Aufsichtsbehörden

Orientierungshilfe, Beschlüsse, Hinweise & mehr – aus den Aufsichtsbehörden

LfDI BW: Fragebogen zur Videoüberwachung

Dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg (LfDI BW) wurde via „FragDenStaat“ eine Frage zu den von der Aufsichtsbehörde verwendeten Fragebögen gestellt.Die Anfrage lautete sinngemäß: „Bitte senden Sie mir die im Rahmen Ihrer behördlichen Tätigkeit aktuell bei Datenschutzverfahren verwendeten Fragenkataloge zur Prüfung von Umsetzung und Einhaltung des Datenschutzrechts.“

Gestern ist nun die Antwort des LfDI BW auf „FragDenStaat“ hier veröffentlicht worden. Der LfDI BW hat geantwortet, dass nur ein Fragebogen zur Videoüberwachung verwendet werden würde. Und dieser wurde dann ebenfalls hier (PDF) zur Verfügung gestellt.

Und der Inhalt des Fragebogens ist für die Unternehmen (nicht nur in Baden-Württemberg) interessant. Denn so kann man eine Art „Selbstcheck“ vornehmen, ob man im Bereich Videoüberwachung seine Hausaufgaben gemacht und eine Anfrage der Aufsichtsbehörde gut beantworten könnte. Folgende 15 Fragen sind im Fragebogen enthalten:

