Die Marktverbreitung der Windows 10 Versionsfamilie ist inzwischen weit fortgeschritten und verschiedene Windows-10-Versionen, wie Home, Professional oder Enterprise, befinden sich im betrieblichen Einsatz.

Wie die Deutsche Datenschutzkonferenz in ihrem Positionspapier zum datenschutzkonformen Einsatz von Windows 10 festhält, unterscheiden sich sowohl die Betriebssystemarchitektur als auch die Release Strategie von Windows 10 sehr deutlich von den Vorgängerprodukten. [1]

Datenschutzrechtliche Aspekte beim Win10-Einsatz

Aus datenschutzrechtlicher Sicht ist dabei auf die folgenden Aspekte ein besonderes Augenmerk zu legen:

  • Windows 10 ist nicht mehr ein reines Betriebssystem sondern eine „Systemumgebung“, die neben dem eigentlichen Betriebssystem eine Vielzahl von zusätzlichen Funktionalitäten enthält. Diese können zwar individuell konfiguriert werden, wobei bei einer Standardinstallation je nach eingesetzter Produktversion nicht die datenschutzfreundlichste Voreinstellung vorhanden ist. Ob dabei das Prinzip „Data Protection by Default“ verletzt wird, ist in jedem Fall zu prüfen.
  • Jedes Update (insbesondere Funktionsupdates) kann dazu führen, dass Konfigurationseinstellungen verändert werden und sich der Funktionsumfang ändert. Dies führt dazu, dass ein „neues“ Produkt vorliegt, dessen Einsatz erneut auf die datenschutzrechtliche Zulässigkeit geprüft werden muss.
  • Die Datenübermittlung von Windows 10 an Microsoft kann durch alleinige Einstellungen in Windows 10 nicht vollständig unterbunden werden. Da die Übertragung verschlüsselt an Microsoft erfolgt, ist nicht abschließend festzustellen, ob und wenn ja, welche personenbezogenen Daten an Microsoft übermittelt werden.

Die Datenschutzgrundverordnung (DS-GVO) verlangt von Verantwortlichen beim Einsatz von Windows 10, die datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen. Dies bedeutet für den Verantwortlichen einen erheblichen Aufwand.

Keine Übermittlung von Telemetriedaten im Level “Security”

Die bayrische Datenschutzaufsicht beschreibt in ihrem 9. Tätigkeitsbericht die Ergebnisse einer datenschutzrechtlichen Bewertung der Datenflüsse an Microsoft beim Einsatz von Windows 10. Dabei wurde das System mit von Microsoft offiziell zur Verfügung gestellten Informationen und Tools so konfiguriert, dass das Telemetrielevel „Security“ eingestellt war und möglichst alle Datenflüsse deaktiviert werden konnten.

Im Rahmen der durchgeführten Labor-Analyse wurde festgestellt, dass die Telemetriedaten von einem Windows 10 Rechner mit der Enterprise-Version (Version 1909) komplett deaktivierbar sind. Ausschließlich Aufrufe an (Microsoft-)Server, die aktuelle kryptographische Zertifikate liefern, waren durch diese Konfiguration nicht abschaltbar, da diese für einen tagesaktuellen sicheren Betrieb eines Windows 10-Systems (z. B. bei Rückruf eines ungültig gewordenen SSL-Wurzelzertifikates) erforderlich sind. Auch diese Aufrufe können durch gezielte Systemkonfigurationen unterbunden werden, wenngleich ein solches Vorgehen aus Gründen der Sicherheit keineswegs empfehlenswert ist. [2]

Dei Behörde vermerkt abschließend, dass “sollte sich dieses Ergebnis beim realen Einsatz von Windows 10 bei Unternehmen bestätigen, dann stellt zumindest der Umgang mit Telemetriedaten bei Windows 10 Enterprise (auch in verwalteten Umgebungen) keinen datenschutzrechtlichen Hinderungsgrund eines Einsatzes dieses Betriebssystems dar.

Anmerkungen

  • Der ausgestellte Persilschein für die Übertragung von Telemetriedaten gilt nur für die Enterprise-Version und vorbehaltlich der Bestätigung der Laborergebnisse in der Praxis;
  • Der Einsatz von Windows 10 Pro bzw Home, bei denen die Erhebung und Übermittlung von Telemetriedaten lt BayLDA zwar reduziert, aber nicht komplett abgeschaltet werden können, ist vom Verantwortlichen aus datenschutzrechtlicher Sicht gesondert zu bewerten;
  • Empfehlenswert ist es, vor dem Einsatz oder nach dem Update von Windows 10 Versionen die aktuellen Einstellungen zur Erhebung und Übermittlung von Telemetriedaten zu prüfen und gegebenenfalls zu deaktivieren;

Quellen:

[1] Positionierung der DSK zum datenschutzkonformen Einsatz von Windows 10, DSK, 2019

[2] 9. Tätigkeitsbericht der Bayerisches Landesamt für Datenschutzaufsicht, BayLDA, 2020

In Deutschland verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Bußgeld in Höhe von knapp 10 Millionen Euro gegen Internetanbieter 1&1. Der Telekommunikationskonzern hatte es Unbefugten zu leicht gemacht, über die Telefon-Hotline die Daten von Kunden abzufragen.

Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen. 

Im Verfahren ging es laut Pressemitteilung des Unternehmens “nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.” [1]

Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt. 

Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens. 

Anmerkungen

  • Der BfDI hat mit diesem Urteil der gängigen Praxis, “dass der Verantwortliche von der betroffenen Person zusätzliche Informationen abfragt, um sicherzugehen, dass es sich tatsächlich um die richtige Person handelt. Typischerweise handelt es sich dabei um Daten wie Geburtsdatum und Anschrift der betroffenen Person. In wenigen Fällen (fast ausschließlich beim Telebanking) werden „richtige“ Geheimnisse (etwa eine zuvor mitgeteilte PIN) abgefragt.” [2] eine klare Absage erteilt;
  • Unklar bleibt, wie eine 2-Faktor-Authentifizierung am Telefon durchgeführt worden war. Die Zwei-Faktor-Authentisierung (2FA), häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Zwei von 3 Faktoren müssen erfüllt sein: Wissen, Besitz, Biometrie). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und TAN beim Online-Banking. [3]
  • Das Urteil unterstreicht die Bedeutung von datenschutzkoformen Identifizierungs- und Authentifizierungsprozessen bei der Erfüllung von Betroffenenansprüchen;
  • Empfohlen wird eine Überprüfung und gegebenenfalls Adaptierung der eigenen Identifizierungs- und Authentifizierungsprozesse im Zusammenhang mit der Erfüllung von Betroffenenansprüchen, vor allem bei Auskunftsbegehren;
  • Entsprechenden Identifizierungs- und Authentifizierungsverfahren sind im Rahmen von Schulungsmaßnahmen, den mit der Verarbeitung befassten Mitarbeitern zu vermitteln;
  • Der mögliche Bußgeldrahmen bei mangelhaften TOMs beträgt 10 Mio Euro oder 2% des weltweiten Konzernumsatzes. Die 1&1 Telekom GmbH ist Teil der United Internet Gruppe mit einem konzernweiten Jahresumsatz (2018) von 5,1 Mrd Euro (Quelle: https://de.wikipedia.org/wiki/United_Internet);

Quellen

[1] 1&1 klagt gegen Bußgeldbescheid der Datenschutzbehörde, URL: https://newsroom.1und1.de/2019/12/09/11-klagt-gegen-bussgeldbescheid-der-datenschutzbehoerde/#page-content, Stand: 10.12.2019;

[2] Eine umfassende und überaus sachdienliche Zusammenfassung der Aspekte zur Identitätsprüfung veröffentlichte der baden-württembergische Datenschutzbeauftragte: Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO;

[3] 2-Faktor-Authentisierung, URL: https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung, Stand: 10.12.2019;

BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister, URL: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverhängtGeldbuße1u1.html, Stand: 10.12.2019;

Eine Gegenüberstellung von verschiedenen Authentifizierungsverfahren in Hinblick auf ihre Tauglichkeit zur Erfüllung der Anforderungen der 2. Zahlungrichtlinie (EU) (Payment Services Directive, PSD2 ) enthält die Stellungnahme der Europäische Bankenaufsichtsbehörde (EBA) zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA);

Die Referenten, Mag Rosenkranz, DI Leitenmüller, Maga Wagner und Dr Trieb mit dem Veranstalter des 4. OÖ-Datenschutztags, Mag Greifeneder (vlnr)

Wachsende Zahl von DSGVO-Beschwerden

Am Donnerstag den 24.10.2019 fand der 4. OÖ-Datenschutztag in der Welser Villa Muthesius statt. Namhafte Datenschutzexperten referierten über aktuelle Entscheidungen und Herausforderungen bei der Umsetzung der Aufgaben und Pflichten der DSGVO für Unternehmen.

Die Zahl von Datenschutzverfahren stieg seit dem vergangenen Jahr stetig. Die Datenschutzbehörde beschäftigen im laufenden Jahr noch mehr als 500 Verfahren aus 2018. Bis 1. Oktober 2019 kamen fast 1.400 neue Beschwerden und Eingaben dazu.

“In Österreich gilt zwar das Motto „Verwarnen statt strafen. Die Aufsichtsbehörden verschärfen aber bereits europaweit ihre Gangart. Somit sind hohe 6-stellige Bußgelder auch in Österreich nur noch eine Frage der Zeit”, sieht Veranstalter Horst Greifeneder ein Ende einer etwaigen DSGVO-Schonfrist nahen.

Vortragende und Themen beim Datenschutztag

RA Dr. Gerald Trieb, Partner bei der renommierten Datenschutzkanzlei Knyrim Trieb aus Wien, berichtete über gesetzliche Herausforderungen bei der betrieblichen Umsetzung der DSGVO. Unter anderem unterstrich er, dass “abstrakte Möglichkeiten einer etwaigen rechtlichen Inanspruchnahme des Verantwortlichen nicht ausreichend seien, die gesetzlich normierte Löschpflicht zu ignorieren”. Der namhafte Datenschutzexperte widmete sich Haftungsrisiken und sinnvollen Abwehrmaßnahmen zur Reduktion des Schadenersatzrisikos. Gerade in Verfahren mit einem hohen Bußgeldrisiko vor der Datenschutzbehörde seien “das eigene Vorbringen und eine vollständige Dokumentation der Verarbeitungstätigkeiten und Entscheidungen” besonders wichtig für einen positiven Ausgang.

