Datenschutz

Beiträge zu Datenschutz-Themen

Muster für Datenschutzhinweise für Teilnehmende an „Zoom“-Meetings

Ich komme mir langsam vor wie der Kundensupport von „zoom“. Jeden Tag prasseln hier – bedingt durch die Home Office Expansion wegen des Corona-Virus – die Anfragen zu „zoom“ rein.

Ich kann nicht alle Anfragen beantworten, möchte hier aber gerne kostenlos helfen bzw. meinen Teil zur Lösung der aktuellen Herausforderungen leisten.

Unternehmen und öffentliche Stellen, die jetzt „zoom“ einsetzen, fragen danach, ob und wie sie Teilnehmende an einem Online-Meeting vorab über die Datenverarbeitung bei „Zoom“ i.S.d. Art. 13 DSGVO informieren können.

Meiner Meinung nach ist es ausreichend, wenn dazu im Kontext mit einer Einladung zu einem Meeting per E-Mail dieser Hinweis aufgenommen wird:

Zur Durchführung des Online-Meetings verwenden wir „zoom“. Hinweise zur Datenverarbeitung finden Sie insoweit unter [Link einfügen].

Dann solltest du natürlich auch den passenden Link einfügen!, unter dem die Datenschutzhinweise auf deiner Website abrufbar sind. Und als Text für die Datenschutzhinweise zu „zoom“ könntest du dich an diesem Muster orientieren:

Das Muster solltest du an den gelb markierten Stellen zwingend anpassen. Du kannst das Dokument frei und ohne Angabe zum Urheber (meiner Wenigkeit) verwenden. Du kannst außerdem Änderungen vornehmen und es vor allem verbessern, damit es für dich oder euch passt.

Ich hoffe einfach nur, dass es dir ein wenig weiterhilft.

Wenn du keine Möglichkeit hast, die Datenschutzhinweise zu „zoom“ kurzfristig auf eurer Website zu veröffentlichen, dann sende die Hinweise z.B. einfach als PDF an die Meeting-Teilnehmer mit.

So schließt du einen Auftragsverarbeitungsvertrag mit „Zoom“

Wichtiger Hinweis (08.04.2020): „Zoom“ hat den Ablauf zum Abschluss eines Auftragsverarbeitungsvertrag am 07.04.2020 geändert. Die Links und Hinweise in dem ursprünglichen Beitrag sind daher nicht mehr „aktiv“ bzw. nicht mehr aktuell. Die veralteten Passagen habe ich daher gelöscht.

Der Auftragsverarbeitungsvertrag mit „Zoom“ wird jetzt automatisch bei der Registrierung eines „Zoom“-Accounts geschlossen. Rechtlich erfolgt das so, dass durch ein Akzeptieren der Nutzungsbedingungen von „Zoom“ automatisch alle unter www.zoom.us/legal verlinkten Dokumente in das Vertragsverhältnis einbezogen werden. Dies ergibt sich aus Ziff. der 19 der Nutzungsbedingungen, die am 13.04.2020 noch einmal konkretisiert worden sind:

19. PRIVACY AND OTHER POLICIES. Use of the Services is also subject to Zoom's Privacy Policy, a link to which is located at the footer on Zoom's website. The Privacy Policy, and all policies noticed at www.zoom.us/legal are incorporated into this Agreement by this reference. Furthermore, if Your Use of the Services requires Zoom to process any personally identifiable information ("PII" or "Personal Data") Zoom shall do so at all times in compliance with our Zoom Global Data Processing Addendum is incorporated in these Terms of Service. Additionally, You understand and agree that Zoom may contact You via e-mail or otherwise with information relevant to Your use of the Services, regardless of whether You have opted out of receiving marketing communications or notices.

Auf diese Weise wird der Auftragsverarbeitungsvertrag nun wirksam in das Vertragsverhältnis einbezogen. Da Zoom zudem eine Änderungsklauseln in seinen vorherigen AGB hatte, kann davon ausgegangen werden, dass nun auch für Altkunden die neuen AGB gelten und damit auch ein wirksamer Auftragsverarbeitungsvertrag besteht.

Allerdings sind dann noch nicht alle Kollisionsprobleme gelöst. Geschäftskunden können sich aber insoweit an das „Sales-Team“ von „Zoom“ wenden und werden dort eine Lösung für einen individuellen Abschluss eines Auftragsverarbeitungsvertrages finden. Zumindest war das bei Mandanten von mir praktisch meist problemlos möglich. Es dauert nur derzeit etwas länger als üblich.

Aufmerksame Leser des Auftragsverarbeitungsvertrages von „Zoom“ werden erkennen, dass hier Seiten fehlen bzw. die Paginierung der Seiten Lücken hat. Diese sind darauf zurückzuführen, dass die Seiten, in denen normalerweise Unterschriften zu leisten wären, bei einem elektronischen Abschluss gelöscht werden. Da „Zoom“ aber nach wie vor auch mit einzelnen Unternehmen unterschriebene Verträge abschließt, hat man sich fort also wohl entschlossen, eine Einheitlichkeit der Verträge und der Seitenzahlen beizubehalten. Ansonsten würde dies ggf. bei der Menge an Verträgen bei „Zoom“ zu Verwirrung führen können. In rechtlicher Hinsicht bestehen m.E. insoweit jedenfalls keine Bedenken bzgl. der Wirksamkeit und Zulässigkeit des Auftragsverarbeitungsvertrages.

Hilfe…ist „Zoom“ etwa eine Datenschleuder?

Neuestes Update: 27.05.2020

Vorwort: „Zoom“ steht aktuell erheblich im Hinblick auf „Datenschutz“ unter Kritik. Ich persönlich finde die Kritik zu großen Teilen unberechtigt. Aber: Es ist nicht zu bestreiten, dass „Zoom“ einen Teil der Kritik zum Anlass genommen hat, besser zu werden. In diesem Beitrag geht es allein um rechtliche Erwägungen. Also um die Frage, ob „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.

Viele rufen diesen Beitrag auf, um zu erfahren, ob „Zoom“ nun aktuell noch in datenschutzrechtlich zulässiger Weise genutzt werden kann. Daher gibt es meine aktuelle Meinung sowie das Datum dieser Aussage jeweils hier zu Beginn des Beitrags:

Zoom-Barometer: Kann „Zoom“ aktuell datenschutzrechtlich zulässig eingesetzt werden?
Ja, meiner Meinung nach kann „Zoom“ aktuell in datenschutzrechtlich zulässiger Weise eingesetzt werden (Stand: 27.05.2020). Meine aktuelle Sichtweise kannst du Update XIX entnehmen.
Update I (26.03.2020): Ich habe den Beitrag aktualisiert (weiter unten), um zu neuen Vorwürfen, dass „Zoom“ personenbezogene Daten an Drittanbieter „übermittele“, Feedback zu geben.
Update II (27.03.2020): Zur Übermittlung von Daten an Facebook bei Nutzung der iOS App (ganz unten).
Update III (27.03.2020): Anmerkungen zur Stellungnahme von Prof. Dr. Roßnagel
Update IV (28.03.2020): Zoom hat den Facebook-Bug in der iOS App behoben.
Update V (30.03.2020): Der heute vom Handelsblatt auf der Website veröffentlichte Artikel enthält keine neuen Vorwürfe. Sondern nur die, die hier bereits entkräftet wurden. Dieser Beitrag ist also immer noch aktuell. Und zur Klarstellung: Kein datenschutzrechtlich Verantwortlicher ist verpflichtet „Zoom“ zu nutzen. „Zoom“ ist aber ein Tool, das in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.
Update VI (31.03.2020): Zoom hat seine Datenschutzhinweise aktualisiert. Und sie sind gut (s.u.).
Update VII (01.04.2020): Zu den neuen Vorwürfen gegenüber „Zoom“ („Zoombombing“, Softwareinstallation auf dem Mac, Verzeichnisdienst), s.u.
Update VIII (01.04.2020): Sicherheitslücke bzgl. UNC-Links und der „Root-Privilege-Bug“.
Update IX (02.04.2020): „The heat is on“ – Die Kritik an „Zoom“ wird immer lauter. Soll ich bei „Zoom“ bleiben?
Update X (02.04.2020): Endlich! Zoom hat es kapiert und ändert die Richtung – in die richtige Richtung. Gute Nachrichten!
Update XI (03.04.2020): Stellungnahme zum „War Dialing“-Tool
Update XII (03.04.2020): Verschlüsselungsschwächen bei „Zoom“?
Update XIII (05.04.2020): Zoom reagiert auf neue Vorwürfe.
Update XIV (09.04.2020): Meine aktuelle Sichtweise zu „Zoom“
Update XV (15.04.2020): Was gibt es Neues in Sachen „Zoom“?
Update XVI (16.04.2020): Die Berliner Aufsichtsbehörde äußert sich zu Microsoft Teams, Skype und „Zoom“
Update XVII (23.04.2020): Aktueller Stand in Sachen „Zoom“
Update XVIII (29.04.2020): Zoom 5.0 ist da und löst einen Großteil der Probleme
Update XIX (27.05.2020): Zoom hat weitere Verbesserungen eingeführt

Manchmal gehen mir die „sozialen“ Medien erheblich auf die Nerven. Ein unschönes Beispiel gab es gestern. Da setzt ein Mensch aus den USA diesen Tweet ab:

Der Mensch hat sich übrigens das Tool nach eigenen Angaben anscheinend nicht näher angesehen, behauptet aber, dass „zoom“ – ein Anbieter von Online-Meeting, Videokonferenz- und Webinarservices aus den USA – pauschal eine Überwachung der Teilnehmer an einem Meeting durchführt.

Schon gestern morgen bekam ich erste E-Mails, die mich alarmiert (oder besonnen) darauf hinwiesen, weil einigen bekannt ist, dass ich selbst „zoom“ nutze. Den Tweet hatte ich zu der Zeit schon gesehen, weil er zahlreich re-tweeted wurde. Und ich denke nicht, dass viele sich mal bewusst mit dem Thema auseinandergesetzt haben. Denn wenn sie das getan und sich einmal tiefer mit „zoom“ beschäftigt hätten, dann hätten sie gleich gewusst, um welches Feature es geht.

Es ist das sog. „Aufmerksamkeitstracking“. Dieses ist übrigens standardmäßig deaktiviert und muss vom „Host“ des sog. Meetings bewusst aktiviert werden.

Update, 02.04.2020: Das „Aufmerksamkeitstracking“ wurde von „Zoom“ am 01.04.2020 deaktiviert. Die Einstellungsmöglichkeit findet sich nicht mehr in den aktuellen Einstellungen zu Meetings. Die nachfolgend „kursiv“ formatierte Textpassage ist damit jetzt „überholt“:

Hier können wir also zunächst feststellen, dass eben nicht „Zoom“ als Anbieter „überwacht“, sondern der Host des Meetings dies veranlasst. Nun könnte ich mir schon vorstellen, dass einige Arbeitgeber, die ihren Beschäftigten z.B. im Home Office nicht trauen, dieses Feature aktivieren. Das ist dann aber deren Entscheidung und Verantwortlichkeit.

Die Frage ist doch aber eigentlich, warum gibt es dieses Feature überhaupt? Und da ist die Antwort ganz einfach. Wenn man z.B. Fortbildungen „online“ anbietet, möchte (oder muss – wie z.B. bei Fachanwaltsfortbildungen) ich nicht nur die Einwahl in ein Webinar nachweisen, sondern auch die aktive (und aufmerksame) Teilnahme. Um E-Learning-Anbietern diese Möglichkeit zu bieten, bieten Anbieter wie „Zoom“, Webex, GoToWebinar & Co. eine Funktion, die dem Host oder „Admin“ eines Webinars die Möglichkeit gibt, live oder nachträglich zu sehen, ob ein Teilnehmer das Webinar nur hat im Hintergrund laufen lassen, das Fenster also nicht aktiv war, sondern der Teilnehmer stattdessen mit einem anderen Programm, das in einem Fenster aktiv war, ggf. interagiert hat. Wenn ein Teilnehmer eines Webinars, für das ein Fortbildungsnachweis ausgestellt wird, also im Nachhinein bemerken würde, dass ein Teilnehmer 70% seiner Zeit nicht das Webinarfenster aktiv hatte, dann kann bei entsprechender vorheriger Ansage dazu führen, dass ein Fortbildungsnachweis eben nicht ausgestellt wird. Feature wie diese ermöglichen also erst, berufliche Fortbildung. Sie sollten gleichwohl bewusst und transparent eingesetzt werden.

Ich setze dieses Feature übrigens nicht ein. Ich finde es aber gerade im Fortbildungsbereich sehr sinnvoll, weil es Möglichkeiten für digitale Alternativen zu Präsenzschulungen ermöglicht. Und die brauchen wir in der aktuellen Zeit des Corona-Virus dringend.

Apropos Corona-Virus: Aktuell sind sehr viele Unternehmen auf der Suche nach Online-Meeting-Tools. Ich weiß nicht, wieviele Anfragen ich allein bzgl. „zoom“ erhalten habe…

Was mich wirklich nicht nur ärgert, sondern auch enttäuscht ist, dass unsachliche und undifferenzierte Tweets wie der Tweet am Anfang dieses Beitrages einfach weiterverbreitet werden. Ohne auch nur einmal zu hinterfragen, ob das auch stimmt. Und dass dann Organisationen wie z.B. „Digitalcourage e.V.“, die ich immer recht respektabel fand, so etwas tweeten:

Hört, hört…also Skype und „zoom“ sind also Datenschutz-Katastrohen. Unter Bezugnahme auf den falschen Ausgangstweet. Keinerlei Hinterfragen, keinerlei Sachlichkeit. In den von Digital-Courage verlinkten Beitrag zu „guten Alternativen“ finden wir dann diese Tools: Jitsi-Meet und Nextcloud Talk

Ich finde beide Tools toll, aber für den Massengebrauch leider häufig unbrauchbar. Wer Online-Meetings mit mehr als 5 oder gar 10 Personen macht, wird mit keinem der Tools eine vernünftige Lösung finden. Sie sind einfach nicht performant. Daher für mich keine Alternative. (Update, 27.04.2020): Bzgl. Jitsi Meet gibt es allerdings auch gute Erfahrungen dahingehend, dass bei einem gut ausgelegten Hosting einer eigenen Instanz durchaus 100 oder mehr Personen gut möglich sind. Allerdings ist dringend empfohlen, dann einen auf Chromium basierenden Browser zu verwenden (also z.B Google Chrome).
Wir haben in unseren Online-Schulungen bis zu 500 Personen, manchmal sogar über 800 Personen. Keines dieser Tools hilft mir da weiter. Wer sich für diese Anforderungen deutsche Anbieter oder Anbieter aus der EU ansieht, wird kaum etwas Verlässliches finden. Einige Anbieter, die sich auf dem vermeintlich guten „deutschen Datenschutz“ und „deutschen Rechenzentren“ ausruhen, sind noch nicht einmal in der Lage, ihre Datenschutzhinweise auf der Website datenschutzkonform zu gestalten. Wie soll ich diese Anbieter ernst nehmen?

Und wieso gibt es eigentlich keine Alternativen aus der EU? Ich würde sie gerne einsetzen. Bei mir ist „zoom“ das einzige Tool gewesen, dass nachhaltig die Leistung hat, große Meetings zu „wuppen“, ohne dass Ton oder Bild ausfallen oder ich Meeting-Teilnehmende bitten muss, bitte ihre Kamera auszustellen, damit das mit der Bandbreite hinhaut.

