|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 03. November 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Herausgabe personenbezogener Daten an die Polizei
- Datenschutz im Auto
- Aktuelles aus dem Datenschutz
|
1. Herausgabe personenbezogener Daten an die Polizei
Ich möchte dieses Thema einmal kurz ansprechen, da es immer wieder vorkommt. Es herrscht in der Situation von Polizisten vernommen zu werden oft große Verunsicherung. Dieses insbesondere dann, wenn man nicht als Privatperson agiert, sondern als Vertreter eines Unternehmens und über das, was man sagt, später ggf. Rechenschaft gegenüber seinen Vorgesetzten ablegen muss.
|
Es ist in Deutschland zuerst einmal so, dass Sie immer verpflichtet sind gegenüber Polizeibeamten Vor-, Familien- und Geburtsnamen, Ort und Tag der Geburt, Familienstand, Beruf, Wohnort und Staatsangehörigkeit anzugeben. Darüber hinaus müssen Polizeibeamten Sie belehren, ob Sie als Beschuldigter oder als Zeuge vernommen werden bzw. ob man nur einfach so mit Ihnen sprechen will. Sie sind nie verpflichtet digitale Endgeräte freizuschalten, Sperren aufzuheben oder Polizeibeamten irgendwelche Passwörter oder Zugriffe zu digitalen Geräten oder Anwendungen zu geben. Ferner muss niemand sich selbst oder nahe Familien-angehörige belasten. Es ist im Zweifel, bei Geschehen von einer gewissen Bedeutung, immer ratsam die Aussage zu verweigern, wenn es irgendwie möglich ist, und um eine offizielle Ladung zur Vernehmung zu bitten, vor welcher man sich fachkundig beraten lässt. Oder man sollte zu mindestens im Gespräch mit der Polizei darum bitten, schnell einmal seinen Vorgesetzten, Anwalt oder Datenschutzbeauftragten anrufen zu dürfen, um Weisung zu bekommen, wie man sich verhalten soll. In der Regel haben Polizisten auch nichts dagegen.
|
Generell ist in Deutschland mit §24 BDSG erlaubt personenbezogene Daten die zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich sind oder die zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich sind zu verarbeiten, also Polizeibeamten mitzuteilen, sofern nicht die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung überwiegen. Letzteres dürfte in der Praxis so gut wie nie der Fall sein. Diese Erlaubnis betrifft allerdings nur gewöhnliche personenbezogene Daten (Namens-, Adress-, Kontakt- und Daten zu Sachverhalten etc.), jedoch keine besonders schutzwürdigen Daten, also zum Beispiel Gesundheitsdaten. Solche Daten darf man nur an Polizeibeamte übermitteln, wenn ein erhebliches öffentliches Interesse dieses zwingend erforderlich macht oder es dem Schutz lebenswichtiger Interessen einer Person dient. Ansonsten muss die betroffene Person eingewilligt haben oder es muss ein Gesetz geben, welches zur Übertragung dieser Daten an Strafermittlungsbehörden legitimiert.
|
Anders ist es bei Berufsgeheimnisträgern nach § 203 StGB. Dieses dürfen zunächst einmal gar nichts an Polizeibeamte übermitteln, was den höchstpersönlichen Lebensbereich Ihrer Klienten betrifft. Allerdings ist dieses dann teilweise anders, wenn die Personen offiziell als Zeugen in einem Ermittlungsverfahren geladen werden. Für Sozialkräfte und Lehrkräfte gilt dann keine Schweigepflicht mehr, da diese in § 53 der StPO ausdrücklich ausgenommen sind. Allerdings nur bei Zeugnissen in Strafverfahren, nicht in Zivilverfahren. Der Autonormalbürger muss hingegen immer und ohne Einschränkung aussagen, wenn er als Zeuge offiziell geladen ist. Man sieht, dass es ein wenig kompliziert ist und daher ist es ratsam, wenn irgendwie möglich, vor einer Aussage bei Polizei und Staatsanwaltschaft immer kurz Rücksprache mit Vorgesetzten, einem Anwalt oder dem Datenschutzbeauftragten zu halten. Hierbei sei ausdrücklich erwähnt, dass der Anwalt die erste Wahl sein sollte, wenn es um mehr als nur darum geht, welche personenbezogenen Informationen preisgeben werden dürfen. Der Datenschutzbeauftragte ist nur allein hierfür zuständig und tätigt keine Rechtsberatung in der Sache, was er nicht darf und was auch nicht seine Aufgabe ist.
