Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. September 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Definition von "freiwillig und informiert" in der Einwilligung zur Verarbeitung personenbezogener Daten
  2. Aktuelles aus dem Datenschutz
  3. E-Mails: Sicherheit versus Funktionalität

1. Definition von "freiwillig und informiert" in der Einwilligung zur Verarbeitung personenbezogener Daten

Dieses Thema kommt nicht aus heiterem Himmel, sondern hat sich lange abgezeichnet. Es war nur eine Frage der Zeit, bis es höchstrichterliche Entscheidungen hierzu gibt. Und es war eigentlich jedem, der diese Thematik im Datenschutz verfolgt hatte klar, wie diese Entscheidungen ausfallen werden: Eine Einwilligung ist nur dann rechtmäßig, wenn die betroffene Person diese freiwillig und informiert abgegeben hat. Dieses ist nur dann der Fall, wenn die betroffene Person bei Einwilligung auch angemessen über die möglichen Risiken bei der Verarbeitung ihrer personenbezogenen Daten für den bestimmten Zweck informiert war. Die betroffene Person muss also nicht nur eine Einsicht darüber haben, wofür die Einwilligung grundsätzlich abgegeben wird, sondern auch darüber welche Risiken für sie damit bestehen. Der Nachweis ist im Zweifel von der verantwortlichen Stelle zu führen. Sofern die Risken einer betroffenen Person bei Einwilligung nicht hinreichend bekannt waren und auch nicht die Möglichkeit bestand sich auf einfache Art bei der Einwilligung hierüber zu informieren, ist die Einwilligung unwirksam.

Diese höchstrichterliche Entscheidung ist inhaltlich richtig. Es macht natürlich keinen Sinn, dass betroffene Personen nur "pro forma" unterschreiben, völlig unwissend darüber, was mit ihren Daten passieren könnte und ohne jedes Bewusstsein für mögliche Risiken. Auf der anderen Seite bedeutet dieses natürlich mehr Bürokratie und längere Texte in den Einwilligungserklärungen. Längere Texte, die meistens am Ende dann doch nicht von den betroffenen Personen gelesen oder verstanden werden. Was genau angemessen ist, bleibt auch fraglich und muss im individuellen Fall untersucht werden. Es sollte aber eine wesentliche Übersicht über mögliche Risiken nun immer bekannt gemacht werden, sofern aus anderen Gründen nicht belegt ist, dass eine einwilligende Person entsprechend aufgeklärt ist.

Ich sehe bei der Thematik besonderes Augenmerk auf der Einwilligung der Veröffentlichung von Bildern und anderen personenbezogenen Daten im Internet sowie im E-Mailverkehr. Das ist in der Tat ein Bereich, wo eine breite Palette an Risiken für betroffenen Personen bestehen und über die sich die wenigsten wirklich bewusst sind. Hierüber muss man nun bei Einwilligung in aufklären. Wie umfangreich und in welcher Form diese Informationen erfolgen sollen, ist eine schwierige Frage, mit der ich mich derzeit befasse. Einige Kund*innen hatten bereits Entwürfe hierzu von mir bekommen. Diese sind doch leider recht lang an Text. Ich präferiere jetzt eine kürze Abhandlung der Risiken und dazu einen Verweis auf eine längere Ausführung in den Informationen zum Datenschutz, die diejenigen, die es wirklich interessiert, dort lesen können. Solange letztere Informationen für betroffene Personen auf einfache Art und Weise kostenlos zu erhalten sind, sehe ich hierbei auch keine Rechtsproblematik.
.
Ebenso stellt sich in diesem Zusammenhang erneut die Frage nach der Einwilligung für Tracking-Methoden auf Webseiten. Auch hier ist dann zuerst eine Risikoaufklärung notwendig und ansonsten die Einwilligung nicht rechtens. Ungeklärt ist aber auch weiterhin das Geschäftsmodell der Paywalls und das Geschäftsmodell der verbundenen Geschäfte mit einer Einwilligung. Nehmen wir einmal das Beispiel eines Glücksspiels, dass man nur mitmachen kann, wenn man der Verarbeitung seiner Daten zu Marketingzwecken zustimmt. Fällt diese Form der Gestaltung unter die unternehmerische Freiheit des Glücksspiel-anbieters die Bedingungen für das Glücksspiel ebenso zu gestalten oder ist dieses Modell, genau wie Paywalls es sein könnten, widerrechtlich. Die DS-GVO kennt grundsätzlich die Einwilligung nur unter der Voraussetzung der Freiwilligkeit. Wenn eine betroffene Person nicht einwilligt, darf kein Nachteil für diese eintreten. Das ist hier aber der Fall: Willigt man nicht ein, kann man nicht am Glücksspiel teilnehmen. Oder bei Paywalls: Willigt man nicht ein, kann man zum Beispiel den Online-Artikel einer Zeitung nicht lesen. Eine höchstrichterliche Entscheidung zur Rechtmäßigkeit von Paywalls und verbundenen Geschäften mit einer Einwilligung liegt noch nicht vor. Die Aufsichtsbehörden hatten diese Form der Einwilligung zuerst deutlich als rechtwidrig eingestuft, halten sich hier inzwischen aber zunehmend bedeckt. Klar ist in jedem Fall, dass die Einwilligung für eine unternehmerische Freiheit nicht die geeignete Rechtsgrundlage ist, denn eine Freiwilligkeit liegt in jedem Fall nicht vor. Vielmehr ist es ein Kaufgeschäft. Die betroffene Person erhält eine Leistung und erkauft diese mit der Erlaubnis personenbezogene Daten von sich aufzeichnen und verarbeiten zu lassen. Somit wäre ein Vertragsschluss hierüber die korrekte Rechtsgrundlage. Aber solange dieses nicht eindeutig höchstrichterlich geklärt ist, werden wohl die Einwilligungen als verbundenes Geschäft weiterlaufen und als unternehmerische Freiheit begründet werden.