Da können einige noch so viel herummurren, dass das ein böser US-Anbieter ist. Ich nutze seit > 2 Jahren „zoom“. Es gibt kaum ein „Tool“, in dem so feingranular Einstellungen zum Datenschutz vornehmen kann. Ich kann selbst dafür sorgen, dass nur wenige Daten anfallen und vor allem die anfallenden gelöscht werden.

Dann höre ich auch immer wieder, der Einsatz von „zoom“ sei nicht DSGVO-konform. Nun…warum nicht? Es gibt einen Auftragsverarbeitungsvertrag, der den Voraussetzungen von Art. 28 DSGVO entspricht. Und für das dann erforderliche angemessene Datenschutzniveau im Drittland (USA) sorgt rechtlich das Privacy Shield (allerdings nicht für HR-Daten). Ja…dass das „Privacy Shield“ datenschutzrechtlich nicht der große „Bringer“ ist, ist mir auch klar. Rein rechtlich ist es aber derzeit DSGVO-konform, „zoom“ zu nutzen, wenn du den Auftragsverarbeitungsvertrag mit „zoom“ schließt.

Und jeder, der jetzt Sorge (oder das Gefühl) hat, dass die Daten in den USA direkt den Geheimdiensten in die Hände fallen, der soll „zoom“ nicht einsetzen. Das ist doch völlig okay. Aber erzähl’ mir nicht, dass der Einsatz von „zoom“ rechtlich unzulässig wäre. Das ist er m.E. nicht. Und es wäre vielleicht auch etwas naiv zu glauben, dass bei einer Speicherung von Daten in Deutschland ohne eine Ende-zu-Ende-Verschlüsselung ein Zugriff durch Geheimdienste ausgeschlossen wäre. Seit „Edward Snowden“ wissen wir, dass wir uns da nicht so sicher sein können.

Letztlich muss jeder selbst wissen, wie er es mit der Informationssicherheit hält. Das hat aber nicht unmittelbar mit Datenschutzkonformität zu tun, sondern mit dem eigenen Anspruch an die Informationssicherheit. Das sind zwei verschiedene Dinge. Sie können sich überlagern, sind aber nicht zwingend deckungsgleich.

Und ganz ehrlich….ich habe in den letzten 17 Jahren viele deutsche Rechenzentren gesehen und viele deutsche Anbieter von Software auditiert. Ich denke, ich kann sagen, dass deine Informationen auch dort nicht immer zwingend gut aufgehoben sind. Die Argumentation, dass alles aus den USA böse sei, die „Datenschützer“ manchmal an den Tag legen, ist m.E. nicht haltbar.

Aber es ist natürlich einfach, diese Vorurteile unkritisch weiterzuverteilen. Wir können – gerade in Zeiten wie diesen – sachliche Informationen gebrauchen. Unsachliche Retweets können wir hingegen nicht gebrauchen. In „sozialen“ Medien ist viel Rauschen und häufig zu wenig „Signal“. Bitte lasst uns doch gemeinsam dazu beitragen, dass nicht jeder Beitrag in sozialen Medien für „wahr“ gehalten wird, weil er möglichst häufig geteilt wird. Bitte doch einmal zumindest nachfragen, ob es vielleicht sein kann, dass das Ganze sich ganz anders darstellt. Aber ein Knopf ist schnell gedrückt, ein Beitrag schnell geteilt und schon ist die vermeintliche „Wahrheit“ gewiss…so einfach ist das eben nicht.

Und übrigens…da mir das heute ja auch bei Twitter unterstellt wurde: Ich habe keinerlei „Aktien“ oder sonstige finanziellen Beteiligungen an „zoom“. Ich möchte hier einfach nur verlässlich arbeiten und mich nicht mit technischen Problemen bei Bild und Ton herumschlagen.

Update I, 26.03.2020: Ist an dem Vorwurf „Zoom übermittelt personenbezogene Daten an Drittanbieter“ etwas dran?

Der (auch von mir*) geschätzte IT-Sicherheitsexperte Mike Kuketz hat in seinem Blog seine zuvor schon geäußerte Kritik konkretisiert. Und zwar hier: Zoom übermittelt personenbezogene Daten an Drittanbieter

* Glaubt Kuketz mir vielleicht nicht, weil er mich neuerdings als „Hütchenspieler vom Jahrmarkt“ bezeichnet. Ist aber so. Dabei bin ich auch gar kein Hütchenspieler. Mir fehlt das Talent dafür…egal, ich nehme es mit Humor. 🙂

Aber kommen wir zum Thema: Mike Kuketz hat sich den Dienst „Zoom“ mal ein wenig angeguckt und vor allem auch seine Kritik an den Datenschutzhinweisen von „Zoom“ geäußert. Das ist legitim. Und ich finde es gut, wenn sich Sicherheitsexperten diese Dienste ansehen und kritisieren.

Denn nur so kann eine Verbersserung stattfinden. Und vor allem haben die technischen Experten mehr Kenntnis darüber, wie man sich die Datenflüsse in den Applikationen ansieht und analysiert.

Schauen wir uns mal die Vorgehensweise an: Kuketz hat sich zunächst die Datenschutzrichtlinien von „Zoom“ angesehen. Er verlinkt auf die deutsche Fassung der „Zoom“-Datenschutzhinweise – zu Recht natürlich.

Leider ist die deutsche Fassung der „Zoom“-Datenschutzhinweise auch nicht gerade ein gelungenes Beispiel für eine gute Übersetzung. So wurde z.B. der Datenverarbeitungsvorgang der „Erhebung“ von Daten, der im englischen „collect“ heißt, mit „sammeln“ übersetzt. Das erweckt natürlich schon den Eindruck, dass „Zoom“ Daten sammelt. Das ist vermeintlich auch der Grund, warum einige Kritiker die Datenschutzhinweise von „Zoom“ für eine „Datenschutz-Katastrophe“ oder „gruselig“ halten.

Allerdings ist das insoweit m.E. ein Erkenntnisproblem. Denn dem Datenschutzrechtler fällt dieser Fehler sofort auf, da es ein Standardproblem in Übersetzungen ist, dass „collect“ nicht mit „erheben“ übersetzt wird. Das könnte „Zoom“ sicher besser machen und ist insoweit auch nicht sonderlich professionell.

Viel Grusel oder Katastrophe kann ich den Datenschutzhinweisen von „Zoom“ allerdings nicht entnehmen. Sicher würde ich die anders schreiben.

Update, 31.03.2020: Zoom hat seine Datenschutzhinweise am 30.03.2020 aktualisiert. Die Vorwürfe, die man Zoom zuvor machen konnte, sind damit erledigt. Details dazu weiter unten.

Bei allen Punkten, die „Zoom“ dort als Erhebung und Verarbeitung angibt, kann ich nach über zwei Jahren „Zoom“-Nutzerschaft aber jeweils zuordnen, warum es dort steht und die Angaben insoweit korrekt sind. Das kann ich von anderen Diensten, die ich nutze nicht immer unbedingt sagen. Da wundere ich mich schon, dass manche Dinge anderer Anbieten nicht in deren Datenschutzhinweisen stehen.

Aber weiter zur Vorgehensweise von Kuketz. Er reibt sich zunächst an der ersten Aussage von „Zoom“ in ihrer Datenschutzrichtlinie. Denn dort steht etwas vom Schutz der Privatsphäre. Nun, mir gehen diese Aussagen auch immer auf die Nerven. Das ist „Datenschutz-Prosa“. Braucht man nicht. Da sind wir uns also auch einig.

Kuketz hat sich dann die Website angesehen und richtigerweise eine ganze Reihe eingebundener Scripts zu Diensten gefunden, die für Marketing-, Webanalyse und Supportzwecke eingebunden werden. Die dazu geäußerte Kritik kann ich gut nachvollziehen. Da würde ich mir auch weniger wünschen, aber nun ja…

Ein nicht ganz unwichtiges Kriterium erwähnt Kuketz allerdings nicht. Denn auf den Seiten, die „Zoom“-Nutzer an Meeting-Teilnehmende senden, ist der Großteil dieser Trackingdienste nicht eingebunden. Vielleicht nicht ganz unwichtig zu wissen, wenn es um die Weitergabe von Meeting-Links geht.

Unabhängig davon ist natürlich auch die Teilnahme an einem „Zoom“-Meeting möglich, wenn die Meeting-ID und ggf. die weiteren Zugangsdaten in der „Zoom“-Applikation selbst eingegeben werden.

Dann folgt in dem Beitrag der eigentlich „spannende“ Teil, der die Ausgangsthese, dass „Zoom“ personenbezogene Daten an „Drittanbieter übermittelt“, belegen soll.

Kuketz stellt hierbei kurz dar, wie er die Anmeldung bei „Zoom“ durchläuft:

Nach der Angabe einer E-Mail-Adresse und Einwilligung in die nebulöse Datenschutzerklärung wird der Account erstellt. Den Aktivierungslink bestätige ich und soll anschließend noch Vor- und Nachname angeben. Nachdem die Informationen eingetragen sind sende ich das Formular ab – eine Einwilligung in die Datenschutzerklärung wird nicht gesondert (bspw. über ein Häkchen) eingeholt.

Kurze Anmerkung. Dass keine Einwilligung eingeholt wird, ist rechtlich übrigens genau richtig. Denn die Einwilligung wäre für „Zoom“ hier die falsche Rechtsgrundlage. Der Dienst ließe sich sonst nicht vertragskonform für die zahlenden „Zoom“-Nutzer erbringen.

Im weiteren Verlauf stellt Mike Kuketz dann fest, dass bei der Anmeldung die E-Mail-Adresse (offenbar aber nicht Vor- und Nachname) an den Anbieter „Wootric“ übertragen werden. Daraus schließt Kuketz, dass deswegen eine „Übermittlung personenbezogener Daten an Drittanbieter“ vorliege. Weiter führt er aus, dass dies in den Datenschutzhinweisen von „Zoom“ nicht erwähnt würde.

Nun…wo ist der Skandal?

Ich hatte bei der Überschrift des Beitrages eigentlich erwartet, dass „Zoom“ vielleicht wirklich etwas Schlimmes und/oder Rechtswidriges macht. Allerdings liegt weder das eine oder andere vor.

Schauen wir uns an, was Kuketz herausgefunden hat:

Festgestellt hat Kuketz, dass ein Teil der Daten, d.h. die E-Mail-Adresse an den Dienstleister Wootric übertragen wird.

Als Jurist frage ich mich dann, ob das nun ein Verstoß ist. In rechtlicher Hinsicht stellt die Übertragung der E-Mail-Adresse an den Anbieter Wootric eine Offenlegung von personenbezogenen Daten dar. Allerdings nicht, wovon Kuketz wohl ausgeht, an einen „Dritten“. „Wootric“ ist zwar Empfänger der Daten i.S.d. Art. 4 Nr. 9 DSGVO, aber nach Art. 4 Nr. 10 DSGVO eben kein Dritter. Das ist ein feiner und rechtlich entscheidender Unterschied.

In der Liste der Unterauftragsverarbeiter („Subprocessors“) von „Zoom“ ist Wootric entsprechend ausgeführt:

Die Aussage von Kuketz „Zoom übermittelt personenbezogene Daten an Drittanbieter“ ist – da dürfen wir Juristen genau arbeiten – im Hinblick auf die Offenlegung der E-Mail-Adresse an den Unterauftragnehmer „Wootric“ also rechtlich falsch.

Kuketz moniert weiter, dass die Offenlegung der Daten von „Zoom“ an „Wootric“ nicht in den Datenschutzhinweisen von „Zoom“ angegeben werde. Das ist richtig. Richtig ist aber auch, dass „Zoom“ das gar nicht tun muss.
Eine Pflicht zur Angabe von Unterauftragsverarbeitern in Datenschutzhinweisen gibt es nämlich nach wohl h.M. nicht.
Hintergrund: Art. 13 DSGVO ist insoweit primärrechtskonform auszulegen. Eine Pflicht zur Nennung von Unterauftragnehmern würde Art. 15 und 16 GRCh widersprechen.
Wichtig: Bei einem Auskunftsersuchen nach Art. 15 DSGVO wären Unterauftragnehmer wie „Wootric“ aber anzugeben.

Zwischenfazit von Kuketz ist:

Zoom nutzt also X-Dienstleister, mit denen dann vermutlich X-Verträge zur Auftragsverarbeitung abgeschlossen wurden, in denen die Unternehmen verpflichtet werden, die Daten ausschließlich zur Durchführung der »angeforderten Dienstleistung« zu verwenden. Sofern so umgesetzt, wäre das zumindest rechtlich in Ordnung. Nur hat das nichts mit dem Versprechen aus der Datenschutzerklärung zu tun:

„Ihre Privatsphäre zu schützen und sicherzustellen“

Die X-Dienstleister, die bei der Nutzung der eigentlichen „Zoom“-Services (zu unterscheiden von der reinen Website), sind dieser Liste zu entnehmen. Ich habe 15 Dienstleister gezählt. Ich finde, das sind für einen Service wie „Zoom“ nicht viele. Ich hätte da mehr erwartet.

Warum nun der Einsatz von Dienstleistern dem Schutz der „Privatsphäre“ widersprechen soll, verstehe ich nicht. Wenn wir den Gedanken zu Ende führen, dann dürften wir gar keine Auftragsverarbeiter mehr einsetzen, sondern würden alles selbst machen. Ich fürchte, das würde nicht zu mehr Datensicherheit führen.

Mein Fazit

Ich kann mich nur wiederholen. Wer „Zoom“ nicht einsetzen mag, weil er seine Informationssicherheit nicht als gewährleistet ansieht, der soll es lassen. Ich habe dafür Verständnis. Und es ist eine legitime Entscheidung.

Die Behauptung, dass „Zoom“ nicht datenschutzkonform einsetzbar ist, ist aus datenschutzrechtlicher Sichtweise aber offensichtlich falsch.

Genauso wenig stimmt in rechtlicher Hinsicht, dass „Zoom“ personenbezogene Daten an „Drittanbieter“ übermittelt.

Wie gesagt…ich mag es, wenn wir Dinge differenziert betrachten. Mike Kuketz macht seine Arbeit im technischen Bereich sicher prima. Und ich maße mir nicht an, über die Datenflüsse mehr zu wissen oder analysieren zu können als er. Was die juristische Beurteilung angeht, liegt er da aber falsch.

Und jetzt hoffe ich, dass sich die Gemüter mal wieder beruhigen und wir alle unsere Arbeit machen können.

Update II (27.03.2020) – Zum Vorwurf der Übermittlung von Daten an Facebook bei Nutzung der iOS App

Gestern (am 27.03.2020) wurde in dem Online-Journal Vice dieser Artikel veröffentlicht: Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account

Es wurde offenbar herausgefunden, dass in der „Zoom“ iOS App das Facebook SDK zum Einsatz kommt. Dieses wird von App-Entwicklern gerne verwendet, um Funktionalitäten von Facebook in einer App einzusetzen. Meine Vermutung ist, dass „Zoom“ das Facebook SDK in der iOS App einsetzt, um die Funktionalität, sich mit seinem „Facebook Konto“ anzumelden, umzusetzen.

Durch den Einsatz des Facebook SDK kommt nach Angaben in dem Vice-Bericht dazu, dass beim Start der iOS App Daten an die sog. Graph-API von Facebook gesendet werden. An diese API werden offenbar Daten über das vom Nutzer verwendete Gerät, Zeitzone und Stadt (der Einwahl) den Mobilfunknetzanbieter und eben auch eine generierte ID, die Facebook dann nutzen könnte, um diesen Nutzer mit Werbung anzusprechen.

Stimmen diese Vorwürfe? Nun…überprüft habe ich das nicht. Dafür fehlen mir auch ehrlich gesagt Mittel und Know-How. Die Angaben in dem Artikel klingen aber glaubhaft. Und es ist anscheinend nicht nur von einem Datensicherheits-Unternehmen herausgefunden, sondern von einem anderen Spezialisten bestätigt worden.

