Bis zum 30.11.2020 können Klassen ab Jahrgang 7 Videos einreichen und am Wettbewerb von n-21 teilnehmen, indem sie Videos einreichen, in denen sie sich dem Thema „Influencer" nähern.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 193f.
Auf meine Initiative hin hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden ein Prüfschema für Windows 10 veröffentlicht. Hiermit können Verantwortliche kontrollieren und nachweisen, ob Windows 10 im jeweiligen Nutzerumfeld datenschutzkonform eingesetzt wird.
Microsofts Betriebssystem Windows 10 wird seit seiner Einführung insbesondere wegen der Übermittlung von Telemetriedaten kritisch betrachtet. Dies gilt vor allem für Systemzustands- und Diagnosedaten, die permanent im Hintergrund an den Hersteller übertragen werden und dabei auch personenbeziehbare Daten enthalten können. Mich hat eine Vielzahl von Anfragen sowohl von öffentlichen Stellen als auch von Unternehmen zum datenschutzkonformen Einsatz von Windows 10 erreicht. Verunsicherte Nutzer und verantwortliche Stellen fragen häufig an, ob der Einsatz von Windows 10 datenschutzrechtlich grundsätzlich unbedenklich ist.
Leider ist es unmöglich, hierzu eine pauschale Aussage zu treffen. Windows 10 wird regelmäßig mit Updates versorgt, die Funktionen verändern. Zudem ist das Produkt in unterschiedlichen Editionen erhältlich und kann durch die jeweiligen Administratoren oder Nutzer konfiguriert und in unterschiedlichen Umgebungen eingesetzt werden. Im Fokus des Datenschutzrechts steht die Frage, was der Inhalt der übermittelten Telemetriedaten ist und ob die Übermittlung nach der DS-GVO rechtmäßig ist.
Ein Arbeitskreis der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat sich daher unter meiner Leitung mit der Frage beschäftigt, wie Windows 10 datenschutzrechtlich bewertet werden kann. Als erstes Ergebnis hat die DSK ein Prüfschema veröffentlicht, anhand dessen Verantwortliche beurteilen können, ob ein bereits laufender oder geplanter Einsatz von Windows 10 datenschutzkonform ist oder wäre.
DSK und Microsoft erarbeiten datenschutzkonforme Konfiguration
Zunächst muss festgestellt werden, welche Daten an Microsoft übermittelt werden und ob diese einen Personenbezug im Sinne von Art. 4 Nr. 1 DS-GVO aufweisen. Ist das der Fall, muss der Verantwortliche prüfen, ob für die Übermittlung der Daten eine Rechtsgrundlage vorliegt. Fehlt die Grundlage, muss der Verantwortliche prüfen, ob ihm Maßnahmen zur Verfügung stehen, mit denen er die Übermittlung personenbezogener Telemetriedaten verhindern kann.
In einem ersten Schritt habe ich dazu die für große Unternehmen und öffentliche Verwaltungen relevante Version „Windows 10 Enterprise“ analysiert. Gemeinsam mit Microsoft wurde eine Konfiguration gefunden, bei der eine datenschutzkonforme Übertragung von Telemetriedaten erreicht worden ist (mehr dazu in Kapitel 12.6., S. 199).
Für die Versionen Windows 10 Home und Windows 10 Pro, die häufig bei kleinen und mittelgroßen Unternehmen sowie Kommunen eingesetzt werden, hat Microsoft entsprechende Möglichkeiten zur Konfiguration leider noch nicht zur Verfügung gestellt.
Meine Arbeit an diesem Thema ist daher noch nicht beendet. Ich werde im Jahr 2020 prüfen, ob der Einsatz von Windows 10 in der niedersächsischen Landesverwaltung entsprechend dieser Vorgaben erfolgt. Zudem befindet sich die DSK weiter in Gesprächen mit Microsoft. Sofern sich hieraus konkretere Vorgaben für den Einsatz von Windows 10 ergeben, werde ich diese den Verantwortlichen mitteilen.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 193f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 177f.
Fotos und die Datenschutz-Grundverordnung (DS-GVO) – das ist schon im privaten Bereich nicht immer einfach. Doch wie ist die Rechtslage, wenn staatliche Stellen, zum Beispiel im Rahmen der Öffentlichkeitsarbeit, zur Kamera greifen?
„Wir als Stadtverwaltung möchten ein Sommerfest durchführen. Was müssen wir bei den Fotografien beachten?“ „Wir sind eine Berufskammer und veranstalten einen Nachwuchstag. Müssen wir alle ausladen, die sich nicht vorher mit Fotos einverstanden erklären?“
Anfragen dieser Art erreichen mich regelmäßig. Das Engagement der Anfragenden bei der Organisation solcher Veranstaltungen ist groß – und die Erwartungen der öffentlichen Stellen an die Öffentlichkeitsarbeit sind es ebenfalls. Oft ist das Erstaunen groß, dass auch für Fotografien im Rahmen der Öffentlichkeitsarbeit einer öffentlichen Stelle eine Rechtsgrundlage erforderlich ist.
Ich möchte anhand der Rechtslage darstellen, wie eine öffentliche Stelle unter Beachtung der DS-GVO Fotografien im öffentlichen Bereich anfertigen und veröffentlichen kann.
