Empfohlen

Beiträge, die ich besonders empfehle.

DSK mit missglückter Pressemitteilung zum „Missbrauch“ der Corona-Warn-App durch zweckwidrige Nutzung

Wie viele andere auch gehöre ich zu den Menschen, die es für eine sehr gute Idee gehalten haben (und halten), dass der Einsatz und die Verwendung der Corona-Warn-App des Robert-Koch-Instituts gesetzlich geregelt worden wäre.

Einen entsprechenden Entwurf hat der geschätzte Datenschutzrechtler und Richter Dr. Malte Engeler zusammen mit Ninja Marnau, Ralf Bendrath und Jürgen Geuter im Mai 2020 veröffentlicht (abrufbar hier (PDF)).

Auch die Bundestagsfraktionen von „Bündnis 90 / Die Grünen“ sowie „Die Linke“ fordern ein Gesetz zur Nutzung der Corona-Warn-App. Warum das wirklich wichtig ist, zeigen die zahlreichen Anfragen und Diskussionen der letzten noch nicht einmal 40 Stunden seit Verfügbarkeit der Corona-Warn-App.

So fragen Arbeitgeber, ob sie Beschäftigten die Nutzung vorschreiben können. Während dies noch halbwegs vernünftig ohne gesetzliche Regelung eingeschränkt werden kann, ist dies in anderen Bereichen deutlich schwieriger. Es ist nur eine Frage der Zeit, bis ich beim Einlass in ein Restaurant, ins Kino, in ein Transportmittel etc. aufgefordert werde, den Status in meiner Corona-Warn-App vorzuzeigen.

Die Frage ist bei diesen Maßnahmen ohne ein entsprechendes Gesetz immer, ob dies zulässig ist oder nicht. Nachdem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zunächst in einer Pressemitteilung salopp darauf hinwies, dass so etwas natürlich nicht zulässig sei und er vor diesen Verwendungen warnte, zeigt sich doch bei näherer juristischer Betrachtung, dass in vielen Szenarien z.B. ein Einlass in ein Restaurant im Rahmen des Hausrechts sehr wohl davon abhängig gemacht werden könnte, ob der Gast die Corona-Warn-App nicht nur installiert, sondern auch aktiviert hat und den entsprechenden Status vorzeigt.

Und auch in den Unternehmen gehen heute die ersten E-Mails herum, in denen die Installation der Corona-Warn-App auf Firmenhandys verpflichtend gemacht wird. Wenn in diesen E-Mails zumindest nur die Installation (und nicht die Aktivierung) gefordert wird, ist das schon positiv. Die Richtung ist aber klar vorgegeben. Die ach-so-beworbene Freiwilligkeit der Nutzung schmilzt gerade wie Butter in der Mittagssonne Schleswig-Holsteins am heutigen Tage (ja, es ist heute hier sehr sommerlich).

Und so wird jetzt wohl auch dem letzten klar, dass ein Gesetz zum Einsatz und zur Verwendung der Corona-Warn-App und der hiermit generierten Daten eine gute Idee ist.

Aus scheinbarer Verzweiflung trudelt dann heute eine Pressemitteilung der Datenschutzkonferenz (DSK), also der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, ein.

Und der Inhalt ist schon ein bisschen „putzig“. Überschrieben ist die Pressemitteilung (PDF) mit dem Titel: „Datenschutzfreundliches Grundkonzept der Corona-Warn-App – Freiwilligkeit darf nicht durch zweckwidrige Nutzung untergraben werden!“

Da der Text kurz ist, zitiere ich diesen hier:

Mit der am 16. Juni 2020 durch den Bund vorgestellten Corona-Warn-App steht ein freiwilliges Instrument mit einer dezentralen Speicherung auf dem jeweiligen Smartphone zur Nachverfolgung eventueller Infektionen zur Verfügung.

