Datenschutz ist eine dynamische Angelegenheit. Neue Gesetze und ständig neue Rechtsprechung erfordern die Anpassung eigener Datenschutzprozesse im Unternehmen. So empfiehlt es sich, die Verarbeitungsverzeichnisse, die technischen und organisatorischen Maßnahmen, das Löschkonzept oder auch eine Datenschutzfolgenabschätzung an auf aktuellem Stand zu halten. Hier informieren Sie sich über neue Erfordernisse beim Datenschutz, technisch und rechtlich. Auch aktuelle Entwicklungen bezüglich der Aufsichtsbehörden und des BSI werden hier zum Teil aufgezeigt. Wir helfen Ihnen gern weiter!
31.05.23
Erheblicher Anstieg der Bußgelder für Datenschutz-Muffel
Das letzte Jahr 2022 könnte man als Rekordjahr bezüglich der Höhe der Bußgelder bezeichnen, die Behörden wegen erheblicher Datenschutz Verstöße gegenüber Unternehmen geltend gemacht haben.
Mehr als eine halbe Milliarde Euro mehr Bußgelder
Im Jahr 2022 wurden insgesamt innerhalb der EU – Staaten und ihrer Landesbehörden insgesamt angeblich ein Volumen in Höhe von 1,64 Milliarden € verhängt. 2021 waren es noch 1,09 Milliarden € wegen Verletzung von Datenschutz. Interessant dabei ist, dass die gesamte Zahl der gemeldeten Datenschutz – Verstöße auf 300 pro Tag gesunken waren. Im Jahr davor waren es noch täglich 328 Meldungen von Sicherheitsvorfällen. Das zeigt, dass die Bußgelder bei Verstößen gegen Datenschutz gewaltig angestiegen sind.
Die mit Abstand härtesten Strafen werden gegenüber dem Konzern Meta verhängt
So wurde gegenüber Facebook ein Bußgeldbescheid über 210 Millionen € ausgestellt. Das Social Media Unternehmen Instagram erhielt einen Bescheid über 180 Millionen €. Hintergrund ist, dass Meta das zu beachtende Datenschutzrecht bei der personalisierten Werbung nicht einhält. Selbst die irische Datenschutzbehörde zweifelt daran, dass Meta die erhobenen Daten in dieser gigantischen Menge tatsächlich aus vertraglichen Gründen benötigt. Die irdischen Datenschützer, die bislang nicht für besondere Herde bekannt waren, haben mittlerweile aber insgesamt bereits schon Bußgelder in Höhe von 1,3 Milliarden € verhängt.
Die Dunkelziffer wird sicher noch gewaltiger sein
Der kleine Staat Luxemburg hat insoweit auf sich aufmerksam gemacht, als er die Rekordsumme von 746 Millionen € gegenüber Amazon festgesetzt hat. Luxemburg ist mittlerweile für seine sehr drastische Bußgelder bekannt. Die Datenschutzbehörden in Deutschland haben seit Mai 2018 insgesamt Bußgelder in Höhe von 76 Millionen € verhängt, wobei die Autoren dieser Statistik darauf hinweisen, dass wohl nicht sämtliche Bußgelder auch entsprechend erfasst beziehungsweise von den Datenschutzbehörden gemeldet wurden. Es darf durchaus angenommen werden, dass noch höhere Summen im Spiel waren und sind.
Ausblick
Es ist klar erkennbar, dass die Behörden immer härter durchgreifen. Auch die Gerichte haben in der letzten Zeit ihre Rechtsprechung präzisiert. Gerade im Mai 2023 hat der EuGH darauf hingewiesen, dass bei selbst geringsten Datenschutzverstößen grundsätzlich Schadensersatz von immateriellen Schäden in Betracht kommt. Insoweit bewahrheitet sich genau das, was von den Datenschützern seit Inkrafttreten der Datenschutz-Grundverordnung prognostiziert wurde: den Datenschutz nicht ernst zu nehmen ist eine denkbar schlechte Idee!
_____
12.03.23
Türklingelkamera – aufpassen!