Was ist für mich die Konsequenz? Da „Zoom“ sich bislang nicht zu den Vorwürfen geäußert hat, habe ich heute morgen, unter Bezugnahme auf meinen Auftragsverarbeitungsvertrag das Datenschutzteam von „Zoom“ angeschrieben und konkrete Fragen zur Aufklärung gestellt.

Ich werde meinen Datenschutz-Coaching-Mitgliedern empfehlen, vorerst die iOS App von „Zoom“ nur dann zu verwenden, wenn sie für sich eine etwaige Übermittlung von Daten an Facebook für unproblematisch halten.

Bei der Desktop-App von „Zoom“ werden meines Wissens keine Daten an Facebook übertragen. Ich habe dies gerade vor einigen Tagen im Hinblick auf von mir verwendete macOS-Version mittels eines Netwerk-Monitors überprüft und keine entsprechenden Verbindungsaufrufe gefunden.

Ich hoffe sehr, dass „Zoom“ hier schnell reagiert und Abhilfe schafft. Ich habe die letzten zwei Tage damit verbracht, mir Alternativen anzuschauen. Die gibt es aber nur für Webinare bis maximal 250 Personen. Das ist für uns leider zu klein. Wir brauchen mindestens eine Kapazität für 400 Teilnehmer, besser bis zu 700 (oder 1000).


Update IV, 28.03.2020: Durch ein Update der iOS App wurde der Fehler gestern Abend behoben.

Empfohlen wurde mir z.B. BigBlueButton. Das klang zunächst vielversprechend. Allerdings ist der Aufwand für ein eigenes Hosting für uns viel zu hoch. Ehrlich gesagt ist mir das zu viel „Gefrickel“. Das könnte man natürlich hosten und supporten lassen, denke ich. Nur habe ich mir dann mal das Benutzerinterface und die Technik angesehen und muss leider sagen, dass das nicht ist, was wir brauchen. Das wäre im Vergleich zu „Zoom“ ein absoluter Rückschritt. Ist es das wert? Derzeit nicht.

Andere Anbieter wie Cisco Webex habe ich mir letztes Jahr als Alternative angesehen. Hat für uns nicht gepasst. Gleiches gilt für GoToWebinar. Die habe ich vor „Zoom“ genutzt und die Unzufriedenheit war damals der Grund für den Wechsel zu „Zoom“.

Ich halte die Augen offen und hoffe, dass „Zoom“ hier umgehend aufklärt und – falls erforderlich – unverzüglich Anpassungen vornimmt.

Update III (27.03.2020): Anmerkungen zur Stellungnahme von Prof. Dr. Roßnagel

Prof. Dr. Roßnagel hat mit Datum vom 23.03.2020 eine Stellungnahme zu „Zoom und Datenschutz“ (PDF) auf den Seiten seiner Hochschule veröffentlicht.

Die Stellungnahme stellt eine „Analyse“ der Datenschutzrichtlinien von „Zoom“ dar, die zugegebenermaßen „suboptimal“ (s.o.) formuliert sind. Roßnagel findet kleinere Mängel im Hinblick auf Art. 13 DSGVO, weil keine Hinweise auf ein Beschwerderecht bei einer Aufsichtsbehörde gegeben werden. Sicher kein kritischer Mangel, der zudem geheilt werden kann (s.u.).

Dann kommen Ausführungen zu Art. 14 DSGVO. Und da muss ich leider sagen, dass ich meine, dass die Ausführungen ein bisschen neben der Spur liegen. Denn für die Nutzung von „Zoom“ muss ich entweder die Applikation oder die Browser-Variante nutzen und bin damit immer unmittelbar Betroffener i.S.d. Art. 13 DSGVO. Soweit überhaupt Daten nicht vom Betroffenen selbst erhoben werden, wird dies bei der Nutzung der Online-Meeting-Services auch nicht von „Zoom“ verantwortet werden, sondern vom jeweiligen „Zoom“-Host, der insoweit als Verantwortlicher agiert.

Und da wären wir auch schon beim Grundproblem der Stellungnahme. Roßnagel verliert kein Wort über die dem Service zugrundeliegende Auftragsverarbeitung und das Data Processing Addendum von „Zoom“, das auch den Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO enthält. Ich frage mich: Warum nicht? Ist das einfach übersehen worden? Ist die Funktionsweise des Dienstes nicht verstanden worden? Oder soll es nur eine reine Betrachtung der Datenschutzrichtlinien für die „Website“ von „Zoom“ sein. Letzteres drängt sich als Eindruck auf.

Nur wird damit übersehen, dass die „Website“ von „Zoom“ nicht identisch mit dem „Online-Meeting-Service“ ist, für den „Zoom“ insoweit nur als Auftragsverarbeiter agiert. Als Auftragsverarbeiter ist „Zoom“ allerdings auch nicht nach den Art. 13, 14 DSGVO verpflichtet. Daher sind auch die weiteren Vorwürfe im Hinblick auf eine Nichteinhaltung von Art. 25 DSGVO im Hinblick auf den „Online-Meeting“-Service durch „Zoom“ nicht richtig zugeordnet. Auch Art. 25 DSGVO richtet sich an den Verantwortlichen, nicht den Auftragsverarbeiter.

Im Ergebnis will Roßnagel dann auch noch eine gemeinsame Verantwortlichkeit zwischen „Zoom“ und der Universität Kassel als Verantwortlichem herleiten. Dabei wird allerdings auch übersehen, dass eine Nutzung der „Zoom“-Applikation auch ohne die Website möglich ist. Ein Anknüpfungspunkt für eine gemeinsame Verantwortlichkeit fehlt dann jedoch.

Die Kritik von Roßnagel ist in Teilen berechtigt. In den entscheidenden Teilen aber nicht. Bei mir ist der Eindruck entstanden, dass Roßnagel sich den Dienst gar nicht näher angesehen, sondern sein Urteil allein auf Basis der Internetseite von „Zoom“ getroffen hat. Ich denke allerdings schon, dass hier differenziert werden muss.

Update, 31.03.2020: Die von Prof. Dr. Roßnagel geäußerte Kritik ist mit den am 30.03.2020 aktualisierten Datenschutzhinweise von „Zoom“ weitestgehend gegenstandslos. Ich bin gespannt, ob die Stellungnahme von Prof. Dr. Roßnagel aktualisiert wird.

Update VI, 31.03.2020: „Zoom“ hat seine Datenschutzhinweise aktualisiert

Als bekennender „Zoom“-Nutzer ist mir gestern Abend ein kleiner Stein vom Herzen gefallen, also den Tweet vom CEO von „Zoom“ las, aus dem sich ergab, dass „Zoom“ offenbar seine Datenschutzhinweise überarbeitet hat.

Das musste nicht zwingend etwas Gutes bedeuten. Aber schon der erste Blick war eine Erleichterung. Sie haben es endlich kapiert. Datenschutz und klare Aussagen dazu sind wichtig. Und so beginnen die Datenschutzhinweise von „Zoom“ nun mit einem klaren Statement der Leiterin der Rechtsabteilung von „Zoom“. Dort heißt es nun:

Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht.

Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen

Großartig. Endlich. Richtig. Und gut gemacht. Auch der Rest der Datenschutzhinweise ist nun transparent und unterscheidet endlich zwischen der Website von „Zoom“ und dem Dienst „Zoom“. Das sind nämlich zwei verschiedene Dinge.

Die bislang unglücklich formulierte Passage in den Datenschutzhinweise zu einem „Verkauf“ von Daten, die wohl humorvoll sein sollte, ist nun endlich durch ein kräftiges und deutliches Statement ersetzt worden. Es werden keine Daten verkauft. Punkt.

Die verschiedenen Datenarten werden mit Beispielen und den jeweiligen Zwecken der Datenverarbeitung nun transparent und übersichtlich in tabellarischen Auflistungen dargestellt.

Das so umstrittene Feature des „Aufmerksamkeits-Trackings“, das Anlass für diesen Beitrag war (bzw. die Kritik an diesem Feature), ist nun auch ausdrücklich erklärt. Insbesondere wird hier jetzt deutlich gemacht, dass der Gastgeber eines Meetings (oder sein Account-Administrator) diese Funktion anschalten muss.

Übrigens erfüllen die neuen Datenschutzhinweise von „Zoom“ nun endlich auch alle Anforderungen aus Art. 13 DSGVO. Allerdings scheint die Angabe des „Vertreters“ in der EU zu fehlen. Das sollte „Zoom“ ergänzen.

Update VII, 01.04.2020: Zu den neuen Vorwürfen gegenüber „Zoom“ („Zoombombing“, Softwareinstallation auf dem Mac, Verzeichnisdienst und Ende-zu-Ende-Verschlüsselung)

Auch gestern wurde wieder Kritik gegenüber „Zoom“ geäußert. Um es vorwegzunehmen. In rechtlicher Hinsicht halte ich einen Part der Kritik für relevant. Und zwar hat „Zoom“ offensichtlich in seinem „Company Directory“ ein Problem bzw. Problem gehabt. Das lässt sich in diesem Artikel bei VICE nachlesen. Die technische Konfiguration dieses Dienstes (den ich nicht nutze) lässt oder ließ offensichtlich zu wünschen übrig. Der Fehler ist zwar aktuell behoben, aber nicht strukturell. Hier sollte „Zoom“ also eine verlässlichere Umsetzung implementieren.

Führt dieser Vorfall nun aber unweigerlich zu der Konsequenz, dass „Zoom“ datenschutzrechlich nicht mehr einsetzbar sei? Ich meine „Nein“. Es war allerdings der erst Fehler, den ich ernsthaft für rechtlich relevant halte.

Der zweite neue Vorwurf der Art und Weise der Softwareinstallation unter macOS ist mir schon seit jeher ein Dorn im Auge, weil „Zoom“ sich hier aus Gründen der vermeintlichen „Dummheit“ von Nutzern eines Tricks bedient, damit man bei weiteren Updates der „Zoom“ App unter macOS nicht jedesmal seinen Administratornamen und das Passwort eingeben muss. Wobei es meist nicht einmal, die vermeintliche „Dummheit“ der User ist, sondern die Tatsache, dass diese keine Software installieren können sollen. Und das ja „eigentlich“ auch seinen Grund. Daher ist dieses Vorgehen keine gute Idee von „Zoom“, aber datenschutzrechtlich nicht von Belang. Kenner wissen übrigens, wie das zu umgehen ist. Noch besser wäre allerdings, wenn „Zoom“ seine macOS App im Mac App Store anbieten würde. Das würde das Problem auch für die Nutzer beheben.

Weiter wurde „Zoom“ nun vorgeworfen, dass sie in ihren Marketing- und Produktinformationen den Eindruck erwecken würden, dass „Zoom“ eine Ende-zu-Ende-Verschlüsselung einsetze. Ich wurde vorgestern Abend schon mit dem Vorwurf konfrontiert und war überrascht. Ich bin noch nie davon ausgegangen, dass Video- und Audio-Meeting bei „Zoom“ Ende-zu-Ende-verschlüsselt sind. Ich habe erst wegen des Beitrags auf der Website von „The Intercept“ davon erfahren, dass „Zoom“ das überhaupt erwähnt. Wenn man sich das näher ansieht, erfährt man allerdings auch, dass nur die Chat-Inhalte Ende-zu-Ende-verschlüsselt sind. Letzteres war mir übrigens auch nicht mehr bekannt. Ich bin auch da nur davon ausgegangen, dass wie bei Video- und Audio nur die übliche Transportverschlüsselung via TLS zum Einsatz kommt.
Lange Rede, kurzer Sinn…die Aufregung kann ich hier aus datenschutzrechtlicher Sicht nicht nachvollziehen. Und wer lesen kann, ist klar im Vorteil. Ich habe in meinem Umfeld mal „Zoom-Nutzer“ gefragt. Niemand hatte die Idee, dass bei Video und Audio in „Zoom“-Meetings eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Das ist natürlich nicht repräsentativ. Ich habe nur den Eindruck, dass jetzt bei „Zoom“ gerade von Tech-Journalisten jeder Stein zweimal umgedreht wird. Auch das finde ich gut, solange es gut recherchiert ist. Rein rechtlich ist dieser Vorwurf für mich als Datenschutzrechtler aber nicht relevant. „Zoom“ hat dies am 01.04.2020 hier dann auch noch einmal klargestellt: „The Facts Around Zoom and Encryption for Meetings/Webinars“

Dann zum „Zoombombing“, also den Vorfällen, dass fremde Menschen sich einfach nach dem Zufallsprinzip über Meeting-IDs in fremde Meetings einwählen und dort dann z.B. pornografische Fotos zeigen etc.
Da muss ich sagen, dass es wieder mal Sache des Gastgebers eines „Zoom“-Meetings ist, hier Vorsorge zu treffen. Und das ist nicht schwer. Meetings also nur mit Passwort, ggf. mit Warteraum etc. Und vor allem sollte man in den Grundeinstellungen vorsehen, dass der Bildschirm nur vom Host geteilt werden kann. Wenn alle Meeting-Teilnehmenden da sind, kann zudem ein Meeting geschlossen werden („Lock the Meeting“), so dass keiner mehr hinzukommen kann etc.
Dafür gibt es also ausreichend Schutzmechanismen, die man aber auch als Gastgeber einer „Zoom“-Konferenz nutzen sollte. Den schwarzen Peter hier „Zoom“ zuzuschieben, ist nach meiner bescheidenen Auffassung jetzt eher eine schwache Argumentation.

Dann ist noch hinzugekommen, das nun die New Yorker Generalstaatsanwältin nun Untersuchungen gegen „Zoom“ wegen der „Datenschutz- und der Datensicherheitspraxis“ eingeleitet hat. Nun…ich finde das gut. Auch das wird mehr Klarheit bringen. Und letztlich wird auch das dazu beitragen, dass „Zoom“ den nun begonnenen Weg, den Aspekten des „Datenschutzes“ im Unternehmen noch mehr Fokus und Gewicht zu geben, noch verstärken werden muss. Ein bisschen Druck kann da nicht schaden.

Update VIII, 01.04.2020: Sicherheitslücke „UNC-Links“ & „Camera Bug“

Heute gab es weitere Vorwürfe gegenüber „Zoom“.
Der eine Beitrag richtet sich (richtigerweise) gegen die bereits oben beschriebene Installationsweise von „Zoom“ unter macOS. Der Beitrag zeigt dann, wie dadurch theoretisch jemand durch eine Manipulation des Installations-Scripts die Webkamera „hijacken“ könnte. Gut, theoretisch ist das möglich. Das praktische Risiko für aktuelle Zoom-User im Home Office dürfte aber doch sehr gering sein. Also: Richtiger Hinweis, aber Risiko gering. Das Problem würde sich lösen, wenn „Zoom“ endlich seine Installationsroutine unter macOS ändern würde (s.o.). Im Ergebnis aber kein Drama.

Den zweiten Hinweis auf eine Sicherheitslücke fand ich auf den ersten Blick dann schon erheblicher. Und zwar „rendert“ die Zoom-App sog. „UNC-Links“ und macht sie anklickbar. In diesem Beitrag ist recht allgemein verständlich beschrieben, wie das Angriffszenario aussieht. Ich habe die betreffende Passage mal ins Deutsche übersetzt:

Wenn ein Angreifer einen UNC-Link in einem Zoom-Besprechungs-Chatfenster veröffentlicht hat und Sie als Zoom-Benutzer auf diesen Link klicken und Ihr Windows-Computer oder Ihre Firewall die Netzwerkfreigabe über das Internet erlaubt, dann würde Ihr Computer versuchen, auf die angegebenen Dateien auf dem Server unter foobar.com mit dem SMB-Dateifreigabeprotokoll (Server Message Block) zuzugreifen.

