Frank Spaeing

„Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28/2021)“

Der elfte Blog-Beitrag „Menschen, Daten, Sensationen – Rudis Bericht aus dem Datenzirkus, ergänzt um Franks Zugabe (KW 28/2021)“ ist da!

  1. Aufsichtsbehörden
    1. Guidelines Controller und Processor
    2. BayLDA: Zum Einsatz von Cookies für Webtracking
    3. BayLDA: Auskunftsanspruch
    4. Österreich: Privatnutzung von WhatsApp kein Thema der DS-GVO
    5. Hessen: Gesundheitsdaten nach China?
    6. Hessen: Schulen und Videos
    7. Aufsicht über TikTok
    8. EDSA: keine Mehrheit für Maßnahmen gegen WhatsApp
  2. Rechtsprechung
    1. Verhaltensregeln für Prüf- und Löschfristen
    2. Auskunft: Umfang (BGH), Kontoauszüge (BayLDA) und wann gibt es Schadensersatz (LG Bonn)
    3. digitales Hausrecht – hä?
    4. Weiternutzung einer Webseite keine Einwilligung
  3. Gesetzgebung
    1. Schrems-II-Jahrestag
  4. Veröffentlichungen
    1. Nutzung von Patientendaten
    2. Cybersicherheit – alles, nur nicht übersichtlich
    3. Veranstaltungen
      1. 4.3.1 Kinostart von ALLES IST EINS. AUSSER DER 0.
      2. 4.3.2 BvD – „Datenschutz-Wissen kompakt“ – Drei Jahre DSGVO: Die wichtigsten Trends
      3. 4.3.3 BvD – Wie man als Datenschützer Websites auf Schwachstellen untersucht
  5. Gesellschaftspolitische Diskussionen
    1. Privacy Score für Android-Apps durch mobilsicher.de
  6. Sonstiges / Blick über den Tellerrand
    1. Sicheres Fahren – dank Tesla
    2. Alle Wetter: Daten ohne Personenbezug – und wie kann geholfen werden
  7. Franks Zugabe
    1. LfDI BW gibt Handreichung zur Überwachung von Online-Prüfungen an Hochschulen heraus
    2. Gutachten zum Online-Proctoring
    3. Apropos Mike Kuketz
    4. Lidl: Widerspruch gegen individualisierte Werbung via Facebook erforderlich
    5. Luca-App bewertet
    6. Noch ein Datenschutzgesetz, dieses Mal in Colorado
    7. Windows 11 war gestern, jetzt kommt Windows 365
    8. Lesestoff: People staring at Computers / A privacy war is raging inside the W3C
    9. Cybersecurity – souveräner Umgang mit Sicherheitslücken am Beispiel Visavid?
    10. Cybersecurity – Update zu REvil – Manchmal kommen sie wieder
    11. Cybersecurity – Ransomware
    12. Cybersecurity – China taking control
    13. Cybersecurity – Deutschland wird zur Bundestrojanerrepublik
    14. Cybersecurity – Cloud-Dienste, Versicherungen, Startups – Was soll da schon schief gehen?
    15. Quick Updates



Wir wünschen eine gute Lektüre,

Rudi Kramer und Frank Spaeing

1 Aufsichtsbehörden

1.1 Guidelines Controller und Processor

Nun wurden diese Woche auch die Guidelines 07/2020 des EDSA veröffentlicht. Diese ersetzen jetzt das WorkingPaper 169, das die damalige Art.-29-Gruppe verabschiedet hatte und das vom EDSA zunächst übernommen wurde. In den Guidelines befasst sich der EDSA u.a. nun auch ausführlicher mit der gemeinsam Verantwortlichkeit gemäß Art. 26 DSGVO. Mit zahlreichen Beispielen wird auf verschiedene Konstellationen und Gestaltungen eingegangen. Bei einigen wäre mir eine trennschärfere Abgrenzung lieber gewesen, z.B. die Unterscheidung zwischen einem generellem IT-Support und der Behebung eines Softwarefehlers (RN 83), so dass doch noch einige Unsicherheit bleiben wird – bis es mal irgendwann vor Gerichten geklärt wird. Auch sieht der EDSA kein Problem darin, dass der Auftragsverarbeiter grds. auch eine Vergütung für Audits verlangen kann, die bei ihm Aufwände generieren, solange nicht der Anlass des Audits in einer Verfehlung innerhalb des Verantwortungsbereichs des Auftragsverarbeiters liegt. Daher meine grundsätzliche Empfehlung die Vergütung bereits bei der Beauftragung zu thematisieren, bevor es später Missverständnisse gibt, welche Audits / Zertifizierungen der Dienstleister bereits durchführt, welche Nachweise der Auftraggeber erwartet und wie mit der Unterstützung der Nachweispflicht der DS-GVO umgegangen wird.
Erfreulich schnell hat dann auch der LfDI BW seine FAQs zur Abgrenzung der Verantwortlichkeiten und des Begriffs der Auftragsverarbeitung aktualisiert.

zurück zum Inhaltsverzeichnis

1.2 BayLDA: Zum Einsatz von Cookies für Webtracking

In seinem Tätigkeitsbericht stellt das BayLDA in Ziffer 5.3 die Entwicklung des Einwilligungserfordernisses bei Tracking auf Webseiten durch die Rechtsprechung des EuGH und des BGH dar. Die Diskrepanz hinsichtlich der Folgen, die aus der Orientierungshilfe für Anbieter von Telemedien und den Folgen des BGH-Urteils resultieren, bestünde aber nur bei Diensten, welche bisher auf Grundlage eines berechtigten Interesses Cookies auf den Endgeräten platziert haben, beispielweise zur reinen Reichweitenanalyse. Um in diesen Bereichen Rechtsunsicherheit zu vermeiden, rät das BayLDA Webseitenbetreibern, für alle im Sinne des Art. 5 Abs. 3 ePrivacy- Richtlinie einwilligungspflichtigen Zugriffe auf Endgeräte eine Einwilligung nach den Voraussetzungen von Art. 6 Abs. 1 lit. a i.V.m. Art. 4 Nr. 11 und Art. 7 DS-GVO einzuholen. Das BayLDA führt aber auch aus, dass es aufgrund des durch die „Orientierungshilfe für Anbieter von Telemedien“ geschaffenen Rechtscheintatbestands keinen Anlass sieht aufsichtliche Schritte zu veranlassen, wenn der Einsatz von Cookies und ähnlichen Technologien noch auf Art. 6 Abs. 1 lit. f DS-GVO gestützt würde, soweit ein berechtigtes Interesse nachgewiesen wird und eine ordnungsgemäße Interessenabwägung erfolgt ist.
Dazu erlaube ich mir anzumerken, dass diese Haltung nicht auch andere, z.B. Verbraucherschutzverbände oder betroffene Personen, davon abhalten muss dies anders zu sehen und ggf. gerichtlich überprüfen zu lassen. Zudem wird das BayLDA unter der Anwendung des TTDSG ab dem 01.12.2021 seine rechtliche Bewertung auch zum Rechtscheintatbestand überprüfen.

