In unserer aktuellen Herold-Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:
- Telefonwerbung: Schutz vor unerwünschten Werbeanrufen
- Hacking von Homeoffice-Arbeitsplätzen
- Anonymisierte Daten: Absoluter oder relativer Schutz
- Homeschooling und Nutzung von WhatsApp
- Datenschutz bei Videokonferenzsystemen
- Passwort wechsle dich – unregelmäßig
- Quelleninformation
1. Telefonwerbung: Schutz vor unerwünschten Werbeanrufen
Telefonwerbung kann bei bestehenden Geschäftsbeziehungen informativ sein. Unerwünschte Werbeanrufe durch fremde Anbieter werden oft als Belästigung empfunden. Das Datenschutzrecht bietet den Betroffenen Möglichkeiten, sich vor unlautere Telefonwerbung zu schützen.
Es gibt dazu verschiedene Szenarien: Sie erhalten einen Telefonanruf und sollen bei einem Gewinnspiel gewonnen haben, an dem Sie jedoch gar nicht teilgenommen haben oder Versorgungsunternehmen oder Versicherungen wollen Ihnen besondere Angebote unterbreiten, obgleich Sie dort gar keine Verträge abgeschlossen haben.
Vor unerlaubter Telefonwerbung wird der Verbraucher nach § 7 UWG (Gesetz über den unlauteren Wettbewerb) geschützt. Ohne vorherige Einwilligung sind solche „Cold Calls“ nicht erlaubt. Mit Hilfe eines Beschwerdeformulars können solche Vorfälle bei der Bundesnetzagentur gemeldet werden. Die DSGVO gibt den Betroffenen aber weitere rechtliche Möglichkeiten an die Hand. So kann etwa das Recht auf Auskunft (Art. 15 DSGVO) genutzt werden, um festzustellen, welche Daten das werbende Unternehmen überhaupt von den betroffenen Personen gespeichert hat. Betroffene können auch ein Widerspruchrecht (Art. 21 DSGVO) gegen die Verarbeitung seiner Daten ausüben und deren Löschung verlangen (Art. 17 DSGVO). Im Verhältnis zwischen Unternehmern gelten indes andere Regeln. Dabei sind die sog. „berechtigten Interessen“ (Art. 6 Abs. 1 f DSGVO) zu berücksichtigen.
Abwehrmöglichkeiten für Verbraucher:
- Nutzen Sie das Beschwerdeformular der Bundesnetzagentur
- Machen Sie gegenüber unerwünschten Akteuren Ihr Recht nach DSGVO geltend (z.B. Auskunft, Widerspruch, Löschung, Meldung an die Aufsichtsbehörde)
Quellen: Bundesnetzagentur 01/2020: Beschwerdeformular (Anzeige über den Erhalt unerlaubter Telefonwerbung, Cold Calls) und Themenblatt unerlaubte Telefonwerbung
2. Hacking von Homeoffice-Arbeitsplätzen
“Homeoffice“ oder „Heimarbeit“ sind Begriffe mit unterschiedlichen Rechtsfolgen für Arbeitnehmer und Arbeitgeber. Rechtsnachteile sind durch falsche Einordnung zu vermeiden. Avallon hat den Homeoffice-Vertrag an die DSGVO angepasst. Hier besteht Handlungsbedarf für Personalabteilungen und/oder Authentifizierungsprozesse.
Die Corona-Krise hat die Digitalisierung und den Trend zu Homeoffice-Arbeitsplätzen nochmals beschleunigt. Arbeitgeber entdecken das Homeoffice als zusätzliche oder neue Möglichkeit und nutzen diese, um die Mitarbeiter im Sinne der Hygienevorschriften und der Gesundheitsfürsorge zu schützen.
Arbeitnehmer und Arbeitgeber sollten dabei zunächst ihre Vertragsbeziehung als solche prüfen. Der Begriff Homeoffice verleitet zu einer Einordnung des Arbeitsverhältnisses nach dem Heimarbeitsgesetz (HAG). Danach wäre aber von einer weitgehenden Selbständigkeit des „Heimarbeiters“ auszugehen, denn das Gesetz spricht insoweit von einer selbstgewählten Arbeitsstätte bei Tätigkeiten für Gewerbetreibende. Der Heimarbeiter kann daher die Arbeitserledigung, die Arbeitsleistung und die Nutzung der Arbeitszeit grundsätzlich selbst bestimmen.
