|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 02. September 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Datenschutz an Schulen
- Das Bundesarbeitsgericht zu WhatsApp
- Aktuelles aus dem Datenschutz
|
1. Datenschutz an Schulen
Die DS-GVO und der Datenschutz gelten natürlich auch an unseren Schulen. Diesbezüglich bin ich in ein Verfahren gegen eine staatliche Hamburger Schule bzw. eine Lehrkraft an einer Hamburger Schule involviert, welches recht interessant ist. Der Datenschutz und die gesamte Compliance haben an Schulen eine besondere Komponente, die oft gar nicht bekannt ist. Grundlage dafür ist der § 88 Abs. 2 HambSchG, wo steht: "Die Lehrerinnen und Lehrer unterrichten, erziehen, beraten und betreuen in eigener Verantwortung..." Unter Lehrkräften, es ist auch in anderen Bundesländern nicht anders, nennt man das "pädagogische Freiheit". Als Lehrkraft bestimmt man selbst, wie man den Unterricht organisiert, den Bildungsplan umsetzt und welche Mittel man dazu einsetzt.
|
Das Vorgesagte heißt letztlich auch, dass man als Lehrkraft selbst für die Compliance, also das Qualitätsmanagement, den Datenschutz und alles weitere verantwortlich ist. Dieses ergibt sich unmittelbar daraus, dass man selbst bestimmt, wie man arbeitet, und die Schulleitung es nicht vorschreiben darf. Somit ist für vielerlei Prozesse in einer Schule nicht die Schule verantwortliche Stelle im Sinne des Datenschutzes, sondern eine Lehrkraft ist persönlich verantwortlich, weil diese selbst die Mittel und die Zwecke der Verarbeitung von Daten festlegt. Diese Tatsache bringt eine ganze Reihe von Problemen mit sich. Es obliegt damit jeder einzelnen Lehrkraft ihre Prozesse so zu gestalten, dass diese allen aktuellen Rechtsgrundlagen entsprechen, eine angemessene Qualität haben, eine angemessene technische- und organisatorische Sicherheit bieten und einiges mehr. Dieses müsste auch regelmäßig evaluiert werden. Leider sind unsere Lehrkräfte dafür gar nicht ausgebildet noch haben sie die Zeit Datenschutz und weitere Compliance umzusetzen. Es wäre sinnvoller, wenn man den §88 Abs. 2 HambSchG streicht und stattdessen die Schulen die gesamte Compliance, insbesondere auch die Qualitätsstandards, vorgeben würden, wonach Lehrkräfte dann zu arbeiten hätten. Aber das wäre eine Revolution und scheint derzeit unmöglich.
|
Aus der Thematik ergeben sich diverse Fragestellungen, die derzeit in einem Verfahren vor der Hamburger Aufsichtsbehörde zur Klärung liegen. Man kann gespannt sein, wie diese Fragen beantwortet werden. Die erste davon ist die, ob eine Lehrkraft, wenn diese selbst Datenverantwortlicher ist, im Rahmen einer unrechtmäßigen Datenverarbeitung, auch persönlich mit einem Bußgeld belegt werden kann? Meiner persönlichen Auffassung nach spricht alles dafür, dass es so ist, denn die Lehrkraft selbst stellt keine Behörde dar. Eine weitere interessante Fragestellung ist die, ob eine Lehrkraft, als Geheimnisträger nach §203 StGB, erlangte Privatgeheimnisse unter Mitwirkenden auch in der Form teilen darf, dass hierbei Daten gespeichert und verarbeitet werden, also per E-Mail. Der §203 StGB gibt für eine Datenverarbeitung in diesem Zusammenhang keine explizite Erlaubnis. Diese Frage ist auch für andere Branchen, zum Beispiel die Sozialberatungen, relevant und ich bin gespannt, wie die Aufsichtsbehörde dieses sieht.