zurück zum Inhaltsverzeichnis

1.3 BayLDA: Auskunftsanspruch

Das BayLDA stellt in seinem Tätigkeitsbericht (Ziffer 11.2) klar, dass bei einem Auskunftsanspruch, bei dem Beschäftigte von ihren Arbeitgebern pauschal Auskunft über die zu ihrer Person gespeicherten Daten begehren, es genüge, wenn Arbeitgeber zunächst eine konkrete Auskunft zu den Personalstammdaten und im Übrigen zu den Kategorien verarbeiteter personenbezogener Daten erteilten. Für eine weitergehende Auskunft dürfen Arbeitgeber die Betroffenen bitten ihren Anspruch zu präzisieren (zum Auskunftsanspruch siehe auch unter 2.2).

zurück zum Inhaltsverzeichnis

1.4 Österreich: Privatnutzung von WhatsApp kein Thema der DS-GVO

Wann endet das sogenannte „Haushaltsprivileg“ oder die auch als „Haushaltsausnahme“ bezeichnete Regelung, über die die rein private, familiäre Verarbeitung von personenbezogenen Daten nicht den Anforderungen der DS-GVO unterliegt (vgl. Art. 2 Abs. 2 lit. c DS-GVO)? Die Österreichische Datenschutzaufsicht hat in einem Fall entschieden, dass die Privatnutzung von WhatsApp kein Thema der DS-GVO sei.
Ich wäre kein Jurist, wenn jetzt nicht noch ein „aber“ käme: Das heißt aber nicht, dass es dabei nicht auch Regelungen zu beachten gäbe. So gilt hierzulande natürlich die Beachtung der allgemeinen Persönlichkeitsrechte fort, d.h. Beleidigungen, aber auch die Weitergabe von personenbezogenen Daten mit einer „Erlaubnis“ diese für sonstige Zwecke durch den Empfänger oder das genutzte Portal / den genutzten Messenger zu nutzen, befinden sich dann auch bei Privatpersonen nicht in einem rechtsfreien Raum. So sind dann z.B. bei Bildern andere Regularien, wie das KUG (Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie, das sogenannte Kunst-Urhebergesetz), zu beachten.

zurück zum Inhaltsverzeichnis

1.5 Hessen: Gesundheitsdaten nach China?

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat die aktuelle Reuters-Presseberichterstattung über die unzulässige Verwendung von Probenmaterial und Daten aus Pränataltests eines chinesischen Unternehmens zum Anlass genommen die Übermittlung von Blutproben und Daten aus Deutschland nach China vorerst zu verhindern und intensiv zu überprüfen.
Das Schrems-II-Urteil betraf zwar eine Entscheidung über den Datentransfer in die USA, aber es hat Maßstäbe für alle Transfers in Drittstaaten geschaffen. Auch ein Datentransfer in andere Drittstaaten muss den Anforderungen aus Kapitel 5 der DS-GVO genügen. Insbesondere bei Gesundheitsdaten sind neben der Zulässigkeit der Verarbeitung auch besondere Vorgaben an Schutzmaßnahmen zu beachten.

zurück zum Inhaltsverzeichnis

1.6 Hessen: Schulen und Videos

Wir erinnern uns noch an die Floskeln / Sprichwörter, wenn wir was falsch gemacht haben „Unwissenheit schützt vor Strafe nicht“ oder „Wer zu spät kommt, den bestraft das Leben“. Das gilt vielleicht weltweit, aber nicht in Hessen, zumindest wenn es um den Einsatz rechtskonformer Videokonferenztechnik an Schulen geht. Hier darf die Kultus- und Schulverwaltung mit keinerlei datenschutzrechtlichen Konsequenzen rechnen, wenn sie es bislang versäumt hat eine entsprechende Ausschreibung und deren Umsetzung abzuschließen. Der Hessische Beauftragte für Datenschutz und Informationsfreiheit passt den Zeitraum, in welchem Schulen ihre Videokonferenzsysteme umstellen müssen, nun der Verzögerung in der Einführung des Videokonferenzsystems des Landes an.
Da offensichtlich die Ursache auf einem Nachprüfungsantrag im Vergabeverfahren beruht, ist das ggf. verständlich, lässt aber hoffen, dass Datenschutzaufsichtsbehörden auch bei anderen Ursachen und Erklärungen für die Nichteinhaltung gesetzlicher Vorgaben, die auch mal nicht den öffentlichen Bereich betreffen, verständnisvoll reagieren.

zurück zum Inhaltsverzeichnis

1.7 Aufsicht über TikTok

Nachdem die europäische Hauptniederlassung des chinesischen Anbieters von TikTok nun in Irland eingerichtet werden soll, wird für datenschutzrechtliche Themen die irische Aufsichtsbehörde zuständig. Inwieweit hier die irische Aufsicht jedwede Erwartungen erfüllen wird, wird sich zeigen. Bislang sind die Iren gegenüber großen IT-Playern, die in ihrem Zuständigkeitsbereich liegen, nicht als besonders unangenehm aufgefallen – aus deren Sicht. Was man als datenschutzberatende Person gerade auch bei dem Trend Lebensläufe über TikTok in Bewerbungsverfahren einzubinden, bei der Beratung berücksichtigen sollte. Auch wird TikTok im Wahlkampf eine Rolle spielen, sorgt doch auch TikTok dafür, dass mancher besser aussieht – auch wenn das die Person nicht will. Zumindest versucht TikTok nun wohl die Altersvorgaben besser umzusetzen.

