Sehr geehrte Beschäftigte der Avallon-Mandanten,

heute erhalten Sie ein paar brandaktuelle Infos zum Datenschutz:

Bitte melden Sie sich gerne bei uns, wenn durch das Lesen Fragen entstehen. Wir beantworten Sie wirklich gerne!

Mit freundlichen Grüßen
Jörg Stockmann, eDSB

Geschrieben von Martin Beckmann Datenschutzbeauftragter mb@avallon.de

Auf das Auskunftsbegehren einer betroffenen Person über die Weitergabe ihrer Daten hatte ein Verantwortlicher lediglich die Kategorie von EmpfängerInnen und nicht deren Identität mitgeteilt. Im betreffenden Fall hatte die österreichische Post einem Bürger lediglich mitgeteilt, dass sie seine Daten als Herausgeberin von Telefonbüchern verwende und diese Daten Geschäftskunden für Marketingzwecke anbiete, u.a. Versandhandel, IT-Unternehmen, Adressverlage, Vereine etc.

Der EuGH hat hierzu entschieden, dass Verantwortliche den Betroffenen grundsätzlich die konkrete Identität der EmpfängerInnen mitteilen müssen. Für die praktische Wirksamkeit der Rechte aus der DSGVO müsse den Betroffenen ein vorrangiger Anspruch auf Mitteilung der konkreten Identität von EmpfängerInnen zugebilligt werden. Da sich ein solcher Vorrang bislang nicht aus dem Wortlaut des Gesetzes entnehme ließ, hat der EuGH jetzt eine bedeutende Auslegung der Auskunftspflichten mit verschärften Folgen für die Verantwortlichen vorgenommen.

Zugleich definiert der EuGH die Fälle, in denen sich Verantwortliche weiterhin mit der Mitteilung der Kategorien von Empfängern begnügen kann. Das sei zulässig, wenn es dem Verantwortlichen nicht möglich sei, die EmpfängerInnen zu identifizieren oder wenn Verantwortliche nachweisen, dass die Anträge auf Auskunft der betroffenen Person offenkundig unbegründet oder exzessiv im Sinne von Art. 12 Abs. 5 DSGVO sind.

Ausnahmefälle sind nunmehr zu beweisen und zukünftig bei Auskunftsanfrage in der Regel die konkreten EmpfängerInnendaten mitgeteilt werden. Die Beantwortung von Anfragen muss innerhalb von einem Monat erfolgen (Art. 12 Abs. 3 DSGVO). Zur Vermeidung von Rechtsnachteilen empfehlen wir z.B. das Verarbeitungsverzeichnis zu nutzen und die Identitäten der EmpfängerInnen dort ergänzend aufzunehmen. Die oder der Datenschutzbeauftragte kann sie dabei unterstützen.

Geschrieben von Karol Kruczynski Datenschutzbeauftragter kk@avallon.de

▶️ Ransomware

Unter Ransomware versteht man eine Schadsoftware. In einem ersten Schritt wird das Unternehmen von seinen Daten und seinen Systemen ausgeschlossen. Daraufhin erfolgt eine Kommunikation mit dem Unternehmen. Sie erhalten eine Erpressernachricht. Typischerweise wird dabei einerseits ein Lösegeld für die Freigabe der Daten verlangt und andererseits ein Schweigegeld dafür, dass die zum Teil sensiblen Daten durch die Angreifer nicht veröffentlicht werden.

⚠️ Häufigste Ursache für das Einfangen der Ransomware sind E-Mails, die die Schadsoftware enthalten. In den E-Mails befindet sich ein Anhang oder Link, der beim Öffnen dazu führt, dass die Schadsoftware aus dem Netz heruntergeladen wird. ⚠️  Bitte reagieren Sie sensibel auf ungewöhnlich E-Mails, Email-Adressen, Anhänge oder auch Datei-Endungen.

