LfDI RP: Datenübermittlung in Drittländer – Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, sollte umgehend aktiv werden

/in /von

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 12.05.2021

Im Rahmen einer Informationsoffensive hat der Landesdatenschutzbeauftragte Dutzende Unternehmen, Verbände und staatliche Stellen in Rheinland-Pfalz angeschrieben, um Verstößen bei der Übermittlung von Daten ins außereuropäische Ausland vorzubeugen.

Nach einem Urteil des Europäischen Gerichtshofs (EuGH) vom vergangenen Jahr sind Datenübermittlungen zum Teil auf eine neue Rechtsgrundlage zu stellen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Dieter Kugelmann, weist in dem nun versandten Schreiben darauf hin: „Ich rate dringend dazu, alle in ihrem Unternehmen stattfindenden Datenverarbeitungsvorgänge im Zusammenhang mit Drittländern anhand des von meiner Behörde bereitgestellten Prüfschemas auf ihre Zulässigkeit hin zu überprüfen und eventuellen Handlungsbedarf zu identifizieren, um Datenschutzverstöße schnellst möglich abzustellen oder zu verhindern.“

Professor Dieter Kugelmann sagt: „Das Grundsatzurteil des Europäischen Gerichtshofs, das sogenannte Schrems II-Urteil, betrifft fast jedes Unternehmen, jede Behörde, Kommune, Schule, Organisation oder Arztpraxis. Denn sie verarbeiten automatisiert personenbezogene Daten, übermitteln diese dabei – oft unbewusst – in Länder außerhalb der Europäischen Union beziehungsweise des Europäischen Wirtschaftsraums. Sie bewegen sich damit datenschutzrechtlich auf dünnem Eis. Im Laufe dieses Jahr ist es unsere Aufgabe zu prüfen, ob gegebenenfalls Datenschutzvergehen vorliegen und Sanktionen verhängt werden müssen. Zuvor wollen meine Mitarbeiterinnen und Mitarbeiter nochmals die Unternehmen und Behörden sensibilisieren. Wer bis jetzt noch nicht auf die neue Rechtslage reagiert hat, muss umgehend aktiv werden, sofern dies denn nötig ist.“

Ziel der Informationsoffensive ist, das Bewusstsein der datenverarbeitenden Stellen zu schärfen und damit die Datenschutzrechte der betroffenen Personen, also aller Bürgerinnen und Bürger, mit Blick auf das Schrems II-Urteil zu stärken. In der Entscheidung vom 16. Juli 2020 hatte das Gericht festgestellt, dass Übermittlungen in die USA nicht länger auf Basis des sogenannten Privacy Shields erfolgen können. Der Einsatz der Standarddatenschutzklauseln für Datenübermittlungen in Drittstaaten ist ferner generell nur noch unter Verwendung wirksamer zusätzlicher Maßnahmen ausreichend, wenn die Prüfung des Verantwortlichen ergeben hat, dass im Empfängerstaat kein gleichwertiges Schutzniveau für die personenbezogenen Daten gewährleistet werden kann. Das Urteil des EuGH erfordert in vielen Fällen eine grundlegende Umstellung lange praktizierter Geschäftsmodelle und -abläufe.

Der Gerichtshof hat überdies seine Erwartung klar formuliert, dass die Behörden unzulässige Transfers „aussetzen oder verbieten“. Das Aussetzen einer Übermittlung kann voraussichtlich in vielen Fällen im kooperativen Dialog mit den Unternehmen gelingen. Wo dies nicht möglich ist, wird mit den zur Verfügung stehenden aufsichtsbehördlichen Maßnahmen reagiert.

Nach den nun erfolgten Informationsschreiben wird es stichprobenartige Kontrollen geben. „Kommt der Verantwortliche oder Auftragsverarbeiter zu dem Schluss, dass eine Umstellung seiner Verträge oder Prozesse nicht erforderlich sei, sollte er dies sowie die Gründe für die Entscheidung dokumentieren. Dies kann sanktionsmildernd wirken, sollte meine Behörde zu dem Ergebnis kommen, dass sehr wohl Anpassungen zu treffen waren und sind“, sagt der Leiter der Datenschutzaufsichtsbehörde Professor Dieter Kugelmann.

Weitere Informationen zu Schrems II finden Sie hier.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können hier abgerufen werden.

LfDI BW: Deutsche Firmen in der Datenschutzfalle – Behörden intensivieren Ermittlungen wegen US-Cloud-Nutzung

/in /von

„Firmen laufen Gefahr, durch die Nutzung von US-Cloud-Anbietern gegen EU-Recht zu verstoßen. Jetzt weiten die Aufsichtsbehörden ihre Ermittlungen aus. Hohe Bußgelder drohen.“

Zum Artikel: https://www.handelsblatt.com

BvD: Sicherheitslücken bei Microsoft Exchange-Servern: Weiterhin akute Datenschutzrisiken

/in /von

Durch Ausnutzung kritischer Sicherheitslücken in der Software des Microsoft Exchange-Servers ist es jüngst zu einer massiven, globalen Cyber-Angriffswelle gekommen, die erhebliche Datenschutzrisiken ausgelöst hat.