Rechtsgrundlage erforderlich
Wichtig ist, dass man sich zunächst Folgendes klarmacht: Wenn eine öffentliche Stelle Fotos veröffentlicht, auf denen Personen identifizierbar sind, liegt eine Datenverarbeitung vor. Diese Datenverarbeitung durch die öffentliche Stelle bedarf einer Rechtsgrundlage. Das gilt erst recht dann, wenn zugleich besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO betroffen sind. Das ist schon dann der Fall, wenn auf den Fotos Brillen, Rollstühle und andere Gesundheitsdaten erkennbar sind. Dann muss zusätzlich eine Rechtsgrundlage vorliegen, die die Anforderungen des Art. 9 DS-GVO erfüllt.
Im Gegensatz zu Privatpersonen und nicht-öffentlichen Stellen kann sich eine öffentliche Stelle nicht auf ein berechtigtes Interesse stützen (Art. 6 Abs. 1 Satz 1 lit. f DS-GVO). Das ergibt sich aus der ausdrücklichen Regelung des Art. 6 Abs. 1 Satz 2 DS-GVO, wonach die Rechtsgrundlage „Buchstabe f“ nicht für Behörden in Erfüllung ihrer Aufgaben gilt. § 3 des Niedersächsischen Datenschutzgesetzes (NDSG) zur Zulässigkeit der Verarbeitung findet in diesem Zusammenhang ebenfalls keine Anwendung.
Einwilligung muss freiwillig sein
Fotos, die im Rahmen behördlicher Öffentlichkeitsarbeit angefertigt werden, können daher nur auf eine Einwilligung der Betroffenen gestützt werden. Die Einwilligung ist in Art. 6 Abs. 1 lit. a DS-GVO und Art. 7 DS-GVO geregelt. Die Betroffenen müssen ihre Einwilligung stets freiwillig erteilen. Dieser Grundsatz bekommt hier eine besondere Bedeutung, weil Behörden und andere öffentliche Stellen, die im Rahmen ihrer Aufgaben bzw. begleitend zur Öffentlichkeitsarbeit Fotos veröffentlichen, sich grundsätzlich in einem sogenannten Über-/Unterordnungsverhältnis befinden. Daher müssen die öffentlichen Stellen anhand aller Umstände besonders gründlich prüfen, ob die Einwilligung freiwillig erteilt wurde (Erwägungsgrund Nr. 43 zur DS-GVO). Die Freiwilligkeit ist vor allem dann zu bejahen, wenn die Betroffenen die Einwilligung verweigern können, ohne Nachteile zu erleiden (z. B. ohne von der Veranstaltung ausgeschlossen zu werden, vgl. Erwägungsgrund Nr. 42 und Art. 7 Abs. 4 DS-GVO). Link: Kurzpapier der DSK „Einwilligungen nach der DS-GVO“
Wenn Fotos im Zusammenhang mit Pflichtveranstaltungen gemacht werden (z. B. in der Schule), kann die Einwilligung mangels einer echten Wahlmöglichkeit nicht freiwillig sein. Auch Gruppendruck sollte vermieden werden. Wenn dies beachtet wird, kommt außerhalb von Pflichtveranstaltungen die Freiwilligkeit einer Einwilligung in Betracht.
Daher ist eine freiwillige Einwilligung beispielsweise möglich bei Festen, Ehrungen, Preisverleihungen und Informationsveranstaltungen von Kommunen bzw. anderen öffentlichen Stellen. Im schulischen Bereich kommen sie z. B. bei der Einschulungsfeier, bei Klassenfotos im Schulgebäude, Fotos auf Klassenfahrten und Ausflügen bzw. in Jahrbüchern in Betracht.
Die eingangs zitierte Anfrage einer Berufskammer ist daher so zu beantworten: Wenn die Teilnahme an der Veranstaltung zwingend mit dem Anfertigen und Veröffentlichen von Fotos verknüpft wird, dann kann von einer nachteilsfreien, d.h. freiwilligen Einwilligung keine Rede sein. Die Berufskammer darf daher nur dann Fotos veröffentlichen, wenn sie die Teilnahme an der Veranstaltung nicht mit einer Einwilligung verknüpft. Mit anderen Worten: Es muss sichergestellt sein, dass die Einwilligung freiwillig erfolgt.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 177f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 166f.
Digitale Kommunikationsmittel werden in Schulen zunehmend wichtiger. Über den Beginn meiner Prüfung zum Einsatz von WhatsApp habe ich bereits in meinem Tätigkeitsbericht 2017/2018 informiert. Diese wurde nun abgeschlossen, genau wie eine Prüfung zu elektronischen Klas- senbüchern.
Gegenstand der WhatsApp-Prüfung an 70 Schulen waren die Kommunikationswege, die zwischen den einzelnen Personengruppen (Lehrkräfte, Schülerinnen und Schüler, Eltern) genutzt werden. Ich wollte herausfinden, ob das von mir ausgesprochene Verbot der Nutzung des Messengers eingehalten wird. Ich hatte dies im „Merkblatt für die Nutzung von WhatsApp in Schulen“ (https://t1p.de/whatsapp-schule) erläutert.