zurück zum Inhaltsverzeichnis

1.8 EDSA: keine Mehrheit für Maßnahmen gegen WhatsApp

Was war das für eine feine Idee: die Überprüfung der Rechtmäßigkeit der Weitergabe der Daten von WhatsApp an Facebook untersagen (verbunden mit meiner Hoffnung, dass dies dann gerichtlich geklärt wird).
Die Hamburger Datenschutzaufsicht legte dies dem Europäischen Datenschutzausschuss (EDSA) vor, um über einen Dringlichkeitsbeschluss entsprechende Aktivitäten einleiten zulassen.
Der EDSA stellte zwar erhebliche Widersprüche zwischen den Informationen fest, mit denen einerseits die WhatsApp-Nutzer:innen über weitreichende Verwendungen ihrer Daten durch Facebook informiert werden, und andererseits den Zusagen der Unternehmen gegenüber Datenschutzaufsichtsbehörden, dies gleichwohl (noch) nicht zu tun. Der EDSA meldete zudem erhebliche Zweifel an der Rechtsgrundlage an, auf die sich Facebook bei der Nutzung der WhatsApp-Daten für eigene oder gemeinsame Verarbeitungen stützen möchte. Er greift damit wesentliche Teile der Argumentation des Hamburger Datenschutzbeauftragten auf, entschloss sich aber nur die irische Aufsicht mit einer Prüfung zu beauftragen. Bislang sind Details des Abstimmungsergebnisses noch nicht veröffentlicht. Aber vielleicht kommt das ja noch.

zurück zum Inhaltsverzeichnis

2 Rechtsprechung

2.1 Verhaltensregeln für Prüf- und Löschfristen

Genehmigte Verhaltensregeln galten bei Einführung der DS-GVO als DIE Möglichkeit branchenspezifische Umsetzungen der DS-GVO in Abstimmung mit den Datenschutzaufsichtsbehörden rechtskonform zu gestalten und damit Rechtssicherheit zu geben. Die Interessen der natürlichen Personen, die dabei betroffen sind, werden durch die Aufsichtsbehörden gewahrt. Dass sich die Erwartungen bislang nicht erfüllten, lag bislang größtenteils daran, dass die Aufsichtsbehörden erwarten, dass auch eine Überwachungsstelle eingerichtet werden muss. Nun zeigt sich, dass Gerichte diese Verhaltensregeln einer Überprüfung unterziehen und oftmals in Einzelfällen dann zu anderen Einschätzungen kommen wie die genehmigende Aufsichtsbehörde. So hat das VG Wiesbaden anlässlich eines Löschbegehrens auch die Verhaltensregeln für die Prüf- und Löschfristen von personenbezogenen Daten durch die deutschen Wirtschaftsauskunfteien betrachtet und festgestellt, dass eine Berufung auf den Code of Conduct insoweit nicht weiter helfe, als dieser für den Einzelfall keine Begründung für die noch erfolgende Speicherung enthält.

zurück zum Inhaltsverzeichnis

2.2 Auskunft: Umfang (BGH), Kontoauszüge (BayLDA) und wann gibt es Schadensersatz (LG Bonn)

Das Urteil des BGH vom 15 Juni 2021 über den Auskunftsanspruch gegenüber einer Versicherung definiert etliche Leitplanken, welchen Umfang dieser haben kann. So sei die Korrespondenz umfasst, auch wenn diese dem Versicherungsnehmer bereits vorläge (RN 25 des Urteils), die Korrespondenz mit anderen über den Versicherungsnehmer (RN 26), auch interne Vermerke seien umfasst (RN 24), und auch das „Prämienkonto des Versicherungsnehmers“. Nicht umfasst sind rechtliche Bewertungen, die zwar den Versicherungsnehmer betreffen, die vorgenommene Beurteilung der Rechtslage selbst stelle aber keine Information über den Betroffenen und damit kein personenbezogenes Datum dar. Zudem umfasse der Auskunftsanspruch auch nicht Provisionszahlungen der Versicherung an Dritte (RN 28).
Nicht nur für die Versicherungswirtschaft wird dieses Urteil zum Umfang des Auskunftsanspruchs als Meilenstein bezeichnet. Es geht in seiner Bedeutung weit über die Versicherungsbranche hinaus. Das Landesarbeitsgericht Baden-Württemberg hat es im März 2021 hinsichtlich des Anspruchs auf Kopien noch restriktiver gesehen (RN 70 des Urteils). Nur der EuGH könnte hier noch eine etwas engere Auslegung korrigieren, inwieweit mit „Kopie der personenbezogenen Daten“ in Art. 15 Abs. 3 DS-GVO auch alle Unterlagen gemeint seien. Und der BGH gibt auch zu bedenken, dass die Ausschlussgründe des Art. 15 Abs. 4 DS-GVO (Beeinträchtigung der Rechte und Freiheiten anderer Personen) oder andere Ausschlussgründe – wie nach den Vorschriften in Art. 12 Abs. 5 Satz 2, Art. 15 Abs. 4 DS-GVO oder Art. 23 Abs. 1 DS-GVO i.V.m. § 29 Abs. 1 Satz 2 BDSG – nicht beurteilt werden konnten, da die Vorinstanz hierzu keine Feststellungen getroffen habe (RN 33).

Passenderweise hat das BayLDA in seinem nun veröffentlichten Tätigkeitsbericht für 2020 (unter Ziffer 7.2.) berichtet, dass bei einem Auskunftsanspruch gegenüber einer Bank ein Recht auf Zweitschriften bzw. Kopien von Kontoauszügen nach Datenschutzrecht verneint wird. Wenn sich die Bank aus Gründen der Praktikabilität (z. B. aufgrund genereller Archivierung in Form des Kontoauszugs) dazu entscheidet, zur Erfüllung des Auskunftsanspruchs dennoch Kontoauszugsduplikate bereitzustellen, sei dies natürlich möglich.

