Datenschutz in Zeiten von Corona – II
31. Dezember 2021

Hier steht demnächst ein kleiner Jahresrückblick.

Der Artiekel ist noch nicht ganz fertig, aber schon voll in Arbeit 😉

In diesem Sinne wünschen wir Ihnen ein erfolgreiches und gesundes Jahr 2022!

Datenschutz in Zeiten von Corona
31. Dezember 2020

Das Jahr 2020 war und ist geprägt von der Corona-Pandemie und auch im Bereich Datenschutz hat das Virus SARS-CoV-2 nachhaltig Spuren hinterlassen. Davon und von den wesentlichen Entwicklungen und Entscheidungen rund um die DSGVO in diesem Jahr handelt dieser Jahresrückblick.

tl; dr

  1. Auch durch die COVID-19-Pandemie wurde offenbar, dass das sog. Supergrundrecht Datenschutz, das die DSGVO implementierten wollte, einige strukturelle Mängel aufweist.
  2. Diese strukturellen Mängel wurden auch durch höchstrichterliche Urteile und die Diskussion um einen harten Brexit, der uns glücklicherweise erspart geblieben ist, deutlich.
  3. Folgende Mängel der DSGVO haben wir in diesem Jahr immer wieder beobachten können:

Corona-Warn-App

Die Diskussionen um die Corona-Warn-App zeigen exemplarisch, dass es entgegen der von Datenschützer*innen hier, hier und hier vertretenen Auffassung weiterhin einige Kritikpunkte auch aus Sicht des Datenschutzes gibt. So hat sich das höchste europäische Datenschutzgremium, der Europäische Datenschutzausschuss – EDSA (englisch: European Data Protection Board; EDPB) am 21. April 2020 recht früh festgelegt, dass es für Contakt-Tracing-Apps nicht erforderlich ist, dass der Ort von individuellen Usern verfolgt wird. Stattdessen sollen Näherungsdaten (proximity data) verwendet werden. Apple und Google haben festgelegt, dass das gemeinsame Exposure Notification Framework (ENF), das die Grundlage vieler Covid19-Apps wurde, aus Datenschutz- und Sicherheitsgründen keine Standortdaten an Gesundheitsbehörden und auch nicht an die eigenen Server weiter gibt. Nachdem wir nun seit dem Sommer wissen, dass „es auf die Cluster ankommt„, stellt sich schon die Frage, wie eine vernünftige elektronische Unterstützung ohne Geo-Lokalisierung auskommen kann. Die Antwort lieferte das RKI am 28.12.2020 mit Version 1.10.1 der Corona-Warn-App: einfach mal den Ort händisch eintippen. Die Implementierung einer seit über 10 Jahren üblichen „Check-In“-Funktion war scheinbar nicht möglich. Ebenso gibt es keinen Zugriff auf das lokale Adressbuch und den Kalender. Warum eigentlich nicht, wenn nicht aus Datenschutzgründen?

Datenschutz-Folgenabschätzung (DSFA)

Und damit kommen wir zu den Mängeln der DSGVO, die bei der Beurteilung der Corana-Warn-App aus Sicht des Datenschutzes deutlich werden. Das RKI als verantwortliche Stelle hat gemeinsam mit den Dienstleistern T-Systems und SAP sowie der Kanzlei Schürmann Rosenthal Dreyer eine bemerkenswerte Datenschutz-Folgenabschätzung (DSFA) vorgelegt. Bemerkenswert in zweierlei Hinsicht. Erstens ist es die derzeit wohl umfangreichste veröffentlichte DSFA im deutschsprachigen Raum (117 Seiten Bericht plus 297 Seiten Anlagen mit über 200 einzeln betrachteten Risiken). Noch überraschender ist aber das Ergebnis: Es bestehen nämlich laut DSFA hohe Restrisiken für die Betroffenen, die vom Verantwortlichen (dem RKI) nicht beseitigt werden können, schon weil die Corona-Warn-App auf Diensten von Google und Apple aufsetzt. Wohlgemerkt handelt es sich bei den vom RKI angeblich im ersten Schritt verarbeiteten Daten um stark pseudonymisierte Schlüssel aus dem ENF von Google und Apple, die ausschließlich im Speicher der Telefone der Betroffen liegen. Es ist insofern überraschend, dass für diese im ersten Schritt vom Betroffenen freiwillig auf dem eigenen Telefon verarbeiteten Daten, bei denen es unklar ist, ob überhaupt jemand mit vertretbarem Aufwand einen Personenbezug herstellen kann, die DSGVO Anwendung finden und das RKI (als Hersteller der App) dafür verantwortlich sein soll. Aber der Gesetzgeber und viele Datenschützer*innen wünschten sich offenbar eine strenge Auslegung des Haushaltsprivilegs. Es gibt sogar Datenschützer*innen, die die Auffassung vertreten, dass z.B. die Überprüfung einer Corona-App im Rahmen einer Einlasskontrolle  der DSGVO unterliegen soll (Zitat: „Der Aufenthalt von Personen in umgrenzten Räumen sortiert nach bestimmten Kriterien erfüllt die Voraussetzungen für ein nicht-automatisiertes Dateisystem„).