Mag. Wolfgang Rosenkranz, Kuratorium Sicheres Österreich, sprach über aktuelle Bedrohungen der Datensicherheit und erörterte die Ergebnisse einer Studie zum Thema Datensicherheit in Österreich gemeinsam mit dem Publikum. Verantwortliche hätten sich in der Vergangenheit “viel zu wenig mit der Materie beschäftigt und vielen fehlte das Bewußtsein für Datensicherheit”. Ausführlich erörterte er die Parallelen des Datenschutzes mit dem Netz- und Informationssystemsicherheitsgesetz (NIS) und den damit verbundenen Aufgaben und Pflichten für die Betreiber wesentlicher Dienste wie die Gesundheitsversorgung, der Zahlungsverkehr, die Versorgung mit Strom und Trinkwasser sowie der öffentliche Verkehr.

MMag. Elisabeth Wagner von der Datenschutzbehörde zeichnete ein Insiderbild der nationalen und internationalen Arbeit der österreichischen Aufsichtsbehörde. Die Leiterin des Büros für die Koordination im Europäischen Datenschutzausschuss gewährte einen Einblick in den bisherigen Bußgeldkatalog der Behörde und veranschaulichte die Arbeitsweise der europäischen Aufsichtsbehörden bei einem One Stop Shop-Verfahren. Besonders interessant: Informationen zu unveröffentlichten Entscheidungen der Datenschutzbehörde bei Beschwerde- und Meldeverfahren in den letzten 18 Monaten und Details zur höchsten in Österreich verhängten Bußgeldstrafe von 50.000 Euro.

Harald Leitenmüller, Chief Technology Officer von Microsoft Österreich, sprach über Innovationsaspekte und Herausforderungen des Datenschutzes bei Cloud Computing aus Sicht des Weltmarktführers. “Cloud Computing ist ein Set von Konzepten und benötigt personenbezogene Daten”, unterstrich der Microsoft-Cheftechnologe. Dabei sei in der Umsetzung der DSGVO-Anforderungen “Transparenz eine der größten Herausforderungen”. Leitenmüller verweis in diesem Zusammenhang auf Microsoft-eigene DSGVO-Dienstleistungen wie das Datenschutz-Dashboard oder das Service Trust Portal mit zahlreichen GDPR Blueprints für die Verarbeitung von personenbezogenen Daten.

Aussteller beim Datenschutztag

Begleitet wurde die Veranstaltung von einer frei zugänglichen Ausstellung. Hier präsentierten unter anderem das Welser Datenschutz-Start-Up DataReporter ein praxiserprobtes Datenschutz Management Tool zur automatischen Erstellung von Cookie-Informationen und Datenschutzerklärungen für Websites. Und die CSC Consulting GmbH zeigte eine eLearning-Lösung zur kostengünstigen Sensibiliserung und Schulung von Mitarbeiterinnen und Mitarbeitern beim Datenschutz.

„Der vierte OÖ-Datenschutztag widmete sich nach fast 18 Monaten DSGVO ganz den Erfahrungen in der Praxis. Die anwesenden Datenschutz-Experten erörterten im Dialog mit den Teilnehmerinnen und Teilnehmern zahlreiche Entscheidungen und Empfehlungen zur rechtskonformen Verarbeitung von personenbezogenen Daten“, zeigte sich Veranstalter Horst Greifeneder vom Welser Büro für Datenschutz & Datensicherheit zufrieden mit dem Verlauf des OÖ-Datenschutztages.

Nach einer Entscheidung des Europäischen Gerichtshofs (EuGH) müssen Internetnutzer der Speicherung von Tracking-Cookies auf ihren Endgeräten aktiv zustimmen. Demnach ist die voreingestellte Zustimmung (Opt-Out-Lösung) zum Speichern der Daten unzulässig. Damit setzt der EuGH seine bisherige Spruchpraxis bei der Verwendung von Cookies fort und unterstreicht einmal mehr die Notwendigkeit einer aktiven Einwilligung seitens des Benutzers bei der Nutzung von Cookies.

Mitverantwortung des Webseiten-Betreibers

Schon im Juli 2018 hatte der EuGH festgestellt, dass Tracking Cookies ohne ausdrückliche Zustimmung des Benutzers nicht mehr erlaubt sind. Außerdem seinen Website-Betreiber auch für die Datenübertragung des Facebook Like Buttons mitverantwortlich.

Unternehmen, welche eine Internetseite betreiben und dabei Elemente mit Tracking-Cookies wie den “Gefällt mir”-Button von Facebook verwenden und dabei bereits beim Aufruf der Seite personenbezogene Daten wie die IP-Adresse des Nutzers an Facebook übertragen, sind neben Facebook für die Einhaltung von datenschutzrechtlichen Regelungen mitverantwortlich.

Die Mitverantwortung ergibt sich auch beim Einsatz von Webanalyse-Tools oder anderer sozialer Medien, wie Google-Analytics oder Twitter- bzw XING- Buttons auf der eigenen Website.