  1. Trifft es zu, dass Sie eine Videoüberwachungsanlage installiert haben und betreiben? Falls eine Anlage von einer anderen Person oder Organisation (Unternehmen, Betrieb, Verein o. Ä.) betrieben wird, teilen Sie uns deren Name und Anschrift mit.
  2. Wie viele Kameras sind in Betrieb?
  3. Wo sind die einzelnen Kameras installiert und welche räumlichen Bereiche werden mit ihnen jeweils beobachtet? Bitte legen Sie dazu eine Skizze und Fotos der Örtlichkeit (Bilder der Kameras in ihrem Umfeld) sowie für jede einzelne Kamera einen zuordenbares Bildschirmfoto (Screenshot, Bildschirmkopie, fotoähnliche Abbildung der aktuellen grafischen Wiedergabe des Kamera) des Erfassungsbereichs der Kamera vor, damit nachvollzogen werden kann, was die Kameras abbilden. Bitte geben Sie dabei auch an, ob Arbeitsplätze (Welche Art von Arbeitsplätzen? Kurzzeitig genutzte oder dauerhaft genutzte Arbeitsplätze?) von der Kamera erfasst werden.
  4. Nennen Sie bitte die genaue Bezeichnung der verwendeten Kameramodelle. Geben Sie auch Informationen zu ggf. eingesetzten Funktionen wie Zoom, Schwenkbarkeit und Audioübertragung. Legen Sie Ihrer Stellungnahme Darstellungen der Hersteller (technischer Aufbau, Datenblätter, Dokumentationen) der Kameras bei.
  5. Geben Sie für jede Kamera an, ob die Erfassung dauerhaft erfolgt oder nur während bestimmter Zeiträume (z. B. an allen Werktagen von 22 Uhr bis morgens 4 Uhr) oder durch bestimmte Ereignisse (z. B. bewegtes Objekt im Erfassungsbereich) ausgelöst wird. In letzterem Falle teilen Sie uns bitte mit, ob und wie groß die Vor- und Nachlaufzeiten für die Speicherung der Aufnahmen eingestellt sind.
  6. Werden die Aufnahmen der Kameras auf einen/mehrere Überwachungsmonitor/e übertragen? Wenn ja, wer beobachtet diese(n) Monitor(e)? Kann/können der/die Monitor(e) nur von Berechtigten eingesehen werden? Legen Sie uns bitte eine Skizze des Standorts des Überwachungsmonitors vor oder ein Bild des Standorts.
  7. Werden die Aufnahmen (oder ggf. welche Aufnahmen) gespeichert und in welcher Form (z. B. auf Magnetband oder in einem elektronischen Speicher, als Videosequenz oder Einzelbilder)? Wenn ja, wo werden die Aufzeichnungen gespeichert, wer hat unter welchen Voraussetzungen Zugriff?
  8. Falls eine Speicherung erfolgt: Wie lange werden die Aufnahmen gespeichert, wann und wie werden die Daten gelöscht?
  9. Werden Aufnahmen an Dritte übermittelt? Falls ja, an wen, für welchen Zweck und auf welcher Rechtgrundlage?
  10. Besteht eine Zugriffsmöglichkeit auf die Videobilder (live oder aufgezeichnet) von außen, z.B. über eine Smartphone-App per WLAN? Falls ja, warum und unter welchen Voraussetzungen wird von außen zugegriffen?
  11. Beschreiben Sie bitte den Zweck jeder einzelnen Kamera und nennen Sie die Rechtsgrundlage (Gesetz, Verordnung o. Ä.), auf der die Videoüberwachung jeweils erfolgt. Bitte erläutern Sie die Ereignisse, derentwegen Sie die Videoüberwachungsanlage installiert haben (Art des Ereignisses, Zeitpunkt, Tageszeit und Schadenshöhe, ggf. Aktenzeichen der Polizei oder Schadensmeldung bei der Versicherung). Sollte es keine konkreten Vorkommnisse gegeben haben, beschreiben Sie bitte, weshalb der videoüberwachte Bereich so gefährdet ist, dass er zwingend videoüberwacht werden muss.
  12. Wurden mildere Maßnahmen, die für das Recht auf Schutz der personenbezogenen Daten der Betroffenen weniger einschneidend sind (bspw. der Einsatz einer Alarmanlage, häufigere Kontrollen durch Personal, Zutrittssicherungen), in Betracht gezogen? Mit welcher Begründung wurden diese verworfen?
  13. Weisen Sie auf die Videoüberwachung hin, ggf. wo und wie (vgl. § 4 Absatz 2 BDSG i.V. mit Art. 12 ff. DS-GVO)? Bitte legen Sie uns ein Foto des Hinweises vor. Wurden Mitarbeiterinnen und Mitarbeiter, die von der Videoüberwachungsmaßnahme betroffen sein können, darüber unterrichtet? Wenn ja, auf welche Weise? Besteht eine Betriebsvereinbarung? Falls ja, legen Sie uns diese bitte vor.
  14. Bitte legen Sie uns das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO inklusive einer allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO vor. Bezüglich des Inhalts dieser Verfahrensbeschreibung können Sie sich am Wortlaut des Art. 30 Absatz 1 DS-GVO oder den Hinweisen der Datenschutzkonferenz orientieren.
  15. Beabsichtigen Sie, das bisherige Verfahren zu ändern, die Videoüberwachung einzustellen oder die Videokameras zu entfernen?

Eine interessante Liste, mit der man sich selbst ganz gut auf potentielle Fragen einer Aufsichtsbehörde zur Videoüberwachung vorbereiten kann.

DSK: Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich

Die Datenschutzkonferenz (DSK) hat schon am 12.05.2020 „Hinweise zum Einsatz von Google Analytics im nicht-öffentlichen Bereich“ (PDF) veröffentlicht.

Diese dienen sozusagen als Ergänzung zur „Orientierungshilfe für Anbieter von Telemedien“ (PDF) und enthält Hinweise zu den Anforderungen des Einsatzes von Google Analytics in Unternehmen.

Die Ausführungen in dem Dokument sind zumindest streitwürdig. So meinen die Aufsichtsbehörden, dass beim Einsatz von Google Analytics keine Auftragsverarbeitung, sondern vielmehr eine gemeinsame Verantwortlichkeit vorliege. Das ist zumindest dann schwer nachvollziehbar, wenn der Nutzer von Google Analytics die Variante „Products & Services“ bzw. „Google-Produkte und -Dienste“ deaktiviert hat.