Der BvD bietet hierzu kurzfristig zwei Webinare an: 

Sicherheitslücken bei Microsoft Exchange – Wie umgehen mit dem Risiko?

Termine: Donnerstag, 25.03.2021 und Montag, 29.03.2021

In den Webinaren erhalten Sie aus Sicht des IT Systembetriebs einen Überblick über die Attacke, ihre Folgen und welche Risiken sie birgt. Wir erklären, wie Sie herausfinden, ob Sie betroffen sind und wie Sie gegen den Angriff vorgehen können. Um solche und andere Cyber-Attacken zu verhindern oder zumindest zu erschweren und aufzuarbeiten, besprechen wir dafür geeignete technische und organisatorische Maßnahmen und ihre Grenzen.

Melden Sie sich jetzt an!

Zu den Sicherheitslücken bei Microsoft Exchange-Servern haben die beiden bayerischen Datenschutzaufsichtsbehörden LDA und LfD eine gemeinsame „Praxishilfe zu Microsoft Exchange Sicherheitslücken“ veröffentlicht sowie einen gemeinsamen Frage-und-Antwort-Bereich (FAQ) online zur Verfügung gestellt.

Lesen Sie hier aktuelle Pressemitteilungen zum Thema:

BayLDA: Akuter Handlungsbedarf wegen Sicherheitslücken bei Microsoft Exchange-Mail-Servern

/in /von

Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 09.03.2021

Nach der aktuellen Presseveröffentlichung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist eines klar: Die neu bekannt gewordenen Schwachstellen in Microsoft Exchange-Mail-Servern betreffen auch eine Vielzahl deutscher Firmen. Eine Ad-hoc-Online-Untersuchung des BayLDA hat alleine im ersten Prüflauf eine dreistellige Zahl von Unternehmen identifiziert, deren Systeme auch mehrere Tage nach den ersten Sicherheitswarnungen weiterhin akut gefährdet sind. BayLDA-Präsident Will: „Wir sehen mit großer Sorge, dass trotz eindringlicher Warnungen durch die Sicherheitsbehörden und sofortiger Hilfestellungen durch Microsoft immer noch verwundbare Mail-Server im Netz zu finden sind. Für die von uns identifizierten Unternehmen besteht jetzt akuter Handlungsbedarf. Die betroffenen Systeme müssen umgehend gepatcht und dann umfassend überprüft werden. Für Unternehmen, die bis jetzt untätig geblieben sind, gehen wir von einer meldepflichtigen Datenschutzverletzung aus.“

Schwachstellen als IT-Bestandteil
Ein professioneller Umgang mit Sicherheitslücken sollte längst zum Alltag jedes IT-Betriebes gehören. Unabhängig von der Art und der Größe des Unternehmens ist es vor allem bei IT-Systemen, die über das Internet erreichbar sind, neben einer richtigen Konfiguration von entscheidender Bedeutung, bekannt gewordene Schwachstellen möglichst zeitnah zu beheben. Automatisierte Scans quer durch das Internet ermöglichen es ansonsten Angreifern aus der Ferne, auf Knopfdruck einen Überblick über verwundbare Server zu erhalten und nach Belieben Cyberattacken darauf zu starten. Das Zeitfenster zum Beheben von Sicherheitslücken ist somit meistens sehr gering.

BSI informiert über neue kritische Schwachstellen in Microsoft Exchange
Mit der Pressemitteilung vom 05.03.2021 informierte das BSI über eine neue, außerordentlich kritische Gefährdungslage, die bei den auch in Deutschland sehr weit verbreiteten Exchange Servern sofortiges Handeln der betroffenen Unternehmen erfordert. Durch die kombinierte Anwendung der neuen Exchange-Schwachstellen ist eine Code-Ausführung aus der Ferne für Angreifer möglich. Das BSI geht davon aus, dass die so verwundbaren Systeme mit hoher Wahrscheinlichkeit bereits attackiert und mit Schadsoftware infiziert sind.

Erfolgreiche Attacken setzen allerdings unter anderem voraus, dass eine nicht-vertrauenswürdige Verbindung zu einem Exchange Server etabliert werden kann, z. B. über Outlook Web Access. Laut Informationen des BSI sind Server, welche nur per VPN erreichbar sind oder eben solche nicht-vertrauenswürdige Verbindungen blockieren, nicht betroffen. Dennoch geht das BSI nach bisherigen Veröffentlichungen von einer fünfstelligen Anzahl an betroffenen Systemen alleine in Deutschland aus.