▶️ Angriffe auf Passwörter

Neben dem Raten und Ausspionieren von Passwörtern ist die Brute-Force-Attacke weit verbreitet. Bei dieser Attacke versuchen Hacker mithilfe einer Software, die in einer schnellen Abfolge verschiedene Zeichenkombinationen ausprobiert, das Passwort zu knacken. Je einfacher das Passwort gewählt ist, umso schneller kann dieses tatsächlich herausgefunden werden.

Ursachen für erfolgreiche Angriffe auf Passwörter sind fehlende Passwortrichtlinien. Diese bestehen aus komplexen Passwörtern eines jeden Accounts sowie einem Turnus, in dem Passwörter verändert werden. Eine Zwei-Faktor-Authentifizierung ist eine zusätzliche Möglichkeit, den Zugang zu sichern.

⚠️ Auch wenn es im Alltag lästig erscheint, nutzen Sie unbedingt die Passwortrichtlinien Ihres Unternehmens. Alternativ gibt es die Avallon-Passwortkarte. Bitte fragen Sie uns danach.

▶️ Ausnutzen von Schwachstellen der Online-Server

So genannte APT-Angriffe sind Netzwerkangriffe. Es werden gezielt Firewalls und Router angegriffen, da solche Systeme direkt aus dem Internet erreichbar sind und vergleichsweise schlecht geschützt sind. Die Angreifenden gelangen auf unterschiedlichste Art und Weise auf die Netzwerke z.B. durch Manipulation eines Mitarbeitenden oder ungesicherte Netzwerke. Ist der Angreifende im Netzwerk, versucht er, Benutzer- und Administratorrechte zu erlangen und sog. Backdoors einzubauen, um Daten abzuführen oder bspw. Viren, Trojaner oder Ransomware in das Netzwerk zu schleusen und so dem Unternehmen zu schaden.

In allen drei Szenarien bedeutet das für den Schutz personenbezogener Daten, dass der unbefugte Zugang bereits eine Datenschutzverletzung darstellt. Im Weiteren wird aus einer Vernichtung, dem Verlust, einer Veränderung oder der Offenlegung der personenbezogenen Daten eine Datenschutzverletzung zustande kommen.

Gefahren durch IT-Bedrohungen sind Alltag. Details dazu sind Bestandteile der Avallon Basisschulung im Datenschutz. Die Unternehmens-IT muss auf ihre Schwachstellen hin analysiert werden. Auch bei Aktualisierungen oder Veränderungen – gerne kann neben Ihrem IT-Dienstleister Ihr Avallon Consultant helfen, um die geeigneten technischen und organisatorischen Maßnahmen für den Schutz Ihrer Daten zu treffen.

Geschrieben von Bernd Schultz Datenschutzbeauftragter bs@avallon.de

💶 Unzureichende Einwilligung bei der Verarbeitung von Daten zu Body-Mass-Index und maximaler Sauerstoffkonzentration

Die finnische Datenschutzbehörde verhängte ein Bußgeld in Höhe von € 122.000 gegen einen Hersteller von Fitness Trackern und Smartwatches. Nach diversen Beschwerden von Privatpersonen untersuchte die Behörde zwischen 2018 und 2019 deren Verarbeitungen. Die Behörde stellte fest, dass zwar eine allgemeine Zustimmung zur Verarbeitung von gesundheitsbezogenen Daten eingeholt wurde. Diese entsprach jedoch nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO), da keine Angaben zu den erhobenen und verarbeiteten Daten gemacht wurden, diese nicht individualisiert auf die Zwecke, sowie die verarbeiteten Kategorien der pbDaten und informiert war.

📝 Jede Einwilligung, die für die Verarbeitung insbesondere von „besonderen Kategorien personenbezogener Daten“ muss alle notwendigen Angaben enthalten, sodass die um die Einwilligung gebetenen Personen eine informierte und freiwillige Entscheidung treffen können.