Unter Bezugnahme auf die Nutzungsbedingungen von Google, in denen Google sich die Verarbeitung der Daten auch für eigene Zwecke vorbehalten, meinen die Aufsichtsbehörden dann aber, dass „unter Berücksichtigung der aktuellen Rechtsprechung des EuGH“ eine gemeinsame Verantwortlichkeit vorliege.

Nur haben die Aufsichtsbehörden m.E. hier den Auftragsverarbeitungsvertrag nicht hinreichend berücksichtigt, der zwischen dem Nutzer von Google Analytics und Google geschlossen wird bzw. geschlossen werden kann. Dieser sieht in Ziff. 14 eine Vorrangregelung vor:

14. Geltung dieser Datenverarbeitungsbedingungen
Im Fall eines Widerspruchs oder einer Abweichung zwischen den Zusatzbedingungen für außereuropäische Datenschutzvorschriften, den übrigen Datenverarbeitungsbedingungen und/oder der übrigen Vereinbarung, gilt die nachfolgende Rangfolge: (a) die Zusatzbedingungen für außereuropäische Datenschutzvorschriften; (b) die übrigen Datenverarbeitungsbedingungen und (c) die übrige Vereinbarung. Mit Ausnahme der Änderungen durch diese Datenverarbeitungsbedingungen bleibt die Vereinbarung ansonsten weiterhin in vollem Umfang wirksam und in Kraft.

Da die Bestimmungen dieser Vorrangregelung die Nutzung der Daten von Google für eigene Zwecke ausschließen, kommen die entsprechenden Regelungen der Google Nutzungsbedingungen gar nicht zur Anwendung.

Damit fällt jedoch das gedankliche Kartenhaus einer gemeinsamen Verantwortlichkeit der DSK sprichwörtlich zusammen.

Das Papier der DSK hat also einen grundlegenden Konstruktionsfehler, der nicht geheilt werden kann.

Wer gleichwohl z.B. aus Gründen des Cookie-Einsatzes, Google Analytics sowieso auf Basis einer Einwilligung einsetzt, findet dann in dem Papier der DSK zum Einsatz von Google Analytics eine Blaupause, an der man sich entlanghangeln kann, wenn man keinen Ärger mit einer Aufsichtsbehörde haben möchte.

So gibt die DSK Hinweise in folgenden Bereichen:

  1. Wie kann eine Einwilligung eingeholt werden?
  2. Technische Anforderungen an die Umsetzung des Widerrufs der Einwilligung
  3. Transparenz
  4. Kürzung der IP-Adresse

Alle diese Hinweise sind hilfreich und sinnvoll. Nur die grundlegenden Ausführungen zu Auftragsverarbeitung und gemeinsamer Verantwortlichkeit…da müsste die DSK noch einmal in sich gehen. Und wenn sie das täte, würde auch die Einwilligung nicht unbedingt die einzige mögliche Rechtsgrundlage sein. Zumindest nicht bei den Anbietern, die ein performantes Webanalysesystem zum Messen der Wirksamkeit von erheblichen Werbeausgaben zwingend benötigen, weil nur so die Internetseiten erbracht werden können. In diesen Fällen ist eine „unbedingte Erforderlichkeit“ von Cookies annehmbar und damit entfiele das Erfordernis einer Einwilligung. Und dann kann Art. 6 Abs. 1 lit. f) DSGVO sehr wohl als Rechtsgrundlage für den Einsatz in Betracht kommen. Es hängt immer sehr vom Einzelfall ab…

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.