|
2. Datenschutz im Auto
So ein Auto ist datenschutztechnisch viel spannender als Sie vermuten. Es hat einen Bordcomputer, sehr viele Sensoren, GPS, Mikrofone, ihr Smartphone ist damit verbunden und das Auto darüber oder anderweitig mit dem Internet. Damit ist quasi alles an Datenerhebung möglich, was man sich vorstellen kann. Das Auto, wenn es alles aufzeichnet, weiß, wo sie hingefahren sind, wie Ihr Fahrstil ist, ob Sie zu schnell gefahren sind, wer mit im Auto war und was Sie und diese Person zusammen im Auto gemacht haben. Für letzteres muss natürlich, so denkt man, der Motor laufen, damit der Bordcomputer eingeschaltet ist. Man denkt das, weil man den Bildschirm sieht, und wenn der aus ist, ist auch alles aus. Tatsächlich ist nie alles aus, solange die Batterie angeschlossen ist. Sie glauben lediglich und vertrauen darauf, dass alles aus ist, aber das Auto kann immer aufzeichnen.
|
Wirtschaftsanalysten gehen davon aus, dass die Daten, die in Autos generiert werden, bis zum Jahr 2030 einen monetären Wert von über 700 Milliarden US-Dollar haben. Das ist eine Menge Geld und wenn man sich die Zahl bewusst macht, dann wird vermutlich auch jedem bewusst, dass Datenschutz dagegen nicht hoch im Kurs der Automobilindustrie steht. Geht es immer nur um das Geld? Die Antwort ist, wenn es um unsere Daten geht, leider ja. Und die Antwort ist hier sehr ernüchternd, aber nicht so ernüchternd, wie es ohne die DS-GVO wäre. Vielleicht fährt irgendjemand von Ihnen Nissan? Wirft man einen Blick in deren Datenschutzbedingungen von Nissan-USA, dann steht da drinnen, dass man alle möglichen Daten sammelt. Es steht da sogar wortwörtlich drinnen, dass man auch Daten zu sexuellen Aktivitäten im Auto erhebt. KIA findet sexuelle Aktivitäten in seinen Autos übrigens auch sehr spannend. Wie man dieses erhebt wird hingegen nicht verraten. Dafür schreibt man aber dazu, dass man sich vorbehält und das Recht hat alle erhobenen Daten zu verarbeiten, zu veräußern und damit machen zu können, was man will. In Europa steht das so nicht in den Datenschutzinformationen. Die DS-GVO wirkt manchmal doch. Aber bleiben tut die Frage, ob man es nur nicht reingeschrieben hat und doch tut, was man auch in den USA tut? Ein Millionenbußgeld zahlt man sicherlich gerne, wenn man im Gegenzug Milliarden verdienen kann. Mathematik für Führungskräfte.
|
Personenbezogene Daten aus Autos haben also ganz viel Potential. Wir können nicht sehen, was Autos diesbezüglich genau machen. Es bedarf einiger technischer Untersuchungen, um einen Datenfluss wirklich festzustellen. Ist dieser Datenfluss verschlüsselt, weiß man gar nicht, was genau übertragen wird. Kann man hingegen konkrete Sensoren-Werte identifizieren, dann weiß man damit noch lange nicht, welche Schlüsse daraus errechnet werden können. Es ist also ein ganz schwieriges Feld. Eine wirkliche Transparenz der Automobilhersteller ist nicht zu erwarten. Wir kennen das von den diversen Abgasskandalen. Die Mozilla Organisation hatte sich dem Thema jüngst angenommen und keiner der Hersteller von Autos schnitt wirklich gut ab, darunter zum Beispiel auch VW, die offensichtlich sehr an Alter und Geschlecht der Fahrzeugnutzer*innen interessiert sind.