Viele eingesetzte Klingelkamerasysteme umfassen auch eine Datenspeicherung. Kameras in Klingelanlagen werden rechtlich wie private Videoüberwachungen behandelt, so dass die Grundsätze des Art. 6 Datenschutzgrundverordnung greifen und in den meisten fällen zur Unzulässigkeit der Nutzung führen.
Wie macht man es also richtig?
Praktische Hinweise für die Installation und den Betrieb entsprechender Kameras hat die Datenschutzkonferenz mit einer Orientierungshilfe zusammengefasst:
https://www.datenschutzkonferenz-online.de/media/oh/20200903_oh_vü_dsk.pdf
Das Problem besteht nicht selten darin, dass diese Kameras in der Praxis nicht nur den Nahbereich der Haustüre, sondern den vollständigen Gehweg beziehungsweise den öffentlichen Raum erfassen. So können etwa zufällige Aufnahmen von Nachbarn, die ihren Müll ausleeren oder ihr Fahrrad anschließen einen unzulässigen Eingriff, in deren Persönlichkeitsrecht darstellen. Diese Thematik wird ausführlicher vom Landesdatenschutzbeauftragten Baden-Württemberg in seinem 37. Tätigkeitsbericht 2021 auf Seite 107 f. erläutert.
Problematisch wird es, wenn solche Aufnahmen dann auch noch in Cloud gespeichert werden, die sich außerhalb des Anwendungsbereichs der Datenschutzgrundverordnung befinden.
Weshalb werden solche Systeme überhaupt verkauft?
Oft handelt es sich um Produkte in Massenware, die in Ländern produziert werden, in denen die Datenschutzgrundverordnung nicht gilt. Insoweit ist es auch nicht verwunderlich, dass solche Hersteller ihren Fokus auf den Weltmarkt legen und oftmals nicht wissen, welche zusätzlichen Voraussetzungen innerhalb Europas zu erfüllen sind. Daher kommt man gegenüber Gerichten und Datenschutzbehörden argumentativ nicht sehr weit, wenn man sich etwa darauf berufen wollte, dass ja schließlich solche Systeme weit verbreitet seien.
Fazit:
Wer also solche Kameras installiert, muss die Spielregeln einhalten, die die Datenschutzkonferenz festgelegt hat.
________
16.02.23
Oh Schreck, die Daten sind weg! Häufige Ursachen für Datenverluste
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bezeichnet die Bedrohungslage hinsichtlich der Cyberangriffe in Deutschland als angespannt, da schätzungsweise 95 % der deutschen Unternehmen 2021 Opfer solcher Cyberangriffe waren und wohl 80 % der befragten Firmen auch Datenverluste zugegeben haben.
Hier ein paar typische Gründe für Datenverluste:
Klassische Cyberangriffe
Diese Gruppierung dürfte den häufigsten Grund für Datenverluste in Unternehmen darstellen. So soll der deutschen Wirtschaft jährlich ein Gesamtschaden von mehr als 220 Milliarden € entstehen.
Schlechte Passwörter und mangelhafte Zugänge
Mittlerweile dürfte es nicht verwundern, dass schlechte Passwörter keinen wirksamen Schutz vor Datenverlust bietet. Durch die Verwendung geeigneter Passwortmanager dürfte es allerdings relativ einfach sein, dieser Gefahr gekonnt zu begegnen. Derartige Software ist in aller Regel nicht mit hohen finanziellen Aufwänden verbunden.
Mailware
Viren und Würmer finden ihren Platz auf Rechnern der Unternehmen, etwa durch von außen mitgebrachten Datenträgern wie USB-Sticks. Aber auch über E-Mails können solche Störenfriede ihren Weg finden.
Mangelhafte Hardware und Software
Defekte Festplatten mit sensiblen Daten im Einsatz können natürlich ebenfalls zu unerwünschtem Verlust von Daten führen. Auch eine fehlerhafte Software kann etwa bei Speicherprozessen oder ähnlichem Daten verloren gehen lassen. Zudem können Sicherheitslücken dazu führen, dass eben die oben genannten Störenfriede die Türen geöffnet bekommen.