Bequem und schnell, aber unzulässig
Die Prüfung hat ergeben, dass WhatsApp an zehn Schulen vor allem zur Kommunikation der Lehrkräfte untereinander, aber auch zwischen den Lehrkräften und den Schülerinnen und Schülern eingesetzt wurde. Dies mag für den Einzelnen bequem sein, ist aber aus datenschutzrechtlicher Sicht für die dienstliche Kommunikation unzulässig. Das ergibt sich unter anderem daraus, dass mit der Anmeldung bei WhatsApp automatisch alle im Mobiltelefon gespeicherten Kontakte an die WhatsApp Inc. übertragen werden. Dabei ist nicht sichergestellt, dass alle Kontakte ihre datenschutzrechtliche Einwilligung in die Weitergabe ihrer Daten erteilt haben.
Die übrigen 60 Schulen nutzten WhatsApp nicht. Das zeigt, dass das Merkblatt zur WhatsApp-Nutzung flächendeckend Beachtung findet und im Zuge dessen das Datenschutzniveau an den niedersächsischen Schulen gesteigert wurde. Ich habe die Schulen, die WhatsApp eingesetzt haben, im Rahmen der Prüfung auf das bestehende Verbot hingewiesen und mir die Untersagung des weiteren Einsatzes durch die Schulleitung schriftlich erklären lassen.
Einsatz von elektronischen Klassenbüchern
Auch zum Einsatz elektronischer Klassenbücher wurden 70 Schulen einer stichprobenhaften Überprüfung unterzogen. Gegenstand war einerseits, ob an den Schulen überhaupt elektronische Klassenbücher eingesetzt werden. War das der Fall ging es andererseits um die Frage, ob die Vorgaben der von mir veröffentlichten „Hinweise zur Einführung eines elektronischen Klassenbuchs“ (https://t1p.de/elek-klassenbuch) eingehalten werden.
Grundsätzlich ist die Einführung eines elektronischen Klassenbuchs gemäß § 31 Abs. 1 Niedersächsisches Schulgesetz (NSchG) rechtlich zulässig. Es ist jedoch darauf zu achten, dass nur die Daten erhoben werden, die auch für das Klassenbuch in Papierform erforderlich sind.
Wenn sich die Schule entscheidet, ein elektronisches Klassenbuch einzusetzen, muss dieses gemäß Art. 30 der Datenschutz-Grundverordnung (DS-GVO) in das Verzeichnis von Verarbeitungstätigkeiten aufgenommen werden. Vor der Einführung eines elektronischen Klassenbuchs ist zudem gemäß Art. 35 DS-GVO eine Datenschutz-Folgenabschätzung durchzuführen. Wenn die Datenverarbeitung nicht in der Schule stattfindet, sondern ein Dienstleister damit beauftragt wird, muss auch ein Auftragsverarbeitungsvertrag (Art. 28 DS-GVO) abgeschlossen werden.
Nur wenige Schulen nutzen das E-Klassenbuch
Von den 70 befragten Schulen nutzten nur 7 ein elektronisches Klassenbuch. Mit Ausnahme der Speicherung von Fotos der Schülerinnen und Schüler wurde der erforderliche Datenrahmen grundsätzlich eingehalten. In zwei Fällen lag zudem die erforderliche Datenschutzfolgenabschätzung nicht oder nicht vollständig vor, an einer Schule fehlte ein notwendiger Auftragsverarbeitungsvertrag.
Ich habe die betroffenen Schulen auf die festgestellten Mängel hingewiesen und mir von ihnen schriftlich erklären lassen, dass diese abgestellt wurden.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 166f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.
Der für eine Datenverarbeitung Verantwortliche muss eine Vielzahl von Regelungen zum Schutz der verarbeiteten personenbezogenen Daten einhalten. Darüber hinaus müssen bestimmte Datenschutzverletzungen umgehend der Aufsichtsbehörde gemeldet werden. Diese Meldungen haben mit Geltung der Datenschutz-Grundverordnung (DS-GVO) in meiner Behörde immens zugenommen.
Schon das alte Datenschutzrecht kannte eine Pflicht zur Meldung bestimmter Datenschutzverstöße. Nach § 42a Bundesdatenschutzgesetz (BDSG) alter Fassung war diese Meldepflicht allerdings beschränkt auf besonders sensible Kategorien wie Gesundheitsdaten, Daten zu Straftaten oder Daten zu Bank- oder Kreditkartenkonten. Auch wurde die Meldepflicht nur durch eine unrechtmäßige Übermittlung oder sonstige unrechtmäßige Kenntnisnahme durch Dritte ausgelöst. Schließlich war sie an die Prognose gekoppelt, dass wegen der Kenntnisnahme durch Dritte schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen mussten. Die DS-GVO geht mit ihrer Regelung zur Meldepflicht bei Datenschutzverstößen nach Art. 33 deutlich weiter.
Voraussetzungen der neuen Meldepflicht
Jede Art einer Verletzung des Schutzes personenbezogener Daten löst die Meldepflicht gegenüber der Aufsichtsbehörde aus. Dies umfasst auch unbeabsichtigte Datenverluste oder Daten-Offenlegungen; ein Verschulden des Verantwortlichen ist nicht erforderlich, sogar zufällige Ereignisse können eine Datenschutzverletzung im Sinne des Art. 33 DS-GVO darstellen. Zudem ist nun jede Kategorie von betroffenen personenbezogenen Daten relevant – die Meldepflicht ist nicht wie früher auf bestimmte, besonders risikobehaftete Datenkategorien beschränkt.