Microsoft Office 365 und Zoom

Etwas anders gelagert, aber gleichfalls betroffen von den Mängeln der DSGVO, ist die möglicherweise rechtswidrige Nutzung von Microsoft Office 365 mit Teams oder der beliebten Anwendung von Zoom in den Zeiten von Social Distancing und Homeoffice. Hier soll nicht etwa der Hersteller der Software für etwaige Datenschutzmängel zuständig sein, sondern der Nutzer der Software wie z.B. die örtliche Schulleitung. Schließlich stellt sich am Beispiel von Zoom schon die Frage, warum die Firma B verantwortlich ist, wenn ihr Mitarbeiter Herr A eine Einladung für eine Videokonferenz an Herrn C von der Firma D verschickt. Dabei hat Firma D doch ebenfalls einen Business Account bei Zoom und eine AVV abgeschlossen. Es könnte ja auch das Telekommunikationsgeheimnis zur Anwendung kommen und dann wäre der Dienstanbieter verantwortlich. Aber statt solche praktischen Lösungsvorschläge zu überlegen, beschenkt man sich bei den Aufsichtsbehörden lieber mit Nebelkerzen (Hashtag: #dsgvowirkt). 

Drittstaatentransfer

Ein weiterer unmittelbarer Konstruktionsfehler der DSGVO zeigt sich beim Drittstaatentransfer rund um die Artikel 44 ff. DSGVO. So musste die große Mehrheit der europäischen Unternehmen am 16.7.2020 nach dem Urteil des EuGH in Sachen Schrems II (gegen Facebook) überrascht feststellen, dass Teile Ihrer Datenverarbeitung unzulässig sind. Jedenfalls die Teile bei denen eine Übermittlung in die USA (z.B. durch den Einsatz von Subunternehmern) nicht ausgeschlossen werden konnte. Dabei ist es doch relativ unwahrscheinlich, dass eine betroffene Arbeitnehmerin z.B. an der Einreise in die USA gehindert wird, weil amerikanische Behörden sich ohne richterlichen Beschluss Zugang zu ihrer dienstlichen IP Adresse verschafft haben. Interessanterweise wurde die Interessenabwägung beim Drittstaatentransfer im Rahmen des Trilogs aus dem Gesetz gestrichen. Auch hier bemühten sich die Aufsichtsbehörden redlich, konnten aber nicht wirklich behilflich sein.

Cookies

Beim Thema Cookies gab es ein bemerkenswertes Urteil des BGH aus dem Mai, das zwar dazu führte, dass wir jetzt auch in Deutschland überall Consent Management Plattformen einsetzen. Ansonsten ist allerdings die Sanktionierung für Verstößen in diesem Bereich weitgehend unklar.

Bußgelder gegen 1&1, AOK und H&M

Ein weiteres hervorzuhebendes Thema ist das sog. Bußgeldkonzept der deutschen Aufsichtsbehörden. Durch drei interessante Bußgeldverfahren wurde in diesem Jahr zweierlei deutlich: Im Verfahren gegen 1&1 vor dem Landgericht Bonn zeigte sich, dass die Bußgelder unangemessen hoch sind. Im Verfahren gegen H&M zeigte sich, dass auch ein noch so hohes Bußgeld vom Beschuldigten akzeptiert wird, wenn die befürchteten Schäden durch eine medienwirksame Auseinandersetzung mit der Aufsichtsbehörde unkalkulierbar werden könnten. Gleiches dürfte sich auch die AOK gedacht haben, nachdem Herr Brink offenbar sogar mit einem Durchsuchungsbefehl um die Ecke kam.

Aber es gab auch gute Nachrichten in 2020: Einige Projekte konnten erfolgreich abgeschlossen werden, wir haben freundliche neue Kunden gewonnen und Martin hat im Podcast von Härting über die Einführung eines Datenschutz-Managements-Systems mit agilen Methoden berichtet.

In diesem Sinne wünschen wir Ihnen ein erfolgreiches und gesundes Jahr 2021!