Fehlerhafte Bedienung
Das versehentliche Löschung von Daten in der Alltagshektik ist nicht selten ein Grund für die anschließende Suche nach den vermeintlich eingegebenen Daten. Hier hilft es, wenn an jedem Arbeitsplatzrechner parallel eine Festplatte läuft, die wenigstens in stündlichem Takt eine Festplattenkopie fertigt.
Auswirkungen von außen/Stromausfälle
Plötzliche Stromausfälle können dazu führen, dass bei einer fehlenden Notstromversorgung Speicherprozesse brutal unterbrochen und somit Festplatten beschädigt werden. Daten gehen dann während dessen verloren. Eine USV ist daher sinnvoll und in den meisten Fällen auch erforderlich. Auch eine im Serverraum befindliche Sprinkleranlage, die versehentlich oder aufgrund eines Brandes angeht, kann Hardware vollständig zerstören. Daher sollten keinerlei Versorgungsleitungen in der Nähe eines aufgestellten Servers entlang laufen.
Es gibt natürlich auch weitere Gründe für den Verlust von Daten:
Diebstahl, Verlust, gezielte Spionage. Zugegebenermaßen sind die oben aufgezeigten Gründe in der Praxis weitaus bedeutungsvoller.
Dennoch gilt es: schützen Sie Ihre Daten im Unternehmen Gegen Verlust.
Der Datenschutz ordnungsgemäß betreibt, erkennt ihr gefahren und kam Vorsorge treffen. Noch ein Tipp: verschlüsseln Sie Ihre Daten auf den Surfern und Endgeräten!
_____
15.02.23
Der Datenschutz und Microsoft Office 365 – ein Dauerthema
Es begann mit einem echten Knüller: November 2022 kommt der Bundesdatenschutzbeauftragte sowie die Datenschutzkonferenz von Bund und Ländern zu dem Ergebnis, dass die Nutzung von Microsoft Office 365 in Unternehmen, Behörden und Schulen als rechtswidrig im Sinne des Datenschutzes eingestuft sei.
Der überwiegende Kritikpunkt ist ungenügende Transparenz
Der Bundesdatenschutzbeauftragte Ulrich Kelber ist der Ansicht, dass die Reaktionen von Microsoft auf die Fragen der obersten Datenschützer Deutschlands nicht ansatzweise ausreichen. Seiner Ansicht nach gibt es erhebliche Defizite im Bereich der Transparenz bei der Verarbeitung personenbezogener Daten. Vor allem die Biometriedaten, Diagnose- und Telemediendaten sind davon betroffen. Ein Rechtmäßigkeitsnachweis seitens Microsoft wurde nach Ansicht der Behörden bislang nicht erbracht. Dabei haben die Datenschützer ganz konkrete Vorschläge gemacht, wie ein unkontrollierter Datenabfluss in die USA unterbunden werden könnte. Kelbers Vorschlag – er ist immerhin selbst promovierter Diplom-Informatiker – einer Microvirtualisierung oder Einschaltung eines Proxy-Servers, der den Datenfluss nach Amerika verhindern würde, blieb unerhört.
Jetzt geht die Verantwortung an die Nutzer in Unternehmen
Dr. Stefan Brink, der ehemalige Chef der Datenschutzbehörde in Baden-Württemberg und ehemalige Richter hatte maßgeblich an dem Beschluss der Datenschutzkonferenz mitgewirkt und erklärt, dass er jetzt die Unternehmen in der Pflicht sehe. Aus diesem Grunde müssten jetzt die Unternehmen selbst Sorge dafür tragen, dass bei der Nutzung ihrer eigenen Software Datenschutzkonformität in ihren Prozessen gewährleistet ist. Dies muss auch nach Art. 5 Abs. 2 Datenschutzgrundverordnung nachgewiesen werden. Dieser Nachweis kann nicht alleine durch Bezugnahme auf Unterlagen des Hauses Microsoft geführt werden, sondern die betroffenen Unternehmen müssten sich selbst von der Rechtmäßigkeit der Verarbeitung überzeugen und gegebenenfalls auch weitergehende Ermittlungen dazu anstellen. So müssten sich die Firmen laut Brink selbst kundig machen, ob und wie Microsoft ganz konkret als Dienstleister die Datenverarbeitung für die eigenen Zwecke durchführt. Er räumt allerdings auch ein, dass dies ausgesprochen schwierig sein dürfte.
