Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 04. Oktober 2021

DATENSCHUTZ NEWSLETTER

Liebe Kund*innen und Abonnent*innen des Newsletters,

ich freue mich Ihnen eine neue Ausgabe des Newsletters übersenden zu können und habe folgende Themen für Sie ausgesucht:
  1. Datenschutz Zertifizierungen
  2. Datenschutz in der Corona-Pandemie
  3. Aktuelles aus dem Datenschutz
  4. MS365 und Schrems-II

1. Datenschutz Zertifizierungen

Die IITR Datenschutz GmbH in München, deren Veröffentlichungen ich immer gerne lese, hat sich mit der Thematik der Zertifizierungen im Datenschutz nach Art. 42 DS-GVO in Deutschland, Italien und der Schweiz tiefer auseinandergesetzt. Letztlich decken sich deren Erfahrungen aus der Praxis mit meinen, und ich nehme das einmal zum Anlass mich in meinem Newsletter mit Zertifizierungen im Datenschutz auseinanderzusetzen.

Nach drei Jahren DS-GVO haben immer mehr Unternehmen ein Bedürfnis sich die Umsetzung des Datenschutzes zertifizieren zu lassen. Entweder aus Gründen einer transparenten belegbaren Außendarstellung ihrer diesbezüglichen Aktivitäten oder, wie meistens der Fall, als Nachweis für Auftraggeber oder Geschäftspartner, die die Umsetzung des Datenschutzes nach DS-GVO als Voraussetzung der Geschäftsbeziehung zertifiziert haben wollen. Dieses zeigt sich auch häufiger in Anrufen, die ich selbst erhalte, und wo sich Unternehmen mit Anfragen an mich wenden, ob ich ihr Datenschutzmanagement zertifizieren kann. Leider kann ich das nicht. Und bisher hat auch kein Mitgliedsstaat der EU ein wirklich funktionierendes Verfahren nach Art. 42 DS-GVO für eine Zertifizierung geschafft umzusetzen.

In der Praxis stellen sich hier viele Fragen: Zu aller erst die Frage nach welcher Norm die Zertifizierung erfolgen soll. Die Aufsichtsbehörden legen hier die Norm ISO 17065 (Management-Systeme) zugrunde. Denkbar ist aber auch die Norm ISO 27001 (Sicherheit in der Informationstechnologie). Letztlich treffen beide den Punkt Datenschutz, der viele betriebliche Bereiche betrifft, nicht richtig. Eine Norm, die alle Anforderungen für den Datenschutz kennt, gibt es nicht. Die genannten ISO Normen 170650 und 27001 sind für kleine und mittlere Unternehmen, wegen des damit verbundenen Aufwands auch finanzieller Art, gar nicht zu bewältigen. Die Kosten liegen hier noch deutlich über denen für Zertifizierungen nach ISO 9001 (Qualitätsmanagement).

Persönlich sehe ich, gleichermaßen wie die IITR Datenschutz GmbH, auch das Problem der Aussagekraft dieser Zertifikate. Die Abläufe wären die der ISO 9001, wo ein unabhängiger Auditor kommt und alles relevante prüft. In der Praxis sieht das meistens so aus, dass nicht alle Bereiche geprüft werden und dass es erhebliche Mängel gibt. Über die Mängel spricht man dann und findet Erklärungen, die diese temporär rechtfertigen. Andere Mängel hält man in einem internen Report für das geprüfte Unternehmen fest und fordert deren Abstellung zur nächsten Prüfung einige Jahre später. Da wiederholt sich das ganze dann von vorne. Unter dem Strich schafft der Ansatz der Zertifizierung mit einem unabhängigen Auditor zwar immer Bewegung und Verbesserung, aber letztlich ist das Zertifikat kein Beweis dafür, dass der geprüfte Inhalt auch wirklich 365 Tage im Jahr so gelebt und umgesetzt wird. Meine persönlichen Erfahrungen in den Differenzen zwischen Zertifikaten und tatsächlichen Abläufen in Unternehmen sind sehr befremdend, ohne dass ich hierauf näher eingehen möchte. Hauptsache man hat das Zertifikat, damit man es vorweisen kann, und die Umsetzung dahinter ist zweitrangig. Der Schein zählt. Nicht selten kommt es sogar vor, dass ein Auftraggeber ein Subunternehmen bewusst zur Verletzung einer Pflicht anhält, das dann, um den Auftrag nicht zu verlieren, bereitwillig ISO Normen verletzt, die es andererseits zertifiziert bekommen hat und zu deren Umsetzung es sich auch gegenüber dem Auftraggeber verpflichtet hatte.

