Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Kontaktdatenangabe in Restaurants
  2. Externe Inhalte in E-Mails
  3. Dezentrale Datensammlung

1. Kontaktdatenangabe in Restaurants

Die Corona-Krise hat zu zahlreichen Neuerungen in den Abläufen in unseren Leben geführt. So auch bei Restaurantbesuchen. Dabei regeln die verschiedenen Bundesländer die Bedingungen höchst unterschiedlich. In Hamburg sind Kunden verpflichtet ihre Kontaktdaten im Restaurant anzugeben. Wer sich weigert, darf nicht im Restaurant speisen. Natürlich gelten für die Sammlung, Aufbewahrung und Verwendung dieser Daten die einschlägigen Datenschutzbestimmungen.

Die Sammlung von Name, Anschriften, Telefonnummern und E-Mail Adressen der Kunden ist zulässig, da es vom Gesetzgeber angeordnet wurde. Die Daten dürfen allerdings nur zum Zweck der Übermittlung an ein Gesundheitsamt aufgrund dessen Anfrage verwendet werden. Andere Arten der Verwendung sind ausgeschlossen und widerrechtlich. Insbesondere die Nutzung für Werbung ist nicht gestattet. Die gesammelten Kontaktdaten sind nach vier Wochen unwiederbringlich zu löschen. Papierregister sind hierbei nach DIN 66399 zu schreddern. Eine längere Aufbewahrung, wenn kein Zweck mehr vorliegt, ist nicht gestattet.

Daneben müssen die gesammelten Kontaktdaten gegen die Einsicht von unberechtigten Dritten geschützt werden. Die gesammelten Daten dürfen anderen Gästen, und auch damit nicht befassten Personal, nicht zugänglich sein. Bei Restaurantschluss sind Ordner mit Kontaktdaten einzuschließen. Dieses gestaltet sich in der Praxis teilweise skurril. So besuchte ich selbst als Gast ein Restaurant, wo ich einen Stift in die Hand gedrückt bekam und ein Formular ausfüllen durfte. Der Stift stammte von dem Gast vor mir, der gerade fertig geschrieben hatte, und jetzt selbst seinen Antrag in einem Ordner heftete. Dabei sah er nicht nur die Kontaktdaten des letzten Gastes vor ihm, sondern blätterte auch noch ein paar Seiten durch. Ich merkte gegenüber der Bedienung daraufhin an, dass mit dem Stift eine Infektion übertragen werden könnte, dass die Führung des Ordners in dieser Weise gegen Datenschutzbestimmungen verstößt und dass es so nicht der Sinn der Sache ist. Dafür wurde mir eine Wutrede zuteil und ich konnte erfreut sein, dass ich am Ende doch noch, wenn auch sehr kühl, bedient wurde und im Restaurant bleiben durfte. Ändern tat sich am Ablauf nichts.

Skurril sind aber auch die Angaben der Gäste in den Formularen. Ein Kollege, als Datenschutzbeauftragter einer Restaurantkette, hat sich mehrere Ordner mit Kontaktdaten vorgenommen. Danach waren Donald Duck, Mickey Mouse, Angela Merkel, Vladimir Putin und Donald Trump, letzterer mit der Anschrift White House in Washington, Gäste gewesen. Sie waren nicht die einzigen realen und nicht realen Persönlichkeiten, sondern diese Liste könnte mit Christian Ronaldo, Franz Beckenbauer, Asterix usw. eine Seite lang fortgeführt werden. Bei den Telefonnummern fanden sich "12345678" und "007". Natürlich gehörte die Telefonnummer "007" zu einem Mann namens James Bond. Dieser wohnte in London und hatte die E-Mail Adresse "007@MI6-London.uk". Was an Fäkal- und Kraftausdrücken zu lesen war, gebe ich nicht wieder. Aus Sicht des Datenschutzes, ist das natürlich sehr erfreulich, denn die wahren Identitäten bleiben geheim. Aber einem Restaurantbetreiber, der im Zweifelsfall eine Prüfung und ein Bußgeld eines Gesundheitsamts befürchten muss, würde ich diese Form der Datensammlung so nicht empfehlen. Es mag ja alles lästig sein und mancher darin keinen Sinn sehen, aber wenn eine Behörde etwas anordnet, dann ist dem angemessen nachzukommen. Daher sollte jeder Bedienstete eines Restaurants einen kurzen Blick auf die Kontaktdaten werfen und überprüfen, ob diese offensichtliche Phantasiedaten sind. Ist letzteres der Fall, dann sollten die Gäste noch einmal die Formulare ausfüllen und das Restaurantpersonal sich einen Nachweis zeigen lassen.