Voreingestellte Zustimmung ist rechtswidrig

In der aktuellen Entscheidung hat der EuGH festgestellt, dass die ausdrückliche Zustimmung des Benutzers zur Verwendung von Tracking-Cookies nicht über eine voreingestellte Einwilligung per Check-Box zu erlangen ist.

Es macht insoweit keinen Unterschied, ob es sich bei den im Gerät des Nutzers gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt oder nicht. Das Unionsrecht soll den Nutzer nämlich vor jedem Eingriff in seine Privatsphäre schützen, insbesondere gegen die Gefahr, dass „Hidden Identifiers“ oder ähnliche Instrumente in sein Gerät eindringen.

Zugleich stellten die Richter klar, dass Nutzer die Einwilligung in das Setzen von Cookies für den konkreten Fall erteilt werden muss. Zudem müssten Website-Betreiber gegenüber dem Benutzer bei der Erhebung der Daten alle Informationen, die sich auf die Verarbeitung beziehen, zB Angaben zur Funktionsdauer und zur Zugriffsmöglichkeit Dritter durch die Cookies, erteilen. Empfehlenswert ist in diesem Zusammenhang eine Überprüfung der Datenschutzerklärungen und Cookie-Hinweise.

Einsatz von Funktions-Cookies

Der Einsatz von sogenannten Funktions-Cookies, zB Cookies, welche für den zweckgemäßen Betrieb der Website erforderlich sind, ist nach Meinung von Experten weiterhin auch ohne Einwilligung möglich.

Eine diesbezügliche Regelung findet sich im österreichischen Telekommunikationsgesetz (TKG) im § 96 (3).

Demzufolge ist eine technische Speicherung oder der Zugang von personenbezogenen Daten auch ohne Einwilligung rechtmäßig, “wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein Kommunikationsnetz ist oder, wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Benutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.”

Endgültige Klärung in Hinblick auf die Rechtmäßigkeit des Einsatz von Cookies wird wohl erst die noch ausstehende ePrivacy-Verordnung bringen.

Quelle:

PRESSEMITTEILUNG Nr. 125/19, https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-10/cp190125de.pdf

Anmerkungen

  • Klärung der bestehenden rechtsgültigen Vereinbarungen zwischen dem Diensteanbieter und dem Betreiber der Website zur Klärung der Mitverantwortung beim Einsatz von Tracking-Cookies;
  • Gegebenenfalls, Änderung bestehender Hinweislösungen auf den Einsatz von Cookies bzw Opt-Out-Lösungen;
  • Kontrolle der Datenschutzerklärungen und Cookie-Hinweise in Hinblick auf die Erfüllung der Informationspflichten bei der Erhebung von personenbezogenen Daten;
  • Diese Entscheidung des EuGH bindet in gleicher Weise andere
    nationale Gerichte, die mit einem ähnlichen Problem befasst werden, dh sie gilt auch für Österreich;

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat Bußgelder in Höhe von insgesamt 195.407 Euro inkl. Gebühren gegen die Delivery Hero Germany GmbH erlassen. Die Entscheidung ist rechtskräftig.

Nichtachtung von Betroffenenrechten

Mit den Geldbußen ahndete die Berliner Datenschutzbeauftragte diverse datenschutzrechtliche Einzelverstöße des Unternehmens. Die Mehrzahl der Fälle betraf die Nichtachtung der Betroffenenrechte, wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Nach den Feststellungen der Berliner Datenschutzbeauftragten hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang – in einem Fall sogar seit dem Jahr 2008 – nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen waren.

Acht ehemalige Kunden hatten sich darüber hinaus über unerwünschte Werbe-E-Mails des Unternehmens beschwert. Ein Geschädigter, der der Nutzung seiner Daten für Werbezwecke ausdrücklich widersprochen hatte, erhielt dennoch weitere 15 Werbe-E-Mails von dem Lieferdienst.

In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war.

Betroffenenrechte in der DS-GVO

Die Betroffenenrechte der Datenschutz-Grundverordnung (DS-GVO) bilden ein wichtiges Instrumentarium für jeden einzelnen Menschen bei der Durchsetzung des Grundrechts auf informationelle Selbstbestimmung. Dem europäischen Gesetzgeber war es bei der Verabschiedung der Datenschutz-Grundverordnung ein wichtiges Anliegen, die Betroffenenrechte der Bürgerinnen und Bürger zu stärken. Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss daher technisch-organisatorisch in der Lage sein, entsprechende Anträge der Betroffenen unverzüglich zu erfüllen.

Strukturelle Organisationsprobleme für Bußgeld ausschlaggebend

Die Delivery Hero Germany GmbH hatte gegenüber der Aufsichtsbehörde einige der Verstöße mit technischen Fehlern bzw. Mitarbeiterversehen erklärt. Aufgrund der hohen Anzahl an wiederholten Verstößen war jedoch von grundsätzlichen, strukturellen Organisationsproblemen auszugehen. Trotz vielfacher Hinweise der Aufsichtsbehörde waren über einen langen Zeitraum keine ausreichenden Maßnahmen umgesetzt worden, die die pflichtgemäße Erfüllung der Rechte der Betroffenen sicherstellen konnten.

Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag hat die Berliner Datenschutzbeauftragte in jedem Einzelfall Ermessenskriterien wie die in Art. 83 Abs. 2 DS-GVO genannten geprüft. Insbesondere flossen in die Bewertung die konkreten Umstände zu Art, Schwere und Dauer des jeweiligen Verstoßes ein. Ferner wurden auch die Folgen des jeweiligen Verstoßes und die Maßnahmen, die von den Verantwortlichen ergriffen worden sind, um die Folgen des Verstoßes abzuwenden oder abzumildern, berücksichtigt.

Quelle: Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (19.09.2019)

Anmerkungen

  • Derzeit höchstes Bußgeld in Deutschland;
  • Geahndet wurden von der Berliner Datenschutzbeauftragten vor allem die Missachtung von Betroffenenrechten wie das Auskunfts-, Löschrecht sowie das Recht auf Widerspruchs; Im konkreten Fall reichten knapp über 20 Beschwerden von Betroffenen für die Verhängung der hohen Geldbuße;
  • Die personenbezogenen Daten von jahrelang inaktiven betroffenen Personen, zB ehemalige Kunden sind zu löschen. Im konkreten Fall waren mehr als 10 (zehn) Jahre zu lange. Der häufig anzutreffende Praxis, dass personenbezogene Daten weit über gesetzliche Aufbewahrungsfristen hinaus gespeichert werden, stellt somit einen bußgeldbewehrten Datenschutzverstoß dar;
  • Bei Widerspruch gegen unerwünschte Werbemails stellt die weitere Zusendung von Werbe-E-Mails einen Datenschutzverstoß dar;
  • Das Anführen von technischen Fehlern bzw. Mitarbeiterversehen ist keine ausreichende Begründung des Verantwortlichen für die Nichtachtung von Betroffenenrechten;

Microsoft Office hat sich über Jahrzehnte hinweg als Standardanwendung für Bürotätigkeiten etabliert und eine Verzicht auf den Einsatz der Microsoft-Programme ist für viele Unternehmen einfach undenkbar.

Aus Datenschutzsicht ist der Einsatz der cloud-basierten Büroanwendungen Office 365 jedoch nicht unbedenklich. Zum einen wird vermutet, dass US-Geheimdienste Zugriff auf Anwenderdaten auch in der Europäischen Union haben. Zum anderen können zB Office-365-Administratoren exakt sehen, welche Aktionen einzelne Anwender in ihren E-Mail-Konto ausführten.

Microsoft Office 365 ist eine Kombination bestehend aus einem Online-Dienst, einer Office-Webanwendung und einem Office-Software-Abonnement. Enthalten sind dabei bekannte Programme wie Outlook, Word, Excel, PowerPoint, Access und Publisher, sowie der Cloud-Speicher-Dienst OneDrive. Microsoft bietet Office 365 in mehreren Tarifen und Editionen an, wobei die Varianten für Non-Profit-Organisationen und Behörden jenen der Business-Essentials-, Business-Premium- und der Enterprise-Varianten entsprechen:

Datenschutz-Folgenabschätzung für Office 365

Das Niederländische Ministerium für Justiz und Sicherheit gab zum Einsatz von Office 365 eine Datenschutz-Folgenabschätzung in Auftrag. Darin stellte das beauftragte Unternehmen Ende 2018 fest, dass der Einsatz von Office 365 nicht mit dem geltenden Datenschutzrecht in Einklang gebracht werden könne.

Dabei kritisierte man acht Punkte, zu denen unter anderem die Intransparenz und Nichteinstellbarkeit der Übermittlung von Diagnosedaten gehörten, sowie eine exzessive Nutzung der gesammelten Daten zu eigenen Zwecken durch Microsoft. [1]

Nach erneuten Verhandlungen hat das Niederländische Ministerium nun eine aktualisierte Version der Datenschutz-Folgenabschätzung veröffentlicht. Es handelt sich dabei ausschließlich um eine Bewertung der Office 365 ProPlus Version 1905 als Installation. Die mobilen Anwendungen und Web-Zugänge für Office wurden in einer gesonderten Prüfung als datenschutzrechtlich unzulässig erachtet.

Die neuerliche Datenschutz-Folgenabschätzung zu Office 365 ProPlus Version 1905 hingegen kam zu dem Ergebnis, dass dessen Einsatz in Hinblick auf die im konkrten Einzelfall zwischenzeitlich getroffenen Maßnahmen zur Minimierung des hohen Datenschutzrisikos wohl zulässig sein wird.

Quelle:

[1] Datenschutz & Office 365: DSGVO-konformer Einsatz im Unternehmen?
https://www.datenschutzbeauftragter-info.de/datenschutz-office-365-dsgvo-konformer-einsatz-im-unternehmen/

Aktualisierte Version der Datenschutz-Folgenabschätzung für Office 365 ProPlus; https://www.government.nl/documents/publications/2019/07/22/dpia-office-365-proplus-version-1905

Anmerkungen

  • Der standardmäßige Einsatz von Office 365 Installationen im Unternehmen ist aus datenschutzrechtlicher Sicht mit hoher Wahrscheinlichkeit unzulässig;
  • Ein datenschutzkonformer Einsatz von einer Office 365 Installation im Unternehmen ist im Einzelfall immer abhängig von den – nach einer Datenschutz-Folgenabschätzung – getroffenen Maßnahmen zur Reduktion des Datenschutzrisikos;
  • Empfehlungen für den DSGVO-konformen Betrieb einer Office 365 Installation sind den oa Quellen zu entnehmen;
  • Die mobilen Anwendungen und Web-Zugänge für Office werden als datenschutzrechtlich unzulässig erachtet.

