos oder nicht: Ich bin dabei eine derartige DSFA als betriebliches Management-Syste zu erstellen und für alle Kunden, die M365 nutzen, zum Teil individualisiert in der ersten Hälfte 2023 bereitzustellen.

2. Beschäftigten-Datenschutz

Dass der Datenschutz und die DS-GVO auch für die Beschäftigten in Unternehmen gelten, ist keine neue Erkenntnis. Das ist auch gut so und richtig. Hierbei gilt im Augenblick der Grundsatz, dass alle Verarbeitungen von personenbezogenen Daten, soweit diese zur Durchführung des Arbeitsverhältnisses zwingend erforderlich sind, auch erlaubt sind. Darüber hinaus besteht die Möglichkeit einer Speicherung und Verarbeitung im Rahmen eines berechtigten Interesses, wobei die unternehmerischen Freiheiten mit den Schutzrechten der betroffenen Personen abgewogen werden müssen. In der Praxis schafft das viele Grauzonen und jeder interpretiert sich Prozesse so, wie man sie braucht.

Ein Beschäftigungs-Datenschutz ist schon seit längerem im Gespräch. Der Ansatz hierfür wäre eine Klarstellung dessen, was im Beschäftigungsverhältnis erlaubt ist und was nicht. Nicht nur im Hinblick auf Datenschutz, sondern auch auf Diskriminierung, Mobbing, Bewerbungs- und Auswahlprozesse. Hier gibt es viele Grauzonen oder Schlupflöcher zur Umgehung derzeit bestehender gesetzlicher Schutzvorschriften für Arbeitnehmer. Ein Befürworter eines Gesetzes zum Beschäftigten-Datenschutz ist der DGB. Dieser hat auch einen Entwurf erarbeitet. Diesen kann man sich auf dieser Seite des DGB herunterladen.

Beim Entwurf des DGB kann ich nur mit den Augen Rollen. Ich bin grundsätzlich ein Befürworter der Idee eines Beschäftigten-Datenschutzes, um so Rechtssicherheit und Klarheit zu verschiedenen betrieblichen Verfahren zu schaffen. Was der DGB entworfen hat, schafft meiner Meinung nach aber nur mehr Fragen als Antworten. Es wird auch nicht weniger Grauzonen geben. Andererseits hat man dort offensichtloch die Idee so quasi alles komplett zu beschränken oder ganz zu verbieten, was irgendwie mit personenbezogenen Daten von Arbeitnehmern zu tun hat. Bildlich gesprochen, fasse ich mir bei einigen Paragraphen des Entwurfs des DGB wirklich nur an den Kopf. Wer mich kennt, der weiß, dass ich ein überzeugter Datenschützer bin und auch die Themen Diskriminierung und Inklusion in Unternehmen als sehr wichtig erachte. Aber was der DGB sich da vorstellt, ist praxisfremd und hilft weder Beschäftigten noch Unternehmern. Hoffen wir, dass sich davon nicht viel durchsetzt und das Ganze in dieser Form in irgendeiner Schublade verschwindet.

Ferner muss ich zum Beschäftigten-Datenschutz anmerken, dass mir wieder zwei Fälle auf den Tisch kamen, wo die Beschwerde zur Aufsichtsbehörde unmittelbar nach einer nicht einvernehmlichen Auflösung des Arbeitsverhältnisses erfolgte. Dieses ohne vorherige Beschwerde oder Auskunftsersuchen an das Unternehmen. Dieser Trend nimmt deutlich zu. Über das Jahr waren es eine gute Handvoll Fälle verschiedener Art. Und ich bin hier ein wenig ratlos. Es gibt keine Perfektion im Datenschutz. Wer das Haar in der Suppe finden will, der wird es finden. In der Regel ist es dann nicht nur ein Haar, das sich finden lässt, und schon braut sich was zusammen. Und natürlich, seinen wir alle einmal ehrlich, hat beim Datenschutz, zu mindestens vorrübergehend, jeder auch irgendwo eine Leiche im Keller zu liegen. Beschäftigte wissen diese Interna natürlich. Fühlt sich bei Kündigung dann jemand nicht korrekt behandelt und sinnt auf Vergeltung, kann man mit dem Datenschutz mehr Schaden anrichten als mit dem Arbeitsgericht. Das ist nicht Sinn und Zweck der DS-GVO und dieser Trend ärgert mich.