Ihr Computer würde versuchen, sich beim foobar.com-Server anzumelden, indem er Ihren Windows-Benutzernamen und eine schwach verschlüsselte Form Ihres Windows-Kennworts an den Fernserver sendet.

Dieses Passwort könnte mit dem Windows-NTLM-Algorithmus verschlüsselt sein, der sehr leicht zu „knacken“ ist, um das eigentliche Passwort abzuleiten. Wenn dies der Fall ist, kann sich der Idiot, der den UNC-Link gepostet hat, jetzt bei Ihrem Computer anmelden.

Und wenn der UNC-Dateipfad zu einer Anwendung oder einer anderen ausführbaren Datei auf dem foobar.com-Server führt, dann könnte sich die Anwendung – bei der es sich leicht um Malware handeln könnte – öffnen und auf Ihrem Rechner laufen. Der Idiot, der Ihre Windows-Anmeldeinformationen hat, könnte diese Malware verwenden, um aus der Ferne auf Ihren Computer zuzugreifen.

Das hört sich übel an. Bei näherer Hinsicht ist das allerdings auch nicht wirklich ein „Drama“. Denn in gleicher Art und Weise funktioniert z.B. der Windows Explorer. Entsprechend wurde dieser „Bug“ unter IT-Securtiy-Fachleuten z.T. auch als vollkommen übertrieben dargestellt (z.B. hier und hier).

Wie ansonsten auch, sollte man bei „Zoom“-Meetings darauf achten, dass keine „Fremden“ teilnehmen und dass Menschen auch darauf achten, worauf sie klicken. Intern könnten zudem bestimmte Ports für Netzwerkzugriffe nach außen geblockt werden, um das Risiko zu minimieren. Für Anbieter von Webinaren mit „Zoom“ und einer offenen Teilnehmergruppe wäre es allerdings schon wünschenswert, dass der Fehler durch „Zoom“ so schnell wie möglich behoben wird.

Update IX, 02.04.2020: Soll ich bei „Zoom“ bleiben?

„The heat is on“. So könnte man wohl die letzten Tage bzgl. „Zoom“ nennen. Viel schlechte Presse, neue Sicherheitsvorwürfe. Soll ich persönlich dennoch bei „Zoom“ bleiben?
Ich bin ehrlich. Ich habe mich in den letzten Tagen immer wieder nach Alternativen umgesehen. Und für den reinen Meeting-Bereich, also Online-Meetings mit bis zu 50 Personen (oder ggf. bis zu 200 Personen) gibt es gute oder zumindest brauchbare Alternativen. Da kann sich jeder einmal umsehen, wenn er sich bei „Zoom“ nicht mehr wohlfühlt.

Da ich „Zoom“ für große Webinare benötige, habe ich persönlich immer noch keine Alternative gefunden. Und ich bin nach wie vor der Meinung, dass „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.

Ärgerlich ist, wenn jetzt z.B. bei Twitter gewarnt und dringend empfohlen wird, die „Zoom“-App auf dem Mac zu löschen (wie z.B. hier). Das ist nicht seriös, denn zur Ausnutzung der betreffenden Sicherheitslücke müsste der Angreifer einen lokalen Zugang zu dem Mac haben (s.o.). Darauf sollte in so einem Tweet dann auch hingewiesen werden. Nicht jeder, der den guten Artikel von Patrick Wardle liest, kann diesen auch verstehen.

Warten wir mal ab, was der Tag für „Zoom“ heute wieder bringt…

Update X, 02.04.2020 – Kräftiges Statement von „Zoom“ zu IT-Sicherheit & Datenschutz

Endlich ist es soweit. „Zoom“ scheint verstanden zu haben. Noch am 01.04.2020 (Pazifischer Zeit) erscheint ein Beitrag vom CEO von „Zoom“ Eric S. Yuan im Blog von „Zoom“. Er trägt den Titel: „A Message to Our Users“

Und er enthält ziemlich genau das, worauf ich gewartet habe. Ein klares Statement dazu, dass sie Datenschutz und IT-Sicherheit zu sehr vernachlässigt haben und nun einen Fokus auf diese Themen setzen werden.

Neben dem typischen Gefasel, das Datenschutz wichtig ist etc., gibt es in dem Blogbeitrag zunächst Hinweise dazu, was Zoom bislang getan hat. Und da war ich selbst überrascht. Denn nach Angaben von „Zoom“ wurden die gestern veröffentlichen Sicherheitslücken (dazu mein Update IX) auch gestern schon behoben – neben diesen anderen Aktionen (Update, 03.04.2020: „Zoom“ hat einige der nachfolgenden Statements noch einmal konkretisiert, ich habe die Änderungen aufgenommen):

On April 1, we:

  • Published a blog to clarify the facts around encryption on our platform – acknowledging and apologizing for the confusion.

Okay…fand ich schon vorher nicht so tragisch, s.o.

  • Permanently removed the attendee attention tracker feature.

Habe ich gerade nachgeprüft. Ist korrekt. Die Funktionalität ist entfernt.

  • Released fixes for both Mac-related issues raised by Patrick Wardle.

Patrick Wardle hat am 02.04.2020 bestätigt, dass mit der neuen Version 4.6.9 der Zoom-App die Probleme behoben worden sind.

  • Released a fix for the UNC link issue.

Auch hier ist bestätigt, dass die neue Version 4.6.9. die Probleme der Zoom App behoben worden sind.

  • Permanently removed the LinkedIn Sales Navigator after identifying unnecessary data disclosure by the feature.

War mir bislang nicht bekannt, aber gut, wenn das so ist.

Worauf ich persönlich gewartet habe, war ein starkes „Comittment“ für das Thema Datenschutz und IT-Sicherheit. Und das kam nun endlich – ich habe den betreffenden Teil des Statements des CEO diesbezüglich einmal übersetzt:

In den nächsten 90 Tagen werden wir die erforderlichen Ressourcen bereitstellen, um Probleme besser identifizieren, angehen und proaktiv lösen zu können. Wir haben uns auch verpflichtet, während dieses gesamten Prozesses transparent zu sein. Wir wollen tun, was nötig ist, um Ihr Vertrauen zu erhalten. Dazu gehört:

  • Ein sofortiges „Einfrieren“ von Funktionen und die Verlagerung aller unserer technischen Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme.
  • Die Durchführung einer umfassenden Überprüfung mit Experten von Drittanbietern und repräsentativen Nutzern, um die Sicherheit all unserer neuen Kunden-Anwendungsfälle zu verstehen und zu gewährleisten.
  • Erstellung eines Transparenzberichts, der Informationen zu Anfragen nach Daten, Aufzeichnungen oder Inhalten enthält.
  • Die Verbesserung unseres aktuellen Bug-Bounty-Programms.
  • Die Einrichtung eines CISO-Rates in Partnerschaft mit führenden CISOs aus der gesamten Branche, um einen ständigen Dialog über bewährte Praktiken im Bereich Sicherheit und Datenschutz zu ermöglichen.
  • Durchführung einer Reihe von gleichzeitigen White Box-Penetrationstests, um Probleme weiter zu identifizieren und zu lösen.
  • Ab nächster Woche werde ich mittwochs um 10 Uhr morgens ein wöchentliches Webinar veranstalten, um unsere Community über die neuesten Entwicklungen im Bereich Sicherheit und Datenschutz zu informieren.

Das ist in vielen Punkten das, was aus der Informationssicherheitsszene gefordert wurde. Ich kann das nur begrüßen und hoffe, dass den Worten auch Taten folgen.

Ich werde bis auf Weiteres bei „Zoom“ für die Veranstaltung unserer Webinare bleiben.

Update XI, 03.04.2020: „War Dialing“

Ich wurde auf Twitter auf ein vermeintliches Problem bei „Zoom“ wegen eines sog. „War Dialing“-Tools aufmerksam gemacht. Dieses Tool ermöglicht das Auffinden von „Zoom“-Meetings, die nicht durch ein Passwort geschützt sind und damit dann z.B. von nicht eingeladenen Gästen (für z.B. „Zoombombing“) „besucht“ werden können.

Wer aber schon bislang (was zudem die Standard-Einstellung bei „Zoom“ ist) seine Meetings mit einem Passwort geschützt hat, ist nicht gefährdet.

Daher hier noch einmal die Empfehlung, seine „Zoom“-Meetings mit einem Passwort zu schützen. Zudem kann man immer daran denken, seine „Zoom-Meetings“ durch Verwendung des „Warteraum“-Features durchzuführen. Damit können durch den Gastgeber eines Meetings die Meeting-Teilnehmenden in den Meeting-Raum einzeln manuell eingelassen werden. Ferner kann das „Zoom“-Meeting, wenn alle Teilnehmenden im Meeting sind, „geschlossen“ werden. Weitere Personen können dann nicht mehr am Meeting teilnehmen.

Update XII, 03.04.2020: Zweifel an der Sicherheit der Verschlüsselung von „Zoom“?

Heute wurde ein Bericht veröffentlicht, der einen kritischen Blick auf die von „Zoom“ verwendeten Verschlüsselungstechnologien wirft. Die Hauptergebnisse der Untersuchung habe ich einmal übersetzt:

  1. In der Zoom-Dokumentation wird behauptet, dass die App nach Möglichkeit die „AES-256“-Verschlüsselung für Besprechungen verwendet. Wir stellen jedoch fest, dass in jeder Zoom-Sitzung ein einziger AES-128-Schlüssel im ECB-Modus von allen Teilnehmern zur Ver- und Entschlüsselung von Audio und Video verwendet wird. Die Verwendung des ECB-Modus wird nicht empfohlen, da die im Klartext vorhandenen Muster bei der Verschlüsselung erhalten bleiben.
  2. Die AES-128-Schlüssel, die nach unserer Überprüfung ausreichen, um im Internetverkehr abgefangene Zoom-Pakete zu entschlüsseln, scheinen von Zoom-Servern erzeugt zu werden und werden in einigen Fällen den Teilnehmern einer Zoom-Sitzung über Server in China zugestellt, selbst wenn sich alle Sitzungsteilnehmer und die Firma des Zoom-Teilnehmers außerhalb Chinas befinden.
  3. Zoom, ein Unternehmen mit Sitz im Silicon Valley, scheint drei Unternehmen in China zu besitzen, über die mindestens 700 Mitarbeiter für die Entwicklung der Software von Zoom bezahlt werden. Diese Vereinbarung ist angeblich ein Versuch der Arbeitsarbitrage: Zoom kann die Zahlung von US-Löhnen beim Verkauf an US-Kunden vermeiden und so ihre Gewinnspanne erhöhen. Allerdings könnte diese Vereinbarung Zoom auf den Druck der chinesischen Behörden reagieren lassen.

Ob der Punkt 3.) jetzt wirklich ein „Argument“ ist, wird jedes Unternehmen, das „Zoom“ nutzt, für sich beantworten müssen.

Die Punkte 1.) und 2.) sind für mich das erste Mal relevante Punkte, zu denen ich mir eine kurzfristige vernünftige Stellungnahme von „Zoom“ wünsche. Die Verwendung des ECB-Modus ändert zwar nichts daran, dass die Daten verschlüsselt sind. Aber in dem Beitrag wird anhand der Verschlüsselung eines Bildes eines Pinguins ganz gut sichtbar, warum das keine wirklich gute Verschlüsselung ist.

Im Hinblick auf besondere Betriebs- und Geschäftsgeheimnisse sollte man daher hier Vorsicht walten lassen und die weitere Entwicklung beobachten. Gegen die Veranstaltung von Webinaren über „Zoom“ bestehen allerdings m.E. keine Bedenken. Ich werde hier über den weitere Entwicklung berichten.

Nun wird sich bei „Zoom“ zeigen, ob das „Commitment“ zu Datenschutz und IT-Sicherheit wirklich ernst gemeint war.

In dem Beitrag wird aufgrund einer aktuellen Sicherheitslücke im Warteraum-Feature empfohlen, zunächst nur den Passwort-Modus für „Zoom“-Meetings zu verwenden. Der Fehler wurde an „Zoom“ berichtet und „Zoom“ hätte auch reagiert. Die Autoren des Beitrags werden dann nach Behebung der Lücke über dieselbe berichten. Es bleibt also spannend mit „Zoom“.

Update XIII, 05.04.2020 Reaktion von „Zoom“ und ein sachlicher Beitrag

„Zoom“ hat in recht ordentlicher Weise auf die letzten Vorwürfe (s. Update 12) reagiert. Das lässt hoffen. Aber aktuell würde ich immer noch Vorsicht bei „Zoom“-Meetings walten lassen, über die Betriebs- und Geschäftsgeheimnisse besprochen werden. Warten wir ab, wie „Zoom“ hier reagiert.

Die aktuelle Diskussion um „Zoom“ wird sehr emotional geführt. Sehr hilfreich und vor allem fachlich kompetent fand ich diesen Beitrag hier: „Zoom isn’t Malware.“

Update XIV, 09.04.2020 Meine aktuelle Sichtweise zu „Zoom“

Ich kann die Menge der E-Mails, die mich zum Thema „Zoom“ erreichen, nicht mehr nachzählen. Unglaublich, wie dieses Thema derzeit intensiv diskutiert wird. Seit gestern wird nun vermehrt gefragt, was ich von „Zoom“ halte, wo nun „sogar“ Google die Software von den Geräten ihrer Beschäftigten verbannt hat.
Dass Google das nun tut, verwundert mich nicht unbedingt, wenn wir uns das Produktportfolio von Google im Hinblick auf ihr eigenes Produkt „Meet“ anschauen. Mich interessiert da eher, wie die Informationssicherheits-Community die Geschehnisse um „Zoom“ aktuell bewertet. Und da gibt es ein durchaus differenziertes Bild. Wie z.B. hier (Patrick Wardle), Bill Marczak und hier Steven M. Bellovin. Generell wird gewürdigt, dass „Zoom“ die Probleme ernstnimmt und auch zügig adressiert. Auch hier werde ich den weiteren Verlauf aber genau beobachten.

Derzeit sehe ich unter Bezugnahme auf die insoweit einschlägigen Stellungnahmen aus dem Bereich der Informationssicherheit keine ernsthaften Probleme beim Einsatz von „Zoom“ im Bereich E-Learning, Lehre (z.B. Universitäten) oder Online-Training, wenn die aktuelle „Zoom“-Version unter macOS installiert wurde. Daher werde ich auch weiterhin auf „Zoom“ setzen und die weitere Entwicklung genau beobachten.

Im Hinblick auf Betriebs- und Geschäftsgeheimnisse würde ich aktuell in der Tat Vorsicht walten lassen. Hier wird „Zoom“ beweisen müssen, dass den Worten auch weiter Taten folgen werden. „Zoom“ hat angekündigt, dass die bisher verwendete Verschlüsselung gehärtet wird und man auf „AES-256 GCM“ umsteigen wird. Und zwar soll dies kurzfristig (binnen 45 Tagen heißt es) erfolgen. Wenn dies umgesetzt werden sollte, halte ich auch im Bereich der Betriebs- und Geschäftsgeheimnisse „Zoom“ wieder für vertretbar. Warten wir also ab.

Update XV, 15.04.2020 Was gibt es Neues in Sachen „Zoom“?