Wie man eine aussagekräftige Zertifizierung im Datenschutz schafft, die für Unternehmen im Aufwand auch vertretbar ist, weiß auch ich nicht. Wir bräuchten zuerst einmal eine verbindliche Norm, die nicht nur den Bereich Sicherheit in der Informationstechnologie oder nur Management-Systeme abdeckt, sondern direkt auf den Datenschutz zugeschnitten ist. Und wie man eine Umsetzung dann so bestätigt und prüft, dass es nicht nur pro forma auf dem Papier steht, ist eine Frage, die wohl für alle ISO Zertifizierungen überdacht werden muss. Ein schwieriges Feld. So lange es keine Lösungen gibt, finde ich die Prüfung oder Bestätigung eines umgesetzten Datenschutzes einzelner Teilbereiche von externen Datenschutzbeauftragten als ebenso werthaltig wie teure Zertifizierungen. Leider gibt es dafür keine rechtliche Grundlage und ein solches Papier entfaltet nur die Wirkung, die ein Dritter dem geben will oder kann.



2. Datenschutz in der Corona-Pandemie

Der Gesetzgeber hat "mit heißer Nadel" zahlreiche Gesetze erlassen und gefühlt im Minutentakt überarbeitet. Dabei stehen nicht selten Landeseigene Gesetze denen des Bundes vor oder umgekehrt. Es ist teilweise chaotisch und nicht immer sind die gewählten Formulierungen eindeutig oder die gelieferten Regelungen erschöpfend. Das trifft auch auf den Datenschutz in diesen Gesetzen zu. Welche personenbezogenen Daten dürfen gespeichert und verarbeitet werden, und wie lange sind diese Daten aufzubewahren? Ich versuche mich einmal mit diesem Thema zu befassen.

Nach einem langen politischen Hin und Herr dürfen stationäre Einrichtungen und ambulante Pflegedienste den Impfstatus ihrer Arbeitnehmer*innen abfragen und verarbeiten. Ob hier die ambulanten Pflegedienste einbezogen sind, ist rechtlich auch anders interpretierbar. Der "bpa" hat sich aber der Auslegung angeschlossen, dass auch ambulante Pflegedienste einbegriffen sind, so dass ich mich dem auch anschließen will. Jedenfalls nicht einbezogen sind Sozialdienste nach SGB VIII und auch keine Tagesmütter. Im weiteren gilt: Die Erfragung darf auch nur während des Zeitraums erfolgen, für den eine "vom Bundestag beschlossene epidemische Lage von nationaler Tragweite" besteht. Endet diese ist die Erfragung nicht mehr rechtens. Der Beschluss des Bundestags gilt für jeweils 3 Monate und wurde letztmalig am 25. August verlängert. Läuft der Beschluss ohne eine erneute Verlängerung aus, mangelt es danach an einer Rechtsgrundlage für die Erhebung sowie Verarbeitung. Dem Datenschutz nach dürfen dann auch die vor Auslauf gesammelten Daten über den Impfstatus nicht weiter gespeichert und verarbeitet werden, und sind umgehend zu löschen.

Diverse Branchen sind dazu verpflichtet Kontaktdaten von Personen zu erheben und den Gesundheitsämtern vorzuhalten. Es ist umstritten, in wie weit es hier auch unter den Datenschutz fällt, dass die personenbezogenen Daten vollständig und richtig erhoben werden. Unstrittig ist es aber, dass bei Erhebung ein Schutz vor der Einsicht durch dritte Personen und gegen Diebstahl angemessen gewährleistet sein muss. Wie man das richtig macht, habe ich mir einmal in einem Hamburger Einkaufszentrum angesehen. Dort stehen Kartons mit Schlitz auf einem unbewachten Tisch am Eingang der Geschäfte, die überquellen und die jeder mitnehmen kann, wenn er will. Genau so soll es nicht sein. Kontaktdaten sind sicher vor der Einsicht vor dritten Personen zu erheben und gegen Diebstahl geschützt aufzubewahren. Die Daten sind nach Ablauf eines Monats unwiederbringlich zu löschen.