💶 Registrierungsbestätigungen durch unbefugte Person abgerufen

Der Rechtsnachfolger eines namhaften polnischen Telekommunikationsanbieters hatte der Behörde einen Datenschutzverstoß gemeldet: Eine unbefugte Person hatte Zugang zu den Daten erlangt und Registrierungsbestätigungen mit personenbezogenen Daten abgerufen. Die Verletzung des Schutzes personenbezogener Daten der Abonnenten erfolgte infolge der Ausnutzung einer Schwachstelle im IT-System.

Die vom Anbieter ergriffenen Maßnahmen hätten wirksam sein können, wenn sie im Rahmen der eingeführten Verfahren auch Regelungen zur systematischen Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung personenbezogener Daten enthalten hätten. Der für die Verarbeitung Verantwortliche hatte in der Praxis keine solchen Maßnahmen ergriffen. Daraufhin verhängte die polnische Datenschutzbehörde ein Bußgeld in Höhe von umgerechnet € 340.747 gegen das meldende Unternehmen. Das Bußgeld wurde zuvor auf € 439.510,59  festgesetzt und nach einem Gerichtsentscheid entsprechend reduziert.

📝 Softwareprodukte müssen regelmäßig auf Schwachstellen und Aktualität dokumentiert geprüft werden.

💶 Anfrage betroffener Personen blieben unbeantwortet

Die finnische Datenschutzaufsichtsbehörde begann ihre Untersuchung bei einem Inkassounternehmen, weil Beschwerden von drei Betroffenen eingegangen waren. Diese hatten Anfragen auf Auskunft gemäß Artikel 15 DSGVO gestellt. Einer der Betroffenen erhielt eine Antwort, jedoch wurde ihm nicht die angeforderte Kopie seiner Daten übermittelt. Die Untersuchung ergab, dass das Inkassounternehmen Anfragen regelmäßig nicht beantwortete. Das Unternehmen begründete dies damit, dass es die Daten der betroffenen Personen nicht mehr verarbeite.

In der Pressemitteilung bemängelt die Behörde zusätzlich, dass Alektum Oy nicht zu einer Zusammenarbeit bereit war. Das verhängte Bußgeld betrug € 750.000.

📝 Die Beantwortung von Anfragen betroffener Personen nimmt einen hohen Stellenwert bei den Rechten der betroffenen Personen ein. Es ist daher allen Verantwortlichen zu empfehlen, diese an die dafür zuständigen Personen schnellstmöglich zu übergeben und die entsprechenden Fristen bei der Beantwortung zu wahren. Wir unterstützen Sie gerne dabei und stellen alle relevanten Formulare im Avallon Datenschutz-Management-System „Ligatur“ zur Verfügung.

Geschrieben von Jörg Stockmann Datenschutzbeauftragter info@avallon.de

Wie weit ins Detail reicht ein Auskunftsanspruch?

▶️ Vollständige und richtige Auskunft

In dem zu entscheidenden Fall stritten die Parteien (eine Lebensversicherung und ihr Kunde) um die Vollständigkeit des Auskunftsanspruchs. Die Versicherung vertrat die Ansicht, den Auskunftsanspruch erfüllt zu haben. Der Kläger vermisste in den nachgewiesenen Dokumenten aber „zurückliegende Korrespondenzen der Parteien“ (einschließlich E-Mails) sowie „interne Vermerke“ und „interne Telefon- und Gesprächsnotizen“. Der BGH stellt fest, dass sowohl der Schriftverkehr wie auch die Notizen vom Auskunftsanspruch nach Art. 15 DSGVO erfasst werden, da es sich auch insoweit um personenbezogene Daten handele.

▶️ Wiederholte Auskunft möglich

Mit dem Einwand, dass etwa die Korrespondenzen dem Kläger bereits bekannt wäre, wurde die Versicherung nicht gehört. Die zwangsläufige Kenntnis des Klägers von diesen Korrespondenzen war für den BGH nicht erheblich. Die Auskunft bezieht sich auf die Überprüfung, welche Daten noch verarbeitet werden. Außerdem sei der Betroffene durchaus berechtigt, wiederholt Auskunft zu verlangen (Art. 12 Abs. 5 Satz 2 DSGVO). Auch Korrespondenzen mit Dritten über den Betroffenen sind zu berücksichtigen. Soweit maßgebliche Gespräche stattgefunden haben (z.B. über den Gesundheitszustand des Betroffenen) ist die Existenz von Vermerken oder Notizen naheliegend.