Die damit verbundenen Rechtsunsicherheiten können Nachteile für Arbeitnehmer und Arbeitgeber mit sich bringen. Für Arbeitnehmer stellt sich die Frage nach einem möglichen Verlust des Arbeitnehmerstatus mit Folgen für die Sozialversicherung und den Kündigungsschutz. Für Arbeitgeber ergibt sich das Problem des Verlustes von Weisungsrechten in Bezug auf die Arbeitszeit etc. Eine Klarheit in diesen rechtlichen Fragen ist insbesondere für den Datenschutz wichtig und sollte geprüft werden. Ein effektiver Datenschutz für das Homeoffice setzt eine ausreichende Rechtssicherheit in Bezug auf das Arbeitsverhältnis voraus.
Die Corona-Krise hat das Problem des Hackings von Homeoffice Arbeitsplätzen deutlich gemacht. Als Datenschützer empfehlen wir dazu eine sog. „medienbruchfreie Gestaltung“ für die Telearbeit im Homeoffice. Der Homeoffice-Arbeitsplatz sollte also technisch an den Firmensitz angebunden und von diesem kontrolliert werden. Die Grundsätze der Datensicherheit schreiben dafür u.a. eine Verschlüsselung der Verbindung in das Firmennetz und geeignete Authentifizierungsverfahren vor.
Worauf ist also konkret zu achten?
- Vereinbarung über Telearbeit im Homeoffice (Statusfragen und Datenschutz).
- Datensicherheit prüfen und ggf. entsprechende Maßnahmen ergreifen.
- Ergänzung der Verarbeitungsverzeichnisse nach DSGVO etc.
- Sensibilisierung und Schulung der Mitarbeiter im Umgang mit Sicherheitsaspekten (z.B. Verschlüsselung, Passwörter, Schutz vor Unbefugten etc.).
- Beratung und Schulung durch einen Datenschutzbeauftragen.
Quellen: Telearbeit und mobiles Arbeiten (Flyer)/Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit 01/2019, Datenschutz: Plötzlich Homeoffice – und nun? (Flyer) Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 03/2020, Telearbeit/Haufe.de, Heimarbeitsgesetz/Bundesministerium der Justiz und für Verbraucherschutz, Homeoffice, Heimarbeit und Telearbeit/Informationsportal Arbeitgeber Sozialversicherung 03/2020
3. Anonymisierte Daten: Absoluter oder relativer Schutz?
Anonymisierung, Pseudonymisierung und Verschlüsselung sind wichtige und zentrale Maßnahmen zum Schutz personenbezogener Daten. Der Schutz der Betroffenen durch Anonymisierungstechniken ist allerdings technisch und zeitlich begrenzt. Wer seinen Computer und seine Aktivitäten im Internet vor neugierigen und unbefugten Dritten schützen will, muss oft selbst aktiv werden.
Die Begriffe Pseudonymisierung und Anonymisierung sind im Rahmen des Datenschutzes wichtige Begriffe und Methoden. Die „Pseudonymisierung und Verschlüsselung personenbezogener Daten“ ist eine wichtige Maßnahme für den Datenschutz (Art. 32 Abs. 1 a DSGVO). Bei der Psydonymisierung werden bestimmte Merkmale durch Pseudonyme ersetzt. Die allgemein zugänglichen Trainingspläne in einem Sportstudio sollten z.B. durch Buchstaben oder Zahlen ersetzt werden. Der Inhaber und der Nutzer können die betroffene Person gleichwohl „reidentifizieren“. Eine solche Wiederherstellung des Personenbezugs ist nach einer fachgerechten Anonymisierung nicht mehr möglich.
Viele angebliche Anonymisierungen erweisen sich aber als „Mogelpackung“. Das wird insbesondere bei der Nutzung des Internets deutlich. Im Rahmen der Telekommunikation müssen z.B. Standortdaten der Nutzer anonymisiert werden (§ 98 TKG). Für die Nutzer von Privatfernsehanbietern bzw. Streamingdiensten gehört zu den Lösungen für den Datenschutz etwa die Pseudonymisierung der technischen Anschlüsse. Der Kunde erhält von dem Anbieter eine sog. Account-ID.
Sind die Daten dagegen anonymisiert, fallen sie nicht mehr unter das Datenschutzrecht, denn die betroffene Person sollte infolge dieser Maßnahme nicht mehr identifizierbar sein. Im Bereich der Marktforschung und der Werbung werden allerdings sog. Big-Data-Analysen eingesetzt, die im Wege der „Verkettung“ von verschiedenen Daten sodann doch wieder eine Identifizierung der betroffenen Person zulassen.