Es ist in den letzten Tagen doch etwas ruhiger geworden in Sachen „Zoom“. Das ist vielleicht auch den Ostertagen geschuldet. Gestern kam noch einmal eine Meldung, dass rund 500.000 Logindaten (E-Mail-Adresse & Passwort) im Darknet käuflich zu erwerben sind. Allerdings hat sich schnell herausgestellt, dass es sich dabei um Kombinationen von E-Mail-Adressen und Passwörtern aus alten Hacks anderer Anbieter (z.B. LinkedIn) handelt. Ist also kein originäres „Zoom“-Problem, sondern vielmehr noch einmal Anlass für die dringende Bitte an alle Internet-Nutzer, bitte nicht dieselben Passwörter für die Anmeldung bei verschiedenen Internetdiensten zu verwenden.

Ansonsten kann ich momentan eher nur Positives bzgl. „Zoom“ berichten. Es sind weitere schnelle Updates mit verbesserten Sicherheitsfunktionen entschieden.

Was bislang nur größeren Kunden von „Zoom“ möglich war, wird jetzt für alle zahlenden Zoom-Nutzer ab 18.04.2020 möglich. Denn dann kann die Rechenzentrums-Region genutzt werden. Wenn also ein EU-Unternehmen „Zoom“ nutzt, kann im Account-Bereich künftig eingestellt werden, dass die Daten auch nur in den EU-Rechenzentren von „Zoom“ verarbeitet werden. Ein guter, wichtiger und richtiger Schritt.

Seit dem 07.04.2020 wird zudem der Auftragsverarbeitungsvertrag automatisch mit der Erstellung eines „Zoom“-Accounts in das Vertragsverhältnis eingebunden. Ein gesonderter Abschluss und die Einsendung des Vertrages ist nicht mehr erforderlich. Ich habe daher meinen Beitrag „So schließt du einen Auftragsverarbeitungsvertrag mit „Zoom““ entsprechend aktualisiert.

Aufmerksame Menschen werden erkennen, dass im Auftragsverarbeitungsvertrag von „Zoom“, der online abrufbar ist, mehrere Seiten fehlen bzw. Seitensprünge vorhanden sind. Das ist darauf zurückzuführen, dass auf diesen Seiten normalerweise Unterschriftenfelder vorhanden wären, die durch den elektronischen Vertragsabschluss entfallen. Die Tatsache, dass „Zoom“ diese Seiten nun in der elektronischen Fassung entnommen hat, dürfte damit begründet sein, dass im Vertragsmanagement entschieden worden ist, nur eine Fassung des Auftragsverarbeitungsvertrages zu verwenden, damit es bei der Angabe von Seitenzahlen nicht zu Verwirrungen kommt. So schließt der Anbieter von „Zoom“ mit Unternehmenskunden immer noch auch unterschriebene Fassungen des Auftragsverarbeitungsvertrages ab, in dem dann die Unterschriftenfelder und damit auch die in der elektronischen Fassung fehlenden Seiten vorhanden sind. Ich persönlich hätte es bevorzugt, wenn die Seitenangaben in der elektronischen Fassung durchlaufend gewesen wären, um Verwirrungen zu vermeiden. Rechtlich zwingend ist dies jedoch nicht. Zudem hätte ich persönlich mir gewünscht, dass die automatische Einbindung des Auftragsverarbeitungsvertrages bei der Registrierung eines Accounts etwas deutlicher erfolgen würde. Dazu gibt es ein paar weitere Worte von mir im o.g. Artikel.
Grundsätzlich ist diese Entwicklung bei „Zoom“ aber auch positiv zu bewerten.

Wenn jetzt noch der Wechsel der Verschlüsselung von „AES ECB“ auf „AES 256 GCM“ erfolgt, wird eine Empfehlung von „Zoom“ auch für den Bereich von Geschäftsgeheimnissen wieder möglich erscheinen.

Gegen die Nutzung von „Zoom“ für Webinare, E-Learning und ähnliche Angebote gibt es aus rechtlicher Sicht jetzt schon keine grundlegenden Bedenken. Alle kritischen Ausführungen dazu ließen sich bei näherem Hinschauen meinerseits widerlegen bzw. wurden nicht substantiiert belegt. Es scheint also aktuell eher ein „Gefühl“ zu sein, „Zoom“ nicht nutzen zu können bzw. zu wollen. Dieses Gefühl steht jedem zu. Niemand muss „Zoom“ nutzen. Allerdings meine ich schon, dass ein Einsatz von „Zoom“ immer noch rechtlich und auch technisch vertretbar ist. Für einige alternative Anbieter kann ich das leider nicht sagen.

Wir dürfen also gespannt sein, ob „Zoom“ kurzfristig auch die verwendete Verschlüsselung optimiert. Vorstellbar wäre hier für mich auch, dass ein Nutzer ggf. das Sicherheits-Niveau einstellen kann. Denn die „AES ECB“-Verschlüsselung könnte vor allem auch einer der Gründe für die gute „Performance“ von „Zoom“ in Zeiten von hoher Auslastung sein. Eine Ver- und Entschlüsselung per „ECB“ ist nämlich bedeutend schneller als andere „AES“-Verschlüsselungsvarianten. So heißt es zumindest. Ich bin insoweit auch nur mit „Halbwissen“ ausgestattet.

Eine Idee könnte daher sein: „Zoom“ könnte dem Host eines Meetings die Möglichkeit geben, in kleineren Meetings, in denen z.B. auch Geschäftsgeheimnisse thematisiert werden (und die Performance wegen einer geringeren Teilnehmerzahl nicht entscheidend ist), die bessere Verschlüsselung wie z.B. „AES GCM“ einzustellen und z.B. in „unkritischen“ Meetings und Webinaren die schnellere, aber weniger sichere Verschlüsselung (z.B. AES ECB).

Standardmäßig könnte dann für Meetings die bessere Verschlüsselung voreingestellt werden. Denkbar wäre m.E. auch für Webinare als Voreinstellung die „performantere“, aber weniger sichere Verschlüsselung zu wählen.

Wie dem auch sei. Ich denke schon, dass „Zoom“ hier Verbesserungen vornehmen wird. Und eines werden wir recht sicher sagen können. Es wird wohl kaum einen Videokonferenz-Dienst geben, der ähnlich kritisch von einer großen Zahl von Personen aus dem Informationssicherheitsbereich durchleuchtet wurde, wie „Zoom“ derzeit. „Zoom“ sollte das nutzen, aus den Fehlern lernen und im Gegenzug aber auch eine Chance erhalten können.

Ich freue mich jedenfalls, wenn wir mit diesem Thema lieber auf Basis von sachlichen Erwägungen und weniger auf Basis eines „Gefühls“ umgehen.

Update XVI, 16.04.2020 Berliner Aufsichtsbehörde zu „Zoom“ (Skype und Microsoft Teams)

Wie die Kollegen von Reuschlaw hier schon kritisch kommentiert haben, hat die Berliner Datenschutz-Aufsichtsbehörde sich in Form einer Checkliste (PDF) und einer Stellungnahme oder Orientierungshilfe (PDF) sich zu Anforderungen an Videokonferenzsysteme geäußert.

Neben allgemein guten Ausführungen zu Anforderungen an solche Systeme in der Stellungnahme (PDF) der Aufsichtsbehörde gleitet die Aufsichtsbehörde leider dann in einen kleinen „Nicht-Argumentations-Nebel“ ab. Denn der Einsatz von Microsoft Teams, Skype und natürlich auch „Zoom“ wird per se für rechtswidrig gehalten, ohne substantiiert darauf einzugehen oder dies gar konkret zu begründen.
Zu „Zoom“ heißt es pauschal, dass nach Stand vom 02.04.2020 die datenschutzrechtlichen Anforderungen des Anbieters von „Zoom“ nicht eingehalten würden. Eine konkrete Begründung gibt es nicht. In der Checkliste (PDF) der Aufsichtsbehörde lässt sich dann allenfalls erahnen, dass die Aufsichtsbehörde der Auffassung sein könnte, dass „Microsoft, Skype Communications und Zoom Video Communications“ die Anforderungen bzgl. des Abschlusses der vertraglichen Regelungen (EU-Standardvertragsklauseln) nicht einhalten würden. Begründet wird auch dies wiederum nicht konkret oder nachvollziehbar.

Da sowohl bei Microsoft als auch bei Zoom vertraglich geregelt werden kann, dass eine Datenverarbeitung in der EU erfolgt und zudem auch die Möglichkeit besteht (zumindest im Falle von Zoom) individuelle Auftragsverarbeitungsverträge abzuschließen, vermag ich nicht nachzuvollziehen, wie die Berliner Aufsichtsbehörde zu dieser Auffassung kommt. Anscheinend kennt die Aufsichtsbehörde zumindest nicht die Vertragspraxis der Anbieter und die technische Detail-Ausgestaltung offenbar auch nicht. Jedenfalls fehlen Hinweise zu diesen Themen, die bei so gewichtigen Vorwürfen bzgl. einzelner Anbieter geboten gewesen wären.

Ich muss leider gestehen, dass ich einzelne Äußerungen von Aufsichtsbehörden gerade in Zeiten der aktuellen Pandemie wenig bis gar nicht nachvollziehen kann. So empfiehlt auch die Berliner Aufsichtsbehörde grundsätzlich wieder, man solle ggf. besser Telefonkonferenzen durchführen. Und der weitere Hinweis, dass eine selbst gehostete Videokonferenz generell „sicherer“ sei, ist grundsätzlich auch nur dann korrekt, wenn ein gutes technisches Know-How in dem Unternehmen oder der öffentlichen Stelle zum sicheren Betrieb dieser Systeme besteht. Das ist allerdings nicht unbedingt die Regel.

Im Ergebnis ist festzustellen, dass die von der Berliner Aufsichtsbehörde veröffentlichte Stellungnahme und Checkliste zu Videokonferenzen im Hinblick auf die Behauptung, dass die Nutzung von „Skype“, „Microsoft Teams“ und „Zoom“ rechtlich unzulässig sei, derzeit rechtlich unsubstantiiert ist. Ohne weitere Begründung seitens der Aufsichtsbehörde kann diese Einschätzung der Aufsichtsbehörde m.E. nicht ernstgenommen werden. Wir dürfen gerade in diesen Zeiten von Aufsichtsbehörden gut überlegte und vor allem nachvollziehbare Stellungnahmen erwarten. Hier darf die Berliner Aufsichtsbehörde eine Begründung nachlegen und dabei vor allem auch recherchieren, ob und inwieweit die Tatsachenbehauptungen in den Dokumenten sachlich wirklich zutreffend sind. Auch insoweit möchte ich hier noch einmal die Stellungnahme von Carlo Piltz und Stefan Hessel empfehlen.

Update, 21.04.2020: Mit den leider nicht wirklich geeigneten Empfehlungen oder Hinweisen der Datenschutz-Aufsichtsbehörden haben sich übrigens auch Nico Schröter und Lukas Zöllner in ihrem LTO-Artikel beschäftigt: Denn sie wollen wissen, was sie tun (dürfen)

Update XVII, 23.04.2020 Aktueller Stand in Sachen „Zoom“

In Sachen „Zoom“ gibt es seit dem letzten Update Gutes und Schlechtes zu berichten. Fangen wir mal mit dem Schlechten an. Der geschätzte Thorsten Schröder hat sich den Windows-Client für „Zoom“ etwas näher angesehen und hat – sagen wir es mal so – ein ziemliches „Gefrickel“ von veralteten Softwarebibliotheken und nicht gerade vorbildlichem Code vorgefunden. Ein Teil davon könnte unter bestimmten Voraussetzungen von böswilligen Angreifern ausgenutzt werden. Für konkretere Auswertungen fehlte es an der Zeit, zumal Schröder sich das in seiner Freizeit angesehen hat. Den Beitrag kann man hier nachlesen.
Es ist das zweite Mal, dass ich die Kritik für fundiert halte. Derzeit ist nicht klar, ob sich die Mängel auch auf den Linux- und macOS-Client von „Zoom“ beziehen.

Im Hinblick auf die im Update XII und XV angesprochene „schwache“ AES-Verschlüsselung gibt es jetzt allerdings gute Nachrichten. Gestern hat „Zoom“ eine neue Version 5.0 angekündigt, in der dann die bessere (und gute) „AES 256bit GCM“ implementiert ist. Die funktioniert allerdings nur dann, wenn alle Teilnehmenden auf ein Update auf den neuen „Zoom 5.0“-Client vorgenommen haben. Nach dem 30.05.2020 ist dann ein Update zwingend, um „Zoom“ nutzen zu können. Und dann soll auch nur noch die „AES 256bit GCM“-Verschlüsselung zum Einsatz kommen. Das sind gute Nachrichten.

Richtig gute Nachrichten wären es allerdings erst, wenn dann auch die Schwachstellen im Programm-Code der Apps für die Betriebssysteme behoben sind. Hier darf man ein wenig hoffen, dass „Zoom“ weiter schnell Änderungen implementiert. Nach Angaben von Alex Stamos, den „Zoom“ als Berater hinzugezogen hat, sind derzeit drei externe Unternehmen als „White Hat Hacker“ zum Auffinden von Schwachstellen bei „Zoom“ beauftragt. Erkannte Mängel sollen dann sofort behoben werden.

Die Geschwindigkeit, in der „Zoom“ aktuell Verbesserungen bringt, ist beachtlich. Hier sollten wir uns aber nicht täuschen lassen. Ich hoffe, dass sich insbesondere Experten aus dem Bereich der Informationssicherheit, die neuen „Zoom 5.0“-Versionen ansehen, die im Laufe der nächsten Tage zur Verfügung stehen sollen. Es bleibt also spannend. Ich schaue parallel immer noch nach Alternativen für meine Webinare, behalte mein Vertragsverhältnis mit „Zoom“ aktuell noch aufrecht.

Update XVIII, 29.04.2020 Version „Zoom 5.0“ ist da und löst einen Großteil der Probleme

Mittlerweile hat der Anbieter von „Zoom“ die Version 5.0 zum Download bereitgestellt. Und da mit dieser Version die Verschlüsselung auf „AES 256bit GCM“ umgestellt wird, kann man hier m.E. wieder eine bedingte Freigabe von „Zoom“ für den Bereich von Betriebs- und Geschäftsgeheimnissen geben. Bedingt deswegen, weil die neue Verschlüsselung nur dann zum Einsatz kommt, wenn alle Teilnehmenden die „Zoom 5.0“ verwenden. Nach dem 30.05.2020 wird es aber glücklicherweise eine Update-Pflicht geben, so dass eine Teilnahme an Zoom-Meetings und Webinaren nur noch mit der neuen Software möglich ist.

Die neue Verschlüsselung ist ein bedeutender Schritt nach vorne. Wenn jetzt noch bestätigt werden würde, dass auch die Schwächen des Software-Clients behoben sind (s. Update XVII), dann wäre das ebenfalls ein großer Schritt in Sachen „grünes“ Licht für „Zoom“. Dann verblieben die Bedenken nur noch insoweit für die Menschen, die generell ein Problem damit haben, dass Teile der Softwareentwicklung bei „Zoom“ in China erfolgen oder etwas gegen US-Anbieter allgemein haben. Wer diese Bedenken hat, sollte aber generell überall sehr genau hinschauen, was er nutzt bzw. dann eben Services selbst hosten, wenn er denn den Quelltext zur Verfügung hat und diesen auch verstehen kann bzw. einen Dienstleister mit der Prüfung beauftragt hat und auch insoweit keine Probleme entdeckt werden konnten.

Um es noch einmal zu betonen: Niemand muss „Zoom“ gut finden. Es gibt ausreichend brauchbare Alternativen. Durch die zahlreichen Videokonferenzen beruflicher und privater Natur haben wir sicher alle viele Tools kennengelernt. Jeder möge das nehmen, das er selbst für am besten hält. Im Hinblick auf die Leistung, Bedienung und vor allem die Features bei der Teilnehmerverwaltung ist „Zoom“ immer noch meine erste Wahl, wenn es um Webinare und große Meetings geht. Im Hinblick auf die Rechtskonformität von „Zoom“ ist nach aktuellem Stand allerdings festzustellen, dass „Zoom“ datenschutzkonform eingesetzt werden kann.

