Infothek - Seite 2 - DS-Quadrat

Die DSGVO setzt voraus, dass personenbezogene Daten mittels sicherer und damit geeigneter Verfahren, wie z.B. die Post oder Ende-zu-Ende verschlüsselter E-Mails, versandt werden. Aber wie sieht es mit der Sicherheit von Faxgeräten aus?

Die Übertragung erfolgt mittlerweile zum größten Teil über internetbasierte Datenverbindungen. Die Anbieter von Faxgeräten unterliegen dem Telekommunikationsgesetz und daher der Registrierung bei der Bundesnetzagentur und deren Aufsicht und Sicherheitsanforderungen.

Hessischer Beauftragte für Datenschutz und Informationsfreiheit sieht Faxversand als unsicheres Kommunikationsmittel

Kürzlich hat sich die hessische Aufsichtsbehörde in einer Stellungnahme gegen die Übermittlung personenbezogener Daten per Fax ausgesprochen. Damit schließt sich der Hessische Beauftragte für Datenschutz und Informationsfreiheit Alexander Roßnagel der Meinung der Aufsichtsbehörde in Bremen an. Aufgrund der Digitalisierung der Faxübertragung und der Endgeräte könne nicht gewährleistet sein, dass die Daten nicht von Unbefugten abgefangen werden. Die Übertragung sei hinsichtlich der Sicherheit gleichzustellen wie eine unverschlüsselte E-Mail. Daher sei sie „mit dem Risiko des Verlustes der Vertraulichkeit der übermittelten Daten behaftet“.

Es wird seitens der Aufsichtsbehörde daher empfohlen, Faxgeräte zur Übermittlung von personenbezogenen Daten nur in Ausnahmefällen (und auch dann nur unter Einsatz zusätzlicher Schutzmaßnahmen sowohl beim Versender als auch Empfänger) zu nutzen. Besonders sensible Daten sollten gar nicht per Fax übermittelt werden.

Die Stellungnahme der hessischen Aufsichtsbehörde mit alternativen Vorschlägen zur Übermittlung personenbezogener Daten finden Sie hier.

Welche Sicherheitsanforderungen sind gefordert?

Die Bundesnetzagentur hat in Zusammenarbeit mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) einen Sicherheitskatalog veröffentlicht. In Anlage 1 des Sicherheitskatalogs werden die Anforderungen an TK-Diensteanbieter mit IP-Infrastruktur thematisiert. Mehr Informationen und entsprechende Erklärungen zu den Sicherheitsanforderungen finden Sie hier.

Sollen personenbezogene Daten in Länder außerhalb der EU oder des EWR übermittelt werden (beispielsweise aufgrund des Einsatzes von Auftragsverarbeitern oder Unterauftragsverarbeitern), sind bekanntlich strengere Datenschutzregelungen zu beachten. Durch den Brexit galt Großbritannien kurzfristig als unsicheres Drittland. Im Juni 2021 wurde dann jedoch der Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission für das Vereinigte Königreich verkündet. Das bedeutet, Großbritannien gilt (zumindest zunächst für die nächsten vier Jahre) als sicheres Drittland. Über den Angemessenheitsbeschluss berichteten wir in unserem Blogbeitrag „Angemessenheitsbeschluss Großbritannien“.

Das wiederum könnte sich nun wieder ändern. Denn Großbritannien plant ein eigenständiges Datenschutzrecht. Und dieses entspricht in einigen der bisher bekannten Teilen nicht den Anforderungen der DSGVO. Ein Sprecher der EU-Kommission deutete bereits an, dass der erteilte Angemessenheitsbeschluss theoretisch auch jeder Zeit wieder zurückgezogen werden könne. Er betonte zudem, dass die Kommission bei einer Dringlichkeit hiervor nicht zurückschrecken werde. Diese Dringlichkeit könnte in diesem konkreten Fall eintreten.

Für europäische Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, würde der Entzug des Angemessenheitsbeschlusses bedeuten, dass das Land wieder als unsicheres Drittland einzustufen wäre. Die Situation wäre die gleiche, wie die kurz nach dem Brexit. Es würden die gleichen Hürden auferlegt werden wie beispielsweise bei einem Datentransfer in die USA. Es empfiehlt sich daher, die Entwicklungen in Großbritannien weiter zu beobachten.

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner.

Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen.

Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen. Zudem ist es meistens nicht möglich die Einwilligung so einfach zu widerrufen, wie die Erteilung einer solchen erfolgt. Dies wird seitens der Datenschutzgrundverordnung (DSGVO) allerdings gefordert.

Nicht nur der ein oder andere Webseitenbesucher ärgert sich über den fehlerhaften Einsatz dieser Banner, sondern auch Datenschutzaufsichtsbehörden und Max Schrems von dem österreichischen Verein Non of your business (NOYB). Im Frühjahr 2021 begann NOYB damit, automatische Scans von Webseiten auf Fehlerhaftigkeit von Cookie-Bannern durchzuführen. Angedacht ist ein Scan von 10.000 Seiten. Am 31. Mai 2021 hat der Verein NOYB erstmals 500 Unternehmen aufgefordert ihre Cookie-Banner an die geltenden rechtlichen Anforderungen anzupassen. Einige Unternehmen reagierten zügig und passten ihre Cookie-Banner an. Andere Unternehmen reagierten nicht. Daher hat NOYB gegen 422 Unternehmen Beschwerden bei 10 verschiedenen Aufsichtsbehörden eingereicht und hofft auf wegweisende Entscheidungen. Einige europäische Aufsichtsbehörden (u.a. die französische CNIL und die italienische Garante) beschäftigen sich auch mit dem Thema des datenschutzgerechten Cookie-Banners. Im Fokus befindet sich dabei die Problematik, dass eine Einwilligung jederzeit leicht widerrufbar sein muss. In Deutschland hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit fehlerhaften Cookie-Bannern den Kampf angesagt. Es wurden 50 Unternehmen postalisch aufgefordert ihre Cookie-Banner in Einklang mit den geltenden Datenschutzrecht zu bringen.

Sollten Sie Interesse an der Einführung bzw. Nutzung eines plausiblen Cookie-Banners haben, empfehlen wir Ihnen unseren Blogbeitrag „Eine Webseite ohne Cookie-Banner?“ für weiterführende Informationen zu lesen. Auch die Landesbeauftragte für den Datenschutz Niedersachsen hat auf ihrer Webseite Hinweise zur Erstellung eines Cookie-Banners erstellt. Für Fragen oder Anregungen freuen wir uns auf Ihren Anruf.

Die Irische Aufsichtsbehörde (Data Protection Commission (DPC)) erinnert in einer Orientierungshilfe („General Portable StorageDevice Recommendations“) daran, dass der Datenschutz bei portablen Speichermedien, wie z.B. USB-Stick, Laptop, Smartphone u.ä. nicht endet. Vielmehr müssen die Daten auf diesen Geräten sicher verwahrt und vor Missbrauch geschützt werden. Die irische Aufsichtsbehörde listet zusammengefasst folgende Hinweise auf:

Keine Nutzung privater Speichermedien am Arbeitsplatz und umgekehrt keine Verwendung dienstlicher Speichermedien in privaten Geräten.
Nutzung verschlüsselter Speichermedien (z.B. Passwort) und Ausgabe der Geräte durch eine zentrale Stelle im Unternehmen.
Die Unternehmen sollten eine Bestandsliste der Speichermedien führen und vermerken an welche Person das Medium ausgegeben worden ist. Es sollte eine Rückgabe der tragbaren Speichermedien beim Ausscheiden des Mitarbeiters aus dem Unternehmen erfolgen.
Um Datenschutzverletzungen vorzugreifen, sollten die Berechtigungen derart vergeben werden, dass Mitarbeiter selbständig keine Daten auf portable Speichermedien ziehen können. Dies sollte autorisierten Personen vorbehalten sein.
Die tragbaren Speichermedien sollten passwortgeschützt sein. Ein Passwort sollte dabei aus mindestens zwölf Zeichen bestehen. Dabei sind Groß- und Kleinschreibung, Sonderzeichen, Zahlen und Satzzeichen zu nutzen.
Bei Nutzung eines USB-Sticks sollte sichergestellt sein, dass jeder USB-Stick vor der Nutzung durch einen Automatismus überprüft wird, so dass keine Malware auf den Rechner kommt.
Es sollte für alle Daten, die auf einem tragbaren Speichermedium abgelegt werden, ein Backup geben.
Die Daten sollten keinen langen Zeitraum gespeichert werden. Nach Zweckerfüllung sollten die Daten umgehend gelöscht werden. Nach Möglichkeit sollten die Daten mit einem „Ablaufdatum“ versehen werden, so dass sie nach einer gewissen Zeit nicht mehr genutzt werden können.
Die Speichermedien sollten über ein Fernverwaltungsprogramm eine Ferndeaktivierungs- oder Fernlöschfunktion unterstützen.
Bei Verlust eines tragbaren Speichermediums sollte es möglich sein, nachzuvollziehen, welche Daten sich auf dem Speichermedium befanden und es sollte überprüft werden können, ob Daten verschwunden sind.
Nicht eingesetzte tragbare Speichermedien sollten nicht unbeaufsichtigt gelassen, sondern verschlossen aufbewahrt werden. Auch während der Nutzung gilt, diese sollten nicht unbeaufsichtigt sein und immer unter Kontrolle der autorisierten Person sein.
Die USB-Speichermedien sollten regemäßig auf ihre Inhalte geprüft werden. Es dürfen nur die vereinbarten Daten gespeichert werden.
Es sollten nur Geräte von seriösen und anerkannten Herstellern und Wiederverkäufern verwendet werden.