Ein aktuelles Positionspapier des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) vom 29.06.2020 zeigt, dass es technisch kaum absolute Anonymisierungsverfahren gibt, der damit verbundene Schutz also eher relativ ausfällt. Grundsätzlich soll eine datenschutzkonforme Anonymisierung die Wiederherstellung des Personenbezugs praktisch unmöglich machen. Oft wird diese Möglichkeit aber nur erschwert und mit dem technischen Fortschritt relativiert.
Wer seine Daten und Aktivitäten vor Ausforschung schützen will muss daher selbst handeln.
Welche Maßnahme können Sie konkret ergreifen?
- Verschlüsseln Sie ihre E-Mails.
- Surfen Sie im Internet nur anonym (konfigurieren Sie ihrem Browser auf Datensicherheit).
- Verschlüsseln Sie ihre Festplatte.
- Verwenden Sie nur Messenger für die mobile Kommunikation, die Verschlüsselungen anbieten.
- Benutzen Sie sichere Passwörter und Authentifizierungsverfahren mit mehreren Faktoren.
Quellen: BfDI, Positionspapier zur Anonymisierung unter der DSVO unter besonderer Berücksichtigung der TK-Branche, 06/2020
4. Homeschooling und Nutzung von WhatsApp
In der Pandemie versuchen die Schulen, die Kommunikation zwischen Lehrern und Schülern aufrecht zu erhalten. Dabei kommen auch Messenger-Dienste wie etwa WhatsApp zum Einsatz, die weit verbreitet sind und von vielen genutzt werden können. Die Aufsichtsbehörden haben „Leitplanken für die Auswahl von Messenger-Diensten“ aufgestellt und informieren über deren Risiken. Sie betonen, dass Lehrer keine privaten Geräte benutzen dürfen, um dienstliche und personenbezogen Daten zu verarbeiten. Der Austausch müsse daher über eine schulische E-Mail-Adresse erfolgen.
WhatsApp übermittelt nicht nur die gesendete Nachricht, sondern der Dienst speichert und überträgt auch alle Kontaktdaten aus dem Adressbuch des Nutzerhandys und behält sich vor, die personenbezogenen Daten auch an Facebook zu übermitteln. Dazu bedarf es jedoch einer Einwilligung durch die Kontaktpersonen.
Eine aktuelle Eilentscheidung des Bundesgerichtshofes vom 23.06.2020 (KVR 69/19) bestätigt die Feststellung des Bundeskartellamtes, dass Facebook seine marktbeherrschende Stellung missbrauche und Daten von Nutzern sammelt und zusammenführt, die bei WhatsApp, Instagram oder anderen Diensten hinterlassen werden. Die Unternehmen lassen den Nutzern keine Wahl, ob sie diese Datenverknüpfungen zulassen möchten.
Die Datenschutzgrund-Verordnung (DSGVO) hebt den Schutz von Kindern besonders hervor und regelt auch das Verhältnis der Kinder (bis 16. Lebensjahr) zu einer „Informationsgesellschaft“ wie etwa WhatsApp (Art. 8 DSGVO). Danach ist bereits die Nutzung des Dienstes selbst zunächst von der Einwilligung der Eltern bzw. Erziehungsberechtigten abhängig. Der Dienst muss sogar technische Möglichkeiten schaffen, um die Zustimmung zu prüfen.
Soweit Lehrer und Schule diese Messenger für die Kommunikation nutzen, übernehmen sie auch eine Fürsorgepflicht für den Datenschutz ihrer Kinder. Eine regelmäßige Nutzung der Dienste sollte nicht ohne die gesetzlichen Datenschutzschutzhinweise, Einwilligungserklärungen und technischer und organisatorischer Maßnahmen zum Schutz der Schülerinnen und Schüler (SuS) erfolgen.
Wie schütze ich meine Kinder?
- Prüfen Sie, ob die Schule ihrer Verpflichtung nachkommt, den SuS die erforderliche Medienkompetenz zu vermitteln.
- Fragen Sie die Gremien der Schule, wie der Datenschutz der SuS gewährleistet wird.
- Prüfen Sie, ob der Austausch zwischen Lehrern und SuS nicht ebenso über andere sichere Dienste oder die E-Mail-Adresse der Schule möglich ist.
- Wenden Sie sich an den Datenschutzbeauftragten der zuständigen Schulbehörde.