BfDI: Tätigkeitsbericht zum Datenschutz 2019

Heute hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) seinen Tätigkeitsbericht zum Datenschutz für das Jahr 2019 vorgelegt. Der Bericht kann hier heruntergeladen werden:

Da der BfDI aktuell (noch) nicht für die Kontrolle der Wirtschaft zuständig ist, ist der Berichtsumfang meist überschaubar. So auch in diesem Bericht, der insgesamt gut 90 Seiten lang ist. Inhalte gibt es zu folgenden Kapiteln:

  1. Einleitung
  2. Empfehlungen
  3. Gremienarbeit
  4. Schwerpunktthemen
  5. Gesetzgebung
  6. Sicherheitsbereich
  7. Bundestag
  8. Weitere Einzelthemen
  9. BfDI intern
  10. BfDI als Zentrale Anlaufstelle (ZASt)

Einige Punkte des Tätigkeitsberichts sind mir aufgefallen.

Verschlüsselung von E-Mails

So gibt es Ausführungen zur Erforderlichkeit der Verschlüsselung von E-Mails. Auch der BfDI hält es wie andere Aufsichtsbehörde nicht für zulässig, dass Betroffene in die nichtverschlüsselte Kommunikation einwilligen können.

Ich halte diese Auffassung für rechtlich falsch, denn unverschlüsselte E-Mails haben nichts mit „Zwergenweitwurf“ oder mit Einwilligungen in „Peep Shows“ i.S.d. der entsprechenden verwaltungsgerichtlichen Rechtsprechung zu tun. Denn da ging es um die Menschenwürde. Ich halte die Auffassung des BfDI, dass man in das Unterlassen von Schutzpflichten nicht einwilligen kann, aber zumindest für vertretbar.

Der BfDI meint, dass sich die Pflicht zu einer Verschlüsselung von E-Mails sich aus Art. 5 Abs. 1 lit. f) DSGVO ergeben könne. Richtigerweise sieht man dann auch ein, dass dabei eine Risikoabwägung vorzunehmen ist.

In den gesamten Ausführungen wird dann aber nicht wirklich thematisiert, dass ein Großteil der E-Mails heute schon über TLS transportverschlüsselt werden. Wir haben das mal bei einer Reihe von E-Mail-Servern getestet und nicht in einem einzigen Fall eine Kommunikation gehabt, die nicht TLS-verschlüsselt war.

Im Jahr 2020 also noch pauschal zu behaupten, dass E-Mails den Charakter einer Postkarte haben, trifft es nicht ganz. Passender wäre der Vergleich, dass der Briefumschlag bei einem kleinen Prozentteil der Briefe nicht verklebt ist.

Google Analytics

Im Kapitel 4.5.2 geht es im Tätigkeitsbericht um das Thema „Tracking und Cookies“. Hier ist eine interessante Umkehrschluss-Argumentation aus den Ausführungen des BfDG zur Möglichkeit des Einsatzes von Google Analytics ohne eine Einwilligung möglich.

Allerdings glaube ich, dass die Behörde das wahrscheinlich nur fahrlässig unglücklich formuliert hat. Wörtlich heißt es dort:

Wer eine Internetseite betreibt, möchte z. B. wissen, wie viele Besucher es gab und welche Seiten angeklickt wurden. Dies ist in vielen Fällen legitim und nachvollziehbar. Problematisch ist allerdings, wenn Drittanbieter eingebunden werden und diese ebenfalls Daten über die Nutzer erhalten. Verarbeitet der Drittanbieter diese Daten zu eigenen Zwecken weiter (wie z. B. Google Analytics in der Standardkonfiguration), benötigt er dafür die Einwilligung des Nutzers.

Im Umkehrschluss könnte das bedeuten, dass bei einem Einsatz von Google Analytics in der Variante, in der Google sich nicht die Verarbeitung der Daten für eigene Zwecke vorbehält (d.h. insbesondere ohne die Variante „Google products & services“ bzw. „Google-Produkte und -Dienste“), ein Einsatz von Google Analytics nach Ansicht des BfDI ohne Einwilligung zulässig wäre.

Bei genauer Lektüre der Passage denke ich aber nicht, dass der BfDI das so gemeint hat. Und es bleibt ja noch das Problem der Verwendung von Cookies durch Google Analytics und in der im Zitat erwähnten Einwilligung geht es um die Einwilligung für den Drittanbieter (also z.B. Google).