Microsoft Patches einspielen
Das Einspielen der von Microsoft bereitgestellten Updates sollte von Exchange-Administratoren unverzüglich durchgeführt werden. Microsoft stellt mittlerweile zudem ein eigenes Prüf-Skript für betroffene Betriebe zur Verfügung (siehe unten in „Weiterführende Links“). Mit diesem können die Systemadministratoren der Firmen Anhaltspunkte dafür finden, ob der eigene Exchange Server erfolgreich angegriffen wurde.

Datenschutzrechtliche Bewertung zur Exchange-Sicherheitsproblematik
Viele Unternehmen sind verunsichert, inwieweit der eigene Betrieb gefährdet ist und personenbezogene Daten tatsächlich abgegriffen worden sind. Während zu Beginn laut Microsoft primär Forschungseinrichtungen mit Pandemie-Fokus, Hochschulen, Anwaltsfirmen und Organisationen aus dem Rüstungssektor angegriffen wurden, steht mittlerweile die Annahme im Raum, dass Angriffe branchenunabhängig erfolgen.

Unabhängig von einer genaueren Bewertung eines möglichen datenschutzrechtlichen Schadens einer Cyberattacke sind Verantwortliche mit gefährdeten Systemen zunächst verpflichtet, umgehend die bereitgestellten Patches für ihre Systeme zu installieren und damit ihrer Verpflichtung gemäß Art. 32 DS-GVO nachzukommen, die Sicherheit ihrer Verarbeitungstätigkeiten zu gewährleisten. Verantwortliche, die dieser Aufgabe bislang nicht nachgekommen sind, trifft angesichts des auch durch die zentrale Funktion von Exchange Servern im Kommunikationssystem der Unternehmen außerordentlich erhöhten Sicherheitsrisikos unabhängig von weiteren Befunden die Verpflichtung, die Sicherheitslücke als Schutzverletzung binnen 72 Stunden zu melden. Dies stellt sicher, dass die weiteren Schritte zur Wiederherstellung der Sicherheit des Gesamtsystems unter Aufsicht des BayLDA durchgeführt werden.

Angesichts des hohen Schadenspotentials bei Ausnutzung der Sicherheitslücke und der deutlich erhöhten Wahrscheinlichkeit solcher Angriffe bestehen auch für Verantwortliche, die das erforderliche Update bereits zeitnah durchgeführt haben, noch weitere Untersuchungspflichten: Um auszuschließen, dass ein Einspielen der Microsoft-Updates zu spät gelungen ist und zwischenzeitlich Schadcode installiert wurde, sind sämtliche betroffenen Systeme dahingehend zu überprüfen, ob sie noch den Anforderungen des Art. 32 DS-GVO gebotenen Schutz gewährleisten. Treten dabei Schutzverletzungen, etwa sogenannte Hintertüren im System auf, ist in diesen Fällen ebenfalls eine Meldung an die Datenschutzaufsichtsbehörde durchzuführen, da dann für die betroffenen Personen ein Risiko besteht.

Inwieweit in manchen Fällen sogar ein hohes Risiko für betroffene Personen besteht und eine Benachrichtigung derer nach Art. 34 DS-GVO notwendig ist, ist letztendlich abhängig vom Einzelfall. Hier ist eine Individualprüfung durch den eigenen Datenschutzbeauftragten der Unternehmen erforderlich.

Datenschutzprüfung des BayLDA in Bayern
Seit der Presseinformation des BSI vergangene Woche erhält das BayLDA Beratungsanfragen und Meldungen zu Datenschutzverletzungen von verschiedenen Unternehmen. Daher hat das BayLDA die Prüfkapazitäten des eigenen Cyberlabors eingesetzt, um betroffene bayerische Unternehmen auf die akute Gefährdungslage hinzuweisen. Eines der Ziele der Prüfung ist es, anfällige Exchange Server in Bayern zu identifizieren und deren Betreiber zu kontaktieren.

Das BayLDA hat dafür in einem ersten Prüflauf am 08.03.2021 stichprobenartig 16.502 bayerische Systeme auf ihre mögliche Verwundbarkeit untersucht. Bei den Organisationen, die auf eine Microsoft Exchange-Kommunikationsstruktur setzen, wurde kontrolliert, ob der notwendige Patch-Level zum Schließen der Lücken vorhanden ist. Bereits im ersten Prüflauf wurde eine dreistellige Zahl potentiell verwundbarer Server identifiziert, deren Verantwortliche nun umgehend über die datenschutzrechtlichen Verpflichtungen und Konsequenzen unterrichtet werden.