Und wo wir schon dabei sind: In einem Beschluss vom 27.11.2020 entschied das LG Bonn (AZ 15 O 372/20 – noch nicht frei zugänglich) über die Voraussetzung, wann ein verspäteter Auskunftsanspruch zu einem Anspruch nach Art. 82 DS-GVO führt. Hier musste eine betroffene Person 9 Monate warten.

Nach Ansicht des LG Bonn ist es im zu entscheidenden Fall nicht entscheidungsrelevant (im Urteil RN 33), ob in der deutlich verzögerten Erteilung der Datenauskunft ein Verstoß im Sinne des Art. 82 Abs. 1 DS-GVO zu sehen ist. Schließlich spräche die Norm nur demjenigen einen Schadensersatzanspruch zu, der wegen eines Verstoßes gegen diese Verordnung einen Schaden erlitten hat. Gemäß Art. 82 Abs. 2 DS-GVO haften die Verantwortlichen – insoweit konkretisierend – für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung entstanden ist. Daher kommt nur ein Verstoß durch die Verarbeitung selbst in Betracht, die verordnungswidrig sein muss, um einen Schadensersatzanspruch auszulösen. Aufgrund von anderen Verstößen, die nicht durch eine der DS-GVO zuwiderlaufende Verarbeitung verursacht worden sei, käme eine Haftung nach Art. 82 Abs. 1 DS-GVO nicht in Betracht. Eine bloße Verletzung der Informationsrechte der betroffenen Person aus Artt. 12-15 führe daher nicht dazu, dass eine Datenverarbeitung, infolge derer das Informationsrecht entstanden ist, selbst verordnungswidrig ist. Dementsprechend löst die nach Art. 12 Abs. 3 Satz 1 DS-GVO verspätete Erfüllung von Auskunftsansprüchen nach Art. 15 DS-GVO grundsätzlich keinen Schadensersatzanspruch gemäß Art. 82 DSGVO aus.

Zudem führt das Urteil in RN 34 aus, dass unabhängig davon der Anspruch auch daran scheitere, dass ein Schaden nicht dargelegt sei. Allein dass die Klägerin auf die Datenauskunft „warten“ musste, könne nach dem Schadensmaßstab der DS-GVO keinen ersatzfähigen Schaden begründen. Es müsse auch bei einem immateriellen Schaden eine Beeinträchtigung eingetreten sein, die unabhängig von einer Erheblichkeitsschwelle wenigstens spürbar sein muss. Andernfalls scheide ein „Schaden“ begrifflich schon aus. Eine solche Spürbarkeit könne dem Vorbringen der Klägerin nicht entnommen werden.
Inwieweit diese Interpretation belastbar ist, wird sich aus der Entscheidung des EuGH entnehmen lassen, der sich damit befassen wird, weil der Oberste Gerichtshof in Österreich dem EuGH als Vorlageverfahren vom 15.4.2021 (Az. 6 Ob 35/21) um eine Entscheidung bittet. Zur Vorlage kommen die Fragen, inwieweit der Zuspruch von Schadensersatz nach Art. 82 DS-GVO neben einer Verletzung von Bestimmungen der DS-GVO auch erfordert, dass der Kläger einen Schaden erlitten hat, oder reicht bereits die Verletzung von Bestimmungen der DS-GVO als solche für die Zuerkennung von Schadensersatz aus? Ferner soll geklärt werden, ob für die Bemessung des Schadensersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts bestehen und ob für den Zuspruch immateriellen Schadens Voraussetzung sei, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorläge, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgehe?

Also rund um Auskünfte und den Umgang mit Schadensersatzforderungen wird es noch länger Unsicherheiten und Argumentationsspielräume geben, bei denen auf die hier dargestellten Urteile und Veröffentlichungen zurückgegriffen werden kann.

zurück zum Inhaltsverzeichnis

2.3 digitales Hausrecht – hä?

Das Hausrecht ist auch ohne juristische Nahkampfausbildung bekannt: Ich darf Personen oder Störungen von meinem Eigentum (auch Besitz) verweisen, wenn von ihnen Aktivitäten ausgehen, zu deren Duldung ich nicht gezwungen bin. Ein Unternehmen kann zudem die Unterlassung von Aktivitäten verlangen, die geeignet sind, den eingerichteten und ausgeübten Gewerbebetrieb zu stören, z.B. durch Spammails oder störende, wiederholende Telefonanrufe, die z.B. eine Hotline lahmlegen. Was macht aber eine öffentlich-rechtliche Einrichtung wie eine Universität, die durch einen ehemaligen Beschäftigten „belästigt“ wird, der immer wieder und dauerhaft die ihm bekannten Rufnummern wählt und dadurch den Betrieb stört? Genau, sie klagt und bekommt dann vom OLG Hamm mitgeteilt, dass sie sich als öffentlich-rechtliche Körperschaft nicht auf das Recht am eingerichteten und ausgeübten Gewerbebetrieb berufen könne, weshalb ihr ein zivilrechtlicher Unterlassungsanspruch nicht zustünde. Die massiven Telefonanrufe des Beklagten auf Festnetz- und Mobilfunkanschlüssen im Rektorat, beim Kanzler und dem Justiziariat würden zwar unmittelbar die Behördenabläufe stören. Dennoch bestehe kein Bedürfnis, den vorerwähnten zivilrechtlichen Unterlassungsanspruch insoweit auf den Betrieb der Universität auszudehnen, da sie als Behörde originäre verwaltungsrechtliche Maßnahmen gegen den Beklagten ergreifen könne. Zum Schutz ihrer Funktion könne sie aus eigener Befugnis und ohne Inanspruchnahme der Gerichte von ihrem digitalen Hausrecht Gebrauch machen, das insbesondere auch einen störungsfreien Telefonverkehr ermöglichen solle. Dieses Hausrecht könne sie durch Verwaltungsakt durchsetzen.
So einen Bescheid würde ich mal gerne lesen – natürlich nur, wenn er nicht an mich adressiert ist!

zurück zum Inhaltsverzeichnis

2.4 Weiternutzung einer Webseite keine Einwilligung

Weil man es immer noch sieht wird es deshalb nicht besser: Das Unterstellen, durch einfaches Weitersurfen hätte ein Webseitenbesucher seine Einwilligung kundgetan, reicht für das Erfüllen des Einwilligungserfordernis aus § 15 Abs. 3 TMG nicht aus. Das musste nun das LG Köln einem Webseitenbetreiber mittels Urteils verdeutlichen.