2. Aktuelles aus dem Datenschutz

Zuerst zu einer Frage, die Covid19 Schutzimpfungen betrifft und vermehrt auftritt: Darf ein Arbeitgeber von seinen Mitarbeiter*innen Auskunft über den Impfstatus verlangen? Nein, das darf er nicht. Die Erhebung und Verarbeitung solcher Daten, ist nicht erlaubt. Ein Arbeitgeber darf nur personenbezogene Daten erheben, für die eine gesetzliche Pflicht besteht oder die zur Durchführung des Arbeitsverhältnisses unmittelbar notwendig sind. Daten über Krankheiten, Urlaubsreisen, Schwangerschaften, Impfungen, Hobbies und alle privaten Aktivitäten dürfen grundsätzlich nicht erhoben und verarbeitet werden. Dieses auch nicht unter einer Einwilligung der Mitarbeiter*innen, weil unselbständige Erwerbspersonen im Arbeitsverhältnis als abhängig und (in jedem Fall an dieser Stelle) deswegen als nicht freiwillig handelnd anzusehen sind.

"Lilith Wittmann" ist eine 25jährige Expertin für IT-Sicherheit und vieles mehr. Sie arbeitet unter anderem für den Chaos Computerclub und weitere Auftraggeber. Im Juli hatte sie laut mehreren Presseartikeln (zum Beispiel bei netzpolitik.org) eine gravierende Sicherheitslücke in der Wahlkampf App der CDU, "CDU Connect", gefunden. Ihren Angaben zufolge war es dadurch möglich an die personenbezogenen Daten von über 18.500 Wahlkampfhelfer*innen der CDU zu gelangen. Lilith Wittmann hat sich korrekt verhalten, aus der Lücke keinen Nutzen gezogen und diese auch nicht öffentlich gemacht, sondern das Sicherheitsproblem der CDU als auch der CSU und ÖVP, die die App der Firma PXN GmbH (Eine von Mitgliedern der CDU gegründete Firma.) in anderen Design ebenso nutzten, mitgeteilt. Dieses Verfahren ist international üblich und nennt sich "Responsible-Disclosure-Verfahren". Als Reaktion schalteten die betroffenen Parteien diese App umgehend ab. Lilith Wittmann wurde danach von der CDU hierfür angezeigt und das LKA Berlin hat die Ermittlungen gegen sie aufgenommen. Die Anzeige wurde im späteren, aufgrund massiven öffentlichen Drucks, von der CDU zurückgezogen. Was genau Lilith Wittmann von der CDU vorgeworfen wurde, ist aus Datenschutzgründen nicht bekannt. Jedoch ist eigentlich nur § 202c StGB, der sogenannte Hackerparagraf, denkbar. Die Problematik solcher Anzeigen besteht inzwischen seit Jahren: Wer eine Sicherheitslücke findet, der kann sich entscheiden diese entweder dem betroffenen Unternehmen mitzuteilen, und dafür dann als Hacker angezeigt zu werden, die Lücke anonym zu veröffentlichen oder das Wissen im Darknet teuer zu verkaufen. Der Ansporn mit Sicherheitslücken verantwortungsvoll umzugehen, um es einmal etwas sarkastisch auszudrücken, ist bei dieser Auswahl leider recht niedrig.

