DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:

Videoüberwachung mit Kamera-Attrappen
Artikel 15 DS-GVO - Auskunft mit Tücken
Aktuelles aus dem Datenschutz

1. Videoüberwachung mit Kamera-Attrappen

Dieses Thema ist etwas komplizierter als es klingen mag. Grundsätzlich gilt: Kamera Attrappen zeichnen keine Daten auf, verarbeiten in diesem Sinne auch keine personen-bezogenen Daten und entsprechend gelten DS-GVO und BDSG nicht. Damit könnte man dieses Thema für erledigt erklären, aber ganz so einfach ist es dann doch nicht.

Der Einsatz von Kamera-Attrappen soll eine Videoüberwachung für betroffene Personen glaubhaft simulieren. Betroffene Personen, die keine Kenntnis darüber haben, ob eine Kamera tatsächlich aufzeichnet oder nicht, müssen zuerst einmal davon ausgehen, dass eine Aufzeichnung stattfindet. Entsprechend besteht auch ein Informationsrecht. In einer Auskunftsanfrage müsste dieses dahingehend beantwortet werden, dass die Kameras keine Aufzeichnungen tätigen und das Geheimnis wäre damit gelüftet. Es empfiehlt sich daher auch für Kamera-Attrappen dieselben Datenschutzinformationen und Hinweisschilder zu tätigen, als wären es echte Kameras. Hiergegen spricht aus Datenschutzsicht nichts und etwaigen Anfragen, die nur wegen fehlender Hinweise erfolgen, ist vorgebeugt. Gleichzeitig wird damit die Echtheit der Attrappen unterstrichen und der Zweck des Einsatzes gesteigert.

Für betroffene Personen ist die gefühlte Überwachungswirkung letztlich unterschiedslos. Es besteht derselbe Überwachungsdruck, da keine Kenntnis über die Unechtheit der Kameras besteht. Dieses kann Persönlichkeitsrechte betroffener Personen verletzen. Insbesondere gilt auch für Kamera Attrappen, dass diese nicht auf öffentliche oder dritte Bereiche gerichtet sein dürfen, und man nicht den Anschein erwecken darf solche Bereiche zu überwachen. Im Unternehmen dürfen keine Kamera-Attrappen in Aufenthaltsräumen, Sanitärräumen oder geschützten Bereichen installiert sein. Auch darf mit Fake-Kameras keine vollständige Unternehmensüberwachung vorgetäuscht werden. Hier gelten letztlich die gleichen Regeln, als wären Attrappen echte Kameras. Wer sich nicht daran hält, kann zwar nicht durch den Datenschutz belangt werden, sehr wohl aber gerichtlich wegen Verletzung der Persönlichkeitsrechte betroffener Personen zu einer Unterlassung oder auch zu einem Schmerzensgeld verurteilt werden.

2. Artikel 15 DS-GVO - Auskunft mit Tücken

Man muss sich zu Artikel 15 bewusst sein, dass damit jede betroffene Person grundsätzlich das Recht hat alle zu ihr geführten Informationen in Kopie zu erhalten. Das betrifft auch allen E-Mail oder internen Schriftverkehr, in welchem die betroffene Person genannt wird. Ausnahmen sind in der Regel nicht möglich.

Im mir hierzu vorliegenden Fall erging die Auskunftsanfrage an eine Behörde, welche die Auskunft zuerst ablehnte, auf energisches Drängen sodann jedoch vollumfänglich beantwortete und dabei auch eine Vielzahl interner E-Mails, in welcher die betroffene Person behandelt wurde, übermittelte. In einigen davon wurde abwertend und lächerlich über den Auskunftssteller kommuniziert. Ferner gab es mehrere Einschätzungen, die ganz klar nicht einer systematischen Methodik elementarer Logik folgten als auch einer Rechtsgrundlage ermangelten. In einer E-Mail wurde direkt darüber gesprochen, wie man Sachverhalte so interpretieren kann, dass damit negative Folgen für die betroffene Person begründet werden können. Mit anderen Worten: Es war deutlich erkennbar, dass keine neutrale Bearbeitung vorlag, sondern ein bestimmtes negatives Ergebnis gewollt war.

Die Verfasser dieser diversen vorgenannten E-Mails wollten sicherlich nicht, dass die Person, die in diesen behandelt wurde, die E-Mails zur Kenntnis bekommt. Heutzutage ist E-Mail Mittel der ersten Wahl, um untereinander zu kommunizieren. Schnell schreibt man alles mögliche, auch Dinge, die besser nicht festgehalten werden sollten. Hier einige Beispiele, was ich in Auskunftsanfragen schonmal gelesen habe:

"Herr .. ist ein echter Kotzbrocken."
"Kannst Du den Herrn .. bitte übernehmen, er stink so extrem nach Schweiß, dass ich mich übergeben muss."
Wir sollten Frau .. auf jeden Fall die Leistung verweigern. Sie ist immer unfreundlich und hat mich schon mal beleidigt."