3. Aktuelles aus dem Datenschutz

Die Australische Krankenversicherung "Medibank" wurde gehackt und Daten von Millionen von Kunden abgezogen. Kein Hack verdeutlicht besser, warum Datenschutz so wichtig ist. In einem ersten Schritt forderten die Erpresser gut 9 Millionen Dollar oder es werden Daten veröffentlicht. Nachdem keine Zahlung erfolgte, was grundsätzlich auch richtig ist, wurden in einem ersten Schritt Kundendaten im Darknet veröffentlicht. Nachdem das Opfer weiterhin nicht zahlte, wurden daraufhin alle Daten von alkoholkranken Personen veröffentlich und diese bloßgestellt. Auch daraufhin erfolgte keine Zahlung und es wurden Daten von Frauen, welche eine Abtreibung vorgenommen hatten, veröffentlicht. Ein größerer Schaden und ein schlimmeres Szenario ist kaum vorstellbar. Wäre diese so in Deutschland erfolgt und betrachten wir es unter dem Aspekt von DS-GVO-Bußgeldern sowie Schmerzensgeld-Entschädigungen, dann bleibt hier für kleinere Organisationen nur die Wahl zwischen Insolvenz und Insolvenz. Wenn man nicht wundersam versichert ist, dann ist der Schadensfall das Ende.

Die Fußball-WM in Katar steht an bzw. inzwischen für Deutschland schon nicht mehr. Wer dort hinreisen will, der muss verpflichtend zwei Apps auf seinem Smartphone installieren. Dieses sind die Apps "Etheraz" und "Hayya". Der Bundesbeauftrage für den Datenschutz und die Informationsfreiheit (BFDI) hat diese Apps geprüft. Wenn man das diplomatische weglässt und die Sache kurz und knapp auf den Punkt bringt: Die Apps stellen die totale Überwachung einer Person sicher. Man sollte sein Smartphone dann besser nicht mitnehmen, aber das ist vermutlich auch nicht erlaubt. Diese WM ist in jedem Fall keine Datenschutz-WM.

Das Bundesverfassungsgericht teilt mit, dass es am 20. Dezember sein Urteil zu einer Klage gegen die automatisierte Datenverarbeitung bei der Polizei Hamburg und Hessen verkünden wird. Die Ankündigung lässt vermuten, dass man die jetzige Gesetzlage, in Hamburg ist dieses der § 49 des Gesetzes über die Datenverarbeitung bei der Polizei, nicht als mit dem Grundgesetz konform einstufen wird.

In Anbetracht der Übernahme des Sozial-Media Portals Twitter durch Elon Musk, hat der BFDI (Bundesbeauftragte für den Datenschutz und die Informationssicherheit) den offiziellen Account der Behörde gelöscht. Dieser diente, so die Aussage in der Pressemitteilung, vor allem auch der Überprüfung für Datenschutzfragen und der Konformität des Portals mit dem Datenschutz an sich. Letztere wird als nicht gegeben angesehen und der BFDI scheint mit Elon Musk an der Spitze diesbezüglich auch keine großen Hoffnungen zu haben, dass sich etwas zum Positiven ändert.

Wenn wir schon beim BFDI sind, dann sei kurz drauf hingewiesen, dass die Behörde im November offiziell der Initiative "Klischeefrei" beigetreten ist. Diese Initiative setzt sich für eine Berufs- und Studienwahl frei von Geschlechterklischees ein. Es ist ein lobenswerter und richtiger Schritt, wobei es traurig ist, dass eine derartige Initiative im 21.Jahrhundert nicht so selbstverständlich ist, dass man sie gar nicht mehr erwähnen muss.

In Baden-Württemberg hat die Aufsichtsbehörde ein Bußgeld von EUR 55.000,-- gegen ein Bauträgerunternehmen verhangen. Dieses hatte rechtswidrig beim Grundbuchamt personenbezogene Daten abgefragt, um so Eigenheimbesitzern gezielt Kaufpreisangebote machen zu können. Das Grundbuch darf durch dritte Personen nur abgefragt werden, wenn hierfür eine Einwilligung, eine vertragliche Grundlage mit den Eigentümern oder ein berechtigtes Interesse besteht. Eigene wirtschaftliche Vorteile gelten nicht als berechtigtes Interesse, was nicht unbedingt eine neue Erkenntnis ist. Auch beim Grundbuch greift die DS-GVO und schützt vor unberechtigter Einsichtnahme.
Eine dieser Geschichten im Datenschutz, wo ich mit den Augen rolle, hat sich in Bayern zugetragen. Sie nahm ihren Ursprung schon vor einiger Zeit, als dort zwei Personen ihre Autos falsch parkten. Passanten meldeten dieses der Polizei, indem sie die Ordnungs-widrigkeit anzeigten, hierfür auch Fotos machten und diese an die Polizei übermittelten. In eine der Fälle bat die Polizei explizit um Beweisfotos. Die Falschparker, welch Wunder, fanden es nicht nett angezeigt zu werden, und verlangten den Nachweis über ihre Tat. Genaugenommen nicht sie, sondern Anwälte. Dabei wurden die Foto-Beweise präsentiert, die Falschparker bzw. deren Anwälte empörten sich und machten eine Datenschutz-beschwerde. Soweit ist diese Geschichte mein tägliches Brot. Allerdings hat die Bayrische Aufsichtsbehörde gegen die Personen, die die Anzeige gegen die Falschparker erstattet haben, daraufhin ein Bußgeld von EUR 100,00 verhangen und die Aufnahme von Fotos im Zusammenhang mit Falschparken sowie die Übermittlung dieser an die Polizei als rechtswidrig eingestuft. Begründung war ein Verstoß gegen die Datensparsamkeit. Es wäre, in den Augen der Behörde, nicht notwendig gewesen Fotos zu machen. Die einfache Schilderung des Sachverhalts hätte gereicht. Letzteres sah selbst die Polizei anders und die beiden Bußgeldempfänger klagten gegen den Bescheid der Datenschutzbehörde. Das zuständige Verwaltungsgericht in Ansbach hat sich dann auch nicht lange mit dem Fall aufgehalten und den Klägern recht gegeben. Man darf Ordnungswidrigkeiten fotografieren, auch umfassend und ggf. mit unbeteiligten dritten Autos oder Personen, um diese nachweisen und anzeigen zu können. Jedes andere Ergebnis, sein wir ehrlich, hätte einen verstörenden Charakter gehabt.