2. Externe Inhalte bei E-Mails

Die Details über externe Inhalte bei E-Mails sind den meisten Menschen nicht bekannt. Viele sehen dieses ohne weitere Hintergrundkenntnisse in ihrem E-Mail Programm, wo Bilder und Funktionsfelder mit dem Bemerk "externe Inhalte sind ausgeblendet" nicht dargestellt werden. Möchte man diese angezeigt bekommen, dann muss die Funktion diese zu laden explizit bestätigt werden. Das ist auch sehr gut so und diese Sicherheitseinstellung, die in der Regel bereits so voreingestellt ist, sollte keinesfalls verändert werden.

HTML E-Mails können Bilder und andere Daten von dritten Quellen laden. Dass heißt, dass ein Bild oder auch Daten für eine Funktion nicht in der E-Mail selbst enthalten sind. Es ist lediglich ein Link enthalten, von woher diese Bilder oder Daten geladen werden sollen. Wenn ein Empfänger einer solchen E-Mail "externe Inhalte anzeigen" bestätigt, dann holt sich das E-Mail Programm diese Inhalte von externen Servern. Zum einen kann dabei Schadsoftware auf das Endgerät gelangen. Zum anderen kann eine solche Praktik, aber auch gegen den Datenschutz verstoßen, wenn dabei personenbezogene Daten ohne vorherige Einwilligung an einen Dritten übertragen werden. Letzteres ist nicht ungewöhnlich, denn viele Newsletter laden "w3.org" oder "Google Fonts". Oftmals werden auch dritte Dienste zum E-Mail und Newsletter Versand genutzt, die von ihren eigenen Servern Inhalte laden. Dabei wird im Gegenzug die IP-Adresse des Endgeräts, auf welchen die E-Mail abgerufen wird, mit anderen Daten an den Dritten Server übertragen. Dort kann diese gesammelt und verarbeitet werden, was in der Regel auch der Fall ist. Aus Sicht des Absenders einer solchen Nachricht, ist es nicht ausreichend hierüber nur in der Datenschutzerklärung zu informieren. Ein berechtigtes Interesse reicht als Rechtsgrundlage nicht aus. Es ist eine vorherige Einwilligung der Betroffenen einzuholen. Diese kann man in der Praxis nur schwer bekommen. Eine Variante wäre, dass mit Bestellung eines Newsletters im Double-Opt-In Verfahren gleich eine solche Einwilligung eingeholt wird. Ansonsten gestaltet sich die Einholung einer Einwilligung schwierig.

Ein Nutzen dieser Technik liegt darin, dass die Größe von E-Mails stark reduziert wird. Ferner ist diese Form auch benutzerfreundlicher und kann helfen Spam zu erkennen. Darüber hinaus liegt ein Nutzen dieser externen Inhalte oft darin, dass so der Umgang mit den E-Mails beim Empfänger detailliert ausgewertet werden kann. Hier muss ein Absender genau abwägen, ob dieser Nutzen überwiegt und wie er dann eine Einwilligung einholt bzw. den rechtlichen Rahmen gestaltet. Ansonsten ist zu empfehlen, dass man E-Mails nur mit externen Inhalten verschickt, die von einem eigenen Server oder sicheren Drittserver geladen werden. Auch man selbst darf hierbei keine Daten sammeln und verarbeiten, wenn vorher nicht eine ausdrückliche Einwilligung eingeholt wurde.