|
Ich habe mir das Thema mal für das Jahr 2024 auf meine Liste geschrieben, um näher zu erforschen, wie die Datenerhebung im Auto genau von statten geht und ob das in der EU wirklich besser läuft als im Rest der Welt. So ganz glauben mag ich das nicht und irgendwie muss man das recherchieren oder überprüfen können. Es würde sich auch sehr gut, wenn es so ist, für ein Verfahren vor dem BfDI eigenen.
|
Wenn Sie also am Ende Ihres Arbeitstages in Ihr Auto einsteigen, verhalten Sie sich verkehrskonform, fahren Sie ordentlich und tun Sie vor allem nichts unanständiges im Auto.
|
3. Aktuelles aus dem Datenschutz
Im Rahmen der Umsetzung der Richtlinie EU 2555/2022 hat mir das BSI mitgeteilt, dass es im Frühjahr hierzu ein neues Gesetz, das "NIS-2 Umsetzungs- und Cybersicherheits-stärkungsgesetz" geben wird. Klingt wild, wird aber vermutlich nicht so wild werden. Ich erwarte, dass nichts anderes drinsteht als derzeit im Artikel 21 der Richtlinie und daneben Regelungen getroffen werden, wie die Überwachung betroffener Unternehmen durch das BSI erfolgen soll. Ggf. noch eine Klarstellung, wer genau von der Richtlinie betroffen ist. Hierbei geht es um Unternehmen, die als KRITIS (kritische Infrastruktur) einzustufen sind.
|
Einmal ein anderes digitales Thema, das nicht Datenschutz ist: Wasser! - Der Einsatz von KI erfordert neue gigantische Rechenleistungen. Die dafür erforderlichen Rechenzentren müssen gekühlt werden. Das geschieht vor allem mit Wasser. Microsoft hat in seinem Umweltbericht verkündet, dass der Wasserverbrauch in nur einem Jahr um 34% auf ca. 6,4 Millionen Kubikmeter gestiegen ist. Der durchschnittliche private Wasserverbrauch pro Kopf in Deutschland liegt bei ca. 46,5m³. Damit verbraucht Microsoft soviel Wasser wie gut 137.500 Menschen.
|
Der niedersächsische Datenschutzbeauftragte (in Zusammenarbeit mit 6 weiteren Datenschutzbehörden), hat eine neue Handreichung "Praxis-Tipps für Verträge mit Microsoft" herausgegeben. Hierbei geht es eigentlich ausschließlich darum, worauf man achten sollte, wenn man im Rahmen von M365 einen AVV mit Microsoft abschließt. Die Handreichung ist 21 Seiten lang und eignet sich, wenn man mich fragt, vor allem dazu in irgendeinem Ordner abgelegt zu werden.
|
Die Tagesschau berichtet in einem Online-Artikel darüber, dass, wegen der unrechtmäßigen Weitergabe von personenbezogenen Daten an die Schufa, Mobilfunkanbietern eine Klagewelle drohen könnte. Zwei Anwaltskanzleien für Verbraucherrecht sind an der Sache dran und haben, nach eigenen Angaben, bereits 100.000 betroffene Personen gefunden, die sie vertreten. Jeder dritte Vertrag soll dabei betroffen sein. Eine Weitergabe von Daten an die Schufa ist, nach einem jüngst erfolgtem Gerichtsurteil, nur mit einer rechtswirksamen Einwilligung der betroffenen Person zulässig. Oftmals war dieses bisher nicht der Fall, sondern man tat es aufgrund eines öffentlichen oder berechtigten Interesses. Schauen wir mal, was daraus wird. Ich habe die Geschichte mal zum Anlass genommen, mir mal wieder eine aktuelle Auskunft nach Art. 15 DS-GVO von der Schufa zuschicken zu lassen. Inzwischen bietet die Schufa für EUR 3,95 im Monat den tagaktuellen jederzeitigen Life-Zugriff auf seine Daten einschließlich tagesaktuellem Score-Wert an.