Aufgrund der Vielzahl an betroffenen Firmen kann im Regelfall keine Individualberatung stattfinden. Deshalb etabliert das BayLDA einen Frage-und-Antwort-Bereich (FAQ) auf seiner Website für Unternehmen, die zu diesem Thema Datenschutzfragen haben. Dieser ist unter folgender Adresse erreichbar: www.lda.bayern.de/exchange

Das BayLDA beabsichtigt nach der ersten Information der Unternehmen weitere Prüfläufe. Bei Verstößen gegen die Vorgaben der Datenschutz-Grundverordnung drohen dann den Verantwortlichen, die nicht angemessen reagieren, aufsichtliche Verfahren bis hin zu Geldbußen.

Weitere Links:

Download Sicherheitslücken bei Microsoft Exchange-Mail-Servern: Akuter Handlungsbedarf für bayerische Unternehmen als PDF

LfDI BW: Verfahren gegen VfB Stuttgart endet mit der Verhängung eines Bußgeldes

/in /von

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink schließt das Verfahren gegen die VfB Stuttgart 1893 AG ab und erlässt ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO.

Die Verantwortlichen des VfB Stuttgart 1893 e.V. und der VfB Stuttgart 1893 AG haben die Aufklärungs- und Ermittlungsmaßnahmen des Landesbeauftragten unterstützt, durch eigene Initiative gefördert sowie mit der Behörde des Landesbeauftragten umfangreich kooperiert.

Neben der Bußgeldzahlung und der kostenträchtigen Umstrukturierung und Verbesserung ihres Datenschutzmanagements ergreift die VfB Stuttgart 1893 AG in Abstimmung mit dem LfDI Maßnahmen zur Sensibilisierung junger Menschen für Datenschutzanliegen.

So fördert der VfB das Projekt „Datenschutz geht zur Schule“ durch Unterstützung bei der Öffentlichkeitsarbeit für regionale Schul-Aktionstage und im Rahmen kind-/jugendgerechter Videos zur Sensibilisierung für datenschutzrelevante Themen. Darüber hinaus konzipiert der VfB Schulungen für die Fußballnachwuchsmannschaften U10 bis U21 zum Thema „Datenschutz bei Jugendlichen“.

LfDI Stefan Brink: „Mit dem Erlass dieses Bußgeldbescheides schließen wir ein Verfahren ab, das auch für uns als Aufsichtsbehörde ungewöhnlich war. Ungewöhnlich war nicht nur der Gegenstand unseres Verfahrens, sondern vor allem das hiermit verbundene öffentliche und mediale Interesse. Ungewöhnlich war auch der Umfang des durch die Einschaltung der Esecon belegten Aufklärungsinteresses und der Kooperationsbereitschaft des VfB mit unserer Behörde.“

Aus diesem Verfahren heraus ergebe sich die gute Chance, so Stefan Brink weiter, dass der VfB Stuttgart künftig beim fairen Umgang mit den Daten der Mitglieder besser aufgestellt ist. „Auch wenn wir mit Blick auf Verjährungsvorschriften nicht alle öffentlich diskutierten Vorgänge vollständig untersuchen konnten, ist doch das jetzt einvernehmlich gefundene Ergebnis überzeugend: Neben dem spürbaren Bußgeld sorgt der VfB für erhebliche organisatorische und technische Verbesserungen in Sachen Datenschutz. Zudem planen die Verantwortlichen erfreulicherweise künftig ein Engagement bei der Aufklärung über Datenschutzanliegen, mit dem vor allem junge Menschen angesprochen werden sollen.“

Mit dem Erlass des Bußgeldbescheids sind die Ermittlungen gegen den VfB Stuttgart 1893 e.V. und die VfB Stuttgart 1893 AG abgeschlossen.

Diese Pressemitteilung als PDF-Dokument aufrufen.

Google wird künftig individuelles Tracking verhindern

/in /von

Google Chrome will das World Wide Web datenschutzfreundlicher machen. Der Internet-Riese läutet das Ende der Cookies von Drittanbietern ein. Mehr Privatsphäre für alle User sei das Ziel.

Gestern veröffentlichte David Temkin, Director of Product Management, Ads Privacy and Trust bei Google, in seinem Google-Blogbeitrag: »Auf dem Weg zu einem datenschutzfreundlicheren Web«, dass Google das Tracking von Nutzerverhalten im Netz zu Werbezwecken nicht mehr unterstützen wolle.