zurück zum Inhaltsverzeichnis

3 Gesetzgebung

3.1 Schrems-II-Jahrestag

In dieser Woche jährte sich das Urteil des EuGH zum Drittstaatentransfer zum ersten Mal und fast wehmütig blickt man zurück, als noch Standardvertragsklauseln für den zulässigen Transfer in die USA ausreichten. Und dieses ohne umständliche zusätzliche Maßnahmen zu prüfen und einzuführen, von denen einem bislang keiner rechtssicher sagt, dass sie ausreichen.
Auch einer, der am Verfahren maßgeblich beteiligt war, zieht eine ernüchternde Bilanz.
Wen es tröstet, anderen geht es ebenso. So gab es gegenüber der Bunderegierung folgende Anfrage im Bundestag (Frage 25):

„Bei wie vielen bundeseigenen Behörden und Unternehmen hat die Bundesregierung die Einhaltung des EuGH-Urteils C-311/18 in Bezug auf die Datenübermittlung in die USA überprüft, und bei welchen Behörden oder Firmen hat es daraufhin Veränderungen bei der Nutzung von Software oder anderen IT-Anwendungen gegeben?“

Antwort*:

„Die Einhaltung des geltenden Rechts, einschließlich der datenschutzrechtlichen Vorgaben, die sich aus dem „Schrems II“ – Urteil des Europäischen Gerichtshofs C-311/18 für die Datenübermittlung in die USA ergeben, wird von den Bundesministerien und den jeweils nachgeordneten Behörden in eigener Verantwortung gewährleistet. Eine zentrale Überprüfung und Erfassung durch die Bundesregierung findet nicht statt. Für die Überprüfung der Einhaltung der datenschutzrechtlichen Vorgaben bei den Bundesministerien und Bundesbehörden ist der BfDI zuständig. Im Hinblick auf die Einhaltung der sich aus dem genannten EuGH-Urteil ergebenden Vorgaben zur Datenübermittlung in die USA hat der BfDI im Rahmen seiner Aufsichtstätigkeit mit seinem Informationsschreiben vom 8. Oktober 2020 auf die Auswirkungen des Urteils hingewiesen.“

Na, dann warten wir mal ab, wie der BfDI überprüft, hingewiesen hat er ja schon.

*Franks Nachtrag: Ich stelle mir gerade eine vergleichbare Antwort aus einem Unternehmen auf eine vergleichbare Anfrage der zuständigen Aufsichtsbehörde vor:

„Die Einhaltung der geltenden Gesetze wird durch die zuständigen Fachbereiche und Abteilungen selbst verantwortet. Eine zentrale Erfassung und Überprüfung durch die Geschäftsführung findet nicht statt.“

Wie darauf wohl die zuständige Aufsichtsbehörde für den nicht-öffentlichen Bereich reagieren würde? Bestimmt wohlwollend…

Es geht mir nicht darum den BfDI in seiner Arbeit zu kritisieren. Aber die Tatsache, dass es der Bundesregierung und den Ministerien eigentlich fast egal sein kann, da mit wenigen erkennbaren Ausnahmen seine Aktivtäten sowieso keine Konsequenzen für die Bundesverwaltung haben, ist beauernswert! Vorbildwirkung geht irgendwie anders…

zurück zum Inhaltsverzeichnis

4 Veröffentlichungen

4.1 Nutzung von Patientendaten

Es gibt bereits Erfahrungen, dass Daten, wenn sie erstmal da sind, auch gern für andere Zwecke und womöglich durch andere genutzt werden sollen. Das war bei den Mautdaten von TollCollect so und scheint sich bei den Gesundheitsdaten der elektronischen Patientenakte (ePA) fortzusetzen. Die Daten der ePA sollten forschungskompatibler werden. Besonders kritisiert werde die Datenfreigabe durch die Patienten, die für jedes Forschungsprojekt einzeln erteilt werden soll. Hier fordern laut Berichten Industrieverbände eine „zentrale digitale Einwilligung in die Nutzung von Daten zu Forschungszwecken“.
Ein etwas anderer Weg wird in diesem Artikel bevorzugt, bei dem versucht wird Datennutzung und Datenschutz zusammenzuführen: die Einbindung von Datentreuhändern und ein Mustertext für einen „Broad Consent“, der die Verarbeitung ermöglichen soll. Parallel soll der Gesetzgeber seine Möglichkeiten nutzen durch gesetzliche Vorgaben die Nutzung auch von Altdaten zu gestalten.
Gerade durch die Pandemie haben wir gelernt, dass die Verarbeitung von Gesundheitsdaten helfen kann Wirkstoffe zu erforschen und Verläufe von Entwicklungen möglichst erfolgversprechend zu begleiten. Wir haben aber auch gesehen, dass allzu oft pauschale Vorbehalte gegen europarechtliche Vorgaben eine ergebnisoffene Diskussion behinderten. Es bleibt zu hoffen, dass der Gesetzgeber hier maßvoll eingreift ohne das Vertrauen in eine zweckgebundene Datenverarbeitung zu riskieren.

zurück zum Inhaltsverzeichnis

4.2 Cybersicherheit – alles, nur nicht übersichtlich

Cybersicherheit ist wichtig und Angriffe / Störungen von IT-Systemen können bei zentralen Infrastrukturen das Zusammenleben nachhaltig, wie bei Wasser- und Stromanbietern, oder sogar Menschenleben, wie bei Krankenhäusern, gefährden. Gut, dass dies erkannt wird und seitens der Politik rechtzeitig gegengesteuert wird.
Und wie bekämpft man böswillige Hacker und IT-Viren? Richtig: Man verwirrt sie, so dass sie gar nicht mehr wissen, „wo der Feind steht“. So hat nun die EU ein weiteres Kompetenzzentrums für Cyberabwehr angekündigt. Wer nun nicht mehr durchblickt, wer in Deutschland bezüglich Cybersicherheit was macht, dem sei die Übersicht der Stiftung Neue Verantwortung empfohlen…
Wobei, gibt es ein deutsches Wort für eine Übersicht, bei der man die Übersicht verliert?