|
Der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) kritisiert einen Gesetzesentwurf zur Bekämpfung von Geldwäsche und Terrorismusfinanzierung. In diesem Gesetz sollten automatische Analyseverfahren zur Überwachung von Finanztransaktionen legitimiert werden, wobei der Datenschutz nicht so wirklich berücksichtig wurde, um es unkompliziert auf den Punkt zu bringen. Und wo wir schon beim BfDI sind: Am 11. Oktober gab es eine Veranstaltung des BfDI mit dem Titel "Demokratie und Persönlichkeitsrechte gefangen im Metaversum". Das Thema an sich ist wirklich wichtig, aber wenn man es so formuliert, weiß wohl kaum ein Normalsterblicher, wobei es darum gehen soll. Ein Metaversum ist übrigens ein Konzept eines digitalen Raums im Zusammenwirken von virtueller, erweiterter (augmented) und physischer Realität. Und darin ist sicher noch mehr gefangen, als nur unsere Demokratie und Persönlichkeitsrechte. ;)
|
Ein Dienstleister für Banken namens "Majorel", der für die Abwicklung von Kontenwechseln zuständig ist, hatte im Sommer ein Datenleck. Nun sind Daten im Darknet aufgetaucht und die ganze Panne war wohl größer als angenommen. Die Deutsche Bank und die ING Deutschland teilen mit, dass deutlich mehr Kunden als zuerst bekannt betroffen sind. Die Hackergruppe Clop hatte eine Schwachstelle des Dateitransferprogramms „Move it“ des Dienstleisters ausgenutzt, die monatelang unentdeckt geblieben war. Nun informiert das betroffene Unternehmen fleißig die Aufsichtsbehörde und seine Kunden, hat die Lücke natürlich geschlossen und die IT auf Vordermann gebracht. Alles wie immer bei diesen Pannen.
|
Wenn man, und mir passiert das durchaus öfter, unerwünschte Anrufe auf dem Telefon erhält, dann kann man diese an die Bundesnetzagentur melden. Das ist so formuliert, wie ich es eben getan habe, eigentlich ein Irrtum und richtig müsste es heißen: Wenn man unerlaubte Telefonwerbung erhält, dann kann man diese der Bundesnetzagentur melden und diese wird auch tätig. Wird man allerdings in betrügerischer oder unklarer Absicht angerufen, dann ist die Bundesnetzagentur nicht zuständig. Hier kann man nur eine Strafanazeige bei der Polizei machen. Selbst mit dem Tool "Onlinewache", das ich wirklich schätze, ist der Zeitaufwand aber wirklich so groß und die Erfolgsaussichten dagegen so klein, dass es das nicht wirklich wert ist.
|
In der Diskussion ist auch mal wieder die Frage "Wer darf interner DSB sein?". Das BAG (Bundearbeitsgericht) hat nach einem Vorlageverfahren beim EuGH entschieden, dass ein Betriebsratsvorsitzender es nicht sein darf. Das ist auch nicht wenig überraschend. Nun hat der EuGH im Vorlageverfahren aber generell geschrieben, dass jemand dann nicht DSB sein darf, wenn die Person über Zwecke und Mittel der Datenverarbeitung im Unternehmen entscheidet. Das ist eigentlich nicht neu, die Frage ist vielmehr wie eng man es auslegt und wer dann noch als potentieller DSB übrig bleibt. Ich sehe diese Diskussion eher gelassen und nicht als in irgendeiner Weise irgendwohin zielführend an.
|
Gehackt wurde die Hotelkette "Motel One". Einem Bericht der SZ zufolge hatte sich die Hackergruppe "ALPHV" zu der Attacke bekannt, mit der Geld erpresst werden sollte. Der Angriff erfolgte mutmaßlich über einen einzelnen Computer in Ulm. Es wurden 6 Terra-Byte Daten abgezogen, insbesondere zahlreiche Notfalllisten der vergangenen Jahre (die offensichtlich nach Wegfall des Zwecks nicht gelöscht wurden) als auch Geschäfts- und Finanzunterlagen. Ein Teil der Daten wurde veröffentlicht, darunter waren auch Mitarbeiterdaten und deren Mobilnummern. Auch die privaten Daten des Gründers und Miteigentümers Dieter Müller wurden gestohlen. Herr Müller findet das offensichtlich nicht nett und fordert die Bundesregierung auf, mehr gegen Cyberkriminalität zu tun. Nur gehört der Bundesregierung nicht Motel One und ich glaube ja, dass besser Herr Müller mehr für die Sicherheit seiner IT tun sollte.