Zusätzlich verpflichtet die DS-GVO nun auch Behörden zur Beachtung der Meldepflicht bei Datenschutzverletzungen. Gemeldet werden muss unverzüglich und möglichst innerhalb von 72 Stunden ab Kenntnis der Datenschutzverletzung.
Die Meldepflicht entfällt nur dann ausnahmsweise, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt. Anders als im früheren Recht besteht die Pflicht damit nicht erst bei einer drohenden schwerwiegenden Beeinträchtigung der Rechte der Betroffenen. Besteht voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, muss der Verantwortliche die Betroffenen zusätzlich unverzüglich benachrichtigen.
Da es vollständig risikolose Verarbeitungen jedoch nicht geben kann, legt die Datenschutzkonferenz (DSK) die Formulierung „nicht zu einem Risiko“ so aus, dass sie „nur zu einem geringen Risiko“ führen darf. Sie hat sich auch in ihrem Erfahrungsbericht zur DS-GVO dafür ausgesprochen, die Meldepflicht nach Art. 33 DS-GVO auf Fälle zu beschränken, die voraussichtlich zu einem mehr als nur geringen Risiko für die Rechte und Freiheiten natürlicher Personen führen.
Risikoprognose
Der für die Datenverarbeitung Verantwortliche muss also bei einer Datenschutzverletzung zunächst das Risiko bewerten: Besteht überhaupt ein Risiko für die Rechte und Freiheiten natürlicher Personen bzw. sogar ein hohes? In der Praxis ist diese Bewertung mitunter schwierig. Da aber auch das Unterlassen einer verpflichtenden Meldung bußgeldbewehrt ist, melden Verantwortliche Datenschutzverletzungen teilweise vorsorglich, ohne selbst eine ausreichende Prüfung des Risikos durchgeführt zu haben.
Die Leitlinien aus dem Working Paper 250 der Art. 29-Datenschutzgruppe zur Meldung von Datenschutzverletzungen geben wertvolle Hinweise zur Bewertung des Risikos und nennen Beispiele für typische meldepflichtige Datenschutzverletzungen. Hierunter fallen etwa Cyberangriffe, bei denen personenbezogene Daten abgeschöpft oder offen ins Internet gestellt werden, oder die Versendung von Unterlagen an falsche Empfänger (https://t1p.de/LeitlinienzuArt33-Meldungen).
Pflichten des Auftragsverarbeiters
Wenn ein Auftragsverarbeiter eine Datenschutzverletzung im eigenen Tätigkeitsbereich feststellt, muss er diese unverzüglich an seinen Auftraggeber melden. Eine genau festgelegte Frist besteht dazu nicht. Der Auftraggeber muss die Datenschutzverletzung auch dann dem Verantwortlichen melden, wenn er selbst ein Risiko für die Rechte und Freiheiten natürlicher Personen für ausgeschlossen hält. Die Bewertung des Risikos obliegt allein dem Auftraggeber als Gesamtverantwortlichen für die Datenverarbeitung. Die Datenschutzverletzung gilt dem Verantwortlichen als „bekannt“, sobald dieser von seinem Auftragsverarbeiter in Kenntnis gesetzt wurde (so die Leitlinien zur Meldung von Datenschutzverletzungen der Art. 29-Gruppe). Die Kenntnis des Auftragsverarbeiters wird also nicht dem Verantwortlichen zugerechnet.
Die DS-GVO nennt allerdings keine konkrete Frist, innerhalb der der Auftragsverarbeiter den Verantwortlichen informieren muss. Sie sieht nur vor, dass die Benachrichtigung „unverzüglich“ zu erfolgen hat (Art. 33 Abs. 2 DS-GVO). Hier wird man im Regelfall eine sehr zeitnahe Meldung erwarten müssen. Deshalb empfehle ich, im Auftragsverarbeitungsvertrag organisatorische Maßnahmen vorzusehen, durch die der Verantwortliche die Meldung nach Art. 33 Abs. 2 DS-GVO so rechtzeitig erhält, dass er seinerseits die Meldung an die Aufsichtsbehörde innerhalb der 72-Stunden-Frist realisieren kann. Eine regelmäßige Höchstfrist von 72 Stunden besteht für den Auftragsverarbeiter jedenfalls nicht, schließlich könnte das im Extremfall zu einer Verdoppelung oder – bei Ketten-Auftragsverarbeitungsverträgen – zu einer weiteren Vervielfachung der Frist führen.
Bisweilen wird im Hinblick auf die europäische Fristenverordnung die Ansicht vertreten, die 72- Stunden-Frist müsste mindestens zwei volle Arbeitstage umfassen und könne sich entsprechend verlängern. Diese Auffassung teile ich nicht. Aufgrund der besonderen Dringlichkeit hat der Verordnungsgeber bewusst eine Stundenfrist vorgesehen, die etwa auch an einem Sonn- oder Feiertag enden kann und dementsprechend auch nicht durch das Erfordernis dazwischenliegender Arbeitstage verlängert wird. Überdies hat die Meldung im Ausgangspunkt „unverzüglich“ zu erfolgen; auch das lässt keinen Raum für eine entsprechende Fristverlängerung.