Einem Bericht der Recherche-Plattform addendum zu Folge, hat das LG Feldkirch die österreichische Post AG zu einem immateriellen Schadenersatz von 800 Euro (nicht rechtskräftig) verurteilt.

Die Post AG hatte als Datenhändler sogenannte Parteiaffinitäten von Millionen Kunden berechnet und gespeichert. Das heißt, bestehende Kundendaten wurden mit Präferenzen zu einer möglichen Parteinähe erweitert und zB an wahlwerbende Parteien verkauft. Als die Datenschutzbehörde feststellte, dass die Post diese sensiblen Daten nicht hätte speichern und schon gar nicht verkaufen dürfen, kündigte das Unternehmen an, sensible Daten zur politischen Meinung aus ihren Datensätzen zu löschen.

Da die Post weiterhin bestritt, dass es sich bei den Parteiaffinitäten um sogenannte sensible, also besonders zu schützende, Daten handle, klagte ein Vorarlberger Anwalt die Post im März auf immateriellen Schadenersatz über 2.500 Euro.

Anfang Juli wurde der Fall am Landesgericht Feldkirch verhandelt. Das nun ergangene Urteil ist folgenschwer: denn der Betroffene bekam mit seiner Klage recht. Ihm wurden 800 Euro immaterieller Schadensersatz vom Gericht zuerkannt.

Die Begründung im Urteil lautet wie folgt:

„Die Tatsache, dass die beklagte Partei (Anm.: die Post) Parteiaffinitäten des Klägers ohne dessen Einwilligung und Information ermittelt und gespeichert hat, rechtfertigt einen immateriellen Schadenersatz. In Anbetracht der Tatsache, dass es sich einerseits bei der politischen Meinung einer Person um besonders schützenswerte und sensible Daten handelt, andererseits die von der beklagten Partei gespeicherten Parteiaffinitäten des Klägers feststellungsmäßig nicht an Dritte übermittelt wurden, erscheint ein Betrag in Höhe von EUR 800,– zur Abgeltung des vom Kläger erlittenen immateriellen Ungemachs angemessen.“

Sowohl der klagende Anwalt als auch die Post werden gegen das Urteil Berufung einlegen (das rechtskräftige Urteil wird dann für Anfang 2020 erwartet).

Quelle: https://www.addendum.org/datenhandel/schadenersatz/

Anmerkungen

  • Das Gericht hat klar festgelegt, dass die gespeicherten zur personenbezogenen Parteiaffinität unter die besonderen Kategorien personenbezogener Daten fallen;
  • Das Urteil bestätigt nicht nur, dass die Post als Verantwortliche die personenbezogenen Daten ohne dessen Einwilligung und Information nicht hätte verarbeiten dürfen, sondern spricht dem Betroffenen auch einen immateriellen Schadenersatz zu;
  • Dieser Schadenersatz würde aber – geht man von der Argumentation des Gerichts aus – auch allen anderen Betroffenen zustehen, welcher durchaus noch höher ausfallen könnte, wenn die sensiblen Daten auch noch weiterverkauft worden wären;
  • Im Klartext, bei der nicht rechtmäßigen Verarbeitung von personenbezogenen Daten, vor allem bei besonderen Kategorien personenbezogener Daten, besteht ein immaterieller Schadenersatzanspruch der betroffenen Personen. Bei 2.2 Mio betroffenen Personen kommt dabei ein ganz schönes Sümmchen zusammen;
  • Als Konsequenz für Verantwortliche empfiehlt es sich, vor allem jene Verarbeitungstätigkeiten bei denen (besondere Kategorien) von personenbezogenen Daten einer großen Zahl von betroffenen Personen verarbeitet werden, einer sorgfältigen Prüfung in Hinblick die Rechtmäßigkeit der Verarbeitung zu unterziehen.

Im Zuge von Auskunftsbegehren nach Art 15 DSGVO kommt der eindeutigen Identifikation der betroffenen Person eine zentrale Bedeutung zu. Die Feststellung der Personalien dient zur Abwehr von missbräuchlichen Auskunftsbegehren und soll gewährleisten, dass Auskünfte nur an befugte Personen erteilt werden.

Identifikation bei begründetem Zweifel

Hat der Verantwortliche begründete Zweifel an der Identität der anfragenden Person, so können zur eindeutigen Identifikation der betroffenen Person weitere Informationen angefordert werden. Eine Überprüfung der Identität wird in der Regel nicht erforderlich sein, wenn die Anfrage von einer der betroffenen Person zugeordneten Anschrift oder E-Mail-Adresse kommt.

Mittel zur Identifikation

Wenn Zweifel an der Identität des Antragstellers vorliegen, stellt sich die Frage, welche zusätzlichen Informationen zur Identifizierung angefordert werden können.