Ich könnte die Liste eine Seite lang fortführen, aber ich glaube, dass jeder begriffen hat, was ich meine. Es ist nicht von Vorteil für Verfasser*innen noch deren Organisationen, wenn sich so etwas in Auskunftsanfragen findet. Man kann das Problem auf zwei Weisen angehen: Die eine Weise ist, dass man so etwas gar nicht erst schreibt. Hierauf müssen die Mitarbeiter*innen geschult und verpflichtet werden. Dennoch sind Menschen nicht vollkommen und es wird immer irgendwie passieren, dass mal etwas unangemessenes dabei ist. Daher ist auch ein Datenschutzmanagement gefragt, welches hier ggf. eingreift und Wege eröffnet, dass solche Kommunikation in Auskunftsanfragen nicht erscheint, weil sie nicht existiert. Was nicht existiert, dass muss und kann auch nicht herausgegeben werden.

Mit letzterem Absatz wollte ich keinesfalls dazu aufrufen, Auskunftsanfragen nicht korrekt zu beantworten oder dazu, manches bei Auskunftsanfrage schnell zu löschen. Aber E-Mails müssen nur archiviert werden, wenn es sich dabei um einen Geschäftsbrief handelt oder diese einen Bezug zur Buchführung haben. Wenn E-Mails nur Transportweg für eine interne Kommunikation darstellen, müssen diese grundsätzlich nicht aufbewahrt werden, allenfalls für eine Dokumentation innerbetrieblicher Abläufe und Genehmigungen. Ein internes E-Mail-Management kann hier also helfen bei Auskunftsanfragen nicht schlecht dazustehen. Und einige Dinge bespricht man immer noch besser persönlich, ohne Protokoll, ohne E-Mail, Ohne Messenger und ohne Aufzeichnung jeder Art.

3. Aktuelles aus dem Datenschutz

Wenn wir über Datenschutz bei Internet-Riesen sprechen, dann geht es hier vor allem erst einmal um Zuständigkeiten bei den Aufsichtsbehörden. Hier tut sich derzeit einiges in der EU und im Visier ist dabei die irländische Datenschutzaufsicht, denn dort sitzen die Europa-Niederlassungen der großen amerikanischen Konzerne. Nun klagt die irländische Aufsichtsbehörde gegen den EDSA (europäischer Datenschutzausschuss) zur Klärung dessen Zuständigkeiten. Das Ergebnis wird wegweisend werden und mir persönlich ist dabei nicht klar, auf welcher Seite die irländische Behörde steht: Auf der Seite des Datenschutzes oder der der Internet-Konzerne? Seien wir gespannt, wie das Urteil ausfallen wird.

Der Angemessenheitsbeschluss für die USA auf Grundlage des neuen Datenschutz-abkommen wird wohl erst Mitte des Jahres kommen. Man streitet noch um Details und, ganz gleich wie der Streit ausgehen wird, kommt danach eine Klage von Herrn Schrems. Was soll man zu diesem Schauspiel groß sagen.

Vor dem EuGH wird gegen die SCHUFA verhandelt. Der Generalstaatsanwalt hat sein Gutachten mit einer entsprechenden Einschätzung vorgelegt. Hiernach verstößt die SCHUFA mit ihrem Scoring-Verfahren, einem automatisierten Bewertungsverfahren von Verbrauchern für deren Bonität bei Kreditvergaben, gegen die DS-GVO. Ich halte diese Einschätzung für richtig und meiner persönlichen Auffassung nach verstößt die SCHUFA nicht nur an dieser Stelle gegen die DS-GVO.

Der Datenschutzanwalt Stephan Hansen-Oest, dessen Newsletter ich sehr schätze, weist auf eine neue Abmahnwelle hin. Jetzt ist es ein Maximilian G., der Geld möchte, und das nicht zu knapp. Es werden EUR 1.000,00 Schadenersatz plus Anwaltskosten gefordert, dafür dass eine Auskunft nach Art. 15 DS-GVO nicht beantwortet worden sein soll. Es werden hierbei offensichtlich wahllos Auskunftsanfragen per E-Mail gestellt. Natürlich sind diese fristgerecht zu beantworten. Bei vielen Betroffenen landen diese aber im Spam oder werden nicht als seriöse Anfragen erkannt, insbesondere weil der Anfragesteller den Angefragten unbekannt ist. Hiernach folgt dann umgehend die Abmahnung. Ob dieses rechtens ist, ist mehr als fraglich, um es vorsichtig auszudrücken. Ich rate nicht zu zahlen, sondern dagegen vorzugehen.