Ich würde jedenfalls nicht darauf setzen, dass der BfDI das so gemeint hat. Eine klarere Formulierung wäre hier aber wünschenswert gewesen.

LfDI M-V: Tätigkeitsbericht 2019

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern (LfDI M-V) hat heute seinen Tätigkeitsbericht zum Datenschutz (und zur Umsetzung des Informationsfreiheitsgesetzes) veröffentlicht.

Den Tätigkeitsbericht findest du hier: LfDI MV, Fünfzehnter Tätigkeitsbericht zum Datenschutz und Siebenter Bericht über die Umsetzung des Informationsfreiheitsgesetzes (PDF)

Der Berichtszeitraum für das Thema Datenschutz bezieht sich auf das Jahr 2019. Auf den ersten 94 Seiten finden sich Ausführungen zum Datenschutz, gegliedert nach folgenden Kapiteln:

  1. Empfehlungen
  2. Zahlen und Fakten
  3. Entwicklung der Behörde
  4. Zusammenarbeit auf europäischer Ebene
  5. Zusammenarbeit auf deutscher Ebene
  6. Datenschutz und Bildung
  7. Technik und Organisation
  8. Datenschutz in verschiedenen Rechtsgebieten

Was uns Praktiker natürlich immer besonders interessiert, ist die Bußgeldpraxis der Aufsichtsbehörden. Der LfDI MV hat im Jahr 2019 gerade einmal fünf Bußgelder verhängt. Das ist nicht gerade viel.

In acht Fällen hat die Behörde Gebrauch von Anordnungen mit Zwangsgeldandrohung gemacht. Eine Maßnahme, die die Aufsichtsbehörde nach eigenen Angaben als „deutlich wirksameres“ Mittel zur Durchsetzung von Datenschutzanforderungen ansieht.

Die verhängten Bußgelder scheinen auch nicht sonderlich hoch gewesen zu sein. Im Bericht wurde z.B. erwähnt, dass ein Bußgeldbescheid über 500,00 € gegen einen Rentner verhängt wurde, weil dieser Nachbarschaftslisten erstellt und verteilt hat. Das verhängte Bußgeld wurde dann aber nach Angaben des LfDI MV vom AG Schwerin auf 200,00 € herabgesetzt.

Um ganz ehrlich zu sein, habe ich ansonsten nicht viele (für mich) spannende Themen im Tätigkeitsbericht finden können.

LDI NRW mit Empfehlungen zu Videokonferenzsystemen und Messengerdiensten

Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat am 18.05.2020 Informationen und Empfehlungen zum Einsatz von Videokonferenz- und Messengerdiensten veröffentlicht.

Dazu wurden dann auch zwei Dokumente als „Leitplanken“ veröffentlicht:

Gut: Es werden konstruktive Empfehlungen gegeben zum Einsatz der Dienste gegeben.

Was besser gemacht werden kann: Die Informationen zu den einzelnen Diensten (z.B. Microsoft Teams, Skype und Zoom) sind inhaltlich teilweise falsch bzw. nicht auf dem aktuellen Stand.

Bye, bye Passwortwechsel-Zwang (Update Oktober 2019)

Update, 20.10.2019: Auch das Bundesamt für die Sicherheit in der Informationstechnik passt sich an. Dazu eine Ergänzung am Ende des Textes.

Viele Praktiker können meine Erfahrungen bei Mandanten vor Ort sicher bestätigen:
Der in Unternehmen vorgegebene Zwang zum Wechseln von Passwörtern (i.d.R. alle 90 Tage) kann zu bunten Zetteln am Bildschirm oder unter der Tastatur führen. Nur leider stehen auf diesen Zetteln dann eben die Passwörter. Und das wiederum macht IT-Systeme eben nicht unbedingt sicherer. Im Gegenteil.