|
Neben diesen Fragestellungen ist auch die Umsetzung von §24 Abs. 2 HmbVwVfG Thema der Beschwerde, der so genannte Untersuchungsgrundsatz. Wird ein Verfahren durch eine Behörde geführt, hat diese alle für den Einzelfall bedeutsamen, auch die für die Beteiligten günstigen Umstände, zu berücksichtigen. Wird zum Beispiel gegen diesen Grundsatz verstoßen und es wird eine Einschätzung zu jemanden gefertigt, die rein einseitig erstellt wurde, dann könnte das auch eine Rechtsverletzung im Sinne einer unrechtmäßigen Datenverarbeitung darstellen.
|
Es stellt sich daneben auch die grundlegende Frage, wie weit Schulen überhaupt Daten des persönlichen Lebensbereichs der Familien speichern und verarbeiten dürfen. Die Schule selbst trägt hierzu vor, dass man nach §98 HmbSchG alle Daten, die zur Umsetzung des Bildungs- und Erziehungsauftrags erforderlich sind, speichern und verarbeiten darf. Und dass man selbst bestimmt, was erforderlich ist, quasi Narrenfreiheit hierbei hat. Das sehe ich ja nicht ganz so optimistisch wie die beschwerte Schule, insbesondere dann nicht, wenn es um besonders schutzwürdige Daten im Sinne des Art. 9 DS-GVO geht. Natürlich kann es für eine Schule bzw. deren Lehrkräfte hilfreich sein zu wissen, ob es bei den Eltern gesundheitliche Probleme, Alkoholismus, Drogenabhängigkeit oder anderes gibt. Ob man diese Information dann auch speichern und verarbeiten darf, und in welchem Umfang, ist hingegen sehr fraglich. Auch das wird sich vor der Aufsichtsbehörde hoffentlich klären.
|
Alles in allem darf die Aufsichtsbörde 8 kniffelige Fragen beantworten und ich bin sehr gespannt, wie diese damit umgehen wird.
|
2. Das Bundesarbeitsgericht zu WhatsApp
Mit dem Urteil 2 AZR 17/23 vom 24. Aug. 2023 hat das Bundearbeitsgericht eine Entscheidung getroffen, die nicht nur WhatsApp, sondern alle Messenger-Dienst als auch E-Mail-Smalltalk betrifft. Es ging in der Sache um einen in einer privaten Gruppe von sieben Mitgliedern geführten, rein privaten Chat-Verlauf. Inhalt war der Arbeitgeber der sieben Personen, welcher eine bekannte Urlaubs-Fluggesellschaft war. Aufgrund veränderter Rahmenbedingungen im Beschäftigungsverhältnis waren die Personen in der Gruppe mit ihrem Arbeitgeber unzufrieden. Die Unzufriedenheit war sehr groß, man ließ richtig Dampf ab und tätigte in der Gruppe, in einem Chatverlauf von ca. 150 Seiten, eine Vielzahl an derben, schweren, auch rassistischen Beleidigungen. Der Chatverlauf wurde öffentlich. Jemand hatte den Verlauf kopiert und dem Unternehmen zukommen lassen. Wer dieses war und warum, ist nicht bekannt. Hieraufhin wurden die sieben teilnehmenden Personen der Gruppe fristlos gekündigt, wogen diese Klage erhoben hatten. Man berief sich darauf, dass eine WhatsApp Gruppe und die dort geführte Kommunikation Privatsphäre des höchstpersönlichen Lebensbereiches sei, auf dessen Vertraulichkeit (vergleichbar mit dem Briefgeheimnis) man setzen konnte und was auch bei öffentlichen Bekanntwerden nicht zum Nachteil der daran beteiligten Personen führen darf.