Meldepflicht und Sanktionen
Das Unterlassen einer verpflichtenden Meldung nach Art. 33 DS-GVO ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DS-GVO). Die Meldung nach Art. 33 DS-GVO selbst darf allerdings gemäß § 43 Abs. 4 BDSG nicht in einem Ordnungswidrigkeitenverfahren wegen der Datenschutzverletzung verwendet werden. Eine Ausnahme gilt nur, wenn der Meldepflichtige selbst der Verwendung der Meldung in einem Bußgeldverfahren zustimmt. Diese Regelung ist Ausdruck des Grundsatzes der Selbstbelastungsfreiheit bzw. des Verbots der Selbstbezichtigung. Als Konsequenz darf die Aufsichtsbehörde die Informationen aus einer Meldung einer Datenschutzverletzung, welche zum Pflichtinhalt nach Art. 33 Abs. 3 DS-GVO gehören, nicht als Grundlage für ein Ordnungswidrigkeitenverfahren verwenden. Die Gegenansicht, die § 43 Abs. 4 BDSG für europarechtswidrig und damit für nicht anwendbar hält, überzeugt mich nicht.
Allerdings können Erkenntnisse über grundlegende Mängel aus einem weitergehenden Kontrollverfahren, das die Aufsichtsbehörde aufgrund der gemeldeten Datenschutzverletzung durchgeführt hat, verwendet werden. Stellt sich z. B. im Laufe eines aufgrund einer Meldung nach Art. 33 DS-GVO durchgeführten Prüfverfahrens heraus, dass grundlegende technisch-organisatorische Mängel beim Meldepflichtigen bestehen, können diese Gegenstand eines Bußgeldverfahrens sein. Denn die Selbstbelastungsfreiheit bezieht sich nur auf den konkret gemeldeten Datenschutzverstoß.
Durch die verschärfte Pflicht hat die Zahl der Datenschutzverletzungen, die meiner Behörde ge- meldet werden, stark zugenommen. Im Jahr 2019 erreichten uns 824 Meldungen gemäß Art. 33 DS-GVO, davon mehr als 500 aus dem nicht-öffentlichen Bereich.
Infektion mit der Schad-Software Emotet
Neben anderen Fällen der Infektion mit Ransomware und Viren sowie diversen Hacking-Angriffen erreichten mich vielfach Meldungen, in denen es zu einem Befall mit der Schad-Software Emotet kam (siehe dazu auch Kapitel J.12.4, S. 195). Diese Angriffe führen dazu, dass dem Verantwortlichen der Zugriff auf die Daten durch Verschlüsselung entzogen wird. Aufgrund dieser Meldungen habe ich die Betroffenen auf den risikobasierten Ansatz der DS-GVO zu den datenschutzrechtlichen Anforderungen für alle Unternehmen hingewiesen, wie sie die Artikel 24, 25 und 32 der DS-GVO vorgeben. Diese enthalten die technisch-organisatorischen Rahmenbedingungen, innerhalb derer „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ vom Verantwortlichen geeignete, angemessene, zu dokumentierende und regelmäßig zu überprüfende Sicherheitsmaßnahmen zu treffen sind. Hierzu muss der Verantwortliche in einer eigenständig vorzunehmenden Risikobetrachtung geeignete technische und organisatorische Maßnahmen benennen, die dem ermittelten Risiko angemessen sind, und diese Maßnahmen auch umsetzen. Der Verantwortliche ist frei bei der Auswahl der Maßnahmen, solange das von ihm ermittelte Risiko damit angemessen berücksichtigt wird.
Zu Emotet veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits am 5. Dezember 2018 eine Pressemitteilung, in der es vor dieser Software warnte und Schutzmaßnahmen empfahl (https://t1p.de/emotet). Nach Maßgabe des BSI gäbe es zwar keine hundertprozentige Sicherheit, jedoch existierten verschiedene Schutzmaßnahmen, die sowohl auf organisatorischer als auch auf technischer Ebene umgesetzt werden könnten. Diese würden das Risiko einer Infektion mit Emotet oder auch anderer Schad-Software signifikant reduzieren.
Häufig deckten sich die Angaben der von Emotet Betroffenen zu ihren vorab ergriffenen Maß- nahmen nur teilweise mit den vom BSI veröffentlichten Schutzmaßnahmen. Zum Zeitpunkt der Meldung der Datenschutzverletzungen wurden mindestens eine, wenn nicht sogar mehrere der vom BSI veröffentlichten Schutzmaßnahmen, nicht beachtet.
Deshalb habe ich in diesen Fällen von meiner Abhilfebefugnis der Verwarnung nach Art. 58 Abs. 2 lit. b DS-GVO Gebrauch gemacht. Ich ging davon aus, dass die betroffenen Stellen künftig die vorbeugenden Schutzmaßnahmen gegen Emotet umsetzen würden. Im nicht-öffentlichen Bereich erklärte das Gros der betroffenen Unternehmen mir nachvollziehbar, ihre technischen und organisatorischen Maßnahmen für derartige Fälle angepasst zu haben.