Komplizierter wird es mit dem Testen und dem Datenschutz, denn hier werden auch besonders schutzwürdige Daten verarbeitet. Dabei gelten die Vorschriften der Corona-Testverordnung (TestV) und ebenso die Vorschriften der Länder. Es muss unterschieden werden, ob die Testungen in einem zugelassenen Testzentrum oder einem vergleichbaren Dienstleister, der mit der kassenärztlichen Vereinigung oder Pflegekasse abrechnet, geleistet werden oder es sich um sonstige betriebliche Tests handelt. Für ersteres gelten die Vorschriften des §7 TestV. Hiernach sind zu Zwecken der Überprüfung der ordentlichen Abrechnung personenbezogene Daten bis Ende 2024 vorzuhalten. Allerdings nicht das Prüfergebnis, wenn es nicht positiv ist. Somit ergibt sich das Prüfergebnis quasi von selbst und indirekt werden auch negative Ergebnisse erfasst. Finden Tests in Unternehmen auf rein freiwilliger Basis, ohne eine gesetzliche Grundlage, statt, dann ist als Rechtsgrundlage die freiwillige Einwilligung der getesteten Personen Voraussetzung. Gewonnene Daten dürfen dann nur zu dem Zweck gespeichert und verarbeitet werden, zu dem die betroffenen Personen ausdrücklich zugestimmt haben. In Hamburg gilt zusätzlich die Hamburger Corona-Verordnung, die eine Aufbewahrung von Testergebnissen in Betrieben von einem Monat fordert.

Natürlich gelten auch für Testzentren, gleich wer sie wo betreibt, die Vorschrift, dass alle personenbezogenen Daten sicher vor der Einsicht durch Dritte erhoben, aufbewahrt und angemessen gegen Diebstahl geschützt werden müssen. Erfolgt die Verarbeitung automatisiert, sind die Daten in der EDV unter den allgemein üblichen technischen und organisatorischen Maßnahmen zu schützen. Die Aufsichtsbehörden monieren hier landesweit zahlreiche Verstöße und unzureichend auf den Datenschutz geschultes Personal in den Teststellen.



3. Aktuelles aus dem Datenschutz

In der Praxis mit einen Kunden fand sich eine nicht unberechtigte Frage zur Aufbewahrung von Dokumenten im Rahmen einer Auftragsverarbeitung: Weisungen des Auftraggebers an den Auftragnehmer zur Art der Durchführung einer Datenverarbeitung im Rahmen eines AVV (Auftragsverarbeitungsvertrags) sind von beiden Seiten für die gesamte Dauer dieser Verarbeitung und danach noch 3 Jahre darüber hinaus aufzubewahren.

Eine wichtige Neuerung gibt es im Strafrecht. Der Gesetzgeber hat mit §126a dem StGB einen neuen Paragraphen hinzugefügt und fortan ist das sogenannte "Doxing" auch eine Straftat. Doxing bezeichnet das Veröffentlichen von personenbezogenen Daten, die für eine betroffene Person eine Gefahr von Verfolgung oder Opfer einer Straftat zu werden darstellen. Bisher war diese Problematik auch von Datenschutz her unzureichend gedeckt, da die Täter meistens keine verantwortliche Stelle im Sinne des DS-GVO darstellten, weil sie als Privatpersonen handelten. Das ändert sich jetzt. Doxing ist jetzt strafbar. Es stellen sich aber für die Praxis viele Fragen, die in Zukunft beantwortet werden müssen. Eine dieser Fragen ist such die Tatsache, dass im Rahmen von Ermittlungsverfahren und dem Recht einer fairen Verteidigung, welches natürlich jedem Beschuldigten zusteht, personenbezogene Daten der Opfer, insbesondere deren Wohnanschriften, sehr oft den Tätern zugänglich werden. Hier ist der Gesetzgeber gefragt den Opferschutz im Ermittlungsverfahren und im Prozessrecht zu modernisieren. Wenn Doxing nicht gewollt ist, muss auch an dieser Stelle nachgebessert werden. Und ich merke abschließend an, auch wenn dieses nicht den Datenschutz betrifft, dass von Doxing Frauen deutlich mehr als Männer betroffen sind und in vielen Fällen sehr dringlicher Schutzbedarf besteht.