- Informieren Sie sich über die datenschutzrechtlichen Risiken der jeweiligen Messenger-Dienste mit Hilfe der aktuellen „Leitplanken“ der Aufsichtsbehörden.
Quellen: LDI NRW, 05/2020, Leitplanken für die Auswahl von Messenger-Diensten während der Kontaktbeschränkungen aufgrund der Corona-Pandemie/Virtuelles Datenschutzbüro, Eilentscheidung des BGH: Facebook nutzt marktbeherrschende Stellung missbräuchlich aus, 06/2020
5. Datenschutz bei Videokonferenzen
Auch infolge der Corona Pandemie boomt der Einsatz von Diensten zur Durchführung von Videokonferenzen, Präsentationen und Weiterbildungen. Zum Einsatz kommen Dienste wie Teams, Skype, Zoom und andere. Jedoch erfüllen nicht alle Anbieter die datenschutzrechtlichen Voraussetzungen der DSGVO. Anbieter sind z.T. auch nicht innerhalb der EU ansässig, was zu einer unzulässigen Übermittlung von personenbezogenen Daten in Drittländer führen kann. Bei einer notwendigen Nutzung von Konferenzsystemen ohne EU-Datenschutzzertifizierung sollten Regeln über die Art und Weise der Inhalte in den Meetings festgelegt werden. Für den Austausch von sensiblen persönlichen Daten oder Betriebs- und Geschäftsgeheimnissen sind die meisten Videokonferenzsysteme immer noch nicht geeignet.
Die Datenschutzbehörden machen aktuell daher auf die Notwendigkeiten des Datenschutzes für den Einsatz dieser Konferenzdienste aufmerksam: Videotelefonie und Videokonferenzen sollen nur mit geeigneten Lösungen zur Verschlüsselung der Daten genutzt werden (Art. 32 DSGVO). Eine weitere wichtige Maßnahme für den Datenschutz im Unternehmen ist die Verpflichtung des Audio- und Videodienstanbieters auf die Einhaltung des Datenschutzes durch Abschluss eines Auftragsverarbeitungsvertrages (Art. 28 DSGVO).
Auch sind die Rechte der Arbeitnehmer nach § 26 Bundesdatenschutzgesetz (BDSG) zu beachten. Danach müssen die schutzwürdigen Interessen der Arbeitnehmer mit den wirtschaftlichen Interessen des Arbeitgebers abgewogen werden. Das führt bei Einsatz dieser Techniken zur notwendigen Planung und Umsetzung von konkreten und nachweisbaren Maßnahmen zum Datenschutz.
Welche Risiken sind zu beachten?
- Die Inhalte von Videokonferenzen könnten von Unbefugten mitgehört und mitgeschnitten werden.
- Es gibt keinen Schutz durch das Telekommunikationsgesetz (TKG): Videodienstanbieter sind keine Telekommunikationsdienste. Die Schutzvorschriften für das Telekommunikationsgeheimnis müssen diese Anbieter (sog. „Over-the-Top-Anbieter) daher nicht beachten.
- Nicht jeder Auftragsverarbeitungsvertrag kann die Betroffenen schützen. Die Anbieter verwenden Standardverträge, die nach Art und Umfang für den Nutzer unverständlich bleiben und „Hintertüren“ offen lassen.
Maßnahmen für den Datenschutz:
- Stellen Sie im Unternehmen Regeln auf, welche Art von Austausch über Videokonferenzen erfolgen darf und beachten dabei die Datensparsamkeit (z.B. kein Austausch über Gesundheitsdaten und Geschäftsgeheimnisse etc.) und vereinbaren für dieses Themen einen Austausch über sichere Telefonverbindungen (im Schutze des TKG).
- Das „Kompendium Videokonferenzsysteme“ des BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt zahlreiche Hinweise zur Einschätzung der Gefährdungslage und die Sicherheitsanforderungen für Technik und Räume und Beschaffung.
- Einsatz eines Datenschutzbeauftragten: Die Umsetzung geeigneter und datenschutzkonformer Sicherheitskonzepte im Unternehmen ist anspruchsvoll und zeitraubend (Verarbeitungsverzeichnis, Merkblätter und Richtlinien, Maßnahmen zum Datenschutz auswähren und dokumentieren, ggf. Datenschutz-Folgenabschätzung).