Update XIX, 27.05.2020 Zoom hat weitere Verbesserungen eingeführt

Seit dem letzten Update sind einige Wochen vergangen. Und auch in diesen Wochen hat „Zoom“ erfreulicherweise an seinem 90-Tage-Plan zur Verbesserung der Sicherheit von „Zoom“ gearbeitet. Im „Zoom“-Client sind weitere Verbesserungen implementiert worden. Ferner gibt es Hinweise dafür, dass auch die Sicherheitsprobleme des „Clients“ behoben werden. Wer den Teilnehmenden an einem Meeting oder Webinar aber die Teilnahme ohne die Installation einer App anbieten möchte, kann dies auch in seinen „Zoom“-Meeting-Einstellungen konfigurieren. Das führt dazu, dass man beim Aufruf des Meetings dann auch die Möglichkeit erhält, nur über seinen Browser teilzunehmen. Das sollte in der Praxis einen Großteil der Probleme beheben können.

Mittlerweile hat „Zoom“ sogar ein ordentliches Konzept für eine echte Ende-zu-Ende-Verschlüsselung vorgestellt. Auch das sieht vielversprechend aus. Aufgrund dieser Verbesserungen bin ich bzgl. des weiteren Einsatzes von „Zoom“ aktuell weiterhin positiv gestimmt.

Aktuell noch nicht von „Zoom“ behobene kleinere Mängel

Es fehlt die Angabe des Vertreters in der EU (Art. 27 DSGVO) in den Datenschutzhinweisen. Hierauf habe ich „Zoom“ am 31.03.2020 hingewiesen.

„Corona-Virus“ – Richtlinie zur „Telearbeit“ (Home-Office) zum Download

Viele Unternehmen haben bereits Heimarbeit eingeführt bzw. angeordnet, um die Weiterverbreitung von „SARS-CoV-2“, der allgemein als „Corona-Virus“ bezeichnet wird, eindämmen zu helfen.

Home-Office und Heimararbeit sind zwar in vielen Unternehmen schon in Teilbereichen möglich. Und es wäre auch ohne die aktuell Gesundheitslage ein Trend, der in der Arbeitswelt festen Einzug erhalten wird. Aber natürlich birgt eine Arbeit zuhause Risiken für die Vertraulichkeit, Integrität und ggf. auch Verfügbarkeit von personenbezogenen Daten.

Diese Risiken sind nach Art. 32 DSGVO, Art. 24 Abs. 1 DSGVO und Art. 5 Abs. 1 lit. f) DSGVO zu „behandeln“, indem technische und organisatorische Maßnahmen getroffen werden, die diese Risiken ausschließen bzw. minimieren.

Diese Maßnahmen sollten für die Beschäftigten, die Heimarbeit leisten bzw. im Home-Office arbeiten, als Richtlinie verbindlich gemacht werden.

Ein Beispiel für eine Richtlinie stelle ich hier zum kostenlosen Download zur Verfügung:

Die Richtlinie sollte dann die konkreten Gegebenheiten angepasst werden.

Datenschutz-Informationen für Beschäftigte (DSGVO / Muster)

Im Juni 2018, das war sozusagen noch die heiße Phase der DSGVO, ist dieser Beitrag das erste mal erschienen.

Ich habe ihn jetzt einmal aktualisiert und auf den letzten Stand gebracht. Hierum geht es:

Auch die Arbeitnehmerinnen und Arbeitnehmer („Beschäftigte“1) sind nach den Vorgaben der DSGVO über die Verarbeitung der sie betreffenden personenbezogenen Daten durch den Arbeitgeber zu informieren.

Natürlich hängen die Details einer solchen Information stets von den individuellen Gegebenheiten ab. Also z.B. davon, welche Tools und Prozesse im Bereich Personalverwaltung, Personalentwicklung etc. verwendet werden. Gleichwohl ist es wahrscheinlich hilfreich, zumindest ein grobes Muster als Vorlage zur Verfügung zu haben, das einen guten ersten „Aufschlag“ ermöglicht.

Daher habe ich hier folgendes Muster für Datenschutzinformationen für Beschäftigte für Datenschutz-Coaching-Mitglieder erstellt. In dem Muster gehe ich davon aus, dass die Verarbeitung von Beschäftigtendaten ausschließlich in der Europäischen Union stattfindet. Das Muster bezieht sich auf ein „Unternehmen“. Es kann aber leicht auch für öffentliche Stellen abgewandelt werden.

Die Datenschutzhinweise für Beschäftigte könnten dann so aussehen:

Datenschutzhinweise für Beschäftigte

Als Beschäftigte in unseren Unternehmen möchten wir Ihnen gerne Informationen zur Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit Ihrer Tätigkeit als Arbeitnehmerin oder Arbeitnehmer bei uns geben:

Wer ist für Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrechts ist die

Mustermann GmbH
Musterstr. 123
12345 Musterstadt

Weitere Informationen und Kontaktdaten finden Sie auch in Ihrem Arbeitsvertrag.

Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?

Wir verarbeiten die personenbezogenen Daten, die für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich sind. Das sind vor allem Kontaktdaten, Daten zu Ihren Qualifikationen, Arbeitszeiten und alle Informationen, die für die Ermittlung und Abrechnung Ihres Gehalts und im Zusammenhang mit gesetzlichen Abgaben und Steuern (z.B. Sozialversicherungsbeiträge) erforderlich sind.

Hinzu kommen ggf. auch Daten aus dem Bereich der Arbeitssicherheit, dem betrieblichen Eingliederungsmanagement und Daten über arbeitsvertragliche Pflichtverletzungen, die geahndet wurden („Abmahnungen“).

Schließlich kommen auch noch Informationen über Ihre Arbeitsergebnisse sowie deren Bewertung hinzu, die z.B. für die Erstellung von Beurteilungen benötigt werden.

Sollten Sie eine von uns angebotene betriebliche Altersversorgung nutzen, werden auch in diesem Bereich Daten verarbeitet und im Rahmen der Erforderlichkeit ggf. an die Versicherer weitergegeben.

Unabhängig davon kann es immer Konstellationen geben, in denen wir personenbezogenen Daten von Ihnen verarbeiten, die hier nicht bzw. deren Zwecke hier nicht genannt sind. Wir werden in diesen Fällen dann – bezogen auf den jeweiligen Anlass – gesonderte Informationen zum Datenschutz für Sie bereithalten, soweit dies gesetzlich erforderlich ist.

Auf welcher rechtlichen Grundlage basiert das?

Rechtsgrundlage für die Verarbeitung Ihrer Beschäftigtendaten ist primär § 26 BDSG. Danach ist die Verarbeitung der Daten zulässig, wenn dies zur Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Unabhängig davon kann eine Datenverarbeitung auch auf Basis einer sog. Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO erfolgen. In diesen Fällen wird das Interesse im Zusammenhang mit der jeweiligen Verarbeitung gesondert mitgeteilt.

Und schließlich können wir auch gesetzlich verpflichtet sein, personenbezogene Daten zu verarbeiten. Die Rechtsgrundlage kann dann neben § 26 BDSG auch Art. 6 Abs. 1 lit. c) DSGVO sein.

Wie lange werden die Daten gespeichert?

Grundsätzlich werden personenbezogene Daten von Beschäftigten für die Dauer des Beschäftigungsverhältnisses gespeichert. Sonderregelungen kann es in einzelnen Bereichen geben. So werden z.B. Abmahnungen in Personalakten ggf. kürzer gespeichert.

Soweit gesetzliche Aufbewahrungspflichten bestehen, sind diese von uns zu berücksichtigen. So gibt es beispielsweise gesetzliche Aufbewahrungspflichten für Lohnsteuerdaten, Daten zu Überstunden und weitere bereichsspezifische Regelungen.

Soweit keine gesetzlichen Aufbewahrungspflichten bestehen, können personenbezogene Daten gelöscht werden, wenn deren weitere Verarbeitung für die Durchführung oder Beendigung des Beschäftigungsverhältnisses nicht mehr erforderlich sind.

Nach Beendigung des Beschäftigungsverhältnisses werden Daten bis zur Verjährung etwaiger Schadensersatzansprüche jeder Partei gespeichert. Eine längere Speicherung kommt zudem in Betracht, wenn dies auch im Interesse von Ihnen ist oder Sie eine Einwilligung erteilt haben.

Sollten Sie z.B. nicht wollen, dass wir personenbezogene Daten von Ihnen nach dem Ablauf gesetzlicher Aufbewahrungspflichten weiter speichern, dann teilen Sie uns das gerne beim Ausscheiden aus unserem Unternehmen mit. Bitte beachten Sie, dass wir in dem Fall später nicht behilflich sein können, wenn Sie gegenüber der Rentenversicherung Sozialversicherungszeiträume nachweisen wollen.

Wir werden generell zum Ende eines Jahres prüfen, ob und in welchem Umfang Daten von Beschäftigten wegen eines Wegfalls der Erforderlichkeit gelöscht werden können.

An welche Empfänger werden die Daten weitergegeben?

Innerhalb des Unternehmens kommt eine Weitergabe Ihrer personenbezogenen Daten in Betracht, wenn z.B. im Zusammenhang mit einem Stellenwechsel eine Prüfung der Eignung und Qualifikation erforderlich wird. Oder falls Ihnen im Unternehmen eine andere oder zusätzlich Aufgabe übertragen wird oder werden soll.

Ferner kann im Zusammenhang mit der betrieblichen Mitbestimmung eine Weitergabe an einen Betriebsrat erfolgen.

Eine Weitergabe von Daten erfolgt zudem an Sozialversicherungsträger, Finanzverwaltung und ggf. weitere Stellen, soweit wir gesetzlich dazu verpflichtet sind. Auch kann eine Weitergabe an Steuerberater und Wirtschaftsprüfer erfolgen.

Wo werden die Daten verarbeitet?

Die Daten werden grundsätzlich auf dedizierten IT-Systemen in unseren Räumlichkeiten verarbeitet. Auf diese IT-Systeme haben neben Administratoren nur Mitglieder der Personalabteilung und der Unternehmensleitung Zugriff.

Sollten Beschäftigtendaten bei Dienstleistern verarbeitet werden, stellen wir sicher, dass dies unter Einhaltung der datenschutzrechtlichen Vorgaben erfolgt. Eine Verarbeitung von Beschäftigtendaten außerhalb der europäischen Union erfolgt nicht.

Ihre Rechte als „Betroffene“

Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten.

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Ferner haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit.

Unsere Datenschutzbeauftragte

Unsere Datenschutzbeauftragte im Unternehmen erreichen Sie unter

Mustermann GmbH
– Datenschutzbeauftragte –
Musterstr. 123
12345 Musterstadt
E-Mail: datenschutz@mustermann.de

Beschwerderecht

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Die Datei kann von Datenschutz-Coaching-Mitglieder hier auch als Word-Datei heruntergeladen werden:

  1. Beschäftigte sind nach § 26 Abs. 8 BDSG nicht nur Arbeitnehmerinnen und Arbeitnehmer, sondern auch die weiteren dort genannten „Personenkreise“. In diesem Beitrag nehme ich jedoch nur Bezug auf Arbeitnehmerinnen und Arbeitnehmer.
    Bei anderen Beschäftigten würde ich im Einzelfall dazu raten, ggf. Ergänzungen vorzunehmen. So kann es z.B. für Auszubildende Besonderheiten geben, wenn es z.B. um die Datenverarbeitung im Zusammenhang mit einer geht. ↩︎

Rezension: Aufbau von Datenschutz-Management-Systemen nach der DSGVO

Es ist mal wieder soweit. Nach langer Zeit gibt es eine Buch-Rezension. Weitere werden in Kürze folgen.

In dieser Folge geht es um das Buch von Dr. Tobias Korge:

Aufbau von Datenschutz-Management-Systemen nach der DS-GVO

Den Bindestrich in der DSGVO verzeihe ich ihm bzw. dem Verlag gerade noch einmal. Denn es geht schließlich um den Inhalt.

Das Buch kostet 44,00 € und ist damit im Bereich der Datenschutz-Literatur noch als erschwinglich zu bezeichnen.

Nur: Lohnt sich die Anschaffung des „Korge“?

Nun…wenn du einen Einstieg in das Thema Datenschutzmanagement-Systeme (DSMS) suchst, dann findest du in diesem Buch einen guten Wegbegleiter.

Der Autor schafft es, in verständlichen Worten Sinn und Zweck eines DSMS aufzuzeigen. Und er führt dabei gleich zu Beginn in die verschiedenen Standards ein.

Für Profis im Bereich DSMS ist das Buch eher nicht geeignet. Allenfalls zur Bestätigung und Aktualisierung des bereits vorhanden Fachwissens in dem Bereich.

Am besten schaust du dir dazu das Video an (übrigens im BEACH HOUSE gedreht):

Erschienen ist das Buch bei „Reguvis“. Infos zum Buch und zum Kauf findest du beim Verlag: Korge, Aufbau von Datenschutz-Management-Systemen nach der DS-GVO

Das Buch ist übrigens auch als E-Book erhältlich.

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen.

Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn ich mit diesem Fall als Anwalt betraut gewesen wäre, hätte die Behördenleitung Konsequenzen aus diesem rechtswidrigen Verhalten folgen lassen müssen.

Um für rechtliche Klarheit in diesem Bereich zu sorgen, hat der deutsche Gesetzgeber nun eine Änderung des Steuerberatungsgesetzes (StBerG) beschlossen, die seit dem 18.12.2019 in Kraft getreten ist.

Dort ist § 11 StBerG neu gefasst worden:

§ 11 Verarbeitung personenbezogener Daten
(1) Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(2) Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(3) § 83 dieses Gesetzes und § 30 der Abgabenordnung stehen dem nicht entgegen.

Damit sind nun folgende, zuvor nicht ganz klare Probleme gelöst:

  1. Für besondere Kategorien personenbezogener Daten ist nun die Rechtsgrundlage für die Verarbeitung durch Steuerberater geregelt. Und zwar verweist § 11 StBerG insoweit jetzt auf die Befugnis aus Artikel 9 Abs. 2 lit. g) DSGVO. Im Ergebnis ist so eine Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten im deutschen Recht – also im StBerG – geschaffen worden.
  2. Steuerberater sind bei jeglicher Verarbeitung von personenbezogenen Daten selbst Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO und arbeiten weisungsfrei. Im Ergebnis ist damit eine Auftragsverarbeitung ausgeschlossen. Und zwar auch dann, wenn „nur“ eine Lohnabrechnung für Mandanten erfolgt.

Dass der Gesetzgeber gerade auch das Problem, dass z.B. von einigen Aufsichtsbehörden vertreten wurde, dass die Lohnbuchhaltung eine Auftragsverarbeitung sei, lösen wollte, lässt sich übrigens ausdrücklich der Gesetzesbegründung entnehmen:

In § 11 Absatz 2 Satz 1 StBerG wird ergänzt, dass die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei erfolgt. D. h. dies gilt auch für das „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen. Mit dieser Regelung werden die berufsrechtlichen Pflichten des Steuerberaters als Berufsgeheimnisträger zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung sichergestellt.
Quelle: BT-Drs. 19/14909, S. 58

Dass der deutsche Gesetzgeber diese Frage der Berufsausübung im Bereich der freien Berufe so regelt, widerspricht im Übrigen auch nicht dem Europarecht. So wird man hier also nicht über einen Vorrang der DSGVO argumentieren können, dass dennoch eine Auftragsverarbeitung bei Steuerberatern in Frage käme.