3. Dezentrale Datensammlung

Machen wir uns einmal nichts vor und sehen der Wahrheit ins Auge. Wenn wir uns mit dem Internet verbinden, dann sammeln Google, Appel, Amazon, Facebook & Co personenbezogene Daten über uns. Der Browser tut es, die Webseiten, die wir besuchen, tun es, die Apps tun es, das Betriebssystem tut es und unsere Endgeräte tun es. Die Techniken zum Sammeln von Daten werden immer weiter verfeinert. Unsere Daten sind pures Geld wert und jeder will dieses Geld verdienen.

Als ich im Herbst 2018 auf einer Veranstaltung referierte, stellte mir aus dem Publikum jemand die Frage, was ich denke, wie viel Speicherplatz es bei Google für gesammelte Daten von Nutzerverhalten gibt? Google verrät uns so etwas leider nicht. Spontan hatte ich damals 25 Exabyte gesagt. Zur Verdeutlichung: 8 Bit sind ein Byte, 1.000 Byte ein Kilobyte, 1.000 Kilobyte ein Megabyte, 1.000 Megabyte ein Gigabyte, 1.000 Gigabyte ein Terabyte, 1.000 Terabyte ein Petabyte und 1.000 Petabyte sind ein Exabyte. Mit 25 Exabyte meinte ich also 25 Millionen Terabyte bzw. 25 Milliarden Gigabyte. Aktuell spekuliert man mit 70 bis 80 Exabyte einschließlich Sicherungskopien in Bezug auf Google. Also liege ich mit 25 Exabyte reine Daten, wenn vielleicht 2018 noch etwas hoch gegriffen, für 2020 durchaus im realistischen Bereich. In durchschnittlichen Aktenschränken sind das 100 Millionen Aktenschränke. Google hat damit eine 2.000 mal größere Datensammlung als die Stasi, der Staatssicherheitsdienst der ehemaligen DDR, sie zu ihrem Höhepunkt hatte. Neben Google haben alle anderen Technologie-Giganten ebenso eine solche Sammlung. Darüber, was die NSA hat, will ich nicht spekulieren. Und selbst die zweite Reihe der Internetunternehmen hat immer noch mehr und bessere Daten, als jeder Geheimdienst in den 1990er Jahren es sich gewünscht hat. Ein Recht auf Löschung haben wir als Betroffene nicht, weil in den USA andere Gesetze gelten.

Eine Lösung am Horizont könnte aus Europa kommen. Inzwischen verfügen alle Endgeräte über so viel Speicher, dass man problemlos 2 bis maximal 5 GB für personenbezogene Daten abzweigen könnte, die dann lokal, auf dem jeweiligen Endgerät, gespeichert werden. Dieser Ansatz nennt sich "dezentrale Speicherung". Ein Vertreter ist die 1976 in Hamburg geborene Katharina Zweig, die als Professorin an der TU Karlsruhe zu künstlicher Intelligenz und anderen IT-Themen forscht. Sie geht hierauf in einem Interview, dass die Datenschutzaktivistin Katharina Nocun, Autorin des Buches "Die Daten die ich rief", mit ihr kürzlich geführt hat, ein. Das ganze Interview ist hier zu lesen: Blog Katharina Nocun

Das personenbezogene Daten auf unseren Endgeräten, und nicht mehr zentral bei dritten Unternehmen, gesammelt werden, würde einen jeden in die wirkliche Lage versetzen selbst über die eigenen Daten, ihre Sammlung und Nutzung, effektiv bestimmen zu können. Das die Professorin Katharina Zweig sich die Umsetzung von dezentraler Datensammlung in der Europäischen Union gut vorstellen kann, ist hierbei ein Lichtblick für die Zukunft. Das Internet und die neuen Medien sind eine sehr junge Technologie, die noch viele Regulierungen braucht. Oftmals scheint es so, dass man dabei nicht auf dem richtigen Weg ist. Mit der DSGVO gab es aber bereits den ersten Schritt in die richtige Richtung und ich bin sicher, dass diesem noch viele weitere Schritte folgen werden. Dezentrale Datenspeicherung wäre dabei ein Meilenstein für den Datenschutz.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter wird es u.a. um Software-Updates und ihre unerwünschten Nebenwirkungen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com