Zertifikate würden helfen
Die Datenschutz Grundverordnung sieht ausdrücklich vor, dass Anbieter mit entsprechenden Zertifizierungen die Datenschutzkonformität nachweisen könnten. Dies ist allerdings aus unterschiedlichen organisatorischen Gründen derzeit noch nicht möglich.
Und die Moral von der Geschichte?
Wer derzeit Microsoft 365 verwendet, können nach Ansicht der Datenschützer Unterlassungen, Auflagen, Bußgelder und auch Schadensersatzansprüche Dritter die Folge sein. Man sollte daher gut überlegen, ob man nicht auf andere Alternativen wie beispielsweise Libre Office zugreifen sollte.
______
06.02.23
Das klingt zunächst mal gut: Apple will künftig Backups in ihrer iCloud mit einer Ende zu Ende Verschlüsselung versehen
Die Datenschützer waren seit jeher ausgesprochen skeptisch gegenüber den Global-Playern der digitalen Anbieter aus den USA. Jetzt hat Apple mitgeteilt, dass bestimmte Daten in ihrer Cloud (iCloud) in Zukunft vor unbefugten Zugriff absolut sicher verschlüsselt und geschützt werden sollen.
Die Datenschützer sind über diese Nachricht natürlich ausgesprochen erfreut, was nicht für FBI und Co. zutrifft. Diese Ankündigung wird dort mit einigen Sorgenfalten betrachtet und es wurde bereits schon mitgeteilt, dass man unter solchen Umständen keine Prävention oder Aufklärung von Verbrechen mehr wie bisher ohne weiteres gewährleisten könne. Bislang war es nämlich so, dass die amerikanischen Bundesbehörden ohne große Probleme an Daten aller Art kamen.
Eine vollständige und lückenlose Verschlüsselung
Im Hause Apple wird fieberhaft entwickelt und eine Ende zu Ende Verschlüsselung für die iCloud vorbereitet, bei der selbst Apple keinen Schlüssel mehr hätte, um auf Daten zuzugreifen. Damit wäre dann auch den US Bundesbehörden jeder Zugang verwehrt. Auf diese Weise will Apple Vorbildfunktion für den Schutz der Privatsphäre übernehmen. Eine Vollverschlüsselung war auch schon in der Vergangenheit von Apple geplant und angekündigt. Allerdings war Apple eingeknickt, nachdem die Einwände des FBI erhoben wurden. Zum jetzigen Zeitpunkt scheint es aber so auszusehen, dass die ursprünglichen Pläne tatsächlich umgesetzt werden sollen. Der Hardware- und Software-Gigant Apple will also künftig Backup-Daten so verschlüsseln, dass selbst bei einer richterlichen Anordnung keine Möglichkeit mehr besteht, auf die Daten zu zugreifen. Apple würde also bildlich gesprochen selbst den Schlüssel wegwerfen, um so nicht gezwungen werden zu können Daten der Kunden preiszugeben.
Sollte dies tatsächlich Realität werden, ist das aus Sicht der Datenschützer ein ausgesprochen wünschenswerter Zustand.
Die Mitbewerber Google und Android haben schon länger eine Ende zu Ende Verschlüsselung der Smartphone Backups, Apple will aber einen Schritt weitergehen und auch Bilder, Voice-Notizen und getippte Reminder uneinsehbar schützen. Dieser Schutz wird vom User dann selbst zu aktivieren sein.
Man kann durchaus erkennen, dass Apple den Datenschutz an das Niveau der Datenschutzgrundverordnung anpassen will. Auch die meisten UND SONST?-Bundesstaaten haben sich auf den Weg gemacht, sich dieser Thematik des Datenschutzes zu widmen.
Wir behalten die Entwicklungen im Auge.
_____
28.01.23
Bilder von Mitarbeitern auf einer Facebook-Unternehmerseite
Kurz und knackig: wenn Sie auf Ihrer Facebook – Unternehmerseite Ihr Unternehmen auch mit Bildern Ihrer Mitarbeiter interessant gestalten wollen, spricht dann nichts dagegen, wenn Sie von jedem der abgebildeten Mitarbeiter eine Einwilligung haben. Sie sollte allerdings wirklich nachweisbar vorliegen, weil andernfalls eine Veröffentlichung ohne Einwilligung zu einem Schadensersatzanspruch führt. Das hat das Arbeitsgericht Lübeck in seinem Beschluss vom 20.6.2019 festgestellt.