Quellen: BSI, Kompendium Videokonferenzsysteme, 04/2020/ ULD, Datenschutz: Plötzlich Videokonferenz – und nun?, 04/2020
6. Passwort wechsle dich – unregelmäßig
Haben Sie schon einmal etwas vom „Ändere dein Passwort-Tag“ gehört? Ins Leben gerufen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) findet er jährlich am 1. Februar statt und mahnt die Menschen, ihre Passwörter zu ändern. Doch dieses Jahr vermutlich das letzte Mal. Das BSI hat sich, wie zuvor auch schon die amerikanische Normbehörde NIST, von der Empfehlung, sein Passwort in regemäßigen Abständen zu ändern, zurückgezogen.
Sinn der Empfehlung war es, dass Passwörter regelmäßig geändert werden, damit sie nicht herausgefunden werden können. Doch diese Empfehlung hat sich überholt, weil es nun detailliertere praktische Erfahrungen gibt. Der Grund ist denkbar einfach und wurde auch so schon von vielen Sicherheitsexperten als Gegenargument zur Empfehlung genannt..
Die Regelung kann nämlich auch das genaue Gegenteil bewirken. Der Faktor Mensch und dessen Lust, sein Gedächtnis voll einzusetzen und zu trainieren ist hier das Problem. Ein Passwortwechsel bedeutet nämlich auch, dass man sich dieses neue Passwort merken muss – und um sich das leichter zu machen, nimmt man offensichtlich sehr simple, offensichtliche Passwörter oder immer das gleiche und fängt an zu zählen, Passwort1, Passwort2, Passwort3 und so weiter.
Deshalb raten Experten dazu, Passwörter in unregelmäßigen Abständen zu ändern, mindestens alle zwei Jahre, besser sogar jedes Jahr einmal. Das nimmt ein wenig den zeitlichen Druck und motiviert mehr, sich eigenständig gegen den Einbruch in den eigenen Account zu schützen. Hiermit wird die Hoffnung verknüpft, dass die Passwörter dann auch individueller konstruiert werden. Wer ganz sicher gehen möchte, das die Veränderung ausreichen ist, der vergleicht sein neues und sein altes Passwort. Wenn vier Zeichen hintereinander gleich sind, sollte man sich ein anderes Passwort überlegen.
Wir empfehlen gerne weiterhin unsere Avallon-Passwortkarte, mit der Sie Ihre Passwörter in unregelmäßigen Abständen bequem ändern können – ohne sich jedes Mal etwas Neues, Kreatives überlegen zu müssen.
7. Onlinequellen
Telefonwerbung: Schutz vor unerwünschten Werbeanrufen:
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Verbraucher/Unerlaubte_Telefonwerbung/Beschwerdeformblatt_Telefonwerbung.pdf;jsessionid=776D58B604EFAC19264C4C39C80E9802?__blob=publicationFile&v=4
https://www.bundesnetzagentur.de/SharedDocs/Downloads/DE/Sachgebiete/Telekommunikation/Verbraucher/Unerlaubte_Telefonwerbung/Themenblattunerlwerbung.pdf;jsessionid=776D58B604EFAC19264C4C39C80E9802?__blob=publicationFile&v=9
Hacking von Homeoffice-Arbeitsplätzen:
https://www.bfdi.bund.de/SharedDocs/Publikationen/Faltblaetter/Telearbeit.pdf?__blob=publicationFile
https://www.datenschutzzentrum.de/uploads/it/uld-ploetzlich-homeoffice.pdf
https://www.haufe.de/personal/arbeitsrecht/homeoffice-was-beim-arbeiten-von-zuhause-zu-beachten-ist_76_301172.html
https://www.gesetze-im-internet.de/hag/
Anonymisierte Daten: Absoluter oder relativer Schutz?:
https://www.bfdi.bund.de/DE/Infothek/Transparenz/Konsultationsverfahren/01_Konsulation-Anonymisierung-TK/Positionspapier-Anonymisierung.pdf;jsessionid=410D7E3F54D0FF120BE815A6F5B54B84.2_cid354?__blob=publicationFile&v=2
Homeschooling und Nutzung von WhatsApp:
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Schule_-Videokonferenzsysteme-und-Messenger-Dienste-waehrend-der-Corona-Pandemie/LDI-NRW—Messenger-Dienste-18_05_2020.pdf
Datenschutz bei Videokonferenzen:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Kompendium-Videokonferenzsysteme.pdf?__blob=publicationFile&v=4
https://www.datenschutzzentrum.de/uploads/it/ULD-Ploetzlich-Videokonferenzen.pdf
Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.
Ihr Datenschutzbeauftragter
Jörg Stockmann
Aurich und Gelsenkirchen, Juli 2020