Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Updates und Ihre Probleme
  2. MS Windows 10 in Unternehmen
  3. Unerwünschte Telefonwerbung in der Praxis

1. Updates und Ihre Probleme

Dieser erste Punkt des Newsletters ist auch eine Vorleistung für den Punkt "Microsoft Windows 10 in Unternehmen". Leider sind Updates nicht immer nur Segen, sondern können manchmal auch Fluch sein.

Grundsätzlich ist es äußerst wichtig, dass Sie immer alle Updates sofort installieren, insbesondere Sicherheitsupdates von Betriebssystemen und von Software, die schützenswerte Daten verarbeitet oder auf das Internet zugreifen darf. Updates schließen sehr häufig Sicherheitslücken. Sie sind damit einer der wichtigsten Bestandteile für eine angemessene IT-Sicherheit. Der amerikanische Experte und Publizist für Internet Kriminalität und Sicherheit, Michael Goodman, wird nicht müde bei jeder Gelegenheit zu betonen, dass man mit immer aktuellen Updates ca. 80% der gängigen Sicherheitsbedrohungen von außen abwehren kann. Ob es nun wirklich 80% sind oder nicht, das kann ich nicht verifizieren, aber die grundsätzliche Aussage ist absolut richtig. Halten Sie ihre Betriebssysteme und Software immer auf dem aktuellen Stand.

Es ist aber ebenso richtig, dass Updates auch Probleme mit sich bringen können. Updates beheben Fehler, bieten aber auch regelmäßig neue Funktionen und andere Verbesserungen. Dabei kommt es nicht selten vor, dass in diesen neuen Funktionen und Verbesserungen eine Sicherheitslücke oder ein Bug vorliegt. Dagegen kann man sich als Nutzer leider nicht schützen. Man muss dann bis zum nächsten Update warten dass die Fehler, die in der Zwischenzeit jemand gefunden und gemeldet hatte, behebt. Was den Datenschutz betrifft, ist das Problem keine Sicherheitslücke, sondern sehr oft eine bewusste Funktion, die auf einmal personenbezogene Daten sammelt und an dritte Server überträgt. Diese Problematik betrifft insbesondere auch das Webdesign. Die Erfahrung der letzten Jahre zeigt, das viele Programmierer auf Datenschutz nicht geschult sind und diesem auch keine große Beachtung schenken. So passiert es relativ häufig, dass Updates in Content Management Systemen (CMS) von Webseiten einerseits alles viel bunter, schöner und flexibler machen. Andererseits aber auf einmal personenbezogene Daten an Google, Facebook und Co. senden, weil solche Dienste jetzt verwendet werden, was vor dem Update nicht der Fall war. Falls es zu solchen Änderungen bei der Installation überhaupt eine Information gibt, liest man diese in der Regel nicht. Ein Update wird installiert und weitere Überprüfungen tätigt man nicht. Das führt dazu, dass eine bisher datenschutzkonforme Webseite auf einmal gegen den Datenschutz verstößt. Bemerken tut das zuerst keiner, im schlimmsten Fall so lange nicht bis ein Nutzer den Sachverhalt bei einer Datenschutzbehörde anzeigt. Es empfiehlt sich daher für alle Programmierer, nach jedem Update oder in regelmäßigen Intervallen, genau zu überprüfen, ob Funktionen und Dienste von dritten Servern geladen werden, die vorher nicht geladen wurden. Dieses ist dann umgehend zu beheben oder dem Datenschutzbeauftragten zu melden, um mit diesem hierfür eine Lösung zu finden.

Die Problematik, wie sie eben für das Webdesign erörtert wurde, besteht aber auch für Betriebssysteme und Software. Updates schaffen neuen Funktionen und Verbesserungen. Auf der anderen Seite ist es ebenso möglich, dass jetzt personenbezogene Daten an die jeweiligen Anbieter übertragen werden, was vor dem Update nicht der Fall war. Zum Beispiel durch Fehlerprotokolle und Nutzungsdatensammlung für Verbesserungen. Ebenso können mit Updates bestehende Sicherheitseinstellungen oder eigene Änderungen in der Registry überschrieben werden. Auch solche Einstellungen sollten von den zuständigen IT-Betreuern nach größeren Updates und in regelmäßigen Intervallen immer überprüft werden.



2. MS Windows 10 in Unternehmen

Seit es Windows 10 gibt, gibt es die Diskussion über personenbezogene Daten, die automatisch an Microsoft übertragen werden, ohne dass man als Nutzer dieses verhindern kann. Und seit es die DSGVO gibt, also seit Ende Mai 2018, gibt es die Diskussion darüber, wie man Windows 10 in Unternehmen und öffentlichen Körperschaften datenschutzkonform einsetzt. An Lösungen, die in der Praxis realisierbar sind, fehlte es bisher. Ende 2019 hat die Datenschutzkonferenz (DSK) hierzu zwei Beschlüsse verabschiedet. Zum einen ein Prüfschema und zum anderen eine technische Anlage. Allerdings haben diese Beschlüsse nur die bisher hierzu bestehenden Überlegungen bekräftigt und liefern ebenso keine praktikablen Lösungen.