Wir Menschen sind eben gerne ein wenig „faul“. Und das ist auch gut so. Ein ehemaliger VWL-Professor, der an der rechtswissenschaftlichen Fakultät der Uni Göttingen lehrte, erzählte uns in dem Kontext immer vom „Homo Oeconomicus“ und warum das dazu führe, dass z.B. auf Freiflächen immer Trampelpfade neben dem eigentlich vorgesehenen Weg entstehen, wenn der eigentlich vorgegebene Weg keinen Sinn macht oder eben einfach einen Umweg darstellt.

Und so ähnlich ist das auch mit den Passwörtern und den Zetteln. Wenn uns das Unternehmen vorgibt, dass wir alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln und diese dann aber auch noch komplex sein sollen, dann führt das ohne Passwort-Manager-Lösungen gerne dazu, dass „Trampelpfade“ entstehen. Nur, dass es dann eben kleine gelbe Klebezettel sind – mit Passwortinformationen.

Seit einer der ersten Befürworter dieser Passwortwechsel-Zwänge dies öffentlich bereute und als Fehler einräumte, ist Bewegung in die Sache gekommen. Denn mittlerweile rät z.B. auch die britische Communications Electronics Security Group (CESG) von Passwortwechseln ab.

Und in Deutschland folgte dann als erstes der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) mit seinen neuen Hinweisen zum Umgang mit Passwörtern .

Einen förmlichen Luftsprung vor Begeisterung habe ich wegen dieser Passage hier gemacht:

2) Keine regelmäßige Änderung erzwingen
Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt. Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.

Endlich äußerte sich eine deutsche Behörde dazu. Leider, leider scheint das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch etwas vorsichtiger zu sein. Das BSI schreibt in seinem 2019 überarbeiten IT-Grundschutz-Kompendium immer noch wörtlich (Hervorhebung durch Fettdruck von mir):

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden. Die Passwörter MÜSSEN sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Passwörter MÜSSEN geheim gehalten werden.

Eines möchte ich jedoch deutlich sagen. Ich bin kein IT-ler, sondern Jurist. Und da immer noch umstritten, ob ein Passwortwechsel-Zwang sinnvoll sein kann oder nicht, kann ich nicht zweifelsfrei sagen, was nun die beste Lösung ist. Aus meiner Erfahrung mit Klebezetteln an Monitoren bei der Mandantschaft neige ich jedoch sehr stark dazu, dass Passwortwechsel-Zwänge in der Regel nicht sinnvoll sind.

Und jetzt gibt es auch etwas Neues und weitere Unterstützer der neuen „Lehre“. Denn nunmehr hat sich – wie ich heute erfahren habe – auch die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, zu dem Thema geäußert. Genau genommen gibt es jetzt dieses Dokument, dass „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der DSK erstellt hat.

Und dort können wir unter Ziff. 2.2 wörtlich lesen:

2.2 Passwortwechsel nur in Sonderfällen erzwingen
Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.

Ich persönlich begrüße diese Entwicklung sehr und bin gespannt, ob sich auch das BSI in dieser Angelegenheit auch noch einmal deutlicher zu Wort melden wird. Denn – wie gesagt – es gibt durchaus immer noch Befürworterinnen von Passwortwechsel-Zwängen.

Update, 20.10.2019:

In seinen im Oktober 2019 vorgestellten neuen „Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement“ (PDF) hat das BSI nun die Vorgaben zum Passwortwechsel geändert.

Wörtlich heißt es dort nun in „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B):

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Insbesondere die Formulierung „Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ macht deutlich, dass sich nun auch das BSI von dem Passwortwechsel-Zwang abkehrt. Eine – wie ich finde – gute Entwicklung.

BayLfD – Die förmliche Verpflichtung als Instrument des Datenschutzes (Arbeitspapier)

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat ein Arbeitspapier „förmlichen Verpflichtung als Instrument des Datenschutzes“ (PDF) veröffentlicht.