Aus einer Studie des Pew Research Center, die Mitte November 2019 erschienen ist, geht hervor, dass rund 81 Prozent der amerikanischen Bürger und Bürgerinnen der Meinung sind, dass die potenziellen Risiken, denen sie aufgrund der Datensammlung durch Unternehmen ausgesetzt sind, die Vorteile des Internets überwiegen. Diese Studie scheint dem Trust-Manager von Google ordentlich zu denken gegeben haben: Er schreibt: »Wenn sich die digitale Werbung nicht weiterentwickelt, um den wachsenden Bedenken der Menschen hinsichtlich ihrer Privatsphäre und der Nutzung ihrer persönlichen Identität Rechnung zu tragen, riskieren wir die Zukunft des freien und offenen Webs.«

Chrome hat im letzten Jahr angekündigt, die Unterstützung für Cookies von Drittanbietern zu entfernen und Google habe mit der gesamten Branche an der Privacy Sandbox gearbeitet, um Innovationen zu entwickeln, die die Anonymität schützen und gleichzeitig Ergebnisse für Werbetreibende und Publisher liefern sollen. Dennoch habe der Tech-Riese immer wieder Fragen erhalten, ob Google sich anderen Unternehmen der Werbe-Technik-Branche anschließen würde, die Cookies von Drittanbietern durch alternative Identifizierungsmerkmale auf Nutzerebene ersetzen wollen. »Heute stellen wir klar, dass wir nach der Abschaffung der Cookies von Drittanbietern keine alternativen Identifizierungsmerkmale erstellen werden, um Personen beim Surfen im Internet zu verfolgen und dass wir diese auch nicht in unseren Produkten verwenden werden«, sagt Temkin dazu.

Dem Unternehmen sei bewusst, dass andere Anbieter noch immer eine Ebene der Benutzeridentität für die Verfolgung von Werbung im Web anbieten können, die Google aber nicht anbieten werde, etwa PII-Diagramme, die auf den E-Mail-Adressen von Personen basieren. Temkin glaubt nicht, dass diese Lösungen den steigenden Erwartungen der Verbraucher in Bezug auf den Datenschutz gerecht würden, noch werde sie den sich schnell entwickelnden regulatorischen Beschränkungen standhalten und seien daher keine nachhaltige, langfristige Investition. Stattdessen würden die Web-Produkte von datenschutzfreundlichen APIs angetrieben, die individuelles Tracking verhinderten und dennoch Ergebnisse für Werbetreibende und Publisher liefern würden.

»Menschen sollten nicht akzeptieren müssen, im gesamten Web verfolgt zu werden, um die Vorteile relevanter Werbung zu nutzen. Und Werbetreibende müssen nicht einzelne Verbraucher im gesamten Web verfolgen, um die Leistungsvorteile digitaler Werbung zu nutzen.«

Individuelle Identifikatoren könnten laut Temkin leicht durch Fortschritte in den Bereichen Aggregation, Anonymisierung, geräteinterne Verarbeitung und andere datenschutzfreundliche Technologien ersetzt werden: »Tatsächlich zeigen unsere jüngsten Tests von FLoC eine Möglichkeit, Cookies von Drittanbietern effektiv aus der Werbegleichung herauszunehmen und stattdessen Individuen innerhalb großer Menschenmengen mit gemeinsamen Interessen zu verstecken«, erklärt er. Chrome beabsichtige, FLoC-basierte Kohorten mit der nächsten Version noch in diesem Monat für öffentliche Tests durch Origin Trials zur Verfügung zu stellen. Im zweiten Quartal will Google beginnen, diese FLoC-basierte Kohorten mit Werbetreibenden in Google Ads zu testen. Chrome will außerdem im April die erste Iteration der neuen Nutzerkontrollen anbieten und diese Kontrollen in zukünftigen Versionen erweitern, sobald mehr Vorschläge die Origin Trial-Phase erreichen und sie mehr Feedback von Endnutzenden und der Branche erhalten würden.

»Um das Internet offen und zugänglich für alle zu halten, müssen wir alle mehr für den Schutz der Privatsphäre tun und das bedeutet nicht nur ein Ende der Cookies von Drittanbietern, sondern auch jeglicher Technologie, die dazu verwendet wird, einzelne Personen zu verfolgen, während sie im Internet surfen.«

Das wird kein generelles Ende für Werbung bei Google sein. Der Internet-Riese werde weiterhin First-Party-Beziehungen auf seinen Werbeplattformen für Partner unterstützen, bei denen sie direkte Verbindungen zu ihren eigenen Kunden haben.

Gefahr durch Clubhouse auf BYOD-Geräten und Diensthandys

/in /von

Die Hype-App Clubhouse lockt neue Nutzer in Scharen an, auch immer mehr Firmen wollen sie für ihre Zwecke nutzen. Das kann jedoch sehr schnell zu einem Bußgeld wegen Verstößen gegen Datenschutzvorgaben wie die DSGVO führen.