Update, 30.12.2019: Da die Diskussion bei Twitter aufkam, ob der nationale Gesetzgeber überhaupt festlegen kann, wer Verantwortlicher und wer Auftragsverarbeiter ist, weise ich ergänzend darauf hin, dass der nationale Gesetzgeber nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung personenbezogener Daten vorgeben kann. Dies hat der Gesetzgeber im vorliegenden Fall in zulässiger (wenn vielleicht auch nicht eleganter) Weise getan, in dem in seiner Gesetzesbegründung erläutert hat, warum Steuerberater auch bei einer Lohnabrechnung etc. eigenverantwortlich tätig werden. Im Ergebnis kann so eine Verantwortlichkeit faktisch vom nationalen Gesetzgeber vorbestimmt werden.

Ich betrachte diese Rechtsfrage damit als geklärt. Daraus ergibt sich: Bei der Inanspruchnahme von Leistungen von Steuerberatern nach dem StBerG liegt KEINE Auftragsverarbeitung vor.

Insbesondere die Aufsichtsbehörden in Baden-Württemberg und Nordrhein-Westfalen sind nun aufgefordert, die von ihnen zuvor vertretene Rechtsauffassung, dass bei einer Lohnbuchhaltung durch Steuerberater eine Auftragsverarbeitung vorliege, öffentlich zu revidieren.
Dies ist schon geboten, um die von den Aufsichtsbehörden (m.E. fälschlicherweise) verursachte Rechtsunsicherheit nunmehr zu beseitigen.

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung

Für das Jahr 2020 habe ich für meine Mandanten eine Art Datenschutz-Fahrplan entwickelt. Die Idee dahinter ist, „Datenschutz“ einfach besser zu machen. Mit einfachen Methoden, kleinen Schritten und guten Ergebnissen. Ohne den Anspruch, perfekt zu sein.

Wir Menschen überschätzen gerne, was wir in einem Monat schaffen können (Beispiel: hoch motiviert 10kg abnehmen) und wir unterschätzen aber auch, was wir in einem Jahr schaffen können (Beispiel: 10kg in einem Jahr abzunehmen, ist für viele Menschen gut schaffbar).

Und so ist es auch mit der Umsetzung von Datenschutz. Es bringt nämlich nichts, vollkommen übermotiviert schon in ersten Monat „alles an Datenschutz“ umzusetzen. Du wirst sehr schnell sehen, dass das nicht geht. In der Folge kommt der Frust und häufig auch die Resignation. Und in der Konsequenz stehst du bzgl. Umsetzung von Datenschutz genauso wie im Jahr zuvor. Wahrscheinlich also nicht da, wo du sein wolltest.

Nur wie gehen wir hier vor? Für Datenschutz-Coaching-Mitglieder wird es im Jahr 2020 eine ganze Reihe von Unterstützungen geben. Jeden Monat werde ich Ideen präsentieren, wie du im eigenen Unternehmen oder deiner öffentlichen Stelle die richtigen Fragen stellst oder wie du deine Kunden dazu bewegen kannst, dir die entscheidenden Informationen zu geben, damit „Datenschutz“ letztlich besser dokumentiert und vor allem auch umgesetzt werden kann.

Natürlich kannst du das alles selbst am besten machen. Aber manchmal ist ein bisschen Hilfestellung auch ganz gut. Und dazu ist das Video hier vielleicht auch eine kleine Hilfe für dich:

Wenn dir das nicht ausreicht, kannst du natürlich Datenschutz-Coaching-Mitglied werden (falls du das noch nicht bist) und dann ab Januar 2020 durchstarten. Oder vielleicht möchtest du an einer Schulung „Datenschutz 2020 teilnehmen, um hier den Impuls und die Vorlagen für das Jahr zu bekommen. Übrigens gibt es für diese Schulungen einen ordentlichen Rabatt für Datenschutz-Coaching-Mitglieder. Ggf. lohnt sich also beides. 😉

Aufsichtsbehörden: Einwilligung für Google Analytics erforderlich?

Meine zwei Cents zu einem „explosiven“ Thema:

Und es hat „Boom“ gemacht…

BOOM…das dachte ich letzte Woche, als am 14.11.2019 eine Welle von Pressemitteilungen der deutschen Datenschutz-Aufsichtsbehörden aufschlugen.

Eine kleine Explosion in Sachen Google Analytics & Datenschutz gab es letzte Woche.

13 Pressemitteilungen von Aufsichtsbehörden aus diesen Bundesländern sowie des Bundesdatenschutzbeauftragten habe ich gezählt:

Worum geht es?

Die Aufsichtsbehörden haben in einer Art von „konzertierter Aktion“ Unternehmen und auch öffentliche Stellen aufgefordert, „Google Analytics“ und andere „Tracking“-Angebote nicht ohne eine Einwilligung einzusetzen.

Die Texte der Pressemitteilungen unterscheiden sich in Nuancen. Zum Teil wird direkt gegen den Einsatz von „Google Analytics“ argumentiert; teilweise wird aber auch allgemein von „Tracking“-Angeboten gesprochen.

Ein nicht unwesentlicher Teil der Ausführungen ist in seiner Pauschalität rechtlich falsch. Das sagen die Aufsichtsbehörden aber leider nicht. Stattdessen wird hier einfach mal vollkommen undifferenziert „gepoltert“, mit der Folge, dass viele Anbieter von Internetseiten wieder einmal wie aufgeschreckte Hühner umherlaufen und nicht wissen, was sie tun sollen.

In den Pressemitteilungen ist keine Rede davon, dass Google Analytics eine Vielzahl von Konfigurationsmöglichkeiten hat und in einer Grundeinstellung m.E. sehr wohl ohne eine Einwilligung eingesetzt werden kann.

Ferner ist es rechtlich äußerst umstritten, ob bei Nutzung der demografischen Features von Google Analytics eine Einwilligung zwingend ist. Und für Unternehmen, die z.B. erweiterte Dienste von Google im Kontext mit Google Analytics nutzen, um die Wirksamkeit ihrer Werbung zu messen, kann einiges dafür sprechen, dass auch dies – insbesondere bei Unternehmen, die zwingend auf Werbung angewiesen sind – ohne eine Einwilligung zulässig sein kann.

Was ist gut und was ist schlecht an der „Aktion“ der Aufsichtsbehörden?

Die „Aktion“ der Aufsichtsbehörden hat Licht und Schatten.

Ich bin wahrlich kein Freund von Google Analytics und bevorzuge schon seit jeher Webanalyse-Tools, die ich auf meinem eigenen Server betreiben kann. Gleichwohl ist anzuerkennen, dass z.B. für viele Mandantinnen kein Weg an Google Analytics vorbeiführt. Denn dann könnten z.B. Werbeausgaben im Hinblick auf ihre Sinnhaftigkeit und vor allem aber zur Vermeidung von sinnlosen Werbeausgaben nicht mehr analysiert werden. Hier bietet ein Tool wie z.B. Matomo derzeit keine brauchbare Konkurrenz. Und bei genauer Betrachtung glaube ich nicht, dass es rechtlich nur auf Basis einer Einwilligung möglich ist, diese Tools zu betreiben, wenn ich als Unternehmen wirklich darauf angewiesen bin.

Und genauso ist es aber richtig, dass die große Mehrheit von Anbietern von Internetseiten eben gar kein Google Analytics benötigt, sondern sehr wohl und sehr gut mit weniger invasiven Tools leben könnte. Vielen Unternehmen reicht ein Blick auf die Zahl der wöchentlichen oder monatlichen „eindeutigen Besucher“ oder eine Statistik der am meisten aufgerufenen Seiten des eigenen Angebots. Und auch der Blick darauf, wo die Seite z.B. Fehler aufzeigt, weil Links in die Leere führen o.ä., lässt sich mit anderen Tools ebenso gut realisieren wie mit Google Analytics.

Es gibt sogar Tools, die ohne Cookies auskommen und gleichwohl ausreichende Statistiken zustande bringen. So kann ich z.B. Matomo auch ohne Cookies einsetzen, auch wenn in der aktuellen Version 3.12.0 ein nerviger Fehler enthalten ist, der zum Setzen eines Test-Cookies führt, wenn ich Matomo ohne Cookies einsetze. Aber das wird mit der nächsten Version angeblich behoben.

Wer sich nicht selbst um den Betrieb eines Analyse-Tools auf dem eigenen Server kümmern mag, der ist ggf. mit dem neuen kanadischen Tool Fathom1 gut aufgehoben, das ebenfalls ohne Cookies und mit netten Datenschutz-Features aufwartet.

Gut an der „Aktion“ der Aufsichtsbehörden ist also, dass sie aufrüttelt und die Unternehmen vielleicht dazu bringt, sich nach Alternativen umzusehen.

Schlecht finde ich nur, dass es nicht professionell ist, so pauschale Aussagen zu treffen, die rechtlich einfach nicht zutreffend sind. Hier würde ich mir wünschen, dass Aufsichtsbehörden einfach einmal „förmlich“ handeln, so wie es eigentlich vorgesehen ist. Nämlich indem sie z.B. ein Bußgeld wegen eines vermeintlich rechtswidrigen Einsatzes von Google Analytics verhängen und/oder anordnen, den Einsatz von Google Analytics bei einem Unternehmen oder eine Behörde zu untersagen. Die Wahrscheinlichkeit ist hoch, dass wir dann eine gerichtliche Klärung der Streitfragen bekommen und damit mit eben endlich mehr Rechtssicherheit.

Damit wäre allen geholfen. Mehr als durch „aufregende“ Pressemitteilungen. Vielleicht können wir das aber auch einfach so sehen, dass die Aufsichtsbehörde hier den Unternehmen noch einmal Gelegenheit zum Nachdenken geben wollten, bevor es dann sie selbst ggf. mit einem Bußgeld trifft? Das könnte sein…

Wir werden es erleben. Denn die Wahrscheinlichkeit, dass es spätestens im nächsten Jahr Bußgeldbescheide wegen des Einsatzes von Google Analytics geben wird, ist m.E. sehr hoch.

  1. Hier gibt es ggf. noch ein Detailproblem, weil es aufgrund der reinen Erhebung der IP-Adressen (ohne Speicherung) theoretisch ein Erfordernis für einen Auftragsverarbeitungsvertrag oder einen Vertrag zur gemeinsamen Verantwortlichkeit geben kann. ↩︎

Datenschutzkonferenz 2020 – Eine Konferenzempfehlung für April 2020

Letztes Jahr habe ich das erste Mal an der „Datenschutzkonferenz“ in Düsseldorf teilnehmen dürfen.

Ein tolles Event für „Datenschützer“. Und auch im nächsten Jahr findet die „Datenschutzkonferenz“ wieder statt. Und zwar vom 27.04.2020 bis 29.04.2020.

Wer sich näher für die Inhalte interessiert, der kann sich dieses persönliche Video von mir anschauen:

Zur Konferenz kannst du dich hier anmelden: https://www.datenschutz-berater.de/dsk

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren?

Wenn Unternehmen Firmenwagen für Beschäftigte zur Verfügung stellen, stellt sich die datenschutzrechtliche Frage, ob in dem Zusammenhang die Kopie von Führerscheinen von Beschäftigten zulässig ist?

Um diese Frage zu beantworten, müssen wir uns im Ergebnis die Frage stellen, ob die Kopie von Führerscheinen rechtlich erforderlich ist und davor vor allem, welche Rechtsgrundlage hierfür in Betracht kommt.

Richtig ist zunächst, dass die Arbeitgeberin wohl ein Recht der Überprüfung hat, ob eine Beschäftigte im Besitz einer gültigen Fahrerlaubnis hat. Dieses Recht leitet sich aus § 21 Abs. 1 Nr. 2 StVG her. Dort heißt es nämlich (verkürzt):

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer (…)
2. als Halter eines Kraftfahrzeugs anordnet oder zulässt, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat (…).

Das beantwortet aber noch nicht die Frage, ob hierfür auch die Kopie eines Führerscheins zulässig ist oder nicht.

Finden einer Rechtsgrundlage

Also müssen wir uns auf die Suche nach einer Rechtsgrundlage begeben. Denn zweifelsohne stellt die Anfertigung einer Kopie eines Führerscheins im Kontext mit einem Beschäftigungsverhältnis eine Verarbeitung personenbezogener Daten dar.
Nach § 26 Abs. 7 BDSG gelten die Regelungen zur Verarbeitung von personenbezogenen Daten von Beschäftigten nämlich auch für Daten, die nicht-automatisiert verarbeitet werden.

Apropos § 26 BDSG – da wären wir auch schon bei der ersten einschlägigen Rechtsgrundlage, an die wir beim Anfertigen von Kopien von Führerscheinen von Beschäftigten denken könnten.

§ 26 BDSG als Rechtsgrundlage?

Nach § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.

Knackpunkt – Erforderlichkeit

Knackpunkt ist hier (wie so häufig) die Erforderlichkeit – und…da wir uns im (zunächst) deutschen Recht befinden…wohl auch eine „Erforderlichkeit“ i.S.d. deutschen „Verhältnismäßigkeitsgrundsatzes“.

So würden jedenfalls die Arbeitsgerichte mit hoher Wahrscheinlichkeit sozusagen „reflexartig“ auf die Prüfung der Verhältnismäßigkeit springen, wenn sie den Begriff der Erforderlichkeit hören. Und ja…ich muss mir das auch gerade mühsam abtrainieren. Denn genau genommen ist sehr fraglich, ob bei einer Regelung wie z.B. § 26 BDSG, die nach meinem Verständnis wohl eine Art spezifischerer Regelung zu Art. 6 Abs. 1 lit. b) DSGVO darstellt, der deutsche Grundsatz der Verhältnismäßigkeit anzuwenden ist.

Aber egal…ich würde jedenfalls vermuten, dass ein Arbeitsgericht genau diesen Schritt aus o.g. Gründen („Reflex“) durchführen würde. Also schauen wir uns das mal an:

Wann liegt eine „Erforderlichkeit“ nach dem Grundsatz der Verhältnismäßigkeit im deutschen Recht vor?

Eine Maßnahme (wie die Kopie von Führerscheinen) ist verhältnismäßig, wenn

  1. die Datenverarbeitung geeignet ist, um den verfolgten Zweck der „Führerscheinüberprüfung“, zu erfüllen („Eignung“),
  2. es kein milderes Mittel gibt, dass gleich effektiv ist, um den Zweck zu erfüllen und schließlich („Erforderlichkeit“)
  3. die Schwere des mit der Datenverarbeitung einhergehenden Eingriffs in die Persönlichkeitsrechte der Beschäftigten nicht außer Verhältnis zum „Gewicht“ des verfolgten Zwecks steht („Angemessenheit“)

Zweck der Verarbeitung ist hier übrigens nicht die Überprüfung des Vorliegens einer Fahrerlaubnis, sondern meines Erachtens vielmehr die Vermeidung einer Halterhaftung der Arbeitgeberin nach dem StVG. Die Überprüfung der Fahrerlaubnis und die Anfertigung einer Kopie sind hier nur Mittel zum Zweck. Das sollte man also immer differenziert betrachten.

Prüfen wir das also einmal durch.

Beispiel 1: Nehmen wir mal eine Vertriebsmitarbeiterin im Außendienst. Die soll einen Firmenwagen zur Verfügung gestellt bekommen. In dem Kontext möchte man eine Kopie des Führerscheins zu ihrer Personalakte nehmen. Ist das nach § 26 BDSG rechtlich zulässig?

Eignung: Zunächst einmal ist eine Überprüfung des Führerscheins und das Anfertigen einer Kopie zweifelsfrei geeignet, den Zweck der Vermeidung einer Halterhaftung wegen der schuldhaften Überlassung eines Fahrzeuges an Personen ohne eine Fahrerlaubnis zu erfüllen. Dahinter können wir also einen „Haken“ machen.