Mögliche Verfahren zur Identifikation sind ua die telefonische Abfrage von personenbezogenen Daten wie Geburtsdatum, Mobilfunknummer, Datum und Höhe der letzten Bestellung. Die Vereinbarung einer Sicherheitsabfrage oder die Verwendung einer bereits bekannten postalischen Adresse wie der Rechnungsanschrift kann der Identifizierung dienen. Die Auswahl der Mittel zur Identifizierung des Antragstellers wird wohl auch von der Art der verarbeiteten Daten abhängig sein.

Kann der Verantwortliche anhand der von ihm verarbeiteten personenbezogenen Daten einen Antragsteller nicht identifizieren, so sollte er nicht verpflichtet sein, zusätzliche Daten einzuholen. Allerdings sollte er sich nicht weigern, zusätzliche Informationen entgegenzunehmen, die von der betroffenen Person angeboten werden. Die Überprüfung sollte auch digitale Authentifizierungsverfahren bei dem von dem Verantwortlichen bereitgestellten Online-Dienst einschließen.

Ausweiskopien zur Identifikation

Die Erforderlichkeit von Ausweiskopien, vor allem Kopie von Personalausweis oder Pass, bedarf gesonderter Prüfung und in der Regel der Einwilligung des Betroffenen. Gegebenenfalls genügt bereits die Vorlage des Ausweises und ein entsprechender Vermerk. Nach deutscher Rechtslage ist eine etwaige Ablichtung (auch Scan) des Ausweises eindeutig und dauerhaft als Kopie zu kennzeichnen. Die Ausweiskopie darf vom Verantwortlichen nicht an Dritte weiter gegeben werden und ist nach Überprüfung der Daten bzw erfolgter Identifikation zu vernichten. Der Betroffene ist darauf hinzuweisen, dass für die Identifikation nicht benötigte Informationen geschwärzt werden können.

Anmerkung: Aus persönlicher Sicht halte ich die Anforderung von Ausweiskopien zur Identitätsfeststellung für problematisch. In der Regel stellt dies eine zusätzliche Datenerhebung statt, wobei rechtlich unklar ist, ob neben der Einwilligung des Betroffenen auch andere Erlaubnistatbestände für die Verarbeitung der Ausweisdaten herangezogen werden können. In Hinblick auf bestehende alternative Möglichkeiten zur Identitätsfeststellung könnte bei der Verarbeitung der Ausweisdaten möglicherweise auch ein Verstoß gegen den Grundsatz auf Datenminimierung vorliegen.

Keine Identifizierung bei Negativauskünften

Bei reinen Negativauskünften ( dh keine personenbezogenen Daten zu möglichen Identitäten gespeichert) ist eine Identifizierung nicht erforderlich.

Keine Auskunft bei fehlender Identifizierung

Kann der Verantwortliche die betroffene Person nicht identifizieren, dann kann er sich weigern, das Auskunftsbegehren zu erfüllen.

Zur Vorgeschichte der GPS-Ortung. Die Niedersächsische Datenschutzaufsichtsbehörde hatte ein Bußgeld gegenüber einer Reinigungsfirma erlassen, die ihre Firmenfahrzeuge mit einem GPS-Ortungssystem überwacht. Die Überwachung war nach den Auffassungen der Aufsichtsbehörde eine nicht erforderliche Verarbeitung von Beschäftigtendaten. Die Firma erhob daraufhin eine Anfechtungsklage beim zuständigen Verwaltungsgericht.

Zweck der GPS-Ortung

Die Reinigungsfirma gab in der Anfechtungsklage an, dass die GPS-Ortung dazu dienen würde, die Touren der Beschäftigten zu planen, Mitarbeiter und Fahrzeuge zu koordinieren, Nachweise gegenüber Auftraggebern zu erbringen und die Fahrzeuge vor Diebstahl zu schützen bzw. gestohlene Fahrzeuge wieder aufzufinden. Außerdem werde damit ein Wochenendfahrtverbot und das Verbot der Privatnutzung durchgesetzt. Die GPS-Ortung sei dafür erforderlich, da kein milderes, gleich wirksames Mittel verfügbar sei..

Das Gericht prüfte daraufhin zwei Erlaubnistatbestände bei Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Zum einen, ob die Verarbeitung erforderlich zur Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses ist, zum anderen, ob die Beschäftigten in die Verarbeitung eingewilligt hatten.

Erforderlichkeit der GPS-Ortung

Die im Rahmen der Anfechtungsklage von der Reinigungsfirma angeführten Begründungen für die Erforderlichkeit der GPS-Überwachung der Firmenfahrzeuge wurden vom Gericht allesamt abgewiesen.

Das Gericht stellte in seinem Urteil fest, dass die Verarbeitung von Positionsdaten der Beschäftigten im Rahmen der ordnungsgemäßen betrieblichen Nutzung der Firmenfahrzeuge durch das von der Klägerin eingerichtete Ortungssystem nicht im Einklang mit dem nach deutschen Datenschutzrecht zu gewährleistenden Beschäftigtendatenschutz steht.