Die Nutzer der tragbaren Speichermedien sollten entsprechend sensibilisiert werden.

Das Thema „Impfen“ hat durch den Pandemieverlauf eine ganz neue Popularität und Stellenwert erlangt. Die gesamte Welt impft gegen eine Krankheit und das im identischen Zeitraum. Hierzulande spielt bei den Maßnahmen rund um Corona auch der Datenschutz eine gewisse Rolle. Unter anderem stellt sich die Frage, darf der Arbeitgeber den Impfstatus seiner Mitarbeiter abfragen? Darf dieser dokumentiert werden?

Bei der Beantwortung dieser Fragen muss berücksichtigt werden, dass der Impfstatus ein sog. Gesundheitsdatum darstellt. Dieses darf nur verarbeitet werden, wenn eine Rechtsgrundlage aus dem Art. 9 Abs. 2 DSGVO greift. Ferner sind die Besonderheiten im Beschäftigtenkontext zu berücksichtigen. Daher lässt sich vorliegend die Verarbeitung des Impfstatus nicht ohne Weiteres auf die Einwilligung stützen. Die Freiwilligkeit ist aufgrund des Über-/Unterordnungsverhältnisses im Arbeitsverhältnis nicht gegeben. Sollte in den Landesverordnungen zum Schutz vor Corona keine Regelungen getroffen worden sein, darf der Arbeitgeber den Impfstatus nicht abfragen. In den Verordnungen von Nordrhein-Westfalen und Sachsen werden die Arbeitnehmer verpflichtet bei einer mindestens fünftägigen Abwesenheit einen negativen Corona Nachweis vorzulegen, den Impfstatus bekannt zu geben oder vor Ort einen Test unter Beobachtung durchzuführen. Die Arbeitgeber dürfen die personenbezogenen Daten nicht dokumentieren. Sie müssen nachhalten, dass es einen Kontrollprozess gibt und diesen darlegen können. Auch die weiteren Rechtsgrundlagen des Art. 9 Abs. 2 DSGVO greifen nicht.

Erlaubt ist eine Abfrage des Impfstatus nur für einige wenige Arbeitgeber gem. § 23 a Infektionsschutzgesetz. Diese sind abschließend in § 23 Abs. 3 Infektionsschutzgesetz aufgeführt. Es handelt sich u.a. um Krankenhäuser und Arztpraxen.

Ein aktuelles Thema, bei dem es sich sicherlich lohnt, die weitere Entwicklung abzuwarten. Wir halten Sie diesbezüglich auf dem Laufenden.

Verantwortliche (z.B. Unternehmen) im Sinne der Datenschutzgrundverordnung (DSGVO) sind verpflichtet betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten (z.B. bei dem Besuch einer Webseite) zu informieren.

Viele Unternehmen lassen sich die Kenntnisnahme der Datenschutzhinweise aktiv bestätigen. Diese Vorgehensweise ist nicht erforderlich. Vielmehr handelt es sich um eine Bringschuld seitens des Verantwortlichen. Es muss der betroffenen Person ermöglicht werden, Kenntnis über die Verarbeitung ihrer Daten zu erlangen, z.B. sollten die Datenschutzhinweise eines Webseitenbetreibers als solche deutlich gekennzeichnet sein und von jeder Unterseite leicht auffindbar und zugänglich sein. Für die Transparenz der Hinweise ist es wichtig, dass diese bereits eine eindeutige Bezeichnung erhalten, z.B. „Datenschutzinformation“ oder „Datenschutzhinweise“. Keine treffende Bezeichnung stellt z.B. die Begrifflichkeit „Datenschutzrichtlinie“ dar. Ein Verweis in die allgemeinen Geschäftsbedingungen (AGB) ist nicht ausreichend. Die AGB ersetzen keine Datenschutzinformationen. Auch sollten die Datenschutzinformationen nicht mit den AGB und/oder Nutzungsbedingungen gemischt werden. Es handelt sich um unterschiedliche Rechtsgebiete. So unterliegen die AGB möglicherweise einer sog. AGB-Kontrolle.