Eine „förmliche Verpflichtung“ kommt dann in Betracht, wenn Personen, die nicht „Amtsträger“ sind, bei einer Behörde oder öffentlichen Stelle Aufgaben wahrnehmen oder für eine öffentliche Stelle tätig sind.

Für diese Personenkreise kann eine „förmliche Verpflichtung“ erforderlich sein. Darüber informiert das Arbeitspapier des BayLfD umfangreich.

Wichtig: Dieses Dokument ist grundsätzlich nicht für die Verwendung bei nichtöffentlichen Stellen geeignet.

Datenschutzkonferenz: Sachliche Zuständigkeit für E-Mail und OTT-Dienste

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) hat am 12.09.2019 einen Beschluss zur „Sachlichen Zuständigkeit für E-Mail und andere Over-the-top (OTT)-Dienste“ (PDF) gefasst.

Die DSK hielt das insoweit für erforderlich, weil der EuGH in einem Urteil festgestellt hat, dass der Webmail-Dienst „Gmail“ von Google kein TK-Dienst ist (EuGH, Urteil v. 13.06.2019 – Az.: C‑193/18). Da der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) für den Bereich Telekommunikation die zuständige Aufsichtsbehörde ist, war insoweit Klarheit zu schaffen.

Die DSK hat nun Folgendes beschlossen:

1. Webmaildienste sind keine Telekommunikationsdienste i.S.d. Telekommunikationsgesetzes (TKG) in der derzeit geltenden Fassung. Dies gilt für reine Webmaildienste und für E-Maildienste, die zusammen mit einem Internetzugang angeboten werden, wenn die E-Mails (zumindest auch) über einen Webmailer abgerufen werden können. Daraus folgt, dass für die Datenschutzaufsicht mangels anderer besonderer Zuständigkeitsvorschriften allein die jeweiligen Landesdatenschutzaufsichtsbehörden zuständig sind. Die bisher beim Bundesbeauftragten für den Datenschutz (BfDI) geführten Verfahren werden an die jeweils zuständigen Landesaufsichtsbehörden zur Bearbeitung zuständigkeitshalber abgegeben.

2. Messenger-Dienste, die in einem geschlossenen System operieren, d.h. bei denen die Nutzer/innen nur unter sich und nicht mit Nutzer/innen anderer Dienste kommunizieren können, können auch nach der genannten Entscheidung des EuGH als Telekommunikationsdienste i.S.d. TKG angesehen werden mit der Folge, dass für diese Dienste weiterhin der BfDI aufsichtsrechtlich zuständig ist (§ 115 Abs. 4 TKG).

Für einige Mandanten der Kanzlei wird dies bedeuten, dass künftig Kontakt mit der jeweiligen Aufsichtsbehörde des Bundeslandes aufzunehmen ist.

Mustervertrag für gemeinsame Verantwortlichkeit der Aufsichtsbehörde Baden-Württemberg

Die Aufsichtsbehörde des Bundeslandes Baden-Württemberg hat heute eine schöne Sache verkündet, die sie selbst mit dem Titel „Mehr Licht! – Gemeinsame Verantwortlichkeit sinnvoll gestalten“ benannt hat.

In dem Beitrag wird dann ein Mustervertrag für die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO als Word-Datei veröffentlicht:

Außerdem gibt es „on top“ auch noch ein Muster für die nach Art. 26 Abs. 2 DSGVO erforderliche Information zur gemeinsamen Verantwortlichkeit gegenüber den Betroffenen:

Positiv ist, dass sich endlich eine Aufsichtsbehörde in Deutschland traut, hier mit einem guten Beispiel voranzugehen. Denn viele Aufsichtsbehörden hielten sich im Hinblick auf die Anforderungen an die Ausgestaltung von Vereinbarungen nach Art. 26 DSGVO bislang zurück. Letztlich ist die Rechtslage auch nicht ganz klar.