Bilder von ehemaligen Mitarbeitern auf einer Webseite
Hat jemand das Team verlassen, hat er grundsätzlich das Recht nicht mehr mit dem bisherigen Arbeitgeber in Verbindung gebracht zu werden. Ein Verstoß dagegen soll nach Ansicht des Landgerichts Frankfurt am Main eine Beeinträchtigung des allgemeinen Persönlichkeitsrechts darstellen. Auch dann, wenn ursprünglich eine Verbreitung über die Webseite rechtmäßig war (weil eine Einwilligung der betroffenen Person vorhanden war), kann diese Rechtmäßigkeit nach Beendigung des Beschäftigungsverhältnisses entfallen, was im Übrigen nach Ansicht des Gerichts auch für Vereine gilt, die nicht gewerblich tätig sind!
Laut Gericht besteht regelmäßig kein schutzwürdiges Interesse für ein Unternehmen über das Beschäftigungsverhältnis hinaus, Bilder oder Daten ehemaliger Mitarbeiter auf den eigenen Webseiten weiter zur Verfügung zu stellen LG Frankfurt am Main, Beschluss vom 1.6.2018.
_____
09.01.2023
Überprüfung von Usercentrics: 90 % der Apps entsprechen nicht der DSGVO
Nicht nur die bekannten Apps wie WhatsApp, Twitter oder Instagram sind seit geraumer Zeit im Fokus der Datenschützer, sondern auch andere Apps. Ein Münchner StartUp Unternehmen will in einer Studie ermittelt haben, dass 90 % der untersuchten Apps unterschiedlichster Kategorien nicht datenschutzkonform sind und personenbezogene Daten ohne Einwilligung der User sammelt und verwendet.
Die Glücksspiel – Apps sind nach dieser Studie zu 100 % mangelhaft in Bezug auf die Umsetzung der Datenschutz Grundverordnung.
2021 begann das Startup-Unternehmen Usercentrics damit, 250 Apps näher zu prüfen. 50 Apps gehörten den Sparten „Lifestyle, Lebensmittel, Gesundheit, Fitness, Finanzen und Glücksspiel“ an. 84 % der Lebensmittel – Apps scheinen den Datenschutz vollständig außer Acht zu lassen. Bei den Glücksspiel – Apps waren alle untersuchten Apps laut deren Aussage bezüglich Datenschutz mangelhaft. Alle Nutzer wurden ohne deren ausdrückliche Einwilligung getrackt. Ausgerechnet diejenigen Apps, die besonders Zeit intensiv eingesetzt werden, scheinen ohne Rücksicht auf Verluste das gesamte Nutzerverhalten zu sammeln und ohne die erforderliche Erlaubnis der User weiterzugeben.
Es wird „getrackt“ was das Zeug hält
Diesen Unternehmen droht im Ernstfall ein hohes Bußgeld und das Startup Unternehmen will vor allem die Entwickler bezüglich des Datenschutzes sensibilisieren. Offensichtlich kann man die Datenschutz – Sünder unter den Apps mit dem Tool Apptopia aufspüren. Es wurden nur solche Apps untersucht, die mindestens 50.000-tägliche Nutzer haben und in der EU beheimatet sind.
Es bleibt nur abschließend zu mahnen, mit den eigenen Daten sorgsam umzugehen und nicht alles, was uns als toller Service verkauft wird, ohne nähere Prüfung zu verwenden. Wenn man das Wort „Daten“ mit dem Wort „Bargeld“ auch gedanklich austauscht, könnte man die Vorsichtsmaßnahmen auch auf die Daten übertragen. Niemand wird sein Bargeld einfach offen rumliegen lassen oder irgend jemand Fremden den Griff an das eigene Portmonee gestatten. Warum gestatten wir das bei unseren Daten?
In diesem Sinne: bleiben Sie aufmerksam.