Wir sind umgezogen!
01. März 2019

Ab sofort finden Sie uns in der Witzlebenstraße 21a in 14057 Berlin direkt hinter dem Amtsgericht Charlottenburg.

Wir teilen uns die neuen Räumlichkeiten mit unseren Schwesterfirmen brainpilot, Klar EDV und NoX.

3, 2, 1, hurra … die #DSGVO ist da. Hier sind die 10 beliebtesten Aufgaben.
25. Mai 2018

Nun ist es also soweit: Die Datenschutz-Grundverordnung oder (DSGVO) wird angewendet und hat die bisherige nationale und europäische Datenschutz-Gesetzgebung abgelöst. Das neue BDSG ist ebenfalls in Kraft getreten. Die Auswirkungen werden in den Medien und bei Fachgesprächen heftig diskutiert und es bleibt abzuwarten, welche Folgen die DSGVO langfristig haben wird. Wenn Sie als Unternehmen noch keinen Einstieg in die neue Gesetzgebung gefunden haben, hilft evtl. der von uns entwickelte 10-Punkte-Plan:

  1. Aktualisieren Sie die Datenschutz-Erklärung Ihrer Website. Ein gutes Muster finden Sie beim Anwaltsverein. Etwas komfortabler geht es bei Thomas Schwenke (Kosten ab 99 EUR).
  2. Kümmern Sie sich um die Informationspflicht gegenüber Kunden, Mandanten, Patienten, Beschäftigten oder Bewerbern. Eine gute Praxishilfe finden Sie hier.
  3. Schalten Sie Ihre Video-Überwachung ab oder kümmern sich wenigstens um die Informationspflicht sowie die Beschilderung. Wie das geht, erfahren Sie beim LfD Niedersachsen.
  4. Analysieren Sie Ihre CRM-Daten und die Prozesse beim E-Mail-Marketing. Warum Sie dabei nicht in Panik geraten sollten, erfahren Sie von Martin Schirmbacher.
  5. Verzichten Sie auf Facebook Custom Audience und arbeiten Sie die Checkliste zu Google Analytics von Nina Diercks ab.
  6. Überlegen Sie sich interne Prozesse zum Auskunftsrecht und zur Meldepflicht bei Datenpannen.
  7. Benennen Sie einen DSB ab 10 Beschäftigten (Artikel 37 & § 38 BDSG) und teilen dessen Kontaktdaten (E-Mail-Adresse) der Aufsichtsbehörde mit.
  8. Schulen Sie Ihre Beschäftigten und verpflichten Sie sie auf die DSGVO. Ein gutes Muster erhalten Sie vom Bayerischen Landesamt für Datenschutzaufsicht.
  9. Beginnen Sie mit der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten. Wenn Sie Gesundheitsdaten verarbeiten, denken Sie an die Risikoanalyse. Vergessen Sie nicht die TOM-Liste.
  10. Erstellen Sie eine Übersicht Ihrer Auftragsverarbeiter. Eine Übersicht mit 100 Beispielen finden Sie hier.
DSGVO-Wissen
07. März 2018

Unsere neue Online-Mitarbeiterschulung (E-Learning) zur Datenschutz-Grundverordnung kommt bald!

Am 25. Mai 2018 löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab.

Rechtzeitig zu dieser Umstellung werden wir auch BDSG-Wissen.de erneuern. Nicht nur die Inhalte werden an die neue Gesetzgebung angepasst, die Seite erfährt auch ein überfälliges Facelift. Das neue DSGVO-Wissen wird moderner, ansprechender und freundlicher. Was wir behalten ist unser Ansatz: kompetent, eingängig, preiswert – und leicht in Ihren Arbeitsalltag zu integrieren.

Ab April 2018 können wir Ihnen ein individuelles Angebot erstellen.

0 Kommentare
Der Countdown läuft … #DSGVO
25. Mai 2017

In genau einem Jahr, am 25. Mai 2018, löst die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (kurz: Datenschutz-Grundverordnung oder DSGVO) die bisherige nationale und europäische Datenschutz-Gesetzgebung ab. An diesem Tag endet die Übergangszeit von zwei Jahren, die nach der Veröffentlichung und dem Inkrafttreten der DSGVO begann und nun bereits zur Hälfte verstrichen ist.