Das BSI schreibt im Newsletter des Augusts, dass Ransomware Angriffe in den letzten 12 Monaten dramatisch zugenommen haben. Dabei sind auch immer mehr kritische Infrastrukturen, so nennt man Netzwerke der öffentlichen Versorger von relevanten Dienstleistungen für die Bevölkerung, betroffen. Auf Berufung von Zahlen des Sicherheitsunternehmens Barracuda Networks beträgt die Steigerung 64%. Gefühlt kann ich hier nicht widersprechen und hätte auf eine noch höhere Steigerungsrate getippt. Die Verschlüsselung ganzer Systeme stellt ein großes Problem dar, was jedes Unternehmen jeder Größe treffen kann. Ich kann hier nur warnen und jeden dazu auffordern externe Sicherungen anzulegen, egal ob in einer Cloud oder in anderer Form. Sicherungen im Sinne eines NAS sind nicht mehr zeitgemäß, weil diese einfach mit verschlüsselt werden und dann kein Backup mehr zur Verfügung steht.

Um an die eben erwähnte Thematik anzuschließen: Das Handelsblatt berichtet über einen Fall von einem erfolgreichen Ransomware Angriff. Er betrifft das Beratungsunternehmen Accenture. Ironischerweise hatte das Unternehmen kurz zuvor noch öffentlich vor Ransomware und Hackerangriffen gewarnt. Im eigenen Haus hatte man die Warnung wohl nicht so ernst genommen. Es wurden bei dem Angriff auch Daten entwendet und ein Teil davon soll im Darknet veröffentlicht sein, so das Handelsblatt. Ein Kommentar erübrigt sich und es stellt sich nur die Frage, welcher Unternehmensname in meinem nächsten Newsletter exemplarisch für einen solchen Angriff zu finden sein wird.

Jetzt bin ich einmal faul und zitiere mit Copy-Paste aus dem letzten BSI-Newsletter: "Tausende Exchange-Server, über die Unternehmen E-Mails, Termine und Kontakte abwickeln, sind derzeit über bekannte Schwachstellen angreifbar, weil die nutzenden Firmen die schon seit Monaten verfügbaren Patches nicht einspielen. Sicherheitsexpertinnen und -experten, darunter auch das Computer-Notfallteam des Bundes, CERT-Bund, fordern IT-Admins seit Wochen auf, die Server auf den aktuellen Stand zu bringen. Dennoch wurden weltweit in kurzer Zeit mehr als 1.900 Exchange Server über die Schwachstelle infiziert." Ich füge dem einmal folgendes an: Viele kleine Unternehmen haben gar keine richtige IT-Abteilung oder einen Admin, der diese Bereiche permanent betreut. Die meisten haben sich irgendwann mal irgendwie und von irgendjemanden einen Exchange-Server einrichten lassen, der seitdem vor sich hindümpelt, brav seine Dienste tut, aber seit Jahren kein Update gesehen hat.

Bei Meldungen zu Sicherheitslücken und Updates dafür waren auch im August mal wieder alle namhaften Unternehmen betroffen. Darunter auch eine Schwachstelle bei der Software für HP-Office Jets. Auch Drucker und Multifunktionsgeräte können Schwachstellen haben, über die in das Netzwerk eines Unternehmens eingedrungen werden kann. Das sollte man nicht vergessen. Das gilt übrigens so auch für alle Geräte des Internets der Dinge, die man so hat, von Heizungsventilen bis zu Waschmaschinen. Ungewöhnlich auffällig war im August auch Adobe. Gewöhnlich, wie alle großen Unternehmen, gibt man einmal pro Monat Updates raus und nennt diesen Tag "Patch-Day". Adobe hatte sich aber dazu entschieden zwischendurch nochmal Updates zu Veröffentlichen, weil eine Sicherheitslücke wohl so groß war, dass es zu gefährlich schien bis zum nächsten Patch-Day damit zu warten. Letztlich aber alles nichts anderes als der ganz normale Wahnsinn jeden Monats.

Da ich schon das Internet der Dinge ansprach: Aus den USA meldet ein Sicherheits-unternehmen eine Sicherheitslücke bei einer Software der Firma "ThroughTek" gefunden zu haben. Diese Software ist in über 80 Millionen Smart-Home-Geräten zu finden. Betroffen sind Lampen, Heizungsventile, Türschlösser, Babyphones, Kühlschränke, Waschmaschinen und so weiter. Sicherheitsupdates stehen bereit und jeder sollte seine Smarthome-Geräte unbedingt updaten. Ob es wirklich erstrebenswert ist, dass man auf der Arbeit kurz vor Feierabend zur Vorfreude eine Nachricht seiner Waschmaschine bekommt, dass die Wäsche fertig ist und man, wenn man zuhause ist, als erstes bügeln darf, sei mal dahingestellt.