Der Spiegel berichtet über Vorfälle an Hamburger Schulen, wo E-Mailverteiler und E-Mailadresslisten an so genannte "Querdenker" weitergeleitet wurden und zu Corona-Leugnungs-Propaganda missbraucht wurden. Darunter auch der Verteiler der Schulbehörde an die Leitungen aller 412 Hamburger Schulen. Ferner gibt es an Schulen vereinzelte Vorfälle mit Eltern- oder anderen E-Mailverteilern in dieser Hinsicht. Rechtliche Schritte werden geprüft und Schulen sollen eingreifen, wenn man bei sich derartige Fälle auftreten sieht. Dafür wurden die Leitungen sensibilisiert, so der Bericht. - Ich sag einfach mal, als Vater zweier schulpflichtiger Kinder und 8 Jahren Elternarbeit, wie es ist: Die meisten Lehrkräfte kennen nicht den Unterschied zwischen "AN, CC und BCC" beim Versenden oder Weiterleiten von E-Mails. Auch wenn alle Empfänger offen sichtbar sind, werden solche E-Mails einfach weitergeleitet, teils auch an Eltern und an unsichere E-Mailadressen. Ich glaube persönlich nicht, dass jemand absichtlich den Verteiler offengelegt hat, sondern dass es einfach in technische Unkenntnis passierte. Software für einen Einzelversand oder Mailings haben Schulen regelmäßig nicht. Die Digitalisierung an Hamburger Schulen läuft also bestens. Den Verteiler an die Schulleitungen, so der Bericht darüber, hat man zur Sicherheit eingestellt. Ich frage mich, ob man jetzt wieder Faxe schickt oder Briefe per Post?

Nicht nur die Schulen, sondern alle Hamburger Behörden sind von einem E-Mail Server-problem betroffen, dass inzwischen eine Woche anhält. Man kann teilweise keine E-Mails empfangen und der Absender erhält sie mit dem "Fehler 554 no SMTPd here" zurück. Teilweise kommen die E-Mails auch gar nicht zurück, werden aber nur mit großer zeitlicher Verzögerung zugestellt. Ob auch welche ganz verloren gehen, ist nicht bekannt. Auch die Datenschutzbehörde und der Bürgermeister sind betroffen. Nehmen wir es zur Kenntnis und kommentieren es nicht.

AVM bringt zum Ende des Jahres zwei neue Fritzboxen auf den Markt, die "6690 cable" und die "4060", die beide native WIFI 6 unterstützen. Dieser neue Standard bietet grundsätzlich viele Vorteile, zum Beispiel:
  • Schnelleres und vor allem stabileres WLAN bei vielen gleichzeitig Geräten im Netz
  • Bis zu vier mal höhere Datenraten
  • Eine Optimierung der Datenübertragung im 2,4-GHz-Band
  • Intelligenter Aufwachmechanismen der Endgeräte schont deren Akkus
  • Mit WPA3 einen höheren Sicherheitsstandard
Ob man dieses Nutzen kann oder noch warten muss, bis die passende Fritzbox auf den Markt kommt, hängt vom jeweiligen Anbieter und den technischen Bedingungen ab.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BFDI) gibt für den 6. Oktober ein Symposium mit dem Thema Datenverarbeitung in der Polizei bekannt. Ich nehme dieses einmal zum Anlass darauf hinzuweisen, dass der Datenschutz in der Polizei überhaupt keine Selbstverständlichkeit ist und meistens dort auch nicht besser funktioniert als in anderen Behörden. Die Arbeit des BFDI ist auf diesem Gebiet sehr wichtig und bedeutet eine Verbesserung des Schutzes der Bürger*innen vor Datenpannen bei der Polizei. Gleichermaßen geht der BFDI ein noch viel wichtigeres Thema mit der Einleitung eines Konsultationsverfahrens an: Der Einsatz von KI im Bereich Strafverfolgung und Gefahrenabwehr. Dieses Thema ist komplex und ich werde mich damit im nächsten Newsletter etwas näher auseinandersetzen.

Der Hamburger Datenschutzbeauftragte hat Ende September gegen Vattenfall ein Bußgeld in Höhe von ca. EUR 900.000,-- wegen fehlender Transparenz bei Vertragswechsel-angeboten verhängt. Etwas weiter zurück im Kalender hat der Hamburger Datenschutz-beauftragte die Senatskanzlei offiziell vor dem Einsatz der Videokonferenzanwendung Zoom in der "on-demand-Version" gewarnt. Dabei geht es um den Einsatz einer bestimmten Funktion von Zoom, welche Inhalte und ganze Videokonferenzen in der Zoom Cloud speichert und zur Verfügung stellt. Dieses ist nach Ansicht der Behörde nicht datenschutzkonform (Diese Ansicht teile ich auch!), da Zoom Inc. ein us-amerikanisches Unternehmen ist entsprechende Garantien im Sinne des Art. 46 DS-GVO nicht bestehen. Ich frage mich aber, warum Zoom in der Business Variante ansonsten schon als datenschutzkonform eingestuft wird und was dort anders ist als bei MS365. Und damit findet sich die Überleitung zum nächsten Thema.