▶️ Ausnahme: Beurteilung der Rechtslage

Der umfassende Auskunftsanspruch der Betroffenen findet seine Beschränkung lediglich im Bereich der „rechtlichen Analysen“, welche nach BGH zwar personenbezogene Daten erhalten können, die Beurteilung der Rechtslage selbst aber nicht vom Auskunftsanspruch erfasst werde.

▶️ Einschränkungen: exzessive Anträge und Rechte Dritter bei Kopien

Nachdem sich der Auskunftsanspruch als solcher nicht beschränken lässt, gelangen zwei einschränkende Regelungen der DSGVO in den Fokus. So hat der Verantwortliche bei „häufiger Wiederholung“ und „exzessiven Anträgen“ die Möglichkeit, entweder ein angemessenes Entgelt (Verwaltungskosten) zu verlangen oder kann sich letztlich weigern, den Antrag zu bearbeiten, wenn der Auskunftsanspruch zu oft und willkürlich geltend gemacht wird (Art. 12 Abs. 5 DSGVO). Das Recht auf Erhalt einer Kopie darf die Rechte und Freiheiten Dritter nicht beeinträchtigen und ist daher ausgeschlossen oder zu beschränken (z.B. „Schwärzen“), wenn sich Daten von weiteren natürlichen Personen in dem Dokument befinden.

📝 Dokumentationspflichten prüfen: Verantwortliche Unternehmen müssen sich auf erweiterte und wiederholte Auskünfte von Betroffenen einstellen und gewährleisten, dass Nachweise auch in Bezug auf Korrespondenzen und interne Vermerke oder Notizen geführt werden können. Rechtliche Beurteilungen können sie hiervon ausnehmen.

📝Zwangsgelder vermeiden: Auskunftsklagen werden in der Form von sog. Stufenklagen erhoben, d.h. es wird in erster Stufe die Auskunft, in 2. Stufe eine eidesstattliche Versicherung zur Vollständigkeit der erteilten Auskunft und in 3. Stufe ggf. die Verhängung eines Zwangsgelds gegen den Verantwortlichen beantragt (nach § 888 ZPO). Wer die Auskunft nicht, unvollständig oder außer der gesetzlichen Frist erteilen will oder kann, muss mit empfindlichen Zwangsgeldern zusätzlich zu den Prozesskosten rechnen.

📝 Bußgelder und immaterielle Schadensersatzansprüche verhindern: Die gerichtliche Feststellung einer Verletzung von Auskunftsansprüchen kann in der Folge nach Art. 83 Abs. 5 lit. b DSGVO zugleich zu einem Bußgeld durch die Aufsichtsbehörde führen und immaterielle Schadensersatzansprüche der Betroffenen begründen (Art. 82 DSGVO).

Geschrieben von Jörg Stockmann Datenschutzbeauftragter info@avallon.de

Unternehmen, Marken, Gruppierungen oder Personen des öffentlichen Lebens verwenden Facebook-Fanpages – auch Facebook-Seiten genannt – für die eigene Präsentation auf der Plattform Facebook. Davon abzugrenzen sind die reinen Facebook-Profile der registrierten Nutzenden, die Privatpersonen zugeordnet sind. Während ein Profil weitestgehend zu privaten Zwecken eingerichtet wird, werden Facebook-Fanpages im geschäftlichen/nicht-privaten Kontext betrieben.