Da wir schon bei Abmahnungen sind: Es erinnern sich sicher noch alle an die Google Fonts Geschichte. Diese lief auch in Österreich. Hier war es eine Eva Z., die ihren Anwalt für solche Abmahnungen beauftragte. Dieser Anwalt schickte ca. 33.000 Schreiben mit einer Zahlungs-aufforderung heraus, jeweils EUR 100,00 plus EUR 90,00 Anwaltskosten. Denn Eva Z. hatte ganz viel gesurft und bekam dann ein ungutes Gefühl, was dabei mit ihren Daten passiert sein mag. Nein, so war es natürlich nicht. Genaugenommen hatte Eva Z. einen Web-Crawler genutzt, um Webseiten mit Google-Fonts zu finden, und wollte dann ein ungutes Gefühl bekommen. Das ungute Gefühl dürfte sie in dem Fall jetzt haben, denn gegen Sie und ihren Anwalt wird wegen Betrugs und Rechtsmissbrauch ermittelt. Ich kann nicht sagen, dass mir das leid tut.

Videos auf Webseiten stellen oftmals ein Datenschutzproblem dar, weil sie mit YouTube oder Vimeo eingebunden sind. Dieses führt zu Tracking, welches nur mit einer vorherigen Einwilligung rechtens ist. Das Tracking zu unterbinden oder eine wirklich rechtskonforme Einwilligung hierfür einzuholen, stellt großen Aufwand dar und bringt regelmäßig auch keine wirkliche Rechtssicherheit. Dr. DSGVO Klaus Meffert schreibt in seinem Newsletter über einen Test ein Video einfach per HTML-Befehl einzubinden ( Das Argument, es genau so nicht zu tun, auch wenn das datenschutzkonform ist, war immer das, dass die Performance des Videos dann schlecht ist. Es wird zu langsam geladen, läuft nicht flüssig ab und hakt. Der Test von Dr. DSGVO zeigt, dass das Quatsch ist. Auch vom eigenen Webserver geladene Videos laufen problemlos. Und auch sonst hat das Einbinden per YouTube oder Vimeo keine Vorteile. Allerdings ist es am Ende dann doch nicht ganz so einfach wie oben beschrieben. Der HTML-Code alleine passt die Größe nicht optimiert für alle Endgeräte an. Man bräuchte also etwas mehr Code oder ein Plugin, was Videos in dieser Form einbindet. Für den Datenschutz ist es in jedem Fall die richtige Lösung.

Nun ein nicht direkt zum Datenschutz gehörender Vorfall aus Hamburg, der auch interessant ist einmal angesprochen zu werden: Aktivisten der Gruppe "Letzte Generation", wie man hierzu steht sei jedem selbst überlassen und ist kein Thema in diesem Newsletter, haben die Köhlbrandbrücke im Hamburger Hafen blockiert. In diesem Zusammenhang wurde ein Aktivist von einem LKW-Fahrer von der Straße auf den Fußweg gezogen. Der sich nicht wehrende und am Boden liegende Aktivist wurde dann mit voller Wucht von dem LKW Fahrer in den Bauch getreten. Hieraufhin verfolgte der LKW-Fahrer noch einen Mann mit einer professionellen Kamera, der flüchten musste. Das ganze wurde auf Video aufgezeichnet und in allen Socialmedia-Portalen geteilt, wobei die Firmenjacke des Fahrers mit der deutlichen Aufschrift des Unternehmens, erkennbar war. Daraufhin wurde die Webseite des Unternehmens über Tage, nahezu durchgehend lahmgelegt. Negative Bewertung auf allen Portalen erfolgten und einiges andere. Auf Twitter kündigten mhrere dritte Unternehmen an, dieses Transportunternehmen fortan nicht mehr weiter zu beauftragen. Das Verhalten von Mitarbeiter*innen in der Öffentlichkeit kann also zu sehr erheblichen Reputations- wie auch finanziellen Schäden führen. Jedem sollte das bewusst sein und Mitarbeiter*innen sollten darauf geschult sowie hierfür sensibilisiert werden.