3. MS365 und Schrems-II

Es gibt in 2021 kaum ein Thema, über das ich unglücklicher bin als der Umgang mit MS365 unter Datenschutzaspekten. Das Schrems-II Urteil des EuGH, das inhaltlich völlig richtig war, hat in der Praxis zu einigen bizarren Prozessen geführt. Diese betreffen nicht nur Microsoft und MS365, sondern letztlich alle amerikanischen Anbieter von Software. Dass man sich hierbei vorrangig an MS365 abarbeitet, erschließt sich mir persönlich nicht.

Das Schrems-II Urteil wurde nicht in Bezug auf Microsoft und MS365 erlassen. Es ist ein grundsätzliches Urteil zur Problematik der Datensicherheit in den USA oder in Hinblick auf amerikanische Unternehmen. Im Kern sagt es aus, dass ein Datentransfer an Drittländer nur dann erfolgen darf, wenn dort ein im Vergleich zur DS-GVO angemessenes Datenschutzniveau garantiert wird. Dieses ist in den USA standardmäßig nicht der Fall und kann auch durch Standardvertragsklauseln (Art. 46 Abs. lit. c.) DS-GVO) allein nicht hergestellt werden. Vielmehr müssen zusätzliche Maßnahmen ergriffen werden, um dieses sicherzustellen. Welche zusätzlichen Maßnahmen das sind, bleibt offen. Es sind in jedem Fall aber keine vertraglichen, sondern technischen Maßnahmen gemeint. Es muss im Einzelfall betrachtet werden, was möglich und sinnvoll ist. Hierzu hat sich die EDSA mit einem Grundsatzpapier geäußert, wo unter anderem auch "Verschlüsselung" als eine solche zusätzliche Maßnahme aufgeführt wird. Ähnlich hat man sich auch von Seiten der DSK-Konferenz der Aufsichtsbehörden zu diesem Thema geäußert.

MS365 hat grundsätzlich zwei zusätzliche Maßnahmen, zum einen die Verarbeitung aller Daten auf Servern in der EU und zum anderen die Verschlüsselung. Beides ist zertifiziert unter DIN/ISO 27001 und wird von niemanden bestritten. Nicht zu verschlüsseln sind aber Telemetriedaten, die zur technischen Abwicklung und zur Verfügungstellung der Funktionen der Anwendung benötigt werden. In meinen Augen sind diese zu analysieren, zu prüfen und im Risiko für betroffene Personen abzuwägen. Dieses Ergebnis muss dann mit dem Datenschutzniveau nach DS-GVO für diesen individuellen Einzelfall verglichen und bewertet werden. Ich habe dieses in einem, bisher nur Entwurf auf 25 Seiten, einmal getätigt. Dabei komme ich zu dem Schluss, dass ein Risiko für betroffene Personen als sehr gering zu bewerten ist und letztlich hier ein Datenschutzniveau besteht, dass dem der EU vergleichbar und nicht wesentlich schlechter ist.

Hier möchte ich darauf verweisen, dass die Aufsichtsbehörden kein Recht sprechen, sondern lediglich eine Einschätzung hierzu machen, wie es sich aus ihrer Sichtweise heraus darstellt. Juristen haben oftmals verschiedene Sichtweisen, was man schon in der Uneinigkeit der Aufsichtsbehörden über MS365 untereinander sieht. Microsoft hingegen sichert ausdrücklich Konformität mit der DS-GVO zu. Für diese Aussage haftet man dort auch und im Zweifelsfall kann ein Bußgeld, das ich hierbei überhaupt nicht für realistisch halte verhängt zu werden, dort zurückgeholt werden. Diese Szenarien sind aber eine nicht zu erwartende Eskalation und bringen niemanden weiter. Lösungen müssen gefunden werden und meines Erachtens gibt es sie. Sobald mein Papier hierzu in finaler Form abgeschlossen ist, erhalten es gerne alle Kunden mit Interesse hierfür. Ich halte MS365 weiterhin für eine datenschutzkonforme und wichtige Anwendung mit einem sehr guten Preisleistungsverhältnis, die eingesetzt werden sollte.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. für den nächsten Newsletter liegen noch keine konkreten Themen vor, aber es wird sich sicher wieder etwas spannendes finden, worüber man berichten kann.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@datenschutz-nord.org
Web: www.datenschutz-nord.org