Der Hype um Clubhouse wird immer größer, spätestens mit dem bald erwarteten Erscheinen der Android-Version wird die Audio-Chat-App sich wohl endgültig zu einem Massenphänomen entwickeln. Nicht nur Privatpersonen wollen ratschen, mitdiskutieren und zuhören, auch zahlreiche Unternehmen, Politiker und Marketing-Profis haben die App längst im Blick und versuchen sie für sich zu nutzen. Manch einer geht das vor lauter Eile allerdings viel zu kopflos an. Einerseits inhaltlich, indem er sich von der scheinbar ungezwungenen Plapper-Atmosphäre zu allzu unbedachten Aussagen hinreißen lässt, wie jüngst Thüringens Ministerpräsident Bodo Ramelow. Allzu schnell werden in den Gesprächsrunden private oder unternehmerische Geheimnisse ausgeplaudert sowie übermütige Aussagen in die Welt gesetzt, die im Ernstfall sogar strafrechtliche Konsequenzen haben könnten. Wer sich hier geschäftlichen Kontext bewegt, sollte sich bei aller Lockerheit und trotz der vermeintlichen Unsichtbarkeit auch demensprechend seriös verhalten.

Andererseits bietet Clubhouse gerade für Business-Nutzer auch auf rechtlicher und technischer Seite gefährliche Fallstricke, insbesondere was den Datenschutz angeht. Das beginnt bereits auf Seiten des Anbieters, der bislang weder die Bedingung einer

deutschen Datenschutzerklärung erfüllt, noch ein Impressum angibt. Darüber hinaus haben Sicherheitsforscher schwere Lücken in der App aufgedeckt, über die sich Chats und Teilnehmer manipulieren und abhören aber auch Malware einschleusen lassen. Durch die Kooperation mit dem chinesischen Anbieter Agora, der hauptsächlich für den Chat-Teil der Software verantwortlich ist, landen Nutzerdaten und Gespräche auch auf Servern in China, wie Security-Fachleute bereits nachweisen konnten.

Im Zentrum der rechtlichen Gefahren für Unternehmen steht jedoch die Einladungsfunktion, mit der Clubhouse gezielt eine künstliche Verknappung schafft und so den Hype geschickt anfacht. Um selbst andere Mitglieder mit den begehrten »Invites« versorgen zu können, müssen die Nutzer dem Dienst zuerst Zugriff auf ihr Adressbuch gewähren. Was im privaten Kontext normalerweise kein großes Problem ist, wird im beruflichen Umfeld zur Gefahr.

Denn die Daten der Kontakte aus dem Adressbuch werden von der App auf die Server des Anbieters in den USA heruntergeladen und dort analysiert sowie zudem mit Agora geteilt. Danach folgt ein regelmäßiger Abgleich, über den sich auch die entstandenen Beziehungen innerhalb der App verfolgen lassen.

Auch wenn der Anbieter wenig glaubwürdig beteuert, es würden hierzu einzig die Telefonnummern benötigt, ist das nach Ansicht der meisten Datenschützer schon eine Weitergabe und Verarbeitung personenbezogener Daten im Sinne der DSGVO. Die wiederum setzt voraus, dass zumindest von jedem einzelnen betroffenen geschäftlichen Kontakt, der nicht selbst die Bedingungen der App akzeptiert hat, eine schriftliche Einverständniserklärung für den Vorgang vorliegt. Hinzu kommt, dass bisher nicht klar ist, ob der Anbieter zumindest die Vorgaben des EU-US Privacy Shield erfüllt.

Saubere Trennung privater und beruflicher Nutzungsbereiche erforderlich

Dabei spielt es aus Sicht des Datenschutzes keine Rolle, ob es sich um ein privates Gerät oder ein Firmen-Smartphone handelt. Was zählt, ist einzig die Art der Kontakte und Daten. Um einen entsprechenden Verstoß zu begehen, reicht es also schon, wenn auf dem privaten Smartphone nur ein einziger Arbeitskontakt abgelegt ist, dessen Daten ungefragt an Clubhouse gehen. Umso größer wird die Gefahr dementsprechend, wenn das Ganze auf für beide Zwecke genutzten oder gar Firmengeräten stattfindet und ganze geschäftliche Kontaktlisten betroffen sind.

Die Firmen stehen bei Clubhouse somit erneut vor ähnlichen Problemen wie schon bei Whatsapp. Gerade die Vorbedingung der schriftlichen Einverständniserklärung aller Kontakte lässt sich in der Praxis nicht erfüllen. Theoretisch lässt sich das zwar bei Clubhouse – zumindest derzeit noch – umgehen, indem vor der ersten Nutzung die Invite-Option deaktiviert wird. Da sich das bei der privaten Nutzung von Clubhouse im Unternehmensumfeld aber kaum durchsetzen lässt, ist hier eine strikte Trennung der Konten, Daten und Kontakte geboten. Entweder physisch, indem es eigene Geräte für Business und Privates gibt. Oder technisch, indem es zwei getrennte Konten und Bereiche dafür auf einem Gerät gibt, sei es nun ein geschäftliches oder im Rahmen von BYOD genutztes Smartphone.