Zur Einschätzung des risikobasierten Ansatzes empfahl ich das Kurzpapier Nr. 18: „Risiko für die Rechte und Freiheiten natürlicher Personen“ der Datenschutzkonferenz (DSK). Ich verwies zudem zur methodischen Vorgehensweise auf das von der DSK bereitgestellte Standarddatenschutzmodell (SDM: https://t1p.de/sdm) und auf den in meinem Haus entwickelten „Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS: https://t1p.de/zawas)“.
Versand an einen falschen Empfänger
Mehrfach hatte ich sowohl im öffentlichen als auch im nicht-öffentlichen Bereich mit Meldungen von Datenschutzverletzungen nach Art. 33 DS-GVO zu tun, in denen personenbezogene Daten an einen unberechtigten Empfänger per Post oder E-Mail versendet wurden. Oftmals lag dabei die Ursache in technischem oder menschlichem Versagen. Die versendeten Schreiben enthielten häufig sensible personenbezogene Daten der Betroffenen gem. Art. 9 Abs. 1 DS-GVO.
Nach Art. 6 Abs. 1 S. 1 DS-GVO ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten nur unter den dort genannten Voraussetzungen zulässig. Nach Art. 5 Abs. 1 lit. f DS-GVO sind personenbezogene Daten so zu verarbeiten, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist. Da in Fällen des Fehlversands zum einen keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zum anderen durch die falsche Übermittlung die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO auch nicht mehr gegeben ist, wurde gegen die datenschutzrechtlichen Bestimmungen verstoßen.
In derartigen Fällen habe ich ebenfalls von meiner Abhilfebefugnis der Verwarnung Gebrauch gemacht. Ich ging bezüglich des Postversands davon aus, dass dieser in künftigen Fällen datenschutzkonform erfolgen wird. Denn die Betroffenen erklärten in ihren jeweiligen Antwortschreiben nachvollziehbar, dass sie nach den Verstößen ihre Beschäftigten dazu angewiesen hatten, zukünftig sorgfältiger vorzugehen. Die datenschutzrechtliche Verfehlung beruhte auf individuellen Fehlern.
E-Mail-Verteiler: CC statt BCC
Bereits in meinem 22. Tätigkeitsbericht habe ich die Thematik der unzulässigen offenen Übermittlung von E-Mail-Adressen behandelt. Auch im Berichtszeitraum erreichten mich zahlreiche Art.-33-Meldungen von Unternehmen und öffentlichen Stellen, in denen es zu einem E-Mail-Versand per CC statt per BCC kam. Da in diesen Fällen ebenfalls keine der Voraussetzungen des Art. 6 Abs. 1 S. 1 DS-GVO vorliegt und zudem die Integrität und Vertraulichkeit dieser Daten nach Art. 5 Abs. 1 lit. f DS-GVO nicht mehr gegeben ist, wurde auch hier gegen datenschutzrechtliche Bestimmungen verstoßen.
Auch in derartigen Fällen habe ich Verwarnungen ausgesprochen. Die Prüfung der bei mir eingegangen Meldungen zeigte, dass die Verantwortlichen grundsätzlich geeignete Verfahren implementiert haben, die eine Einhaltung der Betroffenenrechte gewährleisten. In ihren Schreiben schilderten mir zahlreiche Verantwortliche, ihr Personal angesichts solcher Vorfälle datenschutzrechtlich fortgebildet zu haben.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 93ff.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 8
Da meine Behörde regelmäßig sowohl Beschwerden als auch Beratungsanfragen zum Thema Videoüberwachung erreichen, erschien es geboten, das Informationsangebot hierzu auszuweiten. Deshalb habe ich die grundsätzlichen Fragen und die entsprechenden Antworten veröffentlicht, die sich im Zusammenhang mit Kameraüberwachung stellen. Diese sogenannten FAQ (Frequently asked questions) erläutern unter anderem, was man vor der Installation einer Kamera bedenken sollte und in welcher Form man auf diese hinweisen muss.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 79f.
Wer sieht, was ich online veröffentliche? Welche meiner Daten brauchen Apps wirklich? Wie wehre ich mich gegen Cyber-Mobbing? Diese und weitere Themen diskutierten Mitarbeiter meiner Behörde mit Schülern während einer Aktionswoche rund um den Safer Internet Day am 5. Februar. Dabei kooperierten neben Niedersachsen weitere Aufsichtsbehörden aus drei Bundesländern mit dem Berufsverband der Datenschutzbeauftragten Deutschlands (BvD).
Kinder und Jugendliche verbringen täglich viel Zeit im Internet und in den sozialen Medien. Daher ist es besonders wichtig, sie für die Risiken zu sensibilisieren, die mit der Nutzung von Online-Angeboten verbunden sein können.
Vorträge für 800 Jugendliche
Meine Mitarbeiterinnen und Mitarbeiter besuchten in der Zeit vom 4. bis 8. Februar neun Schulen, unter anderem in Lüneburg, Osnabrück, Hannover, Helmstedt, Hildesheim und Göttingen. Dabei erreichten sie mehr als 800 Schülerinnen und Schüler der 7. und 8. Klasse. In ihren Vorträgen griffen die Referenten auf die Unterlagen der BvD-Aktion „Datenschutz geht zur Schule“ zurück. Mit dieser Initiative zeigt der BvD seit 2009 Schülerinnen und Schüler einfache Wege auf, wie sie ihre persönlichen Daten besser schützen können, ohne dabei auf moderne Kommunikationsformen verzichten zu müssen.