zurück zum Inhaltsverzeichnis

4.3 Veranstaltungen

4.3.1 Kinostart von ALLES IST EINS. AUSSER DER 0.

ab 29.07.2021, am 29.07.2021 startet der Dokumentarfilm „ALLES IST EINS. AUSSER DER 0.“ bundesweit in den Kinos, der rasante Film schildert in zahlreichen
Originalaufnahmen die Anfänge des Chaos Computer Club in den 1980er-Jahren und schafft dazu ein feinsinniges und tiefgründiges Porträt des charismatischen CCC-Gründers Wau Holland, Filmtrailer und Kartenvorverkauf

4.3.2 BvD – „Datenschutz-Wissen kompakt“ – Drei Jahre DSGVO: Die wichtigsten Trends

10.08.2021, 14:00 – 14:20 Uhr, unter dem Titel „Datenschutz-Wissen kompakt“ lädt der BvD zukünftig jeden 2. Dienstag im Monat zu 30-minütigen Webinaren zu aktuellen praxisnahen Themen ein, die Veranstaltung ist online und kostenlos, eine Anmeldung ist erforderlich.

4.3.3 BvD – Wie man als Datenschützer Websites auf Schwachstellen untersucht

12.08.2021, 10:00 – 12:00 Uhr, „dieses Webinar soll Sie in die Lage versetzen selber zu prüfen, welche Datenschutz-Schwachstellen eine Website angreifbar machen, es soll Sie befähigen das Risiko Ihrer Mandaten zu minimieren und damit Kompetenz als Datenschützer zu demonstrieren“, die Veranstaltung ist online und kostenlos, eine Anmeldung ist erforderlich.

zurück zum Inhaltsverzeichnis

5 Gesellschaftspolitische Diskussionen

5.1 Privacy Score für Android-Apps durch mobilsicher.de

Sie wollen wissen, was Ihre Apps machen und ob Sie denen trauen können? Für Apps auf Android-Betriebssystemen hat mobilsicher.de etliche getestet und vergibt einen „Privacy-Score“, der zwischen 1 (kein Risiko) bis zu 5 (sehr problematisch) bewertet. Score 0 bedeutet “kein Internet“. Der Test beschränkt sich auf Android-Apps, weil das mobile Betriebssystem von Apple, iOS, einen vergleichbaren automatisierten Test nicht zulässt. Aus der Gesamtanzahl von rund 2 Mio. Apps aus dem Google Play-Store wurde bislang eine Auswahl von aktuell 30.000 Schnelltests und 3.000 Volltests durchgeführt. Dabei beschränkt sich mobilsicher.de auf Apps, die eindeutig für den deutschsprachigen Markt gedacht sind: Wenn die Beschreibung der App im Play-Store auf deutsch verfasst ist, dann kommt die App für die Plattform in Frage. Vielleicht einfach mal ansehen, ob eine der selbst genutzten Apps dabei ist, die Suchfunktionen sind einfach und die Testkriterien sind nachvollziehbar dargelegt.

zurück zum Inhaltsverzeichnis

6 Sonstiges/Blick über den Tellerrand

6.1 Sicheres Fahren – dank Tesla

Wer Tesla fährt ist nie allein und sicher. Irgendwie. Und er/sie kann sich sicher sein, dass auch Tesla einiges mitbekommt. Was alles, verrät ein Beitrag einer Fachjournalistin, die sich das Fahrzeug und die Datenschutzregelungen mal genauer angesehen hat.
Originell fand ich die Idee die Nachbarn darauf hinzuweisen, dass das Fahrzeug Rundum-Kameras hat und sich die Nachbarn darauf einstellen sollen.

Franks Nachtrag: Woran erinnert mich das nur… Ach, genau, daran.

zurück zum Inhaltsverzeichnis

6.2 Alle Wetter: Daten ohne Personenbezug – und wie kann geholfen werden

Beim Datenschutz geht es nicht um Daten ohne Personenbezug. Da sollen auch künftig leichtere Verfügbarkeiten geregelt werden. Schöner und aktueller Anwendungsbereich sind Wetter- und Klimadaten. Anzahl der Sonnenstunden, Niederschläge und Windereignisse sind nicht personenbezogen, in der Regel auch kein Geschäftsgeheimnis oder Amtsgeheimnis und können geteilt und ausgewertet werden. So sind die Folgen der CO2-Belastung schon länger* bekannt. Jetzt lässt sich auch eine Prognose für die Zukunft erstellen, landkreisbezogen.
Und wer bei den aktuellen Folgen des Wetters/Klimas helfen will, findet hier eine Zusammenfassung verschiedener Möglichkeiten.

* Franks Nachtrag: No Shit, Sherlock! 1978…

zurück zum Inhaltsverzeichnis

7. Franks Zugabe

7.1 LfDI BW gibt Handreichung zur Überwachung von Online-Prüfungen an Hochschulen heraus

Der LfDI Baden-Württemberg hat eine Handreichung zu Online-Prüfungen an Hochschulen veröffentlicht, wie die Tagesschau berichtet. Hier finden Sie die begleitende Presseerklärung des LfDI BW.
Allen Bildungseinrichtungen, die im Rahmen der Pandemie oder auch losgelöst davon Online-Prüfungen durchführen und diese überwachen wollen, empfiehlt sich ein Blick in diese Unterlage, da diese nach Aussage des LfDI BW die erste Veröffentlichung einer deutschen Aufsichtsbehörde zum Thema ist.

zurück zum Inhaltsverzeichnis

7.2 Gutachten zum Online-Proctoring

Passend zur vorherigen Meldung hat Sicherheitsexperte Mike Kuketz ein Gutachten zum Online-Proctoring für die Gesellschaft für Freiheitsrechte erstellt. Wer mit dem Begriff noch nichts anfangen kann. Einer der diesjährigen BigBrotherAwards kann helfen.
Und das Fazit bestätigt, dass der Preis wohl gerechtfertigt war.