Die teilweise massiven Veränderungen bei der Datenverarbeitung im Unternehmensbereich, die durch das neue europäische Datenschutzrecht eintreten werden, lassen sich grob in drei Kategorien unterteilen:

  • erweiterte Informations- und Meldepflichten (gegenüber Betroffenen und Aufsichtsbehörden)
  • ausführlichere Dokumentationspflichten und der Nachweis der Rechtmäßigkeit der Datenverarbeitung (Rechenschaftspflicht)
  • verstärkte Anforderungen an die IT-Sicherheit (nach dem Stand der Technik)

Außerdem steigt wegen des erhöhten Sanktionsrahmens und der neuen Rechenschaftspflicht das Risiko bei Datenschutzverstößen auch noch im Nachhinein empfindlich belangt zu werden. Die Geldbußen werden mindestens um den Faktor 60 erhöht und orientieren sich an den Größenordnungen, die aus dem Kartellrecht bekannt sind.

Alle Unternehmen sollten sich also mit dem neuen Gesetz rechtzeitig vertraut machen und ein internes Projekt zur Umsetzung der Anforderungen aufsetzen. Nach aktuellen Schätzungen haben derzeit noch über 50 % der Unternehmen in Deutschland überhaupt nicht mit einem Umsetzungsprojekt zur DSGVO begonnen.

Für diese Unternehmen wird es jetzt höchste Zeit sich dem Thema zu widmen. Gute Möglichkeiten zum Einstieg finden sich in den Leitfäden zur DSGVO, die der Arbeitskreis Datenschutz des Bitkom e.V. entwickelt hat.

0 Kommentare
EU Datenschutz Reform beschlossen
16. Dezember 2015

Am 15. Dezember 2015 einigten sich Rat, Kommission und Parlament auf einen Kompromiss für die neue Datenschutz-Grundverordnung. Die Verordnung muss nun noch vom Ausschuss für bürgerliche Freiheiten, Justiz und Inneres und dann vom Parlament bestätigt werden und tritt dann mit einer Übergangsfrist von zwei Jahren in Kraft. In dieser Zeit müssen alle Mitgliedsstaaten die Gesetzesänderung in lokales Recht umsetzen. Dann entscheidet sich auch, ob die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten in Deutschland erhalten bleibt. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

„Der heutige Abend hat den erwarteten Durchbruch für ein neues Datenschutzgesetz in der Europäischen Union gebracht.“ Jan Philipp Albrecht, Verhandlungsführer des Europäischen Parlaments für die Datenschutzverordnung

Kompromissvorschlag der Datenschutzverordnung, gefunden bei Härting Rechtsanwälte

„Trilog erfolg­reich, Ein­wil­li­gung tot“ deutliche Kritik von Niko Härting

Ebenfalls kritische Auseinandersetzung mit der Verordnung von Winfried Veil auf CR-Online: Angriff auf Internet und Meinungsfreiheit (Teil I, II und III)

Weiterführende Informationen des Berufsverbands der Datenschützer (BvD): https://www.bvdnet.de/themen/dsgvo/

Update: Das Gesetz  zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) wurde mittlerweile von Bundestag und Bundesrat beschlossen. Die Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten gilt in Deutschland weiterhin für alle Unternehmen, „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

 

0 Kommentare
EuGH kippt Safe Harbor
06. Oktober 2015

Am 6. Oktober 2015 hat der Europäische Gerichtshof entschieden, dass die Safe Harbor Regelung zum Transfer von personenbezogenen Daten in die USA aus dem Jahr 2000 ungültig ist. Begründet wurde dies im Verfahren, das Max Schrems gegen irische Datenschutzbehörde in Sachen Facebook führt u.a. mit den Enthüllungen von Edward Snowden im NSA-Skandal. Hier gibt es das Urteil im deutschen Volltext. Im Folgenden werde ich einige Links und Kommentare zum Thema sammeln:

Max Schrems: Initial Response

Anna Biselli auf netzpolitik.org: Europäischer Gerichtshof: Safe Harbor ist ungültig! Schluss mit der blauäugigen Datenübertragung in die USA.

Sascha Lobo auf Spiegel Online: Safe-Harbor-Urteil: Entschuldigung, ich verstehe nur Verschiebebahnhof

Joerg Heidrich auf Heise Online: Nach dem EuGH-Urteil: Alternativen zu Safe Harbor

Niko Härting: Safe Harbor: Geburtsstunde eines europäischen Verfassungsgerichts?

Pressemittelung des Berufsverbands der Datenschützer (BvD): EuGH: Safe Harbor gekippt

Patrick Beuth auf Zeit Online: Ein leises Donnerwetter vom EuGH

Matthias Lachmann: Safe Harbor-Urteil: EuGH setzt Zeichen gegen Massenausspähung mit wirrer Argumentation

Positionspapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz) vom 26.10.1015

 

0 Kommentare
ULD Sommerakademie 2014
12. September 2014

Schon wieder ein Jahr vorbei – das Jahr eins nach den Snowden-Enthüllungen über den NSA-Spähangriff. Der Eingriff in die Persönlichkeitsrechte des einzelnen und die Auswirkungen auf unser demokratisches Leben sind abstrakt und nur bedingt erfassbar. Die Empörung oder zumindest das Bewusstsein für die permanente Bedrohung des einzelnen sind nur schwer aufrecht zu erhalten. Das Misstrauen gegenüber den Institutionen und der Politik ist gewaltig und hinterlässt einen stets schalen Nachgeschmack beim Leben im Netz.