Benötigen Sie Unterstützung beim Thema Datenschutzhinweise richtig zu erteilen? Dann melden Sie sich gern bei unserem ds²-Team. Wir freuen uns auf Ihren Anruf!

Der Datentransfer zwischen der EU und Großbritannien ist trotz Brexit gesichert. Seit dem 01.07.2021 besteht ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

Laut DSGVO ist der Datenschutzbeauftragte (DSB) ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Ihm sind bei der Erfüllung seiner Aufgaben aus Art. 39 DSGVO keine Anweisungen bezüglich der Ausübung dieser Aufgaben zu machen und er hat die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zu erhalten.

Ein Unternehmen aus Luxemburg hat nun ein Bußgeld in Höhe von 15.000 € erhalten, weil der DSB nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden wurde. Es gab keine Prozesse oder formalisierte Kontrollpläne des DSB, sondern dieser wurde lediglich auf einer ad-hoc-Basis in entsprechende Kontrollen eingebunden.

Die monatlichen Berichte an die höchste Managementebene mussten vom DSB zudem zuvor mit dem Verwaltungs- und Finanzdirektor abgestimmt werden. Nach Auffassung der Datenschutzbehörde genügte dies nicht den datenschutzrechtlichen Vorgaben an die Autonomie des Datenschutzbeauftragten. Der DSB muss dazu in der Lage sein, den Inhalt seiner Berichte unabhängig festzulegen. Des Weiteren hatte der (interne) Datenschutzbeauftragte keine ausreichende Schulung/Fortbildung erhalten, um den Verantwortlichen ordnungsgemäß und unabhängig beraten und informieren zu können.

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Sie sind so aufgebaut, wie viele Benachrichtigungen von Paketzustellern. „Ihr Paket kommt an, verfolgen Sie es hier: https://kav...".

Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Diese Schadsoftware leitet dann Daten vom Smartphone weiter und leitet vom Smartphone auch eigenständig SMS mit Schadsoftware weiter. Die SMS können zusätzliche Kosten verursachen. Dabei kann ein Schaden in dreistelliger Höhe entstehen.

Solche Phishing-Angriffe sind nicht neu. Das Wort Phishing setzt sich zusammen aus dem Englischen „password“ und „fishing“. Durch das Phishing sollen Personen dazu verleitet werden, unter Vortäuschung falscher Tatsachen (sensible) Daten preiszugeben.

Wie erkenne ich Phishing?

Werden Sie misstrauisch, wenn eine der folgenden Merkmale zutrifft:

Unpersönliche oder keine Anrede (z.B. „Sehr geehrter Kunde, …“)
Vorgetäuschter dringender Handlungsbedarf
Androhung von Folgen (z.B. „Wenn Sie ihre Daten nicht unverzüglich verifizieren, sperren wir Ihr Konto“)
Abfrage vertraulicher Daten
Nachrichtentext in schlechtem Deutsch
Text enthält kyrillische Buchstaben, falsch aufgelöste oder fehlende Umlaute (z.B. „a“ oder „ea“ statt „ä“)

Wie kann ich mich gegen Phishing schützen?

Niemals auf Links in einer dubiosen SMS oder E-Mail klicken (im Zweifel: Loggen Sie sich über Ihren gewohnten Weg auf Ihren Kundenkonto ein und nicht über einen Link aus der E-Mail/SMS oder fragen Sie telefonisch beim vermeintlichen Absender nach)
Niemals persönliche Daten wie Passwörter oder Transaktionsnummern per E-Mail/SMS preisgeben
Niemals einen Download-Link direkt aus der E-Mail/SMS heraus starten
Niemals Anhänge einer E-Mail/SMS, die Ihnen verdächtig vorkommt, öffnen
Immer ausloggen und nicht nur das Browserfenster schließen
Immer auf die Aktualität der Antivirus-Software und Firewall achten

Es gibt zwei verschiedene bekannte Szenarien über die Personen versuchen eine außergerichtliche Zahlung eines immateriellen Schadensersatzes (umgangssprachlich auch „Schmerzensgeld“ genannt) an Betroffene sowie die Erstattung von Rechtsanwaltskosten zu erwirken.