zurück zum Inhaltsverzeichnis

7.3 Apropos Mike Kuketz

Die geneigte Leserschaft wird sicherlich schon an der einen oder anderen Stelle einen Hinweis auf Herrn Kuketz in unseren Beiträgen gesehen haben. Damit Sie aber nicht so viel suchen müssen (und ich später eine schöne Stelle zum Verlinken in unserer Blog-Reihe habe) stelle ich Ihnen hier mal ein paar aus meiner Sicht sinnvolle Links aus seinem umfangreichen Webangebot zusammen:

Zugegeben: Herr Kuketz fokussiert stark auf freie, quelloffene Software. Was im Grundsatz gut, in den Unternehmen aber manchmal nur schwer zu vermitteln ist. Aber ich habe bisher immer wertvolle Erkenntnisse aus seinen Veröffentlichungen ziehen können, auch wenn ich nicht alles 1:1 umsetzen konnte oder wollte. Schauen Sie doch einfach selbst…

zurück zum Inhaltsverzeichnis

7.4 Lidl: Widerspruch gegen individualisierte Werbung via Facebook erforderlich

Dieser Beitrag verdient eine eigene Überschrift, obwohl auch er von Mike Kuketz ist.
Toll, Lidl!

zurück zum Inhaltsverzeichnis

7.5 Luca-App bewertet

Wenn man sich nicht sicher ist, wie gut die eigene App bewertet wird, dann kann man ja die Bewertungsfunktion kreativ platzieren. Dieses scheint den Entwicklern der Luca-App gelungen zu sein. Oder gibt es einen anderen Grund, warum sie lecker ist?
Zitat aus dem Tweet:

„Wie geil, #LucaApp klettert mit Bewertungen von 2 auf über 4, weil die Nutzer beim neuen „in-app rating“ denken, sie würden Restaurants bewerten.“

Na ja, Hauptsache, das mit dem Datenschutz stimmt. Ach, nee, warte

zurück zum Inhaltsverzeichnis

7.6 Noch ein Datenschutzgesetz, dieses Mal in Colorado

Berichten zufolge hat nach Kalifornien und Virginia nun auch Colorado ein Datenschutzgesetz.
Hier gibt es eine Gegenüberstellung der drei Datenschutzgesetze.

zurück zum Inhaltsverzeichnis

7.7 Windows 11 war gestern, jetzt kommt Windows 365

Laut heise.de will Microsoft den gesamten PC in die Cloud verlagern. So, wie das ab den 2000ern schon mal mit den dummen Nextwerk-Clients probiert wurde, bei denen auch die Rechenleistung im Netzwerk, damals meist auf Terminalservern, vorgehalten wurde.
Es soll möglich sein die virtuellen PCs von allen möglichen Devices aus zu starten und zu nutzen. Hier werden die bisher bekannten Fakten dargestellt.
Wenn ich mir anschaue, wie datenschutzkonform der Einsatz von Microsoft-365-Produkten momentan schon möglich ist, kann das bei Windows 365 ja überhaupt gar kein Problem darstellen. Und ich wette, dass es wieder alle nutzen werden.
Starten soll der Dienst übrigens am 02.08.2021. Na, das kann ja was werden…

zurück zum Inhaltsverzeichnis

7.8 Lesestoff: People staring at Computers / A privacy war is raging inside the W3C

Beide Artikel sind lang, beide sind ein weiter Blick über den Tellerrand. Beide fand ich spannend und möchte ich mit Ihnen teilen:

  • Der erste nähert sich über einen künstlerischen Startpunkt dem Thema Recht am eigenen Bild (zugegebener Maßen aus US-amerikanischer Perspektive) und landet schließlich bei der Frage, was passiert, wenn sich Organisationen hinter Gesetzen verstecken, die eigentlich ganz anderen Zwecken dienen sollen. Sie ahnen es, es geht auch um Geheimdienste. Hier also geht es zu People staring at Computers.
  • Der zweite bietet einen spannenden Blick in die Arbeitsweise des W3C, wo neben den gesetzlichen Vorgaben, die Staaten weltweit machen, die Umsetzung von Datenschutz in die Standards des Internet erfolgt. Eine höchst interessante Lektüre – Concern trolls and power grabs: Inside Big Tech’s angry, geeky, often petty war for your privacy.

zurück zum Inhaltsverzeichnis

7.9 Cybersecurity – souveräner Umgang mit Sicherheitslücken am Beispiel Visavid?

Bei Visavid ist durch die Sicherheitsexpertin Lilith Wittmann eine Sicherheitslücke entdeckt worden. Der Hersteller hat über den Fall informiert. So weit, so normal.
Ob diese Software nun gut ist oder nicht, sei hier mal dahingestellt. Es gibt auf jeden Fall Quellen, die sich mit diesen Fragen ausführlich auseinandersetzen.
Was ich stattdessen zum Thema machen möchte, ist der Umgang mit dieser Situation.
Der scheint von Seiten des Auftraggebers, des Kultusministeriums des Freistaats Bayern, nicht souverän gewesen zu sein, wenn man die Reaktion des Informationssicherheitsbeauftragten der Stadt Würzburg liest.
Warum sind eigentlich immer die Boten schuld, möchte man das Kultusministerium fragen. Wie gesagt, unabhängig von der konkreten Frage, ob Visavid jetzt eine gute oder eine schlechte Lösung ist, warum sind die Entdecker von Problemen, die dazu beitragen, dass Lösungen besser werden, die Bösen?
So motiviert man keine Experten sich mit Systemen auseinanderzusetzen. Besser noch, wir kriminalisieren sie gleich alle. Meiner Meinung nach geht souverän anders.