|
Das Bundesarbeitsgericht hat diese Sichtweise verneint und führt aus: "Eine Vertraulichkeits-erwartung ist nur dann berechtigt, wenn die Mitglieder der Chatgruppe den besonderen persönlichkeitsrechtlichen Schutz einer Sphäre vertraulicher Kommunikation in Anspruch nehmen können. Das wiederum ist abhängig von dem Inhalt der ausgetauschten Nachrichten sowie der Größe und personellen Zusammensetzung der Chatgruppe. Sind Gegenstand der Nachrichten – wie vorliegend – beleidigende und menschenverachtende Äußerungen über Betriebsangehörige, bedarf es einer besonderen Darlegung, warum der Arbeitnehmer berechtigt erwarten konnte, deren Inhalt werde von keinem Gruppenmitglied an einen Dritten weitergegeben."
|
Die grundlegende Thematik ist auch für den Datenschutz relevant. Geschäftliche Chats und E-Mails, und die darin gemachten Aussagen über Kunden und Kolleg:innen, sind nicht durch den höchstpersönlichen Lebensbereich oder eine Privatsphäre geschützt. Im Falle eines Auskunftsersuchens sind alle Inhalte herausgabepflichtig. Werden solche Chat- oder Email-Verläufe öffentlich gemacht, kann dieses auch eine Datenpanne und gleichzeitig eine unrechtmäßige Verarbeitung personenbezogener Daten beinhalten. Daneben kann auch das Veröffentlichen solcher Inhalte für die Person, die es leakt, strafbar oder sanktionsfähig sein. Zum Beispiel dann, wenn hierbei gegen Geheimhaltungspflichten verstoßen wird, die Person Geheimnisträger nach §203 StGB ist oder dergleichen.
|
Wenn jemand mal derbe Luft ablassen muss und sich in der Sprache vergreift, beleidigend wird etc., dann ist es ratsam, dieses nicht per E-Mail oder in einem Messenger zu machen. Egal ob privat oder dienstlich. Diese Aussagen, die man später vielleicht bereut, sind dann gespeichert und können, wie man immer wieder sieht, nicht nur theoretisch an die Öffentlichkeit gelangen oder geleakt werden. Der Schaden ist dann groß und man kann damit sein Leben ruinieren.
|
3. Aktuelles aus dem Datenschutz
Ein schönes Gerichtsurteil kommt aus Baden-Baden. In einem dortigen Unternehmen haben Angestellte die Daten zu mindestens eines Kunden, ohne wissen und Erlaubnis ihres Unternehmens, privat genutzt. Das Gericht hat diese Angestellten als Empfänger von Daten (Art. 4 Nr. 9 DS-GVO) eingestuft und ein Auskunftsersuchen nach Art. 15 DS-GVO beinhaltet eben auch die Nennung von Empfängern von Daten. Der Arbeitgeber muss also der betroffenen Person im Auskunftsersuchen nach Art. 15 DS-GVO die Namen und Anschriften der Angestellten offenlegen, die unberechtigt die Daten verarbeitet haben.
|
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) bezieht sich in seinem Newsletter auf einen Artikel von IT-Daily und formuliert: "DSGVO - Ein Segen für die IT-Sicherheit." Also ganz so überschwänglich würde ich das nicht formulieren. Richtig ist aber, dass mit der DS-GVO die IT-Sicherheit in vielen Unternehmen und Organisationen in den letzten Jahren stark zugenommen hat und dies ein sehr positiver Nebeneffekt des Datenschutzes ist. Ich hoffe, dass sich dieser Trend fortsetzt.
|
Die großen Hersteller und Anbieter von Hard- und Software beklagen sich über eine "Patch-Müdigkeit" Ihrer Nutzer:innen. Zur Verfügung gestellte Updates für Hard- und Software werden nicht zeitnah oder gar nicht implementiert. Aus der Praxis kann ich der Aussage nur zustimmen. Verständlich ist, dass viele Nutzer:innen berechtigterweise genervt sind, weil gefühlt alle 30 Minuten irgendwo ein Update installiert werden will. Andererseits haben wir gefühlt, beim Autofahren, auch oftmals alle 3 Minuten eine rote Ampel. Und wir halten dann trotzdem an und ignorieren diese Ampel nicht, weil sie uns aufhält und auf die Nerven geht. Das sollte man bei Updates nicht anders machen, denn Updates machen unsere Hard- und Software sicherer und schützen uns damit vor Schaden.