Ich habe mir das Vertragsmuster angesehen. Auf den ersten Blick macht es einen guten Eindruck. Auf den zweiten Blick muss ich als Rechtsanwalt sagen, dass ich meinen Mandanten diese Vereinbarung nicht unbedingt ohne Anpassungen empfehlen würde, die über die Anpassungsempfehlungen der Aufsichtsbehörde hinausgehen.

Denn bei einer gemeinsamen Verantwortlichkeit zeigt sich in der anwaltlichen Praxis, dass es kaum einen „One size fits all“-Ansatz geben kann. Es empfiehlt sich i.d.R. der Abschluss einer individuellen Vereinbarung, die direkt zum Projekt passt.

Außerdem zeigt sich bei diesem Muster der Aufsichtsbehörde eben auch, dass es sowohl für öffentliche Stellen wie auch private Stellen gedacht ist. So würde ich in einem „26er-Vertrag“ zwischen Unternehmen niemals von der Einhaltung des „Datengeheimnisses“ sprechen. Denn dieses kennt die DSGVO im Gegensatz zu den Regelungen, die für öffentliche Stellen des Bundes und der Länder gelten, nicht. Das würde einen eher unprofessionellen Eindruck machen.

Einzelne Regelungen des Vertrages machen für mich aus anwaltlicher Sicher zudem nicht immer Sinn. So gibt es z.B. keinen Grund dafür, dass die Parteien nur Daten verarbeiten, die für die rechtmäßige Prozessabwicklung „zwingend erforderlich“ sind. Und im Gegensatz zu anderen Formulierungen, die durch die Hinweise im dem Muster erläutert oder als optional gestellt werden, fehlt es hier an weiteren Hinweisen.

Positiv bleibt aber, dass dieses Muster ein Gradmesser dafür sein kann, welche Anforderungen Aufsichtsbehörde an „26er-Verträge“ setzen könnten.

Aufsichtsbehörde Baden-Württemberg verhängt Bußgeld von 20.000 €

Wie der der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) heute informiert, ist das erste Bußgeld der Behörde auf Basis der DSGVO verhängt worden.

Die Höhe des Bußgeldes beträgt 20.000,00 €.

Laut Pressemitteilung der Behörde lag dem Bußgeld folgender Sachverhalt zugrunde:

Das Unternehmen hatte sich am 08. September 2018 mit einer Datenpannenmeldung an den LfDI gewandt, nachdem es bemerkt hatte, dass durch einen Hackerangriff im Juli 2018 personenbezogene Daten von circa 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und Anfang September 2018 veröffentlicht worden waren. Ihre Nutzer informierte das Unternehmen nach den Vorgaben der EU-Datenschutzgrundverordnung (DS-GVO) unverzüglich und umfassend über den Hackerangriff. Gegenüber dem LfDI legte das Unternehmen in vorbildlicher Weise sowohl Datenverarbeitungs- und Unternehmensstrukturen als auch eigene Versäumnisse offen. Hierdurch wurde dem LfDI bekannt, dass das Unternehmen die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert hatte. Diese Klartextpasswörter nutzte das Unternehmen beim Einsatz eines sog. „Passwortfilters“ zur Verhinderung der Übermittlung von Nutzerpasswörtern an unberechtigte Dritte mit dem Ziel, die Nutzer besser zu schützen.

Es dürfte kein Geheimnis sein, dass es sich bei dem Unternehmen um den Anbieter von „Knuddels“ handelt, einem Anbieter einer Chat-Community aus Karlsruhe.

Einen Bericht zu den Hintergründen des Vorfalls, der zu einem Bußgeld geführt hat, kann hier nachgelesen werden.

In Anbetracht des Umfangs des Sicherheitsvorfalls ist das Bußgeld sehr milde ausgefallen. Nach Angaben des LfDI BW war hier vor allem auch die gute Kooperation des betroffenen Unternehmens zu berücksichtigen gewesen.

Außerdem sei bei der Bemessung des Bußgeldes „neben weiteren Umständen die finanzielle Gesamtbelastung für das Unternehmen“ zu berücksichtigen gewesen, so der LfDI BW.