|
Das neue EU-U.S. Data Privacy Framework Abkommen wurde übrigens von einem Franzosen ins Visier benommen. Der hat beim EuGH einen Eilantrag auf Aussetzung gestellt, weil er meint, dass Microsoft 365, Google und Doctolib seine Rechte verletzten. Der EuGH hat den Antrag angelehnt und dem Kläger geraten sich erst einmal bei einer Aufsichtsbehörde zu beschweren.
|
Die EU hat ein Ermittlungsverfahren gegen die Plattform X, ehemals Twitter, wegen der Verbreitung von Falschinformationen eingeleitet. Genaugenommen dagegen, dass die Plattform gegen Falschinformationen, Hass und Hetze nichts tut. Elon Musk ist nicht amused und überlegt, ob er sich dann mit der Plattform aus der EU zurückzieht, wenn bei uns keine Meinungsfreiheit erlaubt ist. Desinformation, Hass und Hetze sind aber keine Meinungsfreiheit. Manch einer kann oder will das nicht begreifen.
|
Bei der KI tritt immer mehr die Frage nach Datenschutz in den Vordergrund und wird auch zum Marketingargument. So findet sich neuerdings eine KI Lösung Namens "nele.ai" auf dem Markt, die mit Sicherheit wirbt und auch für einen KI-Award nominiert wurde. Sie bildet eine Art Vorschaltung zu ChatGPT, wobei der Transfer personenbezogener Daten gefiltert und gestoppt wird. Dr. Klaus Meffert, bekannt als Dr. DS-GVO und Diplom-Informatiker, hat das mal untersucht. Er kommt zu dem Schluss, dass die Anwendung nicht sicher ist und die gemachten Aussagen zum Datenschutz unhaltbar sind. Wen überrascht es.
|
|
Abschließend nochmal zu zwei Berichten des BSI. Der erste geht auf einen Artikel der Heise Gruppe zurück. Europol möchte einen sehr umfassenden Zugriff auf WhatsApp Daten haben, um so sexuellen Kindesmissbrauch besser bekämpfen zu können. Das klingt sinnvoll, macht aber, wie angedacht, keinen wirklichen Sinn. Es könnte auch um mehr und anderes gehen. Es ist auffällig, dass von Europol Personen zu privaten Unternehmen gewechselt haben, dort ebenso, wie zuvor bei Europol, im Bereich Chatkontrolle arbeiten, den Kontakt zu Europol aber aufrecht erhalten. Hier besteht ein Lobbydickicht, das schwer zu durchblicken ist und man nicht genau erkennen kann, worum es wirklich geht. Der EU-Datenschutzbeauftragte sieht die Angelegenheit jedenfalls sehr kritisch. Der zweite Bericht aus dem BSI bezieht sich auf eine Untersuchung von "SoSafe". Diese kommt zu dem Schluss, dass Führungskräfte häufiger, genaugenommen zu 60% öfter, auf Phishing-Mails klicken als einfache Mitarbeiter*innen. Die Studie war großräumig über 6 EU-Länder angelegt. Das Ergebnis ist wirklich interessant. Grund ist vermutlich aber auch, dass gezielte, gute Phishings sich sehr viel häufiger an Führungskräfte richten als an Mitarbeiter*innen. Dennoch ist das Ergebnis allarmierend und Führungskräfte müssen ebenso wie Mitarbeiter*innen geschult werden.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter werde ich mich voraussichtlich einmal mit Sicherheitsstandards für IT und des BSI befassen. Und dann haben wir auch schon wieder Dezember und ein Jahresrückblick steht an.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