Die Problematik besteht darin, dass Windows 10 Daten mit einer eindeutigen Kennung des mit der Software installierten Rechners sammelt und an eigene Microsoft-Server überträgt. Hierbei handelt es sich vorwiegend um Konfigurations-, Nutzungs- und Installationsdaten zu Zwecken der Fehleranalyse oder zur Verbesserung von Funktionen. Die Übertragung dieser so genannten Telemetriedaten, die den Charakter personenbezogener Daten haben, weil sie eindeutig auf ein Endgerät und damit einen Nutzer rückverfolgbar sind, kann nicht komplett unterbunden werden. Laut dem BSI (Bundesamt für die Sicherheit in der Informationstechnik) sind technische Maßnahmen hiergegen zwar möglich, können aber nur von IT-Spezialisten durchgeführt werden, sind letztlich nicht empfehlenswert und würden im Falle eines Updates immer wieder rückgängig gemacht werden. Ferner verändern Updates fortwährend Art und Umfang übermittelter Daten. Daher ist jeder Aufwand einer technischen Unterbindung letztlich unverhältnismäßig. Diese Problematik gilt auch bei der Nutzung lokaler Konten anstatt eines Microsoft Kontos.

Der Datenschutz braucht immer eine Rechtsgrundlage für die Sammlung und Verarbeitung personenbezogener Daten. Für Arbeitsverhältnisse gilt grundsätzlich, dass nur solche personenbezogenen Daten gesammelt und verarbeitet werden dürfen, die für die Durchführung des Arbeitsverhältnisses notwendig sind. Darüber hinaus dürfen personenbezogene Daten nur gesammelt und verarbeitet werden, wenn hierfür eine gesetzliche Pflicht oder eine Einwilligung der Betroffenen vorliegt. Die Sammlung und Übertragung von personenbezogenen Daten an Microsoft ist grundsätzlich nicht für die Durchführung eines Arbeitsverhältnisses notwendig. Somit müssten die betroffenen Personen ausdrücklich in die Sammlung und Übertragung dieser Daten an Microsoft zustimmen. Allerdings ist eine rechtswirksame Zustimmung im Datenschutz immer an die Freiwilligkeit des Betroffenen gebunden. Diese kann hier aber nicht gegeben sein, da der Betroffene mit Sanktionen seitens seines Arbeitgebers oder für seine Karriere rechnen muss, wenn er nicht einwilligt. Damit wäre jede Einwilligung im späteren angreifbar und für den Arbeitgeber ohne Nutzen.

Besonders betroffene Apps und Dienste, wie zum Beispiel Cortana, den Sprachassistenten von Microsoft, zu deaktivieren oder derartige Dienste zu deinstallieren, stellt auch keine Lösung dar. Updates machen solche Einstellungen immer wieder rückgängig und installieren Apps erneut. Telemetriedaten werden weiterhin übermittelt. Es verbleibt immer die Tatsache, dass personenbezogene Daten übertragen werden. Der Datenschutz kennt aber auch nur die klare Regelung, dass entweder keine Daten gesammelt und verarbeitet werden oder dass es eine Rechtsgrundlage dafür gibt. "Ein bisschen Datensammeln und Verarbeiten ist ok, wenn es nicht zu viele sind", kennt der Datenschutz nicht. Und das ist auch kein zielführender Ansatz für einen Umgang mit dem Problem.

Auch in 2020 findet sich bisher keine Lösung der Problematik. Letztendlich folgt Microsoft mit der jetzigen Praxis der Sammlung personenbezogener Daten seinen Konkurrenten Google und Apple, die es mit ihren Betriebssystemen schon sehr lange so handhaben. Und auch hier fehlt es an entsprechenden Lösungen für die Praxis. Allein von einem Windows 10 Problem zu sprechen, wäre also zu kurzgegriffen. Es handelt sich um ein Problem der Betriebssysteme bzw. der Anbieter dieser. Letztlich kann die Lösung nur darin liegen, dass die Anbieter gezwungen werden, die jetzige Praxis einzustellen und nur noch anonymisierte Daten zu sammeln und zu verarbeiten. Ebenso wäre eine dezentrale Datensammlung, also der Verbleib aller Daten auf dem Endgerät, mit wirklichen Entscheidungsmöglichkeiten der Nutzer selbst darüber zu bestimmen, welche Daten sie freigeben, eine Lösung. Das Fazit kann hier derzeit nur sein, dass die Lösungen bei den Anbietern erfolgen müssen und nicht von den Anwendern zu suchen sind. Und hier sehe ich die Datenschutzbehörden und Politik in der Pflicht, auf die Anbieter einzuwirken.