Manche Hersteller wie Samsung bieten entsprechende Lösungen an, der Königsweg ist jedoch Mobile Device Management (MDM). Dessen Kern sind eine klare Strategie und eine Lösung mit der ihre Vorgaben auch über die Trennung hinaus umgesetzt werden kann. Dazu empfiehlt Jan Dzulko, der mit Everphone Abo-Komplettpakete für Firmensmartphones (Phone-as-a-Service) anbietet, strikte Trennlinien. »Bei unseren Kunden haben wir vorgesorgt. Standardmäßig können kritische Apps nur im privaten Bereich installiert und genutzt werden. Das rate ich allen Unternehmen, um DSGVO-Probleme und auch saftige Bußgelder zu vermeiden.«

Nutzbarkeit außereuropäischer Videokonferenzsoftware

/in /von

Die nach wie vor hohen Zahlen derer, die an Corona erkranken (und sterben) bedingen, dass auch die meisten Schulen bis auf Weiteres nicht zum Präsenzunterricht zurückkehren. Dies wiederum befeuert ein Thema, welches mit der Pandemie zum datenschutzrechtlichen Dauerthema geworden ist: Welche Videokonferenzsysteme lassen sich datenschutzkonform nutzen? Welche Anforderungen müssen eingehalten werden? Was passiert, wenn die datenschutzrechtlichen Anforderungen nicht so schnell umgesetzt werden können, wie es erforderlich wäre?

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI), Professor Dieter Kugelmann, macht hierzu einen sehr pragmatischen Vorschlag:

„Aus Datenschutz-Sicht hat die vom rheinland-pfälzischen Bildungsministerium empfohlene Lösung Big Blue Button (BBB), die bei der Johannes Gutenberg-Universität Mainz gehostet wird, große Vorzüge. Bei BBB handelt es sich um eine Open Source-Lösung, die es ermöglicht, sie unter vollständiger, eigener Kontrolle und auf eigenen Systemen zu betreiben. Die Übermittlung von Nutzungsdaten an Dritte oder deren Verwendung gar für Werbezwecke kann ausgeschlossen werden.“

Die Software Big Blue Button war vor einiger Zeit auch im Rahmen der rechtlichen Kurzprüfung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI), Maja Smoltczyk, positiv erwähnt worden. Die Liste war als Hilfestellung für Berliner Unternehmen, Behörden, Vereine und Freiberufler gedacht.Professor Kugelmann weiter:

„Aus datenschutzrechtlichen Gründen sollte daraufhin gearbeitet werden, dass mit Beginn des Schuljahrs 2021/2022 alle Schulen auf BBB zurückgreifen können. Angesichts der derzeitigen Ausnahmesituation und bestehender technischer Probleme ist es vertretbar, wenn im laufenden Schuljahr Schulen außereuropäische Videokonferenzsoftware verwenden, um dem Bildungsauftrag nachzukommen. Um den Schulen in der schwierigen Pandemie-Situation Möglichkeiten des Distanzunterrichts zu erhalten, werden, mit Blick auf den bis Schuljahresende zugesagten performanten Ausbau der Big Blue Button-Plattform, daher Bedenken hinsichtlich einer fortdauernden Nutzung durch Schulen von MS Teams und vergleichbaren Lösungen US-amerikanischer Anbieter vorerst zurückgestellt.

„Die Anwendung dieser sehr pragmatischen Sichtweise knüpft der LfDI Rheinland-Pfalz jedoch an einige Bedingungen:

• Bereits eingesetzte Lösungen US-amerikanischer Anbieter müssen auf schuleigenen Systemen betrieben werden, oder es müssen, bei Inanspruchnahme eines Dienstleisters im Rahmen einer Auftragsverarbeitung gemäß Artikel 28 Datenschutz-Grundverordnung, die Konferenzdaten auf Systemen deutscher oder europäischer Anbieter verarbeitet werden. Zudem müssen die Lösungen datensparsam konfiguriert und mit von der Schule vergebenen, pseudonymisierten Zugangsdaten genutzt werden. Es wird eine Verwendung der Nutzungsdaten für Werbezwecke vertraglich ausgeschlossen (§ 103 Übergreifende Schulordnung).

• Die Nutzerinnen und Nutzer müssen gemäß Artikel 13 DS-GVO informiert werden.

• Auf die in § 1 Abs. 6 Schulgesetz vorgesehene Möglichkeit, eine verbindliche Nutzung digitaler Lehr- und Lernmittel vorzusehen, wird verzichtet. Wenn Eltern, Schülerinnen oder Schüler einer Nutzung amerikanischer Softwareprodukte ausdrücklich widersprechen, werden äquivalente Lehrangebote zur Verfügung gestellt.

Bundesnetzagentur verhängt Bußgeld wegen unerlaubter Telefonwerbung

/in /von

Die Bundesnetzagentur hat gegen das Call-Center Cell it! GmbH & Co. KG eine Geldbuße in Höhe von 145.000 Euro verhängt.