1. Warum ist der Betrieb von Facebook-Fanpages datenschutzrechtlich problematisch?

Meta Platforms als Betreiber des Dienstes „Facebook“ verarbeitet die Daten der Nutzenden nicht ausschließlich zum Zweck der Bereitstellung eines sozialen interaktiven Netzwerks, sondern auch zu Werbezwecken. Es soll „passgenaue“ Werbung im Auftrag von Unternehmen, Verbänden, Parteien etc. geschaltet werden. Welche personenbezogenen Daten in welcher Art und Weise konkret verarbeitet werden, bleibt allerdings weitestgehend unklar.

Der Europäische Gerichtshof hat mit Urteil vom 5. Juni 2018 die Auffassung der Aufsichtsbehörden bestätigt, dass Betreiber von Facebook-Fanpages für die Verarbeitung der NutzerInnendaten (mit)verantwortlich sind – U.a., weil den Fanpage-Betreibern über die Funktion „Insights“ eine Nutzeranalyse für ihre Seiten bereitgestellt wird.

Als gemeinsam mit Meta Platforms Verantwortliche müssen Fanpage-BetreiberInnen die Vorgaben der DSGVO einhalten und dazu – unter anderem – eine Vereinbarung über die gemeinsame Verantwortung schließen, der die Anforderungen von Art. 26 DSGVO erfüllt. Das aktuelle von Meta Platforms vorgelegte Dokument erfüllt diese Anforderungen nicht.

Wissen Verantwortliche nicht genau, welche Datenverarbeitung stattfindet, können sie eine rechtskonforme Verarbeitung der personenbezogenen Daten nicht sicherstellen. Das betrifft auch die Frage, in welchem Umfang eine Übermittlung personenbezogener in das außereuropäische Ausland stattfindet. Eine solche ist nämlich nur dann zulässig, wenn die Vorgaben der Art. 44 ff. DSGVO eingehalten werden.

2. Was wäre für einen datenschutzkonformen Einsatz von Facebook-Fanpages erforderlich?

Fanpage-BetreiberInnen müssen die Rechtskonformität der von ihnen verantworteten Datenverarbeitung sicherstellen und nachweisen können.Dies ist ihnen für den Betrieb von Facebook-Fanpages zurzeit nicht möglich. Verantwortliche können in dieser Situation nur eine Deaktivierung ihrer Fanpages vornehmen, bis sie in der Lage sind, ihre Pflichten aus der DSGVO zu erfüllen. Für die Erfüllung der datenschutzrechtlichen Anforderungen ist eine Mitwirkung von Meta Platforms notwendig.

3. Müssen Facebook-Fanpages jetzt sofort deaktiviert werden?

Kann die Verarbeitung personenbezogener Daten nicht rechtskonform durchgeführt werden, ist der Betrieb einer Facebook-Fanpage rechtswidrig. Die Aufsichtsbehörden weisen seit Jahren auf diese Probleme hin. Übergangsfristen kennt die DSGVO nicht.

4. Bestehen die gleichen Probleme auch bei anderen Social-Media-Diensten (z. B. Instagram, Twitter, TikTok usw.)?

In der Tat dürften viele der Erkenntnisse auch auf andere Social-Media-Auftritte übertragbar sein. Die Umstände sind häufig sehr ähnlich, sodass die rechtliche Bewertung sinngemäß übertragbar ist. Eine explizite gerichtliche Klärung gibt es jedoch bisher nur für den Betrieb von Facebook-Fanpages.

5. Gilt das nur für öffentliche Stellen und dürfen Unternehmen ihre Facebook-Fanpages weiter betreiben?

Das jüngste und abschließende Urteil des Schleswig-Holsteinischen Oberverwaltungsgerichts hat eine Deaktivierungs-Anordnung der Landesbeauftragten Schleswig-Holstein gegenüber einer nicht-öffentlichen Stelle bestätigt. Sowohl für öffentliche als auch für nicht-öffentliche Stellen gilt:

Facebook-Fanpages dürfen nur dann betrieben werden, wenn die datenschutzrechtliche Konformität des Betriebs sichergestellt ist und nachgewiesen werden kann. Öffentliche Stellen sind in besonderem Maße gesetzlich verpflichtet, rechtskonform zu handeln. Daher und aufgrund ihrer Vorbildfunktion nehmen die Datenschutzaufsichtsbehörden diese nun vorrangig in die Pflicht.