Aus der Kategorie "Digitalisierung läuft in Deutschland" gab es im November diese Geschichte: Der Abruf von Rezepten mittels der elektronischen Gesundheitskarte (eGK) war zukünftig angedacht und hierfür ein Pilotprojekt gestartet. Grundsätzlich ist die Umsetzung, so die einhellige Meinung dazu, auch nicht so schwierig. Es bedarf nur einer sicheren Lösung, sprich einer sicheren Schnittstelle bei der Datenübertragung. Leider hat die "Gematik" hierfür eine Lösung präsentiert, die die erforderliche Sicherheit nicht gewährleistet. Dieses wurde von Datenschützern sowie dem BFDI moniert. Daraufhin stieg die kassenärztliche Vereinigung aus dem Pilotprojekt mit der Begründung aus, dass überzogene Datenschutzbestimmungen die Umsetzung unmöglich machen. Mich persönlich erinnert das an Kinder in Kindergärten, nicht an erwachsene Menschen.

Interessant ist auch ein Verfahren gegen ein großes Medienhaus. Seit geraumer Zeit sehen wir bei Online-Artikeln einen Trend zu einer so genannten "Paywall". Wenn man einen Artikel auf der Webseite aufruft, erscheint ein Einwilligungsfenster. Dieses gibt einem die Option, entweder Cookies und Tracking der Nutzerdaten zu akzeptieren, um den Artikel lesen zu können, oder ein kostenpflichtiges Abonnement abzuschließen, wenn man den Artikel ohne Tracking lesen möchte. Ob dieses so rechtens ist und von der unternehmerischen Freiheit gedeckt, ist eine Frage, die bisher auch noch nicht abschließend geklärt wurde. Aber ein ganz anderer Sachverhalt hierbei ist der, ob, im Falle des Abschlusses eines Abonnements, dann auch das Versprechen von "kein Tracking" eingehalten werden muss. Im vorliegenden Fall, ist genau das nicht der Fall. Trotz Abonnement mit dem Versprechen "Cookie und Trackingfrei", wurden trotzdem Trackingmethoden bei Abruf des Artikels im Rahmen des kostenpflichtigen Abonnements eingesetzt. Und zwar ungefähr so um die 40 Stück, was wohl kaum ein Versehen sein kann. Hier stellt sich nicht nur die Frage nach einem Datenschutz-verstoß, sondern es könnte auch der Sachverhalt eines Betrugs nach StGB vorliegen.

Das Bundesverfassungsgericht (BVerfG) war im November auch tätig und hat ein Urteil erlassen, wonach das Bundesverfassungsschutzgesetz in Teilen nicht mit dem Grundgesetz vereinbar ist und somit rechtswidrig. Dieses betrifft personenbezogene Daten, die mit nachrichtendienstlichen Mitteln beim Verfassungsschutz erhoben wurden, und an andere Behörden übermittelt werden. Solche Übermittlungen sind, wie derzeitig in diesem Gesetz geregelt, rechtswidrig.

Bei den "Randthemen" des Datenschutzes bzw. seiner Umsetzung habe ich zur Kenntnis genommen, so formuliere ich es einmal, dass es eine Diskussion darüber gibt, ob auf einer Barrierefreien-Webseite die Datenschutzerklärung auch in Audio zur Verfügung stehen sollte. Ich sehe diesen Punkt bisher nicht als relevant an, denn es gibt Screen-Reader, die dieses recht einfach umsetzen können. Ich plane daher keine solchen Projekte für meine Kunden.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter geht es um den Bericht der Bürgerbefragung zur Cyberkriminalität 2022 und um die Fachkunde des Datenschutzbeauftragten, die mal wieder diskutiert wird.

Herzliche Grüße
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar. 
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
Email Marketing Powered by MailPoet