Die Cell it! hatte nach Erkenntnissen der Bundesnetzagentur im Auftrag des Mobilfunkanbieters Mobilcom-Debitel an dessen Kunden insbesondere Drittanbieterabonnements für Hörbücher und Zeitschriften, Video-on-Demand-Dienste, Sicherheitssoftware oder Handyversicherungen vertrieben. Dabei kam es immer wieder dazu, dass den Angerufenen im Nachgang des Telefonats Zusatzdienstleistungen untergeschoben und teilweise auch in Rechnung gestellt wurden, die diese überhaupt nicht bestellt hatten.

Daneben hatte Cell it! für den Pay-TV-Anbieter Sky Deutschland Fernsehen telefonische Neukundenakquise übernommen. Das Unternehmen führte all diese Anrufe durch, obwohl keine gültige Werbeeinwilligung der Angerufenen vorlag. Viele Betroffene berichteten zudem gegenüber der Bundesnetzagentur, dass trotz Untersagung weiterer Anrufe gehäuft Kontaktaufnahmen erfolgten, durch die sie sich massiv belästigt fühlten.

Zu den konkreten Formen der Direktwerbung, also dem Kontaktweg zu den betroffenen Personen (Ansprache per Telefonanruf, E-Mail, Fax etc.), regelt das Wettbewerbsrecht, § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), in welchen Fällen von einer unzumutbaren Belästigung der Beworbenen auszugehen und eine Werbung dieser Art unzulässig ist.

Weil Art. 6 Abs. 1 Satz 1 lit. f DS-GVO eine Verarbeitung personenbezogener Daten nur für zulässig erklärt, soweit die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen, sind auch bei der datenschutzrechtlichen Beurteilung einer Verarbeitung personenbezogener Daten für Zwecke der Direktwerbung die Wertungen in den Schutzvorschriften des UWG für die jeweilige Werbeform mitzuberücksichtigen. Wenn für den werbenden Verantwortlichen ein bestimmter Kontaktweg zu einer betroffenen Person danach nicht erlaubt ist, kann die Interessenabwägung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO auch nicht zugunsten der Zulässigkeit einer Verarbeitung dieser Kontaktdaten für Zwecke der Direktwerbung ausfallen.

Datenschutzkonferenz (DSK): Orientierungshilfe der Aufsichtsbehörden zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung unter Geltung der Datenschutz-Grundverordnung

BfDI: Stellungnahme zu überarbeiteten Standarddatenschutzklauseln

/in /von

Pressemitteilung des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit vom 15.01.2021

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Professor Ulrich Kelber, ist sehr zufrieden mit dem Ergebnis des Europäischen Datenschutzausschusses (EDSA) zu Standarddatenschutzklauseln (SDK). Die europäischen Datenschutzaufsichtsbehörden und der Europäische Datenschutzbeauftragte (EDPS) hatten in der Sitzung vom 14. Januar gemeinsame Stellungnahmen zu den Entwürfen der Europäischen Kommission von SDK beschlossen.

Dazu sagte BfDI Ulrich Kelber: „Es gab intensive Verhandlungen zu den Stellungnahmen, die ich mit meinen Kolleginnen und Kollegen verabschiedet habe. EDSA und EDPS kommen zu einem klaren Urteil. Unsere deutsche Position findet sich an vielen Stellen der Papiere wieder. Dieser gemeinsame Vorschlag würde Rechtssicherheit für den Datenaustausch mit Ländern außerhalb des Europäischen Wirtschaftsraumes bringen, ohne Einschränkungen beim Datenschutz zu machen.“

Der BfDI hatte mit seinen Kolleginnen und Kollegen aus den Bundesländern die deutsche Position entwickelt. Der EDSA und der EDPS waren zum Jahreswechsel von der Europäischen Kommission gebeten worden, eine gemeinsame Stellungnahme zu zwei Entwürfen von SDK nach Art. 28 und Art. 46 der Datenschutz-Grundverordnung (DSGVO) zu erarbeiten. Die neuen SDK zu Art. 46 DSGVO sollen die bisherigen bei internationalen Datenübermittlungen ersetzen. Neuerungen gibt es beispielsweise bei Anpassungen an die Anforderungen der DSGVO und die Schrems II Rechtsprechung des Europäischen Gerichtshofes. Die SDK zu Artikel 28 DSGVO sollen für die Vertragsgestaltung zwischen Verantwortlichen und Auftragsverarbeitern erstmals einen europaweit verwendbaren Standard setzen, der den Unternehmen und Behörden die Umsetzung der entsprechenden Vorgaben der DSGVO deutlich erleichtert. Der EDSA wird den gemeinsamen Vorschlag in Kürze auf seiner Homepage veröffentlichen: https://www.edpb.europa.eu/

Die Pressemitteilungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit können hier abgerufen werden.

Download Stellungnahme zu überarbeiteten Standarddatenschutzklauseln als PDF