Ich glaube, dass niemand die letzten Monate geschafft hat, ohne von ChatGPT zu hören, Diese künstliche Intelligenz ist in aller Munde und man fragt sich, was man damit alles machen kann. Sehr viel, ist die Antwort, so dass das BSI jetzt davor warnt, dass Cyber-Kriminelle ChatGPT nutzen, um potentielle Opfer über Phishing-Mails anzulocken. Das Tool wird mit E-Mails beworben, die Phishing sind und die Opfer auf Fake-Plattformen locken, wo man ChatGPT herunterladen kann. Allerdings lädt man dann nicht ChatGPT herunter, sondern eine Malware. Und daneben lassen sich mit ChatGPT Phishing Mails viel besser formulieren und machen auch Kriminellen das Leben einfacher.

Trotz des Ukraine-Kriegs hat die Polizei NRW in Zusammenarbeit mit der ukrainischen Polizei die Hackergruppe "DoppelPaymer" zerschlagen, wie ebenfalls das BSI berichtet. Diese Gruppe arbeitete vorwiegend mit Ransomware und war für den Angriff auf die Düsseldorfer Uniklinik im September 2020 verantwortlich. Genaues hierzu kann in einem Artikel beim Spiegel nachgelesen werden.

Die Lidl Pay App gilt schon seit dem Start 2021 als nicht besonders sicher. Nun berichtet die Polizei München über einen Fahndungserfolg. Es wurden 6 verdächtige Männer festgenommen, welche 500 Betrugsfälle mit einem sechsstelligen Schaden über die App begangen hatten. Näheres hierzu kann bei der Süddeutschen Zeitung nachgelesen werden.

Wie schlimm es werden kann, wenn sensible Daten verloren gehen, zeigt ein Beispiel in den USA. Die Hackergruppe "Alphv" hat sensible Patientendaten veröffentlicht, darunter auch Nacktaufnahmen von Brustkrebspatientinnen. Die Hackergruppe, genaugenommen sind es Kriminelle, fordern Lösegeld und drohen damit, zu den Fotos die jeweiligen ID-Karten (Personalausweise) zu veröffentlichen. Diese Geschichte kann man bei Heise Online nachlesen.

Ansonsten läuft das übliche ab, was ich hier jedes Mal berichte: Acer wurde gehackt und 160GB Daten abgezogen. Die Stadtwerke Karlsruhe wurden Oper eines Hackerangriffs. Der Foxit PFD Editor hat eine Sicherheitslücke und ist offen für Schadcode. In einer für Apple MacOS ausgelieferten Musiksoftware "GarageBand" ist eine schwere Sicherheitslücke. Der Cloud-Telefonie-Anbieter 3CX wurde Opfer eines Zero-Day-Exploit-Angriffs, bei dem sogar einer meiner Kunden betroffen war. Google Chrome hat 40 Sicherheitslücken geschlossen. Microsoft Edge und Mozilla Firefox haben ähnliche Sicherheitslücken, nicht das jemand denkt, er ist auf der sicheren Seite. Und daher wieder derselbe Hinweis an dieser Stelle: Machen Sie immer und sofort alle Updates, auf jedem Gerät, bei jedem Betriebssystem und in jeder Anwendung!!!

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Thema im nächsten Newsletter wird der Tätigkeitsbericht des BfDI werden, in dem einiges interessantes zu lesen ist.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter

Ich möchte mich vom Newsletter abmelden. Ich habe Fragen zu meinen Rechten und möchte die Datenschutzerklärung lesen. Ich weiß nicht, warum ich diese E-Mail bekomme oder möchte dem Absender eine Nachricht schicken.

Der Verfasser ist IT-Sicherheitsbeauftragter (ISB) sowie Datenschutzbeauftragter (DSB) und führt die Befähigung nach Artikel 37 DS-GVO sowie § 38 BDSG. Im Rahmen der Dienstverhältnisse mit Kunden besteht für die Richtigkeit der im Newsletter gemachten Aussagen eine Haftung gemäß den vertraglichen Vereinbarungen. Eine Haftung für sonstige Abonnent*innen des Newsletters, die kein Dienstverhältnis mit dem Verfasser haben, wird ausgeschlossen. Es wird darauf hingewiesen, dass der Newsletter sich auf die Rechtslage im Sinne des Datenschutzes bezieht. Sachverhalte können im Sinne des Datenschutzes rechtskonform sein, jedoch trotzdem gegen andere Rechtsnormen verstoßen und aufgrund dieser nicht erlaubt sein. Der Newsletter beinhaltet allgemeine Information und stellt keine Rechtsberatung dar.

IMPRESSUM:

Tobias Lange - Unternehmensberater

Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de