3. E-Mails - Sicherheit versus Funktionalität

Das zunehmende Problem mit SPAM sowie mit Malware, allen voran Ransomware, die häufig per E-Mail verschickt wird, hat natürlich auch die IT-Sicherheit alarmiert. Jede vorab herausgefilterte SPAM E-Mail ist ein Schritt für mehr Sicherheit. Auf der anderen Seite werden auch immer mehr und mehr nicht SPAM E-Mails irrtümlich herausgefiltert. Dabei landen diese gar nicht mehr in SPAM Ordnern und können dort manuell gefunden werden, sondern werden vorab abgefangen und gar nicht zugestellt. Diese Regeln werden immer rigoroser, so dass auch immer mehr Funktionen von E-Mails und E-Mailversand eingeschränkt werden.

Konkret bedeutet das Folgendes: Immer mehr E-Mailserver sind so eingestellt, dass
E-Mails, die von dritten Servern und nicht den Domaineigenen Servern kommen, abgewiesen werden. Wenn ich also meine Rechnung von einer Cloudsoftware aus schreibe und diese über deren Server versandt werden, aber mit meiner E-Mailadresse als Absender, dann werden diese an einigen E-Mailservern gar nicht mehr angenommen und sofort abgewiesen. Es ist also wichtig auch bei Drittanbietern den Versand von E-Mails über einen eigenen SMTP-Server, der zur Domain der E-Mailadresse gehört, zu führen. Das gilt inzwischen des Öfteren auch für eine abweichende "Return-Path" Email-Adresse. Auch deswegen können E-Mails in der Zustellung abgelehnt werden. Ein anderes Problem sind Regeln im Massenmailversand. So lassen die meisten Provider schon nicht mehr zu, dass man überhaupt mehr als 50 Empfänger in einer E-Mail eintragen kann. Und Empfangsserver kontrollieren einen Massenversand als Kriterium für SPAM. So weißt "Gmail" neuerdings E-Mails von Absendern zurück, wenn es erkennt, dass man die Mail zu gleicher Zeit an mehrere Gmail- Konten schreibt. Es wird also immer schwieriger sicherzustellen, dass eine verschickte E-Mail auch beim Empfänger ankommt und nicht als SPAM komplett abgewiesen wird.

Ein anderes technisches Problem ist die Überprüfung von E-Mails bei Empfang in sogenannten "Sandbox Systemen". Hier ist bei Empfang eine separierte, abgesicherte virtuelle Umgebung vorgeschaltet, in der die E-Mails überprüft werden. Regelmäßig werden dazu auch automatisiert alle Links in der E-Mail ausgeführt, um zu überprüfen, ob diese Links schädliche Funktionen haben. Hier stellen sich dann wieder Datenschutzprobleme, zum Beispiel bei Double-Opt-In-Verfahren: Der Abonnent eines Newsletters, zur Eröffnung eines Kontos oder wofür auch immer, erhält eine E-Mail zur Bestätigung. Eine Sandbox führt den Bestätigungslink nun aus, ohne dass die betroffene Person selbst die Bestätigung getätigt hat. Somit ist die Anmeldung bestätigt, ohne dass tatsächlich wissentlich bestätigt wurde. Im Sinne des Datenschutzes ist das keine rechtswirksame Einwilligung. Aber es stellt sich natürlich auch eine Sicherheitsfrage, wenn man so Double-Opt-In quasi umgehen kann. Eine andere Frage sind Marketingzahlen im E-Mail Tracking. Durch das Ausführen der Links werden gelesen, geöffnet und geklickt Bestätigungen generiert. Tatsächlich ist nichts dergleichen wirklich passiert und die Marketing-Zahlen sind "für die Tonne".

Unter dem Strich wird die digitale Welt von Tag zu Tag komplizierter. Der Kampf gut gegen böse, Sicherheit gegen kriminelle Hacker, geht mehr und mehr ins Detail. Um so komplexer dieser Kampf wird, desto komplizierter werden die Anwendungen in der Nutzbarkeit. Was einmal auf einfachsten Wegen von jedermann zu bewerkstelligen war, ist heute nur noch von Experten zu vollbringen. Und auch die stoßen zunehmend an Grenzen, da ein und die selbe Thematik in einem System auf hunderten individuellen Wegen gelöst sein kann.

Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter, auch wenn es den ein oder anderen schon nervt, wird es wohl mal wieder um MS365 und den Datenschutz gehen müssen. Ein Thema, das nie aufhört und uns wohl noch Jahre beschäftigen wird.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@datenschutz-nord.org
Web: www.datenschutz-nord.org