|
Passend zum vorgesagten: Apple hat eine seit Mai bekannte und auch ausgenutzte Sicherheitslücke mit dem Update auf IOS 15.7.8 geschlossen. Es ist allen Nutzer:innen von Apple Geräten dringend zu empfehlen das jüngste und jedes IOS-Update sofort einzuspielen.
|
Bereits im May wurden auf EU-Ebene einheitliche Richtlinien für Bußgelder im Datenschutz beschlossen. Diese Guide-Lines gibt es bisher nur auf Englisch und sie sind 48 wirklich nicht sehr spannende Seiten lang. Wer es lesen möchte, kann es hier. Grundsätzlich ist diese europaweite Vereinheitlichung, im Sinne von Gerechtigkeit bei Bußgeldern, zu begrüßen. Andererseits gehen damit den Aufsichtsbehörden aber auch die Spielräume bei Bußgeldern verloren. Man muss einmal abwarten, was sich daraus entwickelt.
|
Laut einem Bericht des ZDF ist es "weißen Hackern", die Sicherheitslücken aufspüren wollen, gelungen, die Standortdaten von Feuerwehrfahrzeugen auf den Meter genau abzugreifen, und das weltweit. Denn Feuerwehrfahrzeuge haben i.d.R. einen Tracker der Firma Rosenbauer in Österreich installiert. Die Hacker luden die App runter, die dann wohl nicht so wirklich gut programmiert war, und hatten in kürzester Zeit Standortdaten, eine Kundenliste und Informationen zu den jeweiligen Fahrzeugen. Die Firma Rosenbauer hat das Sicherheitsproblembestätigt und die Lücke soll geschlossen sein.
|
Bei diversen Druckern der Hersteller HP und Samsung gibt es schwere Sicherheitslücken, wie das Magazin t3n berichtet. Über die Sicherheitslücke ist es möglich in das Netzwerk des Unternehmens einzudringen. Machen Sie unbedingt alle Updates, wenn Sie Drucker dieser Marken besitzen.
|
Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit), wo man versucht auch sehr viel für frühkindliche Bildung zu tätigen, hat zu seien Pixi-Büchern jetzt auch einmal ein Erklärvideo für Kinder herausgebracht, in dem der Begriff "Transparenz" behandelt wird. Ob das die Kinder wirklich erreicht, kann diskutiert werden. Aber Irgendwie ist man beim BfDI damit weiter als man es an vielen unserer allgemeinbildenden Schulen bei solchen Themen ist, was ich jetzt nicht laut gesagt habe.
|
Aus der Rubrik des üblichen Geschehens: Die Hochschule Kaiserslautern ist gehackt worden und Daten sind im Darknet gelandet. Malware wurde in Call of Duty entdeckt. Man kann sich Malware natürlich auch durch bekannte und weitverbreitete Spiele auf sein Endgerät holen. Bei dem beliebten Wordpress Plugin Ninja-Forms besteht eine Sicherheitslücke und Datenklau ist damit ganz einfach möglich, wie der Dienst Golem berichtet. In der E-Mail Lösung Zimbra ist seit Juli eine Sicherheitslücke bekannt. Und ganz in unserer Nähe: Der Trinkwasserverband Stade wurde Opfer eines Cyberangriffs. Die Wasserversorgung wurde dabei aber nicht beeinträchtigt. Ebenso Opfer eine Hackerangriffs wurde die Münchner Verlagsgruppe. Dabei sollen viele sensible Daten gestohlen worden sein und die Höhe des Schadens ist noch nicht absehbar, so die Abendzeitung München. Es ist also alles wie immer in der Welt und niemand und nichts ist sicher.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich, unter anderem, einmal die erste Ausgabe des Jahres des BSI-Magazins "Mit Sicherheit" thematisieren. Dort finden sich einige interessante Inhalte.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