Auf der Webseite eines Unternehmens bittet eine Person über das Kontaktformular das Unternehmen um einen Rückruf. Wenn das Unternehmen die angegebene Nummer zurückrufen will, wird der Anruf nicht angenommen. Nach ein paar Wochen meldet sich die Person wieder und verlangt Auskunft über die von ihm gespeicherten Daten und verlangt Löschung der gespeicherten Daten.

Bei einem anderen Szenario wird erst der Newsletter des Unternehmens abonniert um dann direkt im Anschluss ein Auskunfts- und Löschanspruch geltend zu machen.

Zeitlich nachgelagert meldet sich dann ein Rechtsanwalt um im Auftrag dieser Person einen immateriellen Schadensersatz wegen Verletzung der Betroffenenrechte und die dafür entstandenen Rechtsanwaltskosten geltend zu machen. Bei einem Nicht Tätigwerden droht der Rechtsanwalt die gerichtliche Durchsetzung des Anspruchs an.

Art. 82 DSGVO erlaubt es von der Verarbeitung ihrer personenbezogenen Daten betroffenen Personen, auch immaterielle Schäden wegen der unzulässigen Verarbeitung ihrer Daten einzuklagen. Die Gerichte können dabei bereits die unzulässige Datenverarbeitung an sich als erstattungsfähigen Schaden bewerten.

Es empfiehlt sich auf ein Anwaltsschreibens zu reagieren und das Bestehen des Anspruchs sachlich begründet bestreiten. Zudem sind Prozesse zur Erfüllung von Betroffenenrechten zu erstellen, diese einzuhalten und die Rechenschaftspflichten nach der DSGVO lückenlos zu erfüllen um Beschwerden bei der Aufsichtsbehörde und Zivilprozesse abzuwenden.

Einer der Hauptgründe für Beschwerden bei der Aufsichtsbehörde ist eine nicht, nicht zufriedenstellende oder nicht fristgemäß erfolgte Beantwortung von Betroffenenanfragen durch ein Unternehmen. Die Landesbeauftragte für Datenschutz Niedersachsen berichtet, dass sich die Zahl der Beschwerden seit Geltung der DSGVO stark gesteigert haben, was bereits 2018 zur Folge gehabt hätte, dass "sich die Meldungen gemäß Art. 33 DSGVO auf 370 steigerten (gegenüber 20 im Jahr 2017).“ Dieser Trend hat sich 2019 fortgesetzt und noch weiter verstärkt. Im vergangenen Jahr meldeten Verantwortliche 824 Datenschutzverletzungen.“ Dies geht aus dem Tätigkeitsbericht von 2019 der Landesbeauftragten für den Datenschutz Niedersachsen hervor.

Sollten Sie Unterstützung bei der Erstellung und Implementierung von Prozessen zur Erfüllung der Betroffenenrechte benötigen, melden Sie sich gerne bei unserem ds²-Team.

Einen immateriellen Schadenersatz sprechen die Gerichte meistens nur zu, wenn der Verstoß eine gewisse Erheblichkeitsschwelle überschreitet. Selbst dann ist die Schadenersatzhöhe gering. Eine solche Erheblichkeitsschwelle ist im Wortlaut des Art. 82 DSGVO nicht zu finden. Ob sie dennoch besteht, darüber wird gestritten. Die Frage, ob die DSGVO für Schadensersatzansprüche eine Erheblichkeit voraussetzt würde für gewöhnlich dem EuGH vorgelegt. Ein Amtsgericht in Goslar hat derweil selbst darüber entschieden und kam zu dem Ergebnis, dass die DSGVO eine Erheblichkeit voraussetze. Der Gerichtsentscheidung unterlegene Kläger hat wegen dieser Auslegung des AG Goslar Verfassungsbeschwerde beim Bundesverfassungsgericht eingereicht und hatte damit Erfolg. Das Urteil wurde aufgehoben und vom Bundesverfassungsgericht nun erklärt, dass eine Vorlage beim EuGH zur Klärung der Frage, ob ein Schaden erheblich sein muss, zu erfolgen hat. Die Entscheidung des EuGH steht noch aus.

Aktuelles

Links