Die Unterrichtsmaterialien wurden zuvor mit Unterstützung der EU-Initiative „klicksafe“ und der DATEV-Stiftung weiterentwickelt. Verbunden mit der jahrelangen Praxiserfahrung der ehrenamtlichen BvD-Referenten ist so eine profunde Unterrichtsgrundlage entstanden, die sich speziell an Kinder und Jugendliche richtet.
Aktion wird fortgesetzt
Die positive Resonanz von Schülern und Lehrkräften sowie die guten Eindrücke, die meine Mitarbeiterinnen und Mitarbeiter gewinnen konnten, haben den Ausschlag dafür gegeben, dass sich meine Behörde auch in den kommenden Jahren an der Aktion des BvD beteiligen wird. Ziel wird es sein, noch mehr Jugendliche zu erreichen. Denn nur wenn sich Jugendliche der potenziellen Risiken bei der Nutzung der vielfältigen digitalen Angebote bewusst sind, sind sie auch in der Lage den persönlichen Wert ihrer Daten abzuwägen und zu entscheiden, wie viel sie von sich preisgeben wollen.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 79f.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 51f.
Bindet der Betreiber einer Webseite den „Gefällt mir“-Button von Facebook ein, dann ist er gemeinsam mit Facebook für die Erhebung und Übermittlung von Daten der Nutzer seiner Webseite verantwortlich. Das stellte der Europäische Gerichtshof (EuGH) 2019 in einem Urteil fest.
Der EuGH-Entscheidung (AZ C-40/17) liegt ein Rechtsstreit vor dem Landgericht Düsseldorf zwischen der Fashion ID GmbH & Co. KG und der Verbraucherzentrale NRW e. V. zugrunde. Fashion ID, ein Online-Händler für Modeartikel, hatte in seine Webseite das Facebook-Plugin „Gefällt mir“ eingebunden. Die Verbraucherzentrale NRW klagte vor dem Landgericht (LG) Düsseldorf gegen Fashion ID auf Unterlassung der (automatischen) Übermittlung von personenbezogenen Daten der Webseitennutzer an Facebook Irland ohne deren Einwilligung und unter Verstoß gegen die Informationspflichten der Datenschutz-Grundverordnung (DS-GVO). Das LG Düsseldorf gab den Anträgen der Verbraucherzentrale NRW teilweise statt. Fashion ID legte gegen diese Entscheidung beim Oberlandesgericht Düsseldorf Berufung ein. Dieses legte dem EuGH mehrere Fragen zur Vorabentscheidung vor. Kernfrage des Rechtsstreits war, ob der Betreiber einer Webseite datenschutzrechtlich Verantwortlicher ist, wenn er Programmcode einbindet, der den Browser des Benutzers veranlasst, Inhalte von einem Dritten anzufordern und hierzu personenbezogene Daten an den Dritten zu übermitteln.
EuGH betont Verantwortung von Seitenbetreibern
Der EuGH betont mit seinem Urteil, dass jede natürliche oder juristische Person, die aus Eigeninteresse auf die Verarbeitung personenbezogener Daten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Verarbeitung mitwirkt, für die Verarbeitung verantwortlich ist. Fashion ID habe es durch die Einbindung des „Gefällt mir“-Buttons von Facebook ermöglicht, dass beim Aufruf ihrer Webseite Nutzerdaten erhoben und an Facebook übermittelt werden. Dies geschieht unabhängig davon, ob • der Nutzer den „Gefällt-mir“ Button auf der Webseite aktiv anklickt, • der Nutzer ein Mitglied im sozialen Netzwerk von Facebook ist und • der Nutzer Kenntnis von dem Vorgang nimmt. Durch diese Entscheidung wird klargestellt, dass der Betreiber einer Webseite grundsätzlich für alle Verarbeitungen personenbezogener Daten der Nutzer seiner Webseite verantwortlich ist. Und zwar auch dann, wenn sie nicht von ihm selbst durchgeführt werden. Auf nahezu jeder Webseite sind Dienste Dritter integriert wie Social Plugins, interaktive Karten, Videos, Schriften oder Cookies. All diese Dienste erfordern, dass bei der Erstellung der Webseite Programmcode des Dritten integriert wird, der in der Regel dazu führt, dass bei einem Aufruf der Webseite die Nutzerdaten nicht nur an den Server der Webseite, sondern auch an die Drittdienstleister übermittelt werden. Der EuGH stellt sich klar auf den Standpunkt, dass ohne die Einbindung des Programmcodes die Verarbeitung der Nutzerdaten durch die Drittdienstleister nicht möglich wäre. Folgerichtig trägt der Betreiber der Webseite mindestens für die Erhebung und die Übermittlung der Daten die Verantwortung.
Rechtsauffassung der Aufsichtsbehörden bestätigt
Ich begrüße die Entscheidung des EuGH aus mehreren Gründen. Die Verarbeitung von Nutzerdaten im Internet ist aufgrund der Vielzahl der Akteure und der Einbindung von Drittdienstleistern auf nahezu jeder Webseite mittlerweile sehr komplex. Die Entscheidung des Gerichts zeigt auf, dass die Datenschutzvorschriften dennoch eine lückenlose und effiziente Zuweisung der datenschutzrechtlichen Verantwortung ermöglichen.