zurück zum Inhaltsverzeichnis

7.10 Cybersecurity – Update zu REvil – Manchmal kommen sie wieder

Wer jetzt an Stephen Kings Kurzgeschichte des gleichen Titels aus dem Sammelband Nachtschicht denkt, ist zumindest schon in der richtigen Stimmung für diese Meldung:
Berichten zufolge sind die Mitglieder der REvil-Bande abgetaucht. Alle Online-Präsenzen (Kommunikation, Bezahl-Infrastruktur, Pressesprecher – ?!?) sind offline. Nachdem diese gerade erst mit der Supply-Chain-Attacke via Kaseya die Aufmerksamkeit auf sich gezogen (und scheinbar auch damit reichlich Geld verdient) haben, ist nun Ruhe.
Es gibt Vermutungen, dass dieses an einer Kommunikation zwischen Joe Biden und Wladimir Putin gelegen haben soll. Oder doch nur am Geld?
Auf jeden Fall werden Ransomware-Angriffe mittlerweile zum Teil als militärische Tests interpretiert.
Um auf den Einstiegssatz zurück zu kommen:
Die Gruppe soll schon im Jahr 2019 mit dem Erpressungs-Trojaner Gandcrab Millionen eingestrichen und sich „zur Ruhe gesetzt haben“.
Um dann als REvil wieder aufzutauchen. Neben dem Angriff auf Kaseya hatten sie ja im Juni bereits über 10 Millionen Dollar in Bitcoin von dem weltgrößten Fleischkonzern JBS erpresst. Vielleicht verdauen sie diese großen Brocken nun erst mal. Wer weiß, wann sie wieder kommen und womit sie dann die Welt beglücken.
Vielleicht lohnt es sich in Vorbereitung diese #heiseshow: „Der Kaseya-Angriff – ein besonders perfider Angriffsvektor“ zu schauen.

zurück zum Inhaltsverzeichnis

7.11 Cybersecurity – Ransomware

Ach ja, noch ein Nachtrag zu Ransomware allgemein:
Untersuchungen zufolge wurden 80% der Organisationen, die Lösegeld bezahlt haben, wieder Opfer einer Ransomware-Attacke. Ca. die Hälfte von den gleichen Angreifern.
Fool me once, shame on you. Fool me twice, shame on me? (Ich wiederhole mich, ich weiß.)

zurück zum Inhaltsverzeichnis

7.12 Cybersecurity – China taking control

Berichten zufolge hat China Regeln erlassen, die das Sammeln, Verkaufen oder Veröffentlichen von Sicherheitslücken unter Strafe stellen.
Zwei Ausnahmen gibt es: Zum einen will die Regierung über gefundene Sicherheitslücken informiert werden. Zum anderen darf der Hersteller des betroffenen Produkts informiert werden.
Diese Regeln sollen zum 01.09.2021 in Kraft treten.
Ich teile Bruce Schneiers Einschätzung, dass diese Regeln auf den ersten Blick (ich habe mir das zugrunde liegende Regelwerk nicht im Detail angeschaut) nur den Handel mit Sicherheitslücken blockieren, nicht aber das Abstellen derselben durch die Hersteller.
Und als netten Nebeneffekt bekommt die chinesische Regierung mit, was es alles für aktuelle Sicherheitslücken gibt. Und kann sie ggf. nutzen, bis sie abgestellt sind. Mit diesem Ansinnen sind sie ja nicht alleine.

zurück zum Inhaltsverzeichnis

7.13 Cybersecurity – Deutschland wird zur Bundestrojanerrepublik

Apropos nicht alleine, dieser Beitrag aus Österreich ist lesenswert. In ihm wird noch mal ausführlicher auf die Lizenz aller 19 Geheimdienste zum Einsatz von Schadsoftware eingegangen.

zurück zum Inhaltsverzeichnis

7.14 Cybersecurity – Cloud-Dienste, Versicherungen, Startups – Was soll da schon schief gehen?

Wie sich zeigte, kann da sehr viel schief gehen. Ein US-Startup aus der Versicherungsbranche hat auf AWS-Rechnern in einem unverschlüsselten Bucket (AWS Speichersysteme, standardmäßig sind diese als privat eingestellt, jemand muss das irgendwann bewusst geändert haben) über 700.000 Anträge von Versicherungskunden ungesichert liegen lassen. Der Bericht bietet viele spannende Details. Oder besser gesagt eine Blaupause, wie es nicht gemacht werden sollte…
Es scheint, dass von diesem Vorfall im wesentlichen US-Bürger betroffen sind.
Gut, dass bei uns niemand die Versicherungs- oder die Gesundheitsbranche digitalisieren möchte…

zurück zum Inhaltsverzeichnis

7.15 Quick Updates

In den letzten Blog-Beiträgen kamen folgende Themen bereits vor und nun gibt es Updates:

  • ePrivacy-Verordnung? War da nicht etwas? Doch, Trilog-Verhandlungen. Wenn Sie einen Überblick haben möchten, wer mit welcher Version in die Trilog-Verhandlung geht, schauen Sie einfach hier.
    Als Bonus bekommen Sie sogar noch eine Version im Vergleich, die aus Sicht der Betroffenen wahrscheinlich die Beste wäre. Aber wann geht es schon um die Betroffenen…
  • Windows-Druckerlücke? Welche Druckerlücke? Ach, diese neue Druckerlücke?
  • ANOM-Phones – Die vom FBI verdeckt an Kriminelle verkauften Smartphones tauchen mittlerweile im Gebrauchtmarkt auf. Motherboard hat sich eines genauer angeschaut und berichtet über die Erkenntnisse.
  • Berichten zufolge hat Western Digital für die „My Book Live“-Serie Datenrettungs- und Eintauschprogramme gestartet. Zum einen können betroffene Systeme bis 30.09.2021 in neue Geräte mit Preisnachlass gewandelt werden. Zum anderen kann ein Datenrettungsservice in Anspruch genommen werden. Dieser kann ggf. gerettete Daten auf anderen Datenträgern des Konzerns verschlüsselt an die Kunden zurücksenden. Allerdings läuft dieses Angebot nur noch bis zum 31.07.2021.
    Es gibt auch ein deutschsprachiges Kontaktformular.
  • Apples Tracking-Transparenz sorgt dafür, dass Facebook-Werbung bis zu 40 Prozent ineffizienter ist, so heise.de. Schon in unserem erste Blogbeitrag hatten wir über die Einführung durch Apple berichtet, schon damals waren die ersten Zahlen nicht gut für Facebook.
    Nach anderen Quellen sollen es sogar nur noch 20% Einwilligungen sein.
    Erfreulich, das.
  • Edward Snowden hat in seinem Blog nun auch eine Audio-Folge. Wenn Sie ihm also im Gespräch mit Daniel Ellsberg hören möchten, sollten Sie sich knappe 40 Minuten Zeit nehmen.

zurück zum Inhaltsverzeichnis