Vordenker und CCC-Chef Frank Rieger hatte sich vor einiger Zeit in einem FAZ-Artikel klug mit den Auswirkungen des NSA-Skandals auseinander gesetzt und uns vor allem mit seinen Ausführungen zum Vertrauensaufbau aufhorchen lassen. Da wir nun die „dunkle Seite“ des Internets kennen, so Rieger, könnte ein Weg aus der Zwickmühle heraus der Aufbau von Vertrauen sein. Dies könne zum einen vonstatten gehen, indem sich Personen und Institutionen immer wieder tadellos verhalten und somit Vertrauen in sich aufbauen und dies immer wieder bestätigen – eine harte Nuss in unseren schnelllebigen Zeiten.

Passend dazu loteten die Datenschutz-Experten bei der diesjährigen ULD-Sommerakademie in Kiel das Spannungsfeld zwischen den Grundrechten auf freie Entfaltung und dem Anspruch auf absolute Sicherheit aus. Ben Scott, Programmdirektor bei der Stiftung Neue Verantwortung e.V., überzeugte mit einer grundsätzlichen Einordnung zum „Datenschutz in einer Post-Snowden-Welt“, in dem er auf die jeweiligen Stärken in den USA und Deutschland verwies. Als Lösungansatz nennt er ein gemeinsames rechtliches Rahmenwerk zur transatlantischen Sicherheits- wie die Datenschutzpolitik, um so die Auswüchse in puncto Totalüberwachung einzudämmen.

Einen lesenswerten Artikel gibt es u.a. bei heise.de. Außerdem sei auf die Zusammenfassung der ULD Sommerakademie hingewiesen.

 

   

 

 

 

 

0 Kommentare
BvD Datenschutztage 2014
04. Juni 2014

In Zeiten von Spähattacken und biometrischen Erkennung: Kann Datenschutz ein zentraler Wettbewerbsfaktor für Deutschland und Europa werden? Dies war zentrales Thema der Verbandstage des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD).

Brainosphere Datenschutz

erstellt mit: wordle.net

Mit der Bundesdatenschutzbeauftragten Andrea Voßhoff und Jan Philipp Albrecht, Datenschutz-Berichterstatter im EU-Parlament, äußersten sich prominente und profunde Experten bei der zweitägigen Tagung Ende Mai in Berlin.

Bundesjustizminister Heiko Maas (SPD) betonte gegenüber den rund 200 Datenschützern, dass sich ihr Metier aktuell zu einem bedeutenden Faktor für wirtschaftliche Wettbewerbsvorteile entwickelt. Er wies in diesem Zusammenhang auf die wichtige Stellung der Datenschutzbeauftragten in Deutschland hin und befürwortete, ihre Position weiterhin zu schützen und zu stärken – auch europaweit.

In ihren Redebeiträgen vor 200 Datenschutzbeauftragten betonten Maas, Voßhoff und Albrecht übereinstimmend, wie notwendig und richtig die unabhängige innerbetriebliche Kontrolle von Datenverarbeitung in der von Datenflut und Überwachung geprägten Gesellschaft ist. Sie befürworteten ausdrücklich, dass sich dieses in Deutschland bewährte Modell des betrieblichen Datenschutzbeauftragten in ganz Europa wieder finden soll.

Einen interessanten Beitrag bei den Datenschutztagen kam von Alexander Nouak vom Frauenhofer-Institut für Grafische Datenverarbeitung (IGD) – er zeigte in seiner Präsentation den Stand der Dinge hinsichtlich sicherer Authentifizierung mit biometrischen Methoden sowie Vorteile und Risiken der Biometrie auf.

Sichere Identitäten sind auch Thema eines aktuelles Wettbewerbs, den die Bundesdruckerei GmbH ausgelobt hat: Unternehmen, StartUps, Institutionen, Design-Studenten und Schüler können dabei Ideen, Konzepte und Projekte rund um sicheres und benutzerfreundliches Identitätsmanagement in der digitalen Zukunft einreichen. Einreichungen sind möglich bis zum 17. August diesen Jahres https://www.digitaler-handschlag.de/de – viel Erfolg!

0 Kommentare