Einwilligung der Beschäftigten

Die Reinigungsfirma legte im Rechtsstreit zwar einige „Einwilligungserklärungen“ der Beschäftigten vor. Die meisten davon erfüllten jedoch nicht die datenschutzrechtlichen Voraussetzungen für eine wirksame Einwilligung im Beschäftigtenverhältnis. Diese Erklärungen erfüllten entweder nicht die notwendigen Informationspflichten oder es fehlte die Belehrung über das Widerrufsrecht der Betroffenen. Die Klägerin konnte demnach die Verarbeitung auch nicht auf eine Einwilligung stützen.

Anmerkungen

  • Das Urteil bezieht sich in Hinblick auf den Beschäftigtendatenschutz auf die deutsche Rechtslage nach dem BDSG, welche, im Gegensatz zum österreichischen DSG, explizite Regelungen für den Schutz von personenbezogenen Daten von Beschäftigten enthält. Somit wäre in Österreich eine Prüfung der Rechtmäßigkeit der GPS-Ortung nach der DSGVO erforderlich.
  • Die Entscheidung verdeutlicht, dass es, in Hinblick auf die Rechtmäßigkeit einer GPS-Überwachung, nicht nur auf die Verarbeitung an sich ankommt, sondern ganz entscheidend auch auf den Zweck und die Umstände der jeweiligen Verarbeitung. Die im Urteil angeführten Entscheidungsgründe bilden somit einen praxisgerechten Kriterienkatalog für Unternehmen, die ihre Fahrzeugflotte mittels GPS orten wollen.
  • Grundsätzlich ist es unbedingt empfehlenswert, die Zulässigkeit der GPS-Überwachung von Firmenfahrzeugen immer im Einzelfall zu prüfen.

Quelle:

Ein im April 2019 bekannt gewordenes arbeitsgerichtliches Urteil aus Deutschland liefert Anlass sich genauer mit dem Recht auf Auskunft für betroffenen Personen auseinanderzusetzen.

Das LAG Baden-Württemberg hat einen namhaften deutschen Automobilkonzern verurteilt, einem langjährigen Mitarbeiter „eine Kopie seiner personenbezogenen Leistungs- und Verhaltensdaten, die Gegenstand der vom Arbeitgeber vorgenommenen Verarbeitung sind, zur Verfügung zu stellen.“

Recht auf Kopie

Das Recht auf Kopie ist Bestandteil des Auskunftsrechts nach Art. 15 DSGVO und ergänzt dieses mit der eine Verpflichtung des Datenverarbeiters, dem Betroffenen „eine Kopie der personenbezogenen Daten“, zur Verfügung zu stellen, „die Gegenstand der Verarbeitung sind“.

Das Recht auf eine Kopie lässt sich so verstehen, dass dem Betroffenen jede E-Mail in Kopie herauszugeben ist, die er je geschrieben oder empfangen hat. Jedes Dokument, jede Notiz und jeder Vermerk, in dem der Betroffene namentlich erwähnt wird, wäre davon umfasst. Selbst wenn der Betroffene in einer Mail weder namentlich noch als Absender oder Empfänger in Erscheinung tritt, kann sich die Mail auf seine Person beziehen, wenn die Mail sich zu Vorgängen verhält, an denen der Betroffene beteiligt war.

Die im Urteil angeführten “Leistungs- und Verhaltensdaten“ sind schwammige Begriffe und erreichen im Rahmen eines Beschäftigungsverhältnisses schnell einmal umfangreiche Ausmaße. In Akten und E-Mails, in Vermerken und Protokollen werden sich zahlreiche personenbezogene Daten zu einem Beschäftigten finden, die sich als „Leistungsdaten“ oder „Verhaltensdaten“ bezeichnen lassen.

Anmerkungen

  • Das Recht auf Auskunft in Verbindung mit dem Recht auf Kopie kann sich in arbeitsrechtlichen Auseinandersetzungen mit Arbeitnehmern zum wahren Albtraum für jeden Verantwortlichen entwickeln. Zu befürchten ist etwa, dass Prozessbeteiligte die DSGVO demnächst trickreich nutzen werden, um Druck auf Arbeitgeber in Hinblick auf einen günstigen Prozessausgang auszuüben;
  • Das Gericht hat im Urteil recht ausführlich erwogen, ob sich wegen überwiegender Geheimhaltungsinteressen des Arbeitgebers möglicherweise Einschränkungen des Rechts auf Kopie ergeben können, dies jedoch im konkreten Fall verneint, da es an hinreichend konkretem Sachvortrag zu diesen Geheimhaltungsinteressen fehlte. Auch § 4 DSG schränkt das Auskunftsrecht ein, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
  • Nicht befasst hat sich das Gericht mit Zumutbarkeitsgrenzen beim Recht auf Kopie. Vieles spricht nach Meinung deutscher Datenschutzexperten dafür, Zumutbarkeitsregelungen bei der Informationspflicht analog auf das Recht auf Kopie anzuwenden. Dies würde zwar das Recht auf Kopie nicht vollständig ausschließen, ermöglicht jedoch in jedem Einzelfall eine Abwägung zwischen dem Aufwand, den ein Ersuchen für den Verantwortlichen bedeutet, und dem Nutzen, den der Betroffene aus den Kopien ziehen kann.