3. Unerwünschte Telefonwerbung in der Praxis

Der Sachverhalt ist eigentlich einfach: Man darf jemanden nur zum Zweck von Werbung oder Verkaufsgesprächen anrufen, wenn man dafür eine rechtswirksame Einwilligung dieser Person besitzt. Das war bereits vor der DSGVO der Fall. In der Praxis sieht das ganz anders aus. Jeder wird von jedem angerufen. Keine Einwilligung zu haben ist ein Kavaliersdelikt. Die Bundesnetzagentur hatte zwar bereits seit längerem begrenzte Möglichkeiten gegen solche Anrufe vorzugehen, allerdings war der Erfolg mäßig. Mit der DSGVO gibt es mehr Möglichkeiten, denn die illegalen Anrufer können jetzt auch mit Hilfe der Datenschutz-behörden belangt werden.

Ein persönlicher Fall hierzu: Ich wurde im Februar von einer Berliner Firma zum Zweck eines Verkaufsgesprächs für einen Energieanbieterwechsel mobil angerufen. Der Sachverhalt verwunderte mich, da der Anruf auf einer Mobilnummer erfolgte, die ich nur für ein spezielles Geschäft nutze und die nirgendswo anders als auf einer einzigen Internetseite veröffentlicht ist. Es war also klar, dass die Nummer dort mit meinen Daten abgeschrieben wurde. Ich stellte daher an die Firma eine Auskunft nach Art. 15 DSGVO. Diese wurde dahingehend beantwortet, dass man mir mitteilte, dass Anrede, Vorname, Name, Anschrift und diese Rufnummer von mir gespeichert sind. Die Daten wurden, so die Auskunft, von einer Firma in Baden-Württemberg mit der Versicherung einer rechtswirksam vorliegenden Einwilligung für Werbeanrufe übermittelt. Folglich schrieb ich die Firma in Baden-Württemberg an und bat um Auskunft nach Art. 15 DSGVO. Nach Mahnung, unter Androhung der Einschaltung einer Aufsichtsbehörde, wurde mir hier mitgeteilt, dass man die Daten von einer Firma in der Nordheide bezogen hat, die die rechtswirksame Einwilligung zugesichert hat. Also schrieb ich diese Firma an und bat erneut um Auskunft nach Art. 15 DSGVO.

Die Firma in der Nordheide übermittelte mir eine siebenseitige Erklärung, wonach ich selbst, auf einer Internetseite für ein Gewinnspiel, die Einwilligung getätigt habe. Diese Erklärung ist eine der "dämlichsten" Fälschungen, die ich je gesehen habe und zeugt von jedem Fehlen eines technischen Verständnisses. Den Darlegungen dieser Firma nach, habe ich an einem Tag im Juli 2019, morgens um Uhr 8:30, diese Seite besucht und 8 Minuten später das Gewinnspiel mit einem SMS-Code, den ich auf mein Mobilgerät bekommen hatte, verifiziert. Tatsächlich befand ich mich an diesem besagten Morgen im Urlaub an der Mosel, ohne dass ich ein Notebook oder einen Laptop, welche als Endgeräte genannt wurden, dabei hatte. Die IP-Adresse, die ich genutzt haben soll, gehört über Freenet zu einem Service der Mobilcom in Rendsburg, den ich nicht nutze. Eine technische Analyse der Gewinnspielseite zeigt, dass es hier überhaupt keine SMS-Verifizierungsmöglichkeit gibt. Dazu lieferte man mir noch einen Screenshot mit meinen eingegebenen Daten auf dieser Seite. Einen Screenshot kann man nur auf dem Endgerät machen, wo man die Daten eingibt. Das wäre dann mein Endgerät gewesen, worauf ein dritte Person Zugriff gehabt haben müsste. Das war natürlich nicht der Fall. Auch ich habe natürlich nicht diesen Screenshot gemacht und diesen hiernach per E-Mail an diese Firma geschickt. In Wahrheit hat diese Firma die Daten selbst in die Maske eingegeben und einen Screenshot gemacht. So sollte ich getäuscht und mir suggeriert werden, dass ich wirklich diese Seite besucht habe, mich nur nicht mehr daran erinnern kann. Das hat aber nicht funktioniert. Die Anzeige des Sachverhalts an die zuständige Aufsichtsbehörde durch mich ist erfolgt. Der Screenshot ist dabei entscheidender, nicht zu widerlegender Beweis. Bei der IP-Adresse könnte die Firma mit "technischer Fehler" argumentieren, ansonsten, dass die Seite 2019 andere Funktionen hatte etc. Aber bei dem Screenshot gibt es nur eine mögliche Erklärung: Man hat den Shot selbst gemacht und er ist eine vorsätzliche Fälschung. .

Leider ist ein solcher oder ähnlicher Fall in der Praxis Gang und Gebe. Betroffene Personen, wenn diese dann Auskunft verlangen, werden mit Irreführungen und Fälschungen davon abgehalten, weitere Schritte einzuleiten. Die wenigsten kennen dabei Ihre Rechte genau und nutzen diese auch. Doch auch hier macht der Datenschutz Fortschritte und zu mindestens eine unseriöse Firma bekommt demnächst ein Problem.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter wird es um den IT-Grundschutz im Sinne des Bundesamts für die Sicherheit in der Informationstechnik (BSI) gehen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com