6. Dürfen öffentliche Stellen nun keine Öffentlichkeitsarbeit im Internet mehr betreiben?

Natürlich dürfen und sollen öffentliche Stellen im Rahmen ihrer Aufgaben auch Öffentlichkeitsarbeit leisten. Dies darf allerdings nicht unter Verwendung rechtswidriger Mittel geschehen.

7.Darf eine Facebook-Seite weiterbetrieben werden, wenn bestimmte Grenzen eingehalten werden (z. B. Publikation aller dort veröffentlichter Informationen auch über einen anderen Kommunikationskanal, Verzicht auf neue Postings / Kommentare)?

Solange der Betrieb einer Facebook-Seite nicht rechtskonform durchgeführt werden kann, stellt der weitere Betrieb einen Verstoß gegen das TTDSG und die DSGVO dar. Da die datenschutzrechtlichen Probleme bei Facebook-Fanpages weitestgehend unabhängig von deren jeweiligen Inhalten bestehen, können sie auch nicht durch eine Anpassung der Inhalte, sondern ausschließlich durch Abschalten der Seite gelöst werden. Sobald hinreichende Nachbesserungen durch Meta Platforms dazu geführt haben, sodass eine datenschutz-rechtliche Konformität gegeben ist, könnte eine Facebook-Fanpage dann wieder in Betrieb genommen werden.

8. Müssen Verantwortliche nun mit Bußgeldern oder Maßnahmen der Aufsichtsbehörden rechnen?

Die Aufsichtsbehörden haben die Aufgabe, die Datenschutzkonformität der Verarbeitung personenbezogener Daten zu überwachen und durchzusetzen. Dafür können sie sich verschiedener Maßnahmen bedienen, beispielsweise anordnen, dass eine konkrete rechtswidrige Datenverarbeitung zu unterbleiben hat. Auch können sie gegenüber nichtöffentlichen Stellen Bußgelder verhängen.

Öffentliche Stellen können derzeit nach geltendem deutschem Recht nicht mit Bußgeldern belegt werden. Sie müssen sich aber selbstverständlich an Recht und Gesetz halten.
Darüber hinaus besteht nach Art. 82 DSGVO für jede betroffene Person die Möglichkeit, wegen etwaig entstandener Schäden Schadensersatzansprüche gegen die Verantwortlichen geltend zu machen.

9. Warum gehen die Aufsichtsbehörden nicht direkt gegen Meta Platforms vor?

Nach der Datenschutz-Grundverordnung ist in Europa die irische Datenschutzaufsichtsbehörde für die Aufsicht über Meta Platforms und deren Dienste, wie u. a. Facebook, zuständig. Für die Betreiber von Fanpages sind jedoch die jeweiligen Aufsichtsbehörden am Sitz der Fanpage-BetreiberInnen zuständig. Man arbeitet bei grenzüberschreitenden Fällen zusammen. Sie sind über das sogenannte Kooperationsverfahren der DSGVO unter bestimmten Umständen an Entscheidungen der irischen Aufsichtsbehörde zu Facebook und anderen Diensten von Meta Platforms zu beteiligen.

Als unmittelbar zuständige Aufsichtsbehörden über die BetreiberInnen von Fanpages gehen die deutschen Aufsichtsbehörden – im Einklang mit dem Gebot der Effektivität der Gefahrenabwehr -gegen die hiesigen BetreiberInnen von Fanpages vor.

So, liebe Leserinnen und Leser, das war mal wieder Zeit. Bei Rückfragen oder Anregungen können Sie das Team der Avallon gerne kontaktieren. Wir sind per Mail an dsb@avallon.de oder über unsere DSB-Serviceline unter 04941 9839071 für Sie da. Wir wünschen Ihnen weiterhin eine schöne Woche und bleiben Sie gesund!

Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich, 11. Mai 2023