Betroffenen wäre die Wahrnehmung ihrer Rechte deutlich erschwert worden, wenn Betreiber von Webseiten nicht als Verantwortliche eingestuft worden wären. Nutzern von Webseiten ist häufig nicht einmal bekannt, dass und an wen ihre Daten beim Öffnen einer Webseite übermittelt werden, geschweige denn wie und zu welchen Zwecken sie anschließend verarbeitet werden. Die Aufsichtsbehörden werden in ihrer Rechtsauffassung zur Verwendung von Social Plugins bestätigt.
Schließlich besteht die Hoffnung, dass die Wertungen des Gerichts beim Erlass der E-Privacy-Verordnung Berücksichtigung finden werden. Social Plugins dienen nur vordergründig dem Zweck, Nutzern eine einfache Möglichkeit zu geben, interessante Inhalte im Internet in ihr soziales Netzwerk zu kommunizieren. Primär dienen sie dem Nutzertracking und der Erstellung von Persönlichkeitsprofilen, um ein individualisiertes Webmarketing zu ermöglichen. Der EuGH stellt fest, dass sowohl Betreiber der Webseite als auch Drittdienstleister mit den Social Plugins wirtschaftliche Interessen verfolgen. Entsprechend sollte jeder Betroffene frei darüber entscheiden können, ob er seine Daten dafür zur Verfügung stellen möchte oder nicht.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 51f.
Die Anwendungen von Office 365 sind sowohl in öffentlichen als auch nicht-öffentlichen Stellen weit verbreitet. Die Datenschutzkonferenz prüft derzeit, ob ein datenschutzkonformer Einsatz der Microsoft-Produkte möglich ist.
Verantwortliche Datenverarbeiter traten im Berichtszeitraum vermehrt an mich mit der Frage heran, ob sie Office 365 datenschutzkonform einsetzen können. Hintergrund ist häufig der Wunsch der Verantwortlichen, die Cloud-Funktionen zu nutzen. Allerdings lässt sich diese Frage nicht pauschal beantworten.
Da die Unsicherheiten zum Einsatz von Microsoft Office 365 nicht nur mir, sondern allen Landesbeauftragten in Deutschland kommuniziert wurden, entschloss sich die Konferenz der unabhängigen Aufsichtsbehörden (DSK) einen Arbeitskreis (AK) einzusetzen, der sich unter Beteiligung meiner Behörde mit dieser Frage befasst. Auch mit Vertretern von Microsoft wurden in diesem Zusammenhang Gespräche geführt, in denen verschiedene Fragen von Bedeutung waren.
Online Service Terms auf dem Prüfstand
Zunächst handelt es sich bei der Nutzung der Cloud eines Dritten regelmäßig um einen Fall der Auftragsverarbeitung. Daher müssen die Anforderungen des Art. 28 DS-GVO erfüllt sein und ein Vertrag zur Auftragsverarbeitung geschlossen werden. Eine entsprechende Vereinbarung wird den Kunden von Microsoft in einer standardisierten Form mit den Online Services Terms (OST) angeboten. Nach erster Prüfung dieser Vereinbarung durch den AK ergab sich eine Reihe von Fragen, zu denen der AK noch mit Microsoft im Dialog steht. Die Prüfung konnte daher 2019 nicht abgeschlossen werden. Zudem hat Microsoft angekündigt, Anfang 2020 seinen Kunden eine neue Version der OST zur Verfügung stellen zu wollen. Zum Ende des Berichtszeitraums war noch unklar, inwieweit die Anregungen der Datenschutzkonferenz darin aufgegriffen und die Regelungen zur Auftragsverarbeitung angepasst wurden.
Darüber hinaus stellt sich auch bei Office 365 – ähnlich wie bei Windows 10 (siehe dazu auch J.12.3, S. 193) – die Frage nach dem Inhalt und der Rechtmäßigkeit der Übermittlung von Telemetriedaten, die zu Servern von Microsoft übermittelt werden. Dazu gehören beispielsweise Daten zu Abstürzen, zum CPU- und Speicherverbrauch einzelner Programme, Daten zum Prozessor, Informationen zum Akkustand oder zu Downloads, Updates, und Abrufen im Windows App Store. Nach Angaben des Unternehmens werden diese Daten dazu verwendet, um Office 365 aktuell und sicher zu halten, Probleme zu erkennen und zu beseitigen und die Produkte zu verbessern (https://docs.microsoft.com/en-us/deployoffice/privacy/required-diagnostic-data). Das von der DSK veröffentlichte Prüfschema zum Einsatz von Windows 10 dürfte entsprechend auch auf Office 365 anwendbar sein. Nach der Prüfung der OST wird sich die DSK auch bei Office 365 mit dem Thema der Telemetriedaten befassen.
Mir ist bewusst, dass die Verantwortlichen bei der datenschutzrechtlichen Beurteilung dieser Standard-Software Rechtssicherheit benötigen. Ich bin zuversichtlich, dass die DSK sich hierzu 2020 positionieren kann.
Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2019, S. 44f.