Anmerken möchte ich hier, dass es nach der Rechtsprechung des BVerfG bei der Frage der „Eignung“ oder „Geeignetheit“ noch nicht einmal erforderlich ist, dass das verwendete Mittel den Zweck erreicht. Es reicht aus, wenn das verwendete Mittel die Erreichung des Zwecks fördert. Das ist also schon sehr weit auszulegen. Zumindest wohl hier im deutschen Recht (§ 26 BDSG), in dem wir uns gerade befinden.

Erforderlichkeit: Diese Stufe der Verhältnismäßigkeitsprüfung ist die „Skeptikerinnen-Stufe“. Und die werden wir häufig bei Aufsichtsbehörden vorfinden. Denn Aufsichtsbehörden setzen „Datenschutz“ gerne auf genau dieser Ebene um. Und zwar indem sie den Standpunkt vertreten, dass es ein milderes Mittel gibt, um den Zweck zu erreichen.

So einfach ist das aber nicht. Denn das BVerfG (und die Rechtswissenschaft) hat den Grundsatz der Verhältnismäßigkeit zunächst einmal für staatliches Handeln in den o.g. Stufen der Eignung, Erforderlichkeit und Angemessenheit geprägt. Und zwar als unmittelbaren Ausfluss des Rechtsstaatsprinzips. Und danach gibt es für die Stufe der Erforderlichkeit ein dem „Gesetzgeber“ zugestandenen Beurteilungs- und Ermessensspielraum.

In der Folge können wir bei Gesetzen z.B. sehr häufig viele mildere Mittel finden, die gleich geeignet wären. Aber der Gesetzgeber hat hier eben einen Spielraum der Beurteilung und Entscheidung, in dem er sich bewegen kann. So sollen Gerichte eben nicht „Gesetzgebung“ spielen, sondern vielmehr nur die Schranken aufweisen, bei denen durch Gesetzte z.B. unzulässig in die Rechte von Bürgerinnen eingegriffen wird.

Nur gilt dieser o.g. Spielraum eben nicht in gleicher Weise für die Exekutive. Und fraglich ist auch, ob und inwieweit dieser Spielraum für die nichtöffentlichen Stellen, d.h. die Unternehmen gilt. Es ist aber unbestritten, dass die Verwaltung und auch Unternehmen auf der Stufe der „Erforderlichkeit“ einen eigenen Einschätzungsspielraum haben. Nur die „Weite“ ist halt unklar.

Das bedeutet im Ergebnis auch – zumindest hier im BDSG als einschlägig anzuwendendes Recht – dass eine Aufsichtsbehörde nicht ohne Weiteres ihre eigene Ansicht über ein milderes Mittel ansetzen darf, um eine Maßnahme z.B. für unzulässig zu halten.

Dass die Aufsichtsbehörden dies gleichwohl gerne so vertreten, können wir unlängst im Hinblick auf eine Erforderlichkeit bei der Datenverarbeitung für Vertragszwecke bei Online-Services nachlesen. Und zwar in den „Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“ (PDF) des Europäischen Datenschutzausschusses. Das ist allerdings wiederum ein anderes Thema, dessen Abhandlung hier den Rahmen sprengen würden.

Jedenfalls wird es in der Praxis beim Merkmal der „Erforderlichkeit“ in der Praxis interessant. Denn viele Aufsichtsbehörden erkennen hier einen Spielraum nicht oder kaum an.

Praktisch würde ich empfehlen, das Merkmal der „Erforderlichkeit“ bei der Datenverarbeitung durch Unternehmen im unmittelbaren Kontext mit der „Angemessenheit“ zu prüfen. Warum? Weil es so zu sachgerechteren Ergebnissen führt. Um das durchführen zu können, müssen wir uns aber um die „Angemessenheit“ kümmern.

Angemessenheit: Eine Datenverarbeitungsmaßnahme ist in ihrer konkreten Ausgestaltung dann angemessen, wenn die Beeinträchtigung, die der Datenverarbeitung für den Betroffenen bedeutet und der mit der Verarbeitung verfolgte Zweck in einem wohl abgewogenem Verhältnis zueinander stehen.

Und hier schlägt dann auch die Stunde der Abwägungen unterschiedlicher Rechtspositionen und vor allem der Grundrechte. Und im Ergebnis sind dann hier gute Argumente gefragt.

Da die oben angeführte „Erforderlichkeit“ – also die Frage nach einem milderen Mittel, das gleich geeignet zur Zweckerreichung ist – kann ehrlicherweise wohl nur dann praktisch erfolgen, wenn wir die rechtlichen Ansprüche, Interessen oder Schutzgüter von Verantwortlichen und Betroffenen miteinander abwägen. Daher würde ich immer dazu raten, im Datenschutzrecht die Prüfung der Erforderlichkeit und Angemessenheit zusammenzuziehen.

Zurück zum Beispiel 1

Also tun wir das noch mal im Hinblick auf das konkrete Beispiel 1 . Die Geeignetheit hatten wir oben ja schon festgestellt. Offen sind also noch Erforderlichkeit und Angemessenheit.

Gibt es ein milderes Mittel, das Vorliegen einer Fahrerlaubnis für eigene Zwecke zu dokumentieren, um seine Risiken aus der Halterhaftung zu minimieren? Ja, das gibt es. Denn es wäre ein milderes Mittel, sich den Ausweis vorzeigen zu lassen, und sich einen Vermerk darüber anzufertigen (bzw. es geeignet zu dokumentieren), dass Mitarbeiterin X am Tag X im Besitz einer Fahrerlaubnis der Fahrerlaubnisklasse Z war.

Ich kenne einige Arbeitgeberinnen, die hier jetzt sofort einwerfen würden, dass die Anfertigung einer Kopie viel weniger Aufwand bereiten würde und zudem nur so „beweissicher“ eine Halterhaftung vermieden werden könnte.

Tja…und dann geht es los. Denn jetzt müssen wir hier die entgegenstehenden Positionen miteinander abwägen. Und hier werden wir auch die Grundsätze der Datenverarbeitung aus Art. 5 DSGVO heranziehen müssen. Und dort speziell Art. 5 Abs. 1 lit. c) DSGVO – den Grundsatz der Datenminimierung. Danach muss die Verarbeitung personenbezogener Daten insbesondere „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Erinnern wir uns diesbezüglich noch einmal um den Zweck. Der Zweck ist die Vermeidung der Halterhaftung aus § 21 StVG. Für diesen Zweck muss eine Maßnahme getroffen werden, die sicherstellt, dass nur die Beschäftigten ein Firmenfahrzeug fahren, die im Besitz einer gültigen Fahrerlaubnis sind.

Sicher kann da das Anfertigen einer Kopie ein geeignetes Mittel für die Dokumentation der Prüfung sein.

Nur wiegt das Argument nicht schwer. Denn auch eine Kopie einer Fahrerlaubnis ist nicht geeignet, sicherzustellen, dass eine Beschäftigte zu einem späteren Datum noch im Besitz einer gültigen Fahrerlaubnis ist.

Genau genommen ist das Anfertigen einer Kopie nur ein Mittel der Dokumentation der erfolgten Überprüfung der Fahrerlaubnis. Ist diese erforderlich, um die Gefahren der Halterhaftung zu minimieren. Unter Berücksichtigung der Angemessenheit der Maßnahme muss ich das ehrlicherweise verneinen. Denn ein Gericht würde keine Verurteilung vornehmen dürfen, nur weil ein Unternehmen entgegen seinen datenschutzrechtlichen Pflichten zur Datenminimierung keine Kopie von Fahrerlaubnissen angefertigt hat. Das Argument der „Beweissicherheit“ überzeugt daher hier auch insgesamt nicht.

Denkbar wäre, dass einige KfZ-Haftpflichtversicherer die Anfertigung von Kopien von Führerscheinen als vertragliche Pflicht der Versicherungsnehmerin in Versicherungsverträgen vornehmen. Das ist derzeit aber wohl nicht bzw. nicht häufig der Fall. Mir ist jedenfalls kein Versicherer bekannt, der dies fordert. Entsprechende Klauseln dürften zudem mit hoher Wahrscheinlichkeit unzulässig sein, da sie einer gesetzlichen Regelung zum Datenschutz (s.o.) widersprechen bzw. mit dieser nicht in Einklang zu bringen wären.

Damit bliebe als „PRO“-Argument für die Kopie nur noch eine Arbeitserleichterung für die Arbeitgeberin. Nur ist diese wiederum bei einer Gesamtschau unter Berücksichtigung der Rechte der Betroffenen nicht angemessen. Insbesondere weil es nicht schwierig sein dürfte, hier einen effektiveren „Workflow“ einzurichten, der eine schnelle Dokumentation einer Überprüfung der Fahrerlaubnis ohne Mehraufwand ermöglicht.

Ergebnis:

§ 26 BDSG ist keine ausreichende Rechtsgrundlage für die Anfertigung von Führerscheinkopien

Ergebnis zu Beispiel 1: Ich halte § 26 BDSG nicht für eine Rechtsgrundlage, die das Anfertigen von Kopien von Führerscheinen erlaubt.

Rechtlich ist übrigens auch ein anderes Ergebnis vertretbar, überzeugt mich aber nicht. Dann wäre eine Zulässigkeit nach § 26 BDSG nach meinem Dafürhalten allerdings nur dann vertretbar, wenn es sich um Beschäftigte handelt, die deren Tätigkeit für das Unternehmen einen „fahrbaren Untersatz“ in Form eines Kraftfahrzeugs voraussetzt.

Rechtspflicht zur Anfertigung von Führerscheinkopien?

Auf der nächsten Stufe könnte man sich überlegen, ob es nicht eine rechtliche Verpflichtung zum Anfertigen von Kopien von Führerscheinen gibt.

Aus dem StVG ergibt sich dies jedenfalls nicht direkt. Insoweit wird man also auch hier keine Rechtsgrundlage für die Anfertigung von Führerscheinkopien finden können.

Zulässigkeit auf Basis einer Interessenabwägung

Nächste Station beim Finden einer Rechtsgrundlage für das Anfertigen von Führerscheinkopien wäre dann die Datenverarbeitung aus Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Hier muss ich zunächst ein Interesse an der Datenverarbeitung für den Verantwortlichen oder einen Dritten bestehen.

Hier reicht jedes Interesse aus, das von der Rechtsordnung gebilligt wird. Dazu kann auch gehören, dass ich mich möglichst gut, gegen eine etwaige Haftung oder gar Strafbarkeit absichern möchte und daher z.B. gerne Führerscheinkopien vorhalten möchte. Und dazu kann es „erforderlich“ sein, die Kopien zu speichern.

Dann muss ich auf der nächsten Stufe jedoch mit einem möglicherweise überwiegenden entgegenstehenden Interesse der betroffenen Beschäftigten abwägen.

Wenn wir es mal plastisch machen wollen, wäre das Interesse der Arbeitgeberin im Hinblick auf Sinnhaftigkeit und Erforderlichkeit der Speicherung von Führerscheinkopien auf einer Skala von 1 – 10 vielleicht auf „2“ einzuordnen. Zumindest wäre das meine persönliche Einordnung.

Das Interesse der durchschnittlichen Betroffenen, dass ihre Führerscheinkopien beim Arbeitgeber nicht digital gespeichert werden, da diese bereits vorgezeigt wurden, dürfte auf der Skala nach meiner Einschätzung aber sicher bei 8 – 9 liegen.

Ohne lange herumdiskutieren zu wollen, meine ich nicht, dass die Interessenabwägung hier zugunsten der Speicherung durch die Arbeitgeberin ausfallen kann.

Daher kann die Speicherung nicht auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgen.

Wenn nichts mehr hilft, hilft die Einwilligung…

Da alle anderen Rechtsgrundlagen offensichtlich ausscheiden, bleibt noch die Einwilligung.

Nach Art. 6 Abs. 1 lit. a) DSGVO ist die Datenverarbeitung zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Und nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Dabei werden diese Anforderungen an die Einwilligung in Deutschland im Beschäftigungsverhältnis hinsichtlich der Freiwilligkeit durch § 26 Abs. 2 BDSG konkretisiert.

Hier können wir schon daran zweifeln, ob insoweit eine Regelungskompetenz der Bundesrepublik Deutschland bestand, aber lassen wir das mal so stehen. Denn sinnvoll ist die Regelung in § 26 Abs. 2 BDSG aufgrund des im Arbeitsverhältnis ggf. bestehenden Ungleichgewichts zwischen Arbeitgeberin und Arbeitnehmerin im Hinblick auf die Freiwilligkeit meines Erachtens schon.

Was ist denn nun dort zur Freiwilligkeit in § 26 Abs. 2 BDSG geregelt? Wörtlich heißt es dort:

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Dass Beschäftigte generell eine Einwilligung erteilen können, weil sie – übertrieben formuliert – ihr Gehirn nicht am Werkstor abgeben, hat das BAG schon vor einiger Zeit entschieden (vgl. dazu mein Beitrag hier).

Festgestellt werden kann, dass eine Einwilligung die Speicherung von Führerscheinkopien zulässig sein kann.

Voraussetzung ist aber, dass dann eine freie Wahl besteht. Und daran könnten u.U. Zweifel bestehen, weil fraglich ist, was denn die Konsequenz ist, wenn die Einwilligung nicht erteilt wird. Darf der Arbeitgeber dann ggf. die Nutzung eines Firmenwagens untersagen? Das ist tatsächlich nicht so einfach zu beantworten.

Meine Empfehlung

Da sich der Sinn für eine Speicherung von Führerscheinkopien mir nicht gänzlich erschließt und diese vor allem rechtlich nicht geboten sind, würde ich generell eher davon abraten, diese Kopien zu speichern.

Es gibt aber ein in der Praxis wichtiges Ausnahme-Szenario. Dieses kann vor allem bei Unternehmen mit mehreren Standorten einschlägig sein. Oder auch dann, wenn z.B. Lebenspartner von Beschäftigten den Dienstwagen mitnutzen können sollen.

In diesen Fällen kann es sein, dass aufgrund einer nicht vorhandenen örtlichen Nähe eine Speicherung von Führerscheinkopien zulässig sein kann. Denn dann ist im Interesse des Beschäftigten, z.B. über eine Internet-, Intranetportal oder über eine App, Bilder von seinem Führerschein zu übermitteln, damit diese dann für Zwecke der Prüfung des Vorliegens einer Fahrerlaubnis gespeichert werden können.

Und für die Angehörigen von Beschäftigten, für die insoweit nicht die Einschränkungen von § 26 Abs. 2 BDSG greifen, kann eine Einwilligung in diesem Szenario ebenfalls zulässig erteilt werden.

Voraussetzung ist hier immer eine transparente und verständliche Beschreibung der Verarbeitungszwecke und der Verarbeitungsumfangs (inkl. Speicherdauer) sowie ein Hinweis auf den Widerruf der Einwilligung und dessen Folgen.

Wenn die Einwilligung dann noch entsprechend protokolliert wird, steht der Speicherung von Führerscheinkopien im o.g. Szenario grundsätzlich nichts im Wege.

Neue Versionen der Musterverträge für externe DSB

Für Datenschutz-Coaching-Mitglieder stehen seit heute überarbeite Versionen der Musterverträge für die Tätigkeit des externen DSB zur Verfügung.

Ich habe nur kleine Änderungen vorgenommen. Die neuen Vertragsversionen finden Datenschutz-Coaching-Mitglieder hier:

Die Änderungen sind jeweils hier (Pauschalvergütung) und hier (aufwandsbasierte Vergütung) kenntlich gemacht.