Die Datenschutzkonferenz sieht das datenschutzfreundliche Grundkonzept als Realisierung des Grundsatzes von Datenschutz by Design. Sie weist allerdings darauf hin, dass insbesondere der Ansatz der Freiwilligkeit nicht durch eine zweckentfremdende Nutzung untergraben werden darf:

Der Zugang zu behördlichen Einrichtungen, Arbeitsstätten, Handelsgeschäften, Gastronomiebetrieben und Beherbergungsstätten, Sportstätten, etc. darf nicht vom Vorweisen der App abhängig gemacht werden.

Hierbei würde es sich um eine zweckwidrige Verwendung handeln, die bereits mit dem Konzept der Freiwilligkeit nicht vereinbar ist. Eine Diskriminierung von Personen, die die App nicht anwenden, ist auszuschließen.

Jetzt könnte man als Unternehmen natürlich mächtig Angst bekommen, wenn hier alle Aufsichtsbehörden der Republik meinen, dass man den Zugang zu Läden, Restaurants nicht vom Vorweisen der Corona-Warn-App abhängig machen dürfe.

Nur scheitern die Datenschutzaufsichtsbehörden hier schon selbst an einer substantiierten Argumentation. Der einzige Satz, aus dem sich die Begründung ergeben soll, dass diese Nutzung verboten sei, erwähnt, dass eine Pflicht zum Vorzeigen der Corona-Warn-App beim Einlass eine „zweckwidrige Verwendung“ darstelle, die mit dem Konzept der Freiwilligkeit nicht vereinbar wäre.

Das ist – mit Verlaub – nicht nur eine „wie-butter-in-der-schleswig-holsteinischen-sonne-dahinschmelzende Scheinargumentation, sondern, um es deutlich zu sagen: „Bullshit“

Bitte richtig verstehen: Ich halte es nicht für gut, wenn ich in Restaurants etc. meine Corona-Warn-App vorzeigen soll. Daher halte ich ein Gesetz, dass diese Szenarien reguliert, für dringend erforderlich.

Da es dieses Gesetz aber nicht gibt, ist hier m.E. Unternehmen kaum zu verwehren, ihr Hausrecht dahingehend wahrzunehmen, dass sie nur Leute einlassen, die die Installation und Aktivierung der App nachweisen und den Status vorzeigen können.

Eine zweckwidrige Verwendung liegt schon deswegen nicht vor, weil in dieser neuen Verarbeitungskonstellation ein Zweck gar nicht bzw. gerade neu durch die Einlassregulierung generiert wird.

Eine Zweckwidrigkeit, wie sie die Aufsichtsbehörden annehmen, liegt insoweit also schon nicht vor.

Und mit dem Konzept der Freiwilligkeit hat auch dies nichts zu tun. Das „Konzept der Freiwilligkeit“ der Corona-Warn-App ist im Verhältnis zwischen Betroffenen und den Unternehmen nicht unmittelbar relevant. Genau genommen noch nicht einmal mittelbar.

Letztlich brauchen die Unternehmen für die Datenverarbeitung in Form des Auslesens bzw. Erkennens von Daten aus der Corona-Warn-App der Besuchenden bzw. Gäste eine Rechtsgrundlage aus dem Datenschutzrecht. Und hier hat er nach Art. 6 Abs. 1 DSGVO ein Sammelsorium verschiedener Möglichkeiten, da diese Datenverarbeitung eben nicht gesetzlich reguliert ist. Genau genommen ließe sich sogar bei einem reinen Vorzeigen der Corona-Warn-App darüber trefflich streiten, ob die DSGVO überhaupt Anwendung findet. Denn ob hier ein „Dateisystem“ vorliegt, kann man bei dem Vorgang der Sichtung der App trefflich bestreiten.

Selbst wenn man in den Anwendungsbereich der DSGVO käme, fiele das Finden einer Rechtsgrundlage für die Verarbeitung dieser Daten im Kontext einer Einlasskontrolle durch Sichtung der Corona-Warn-App nicht unbedingt schwer.

So kann z.B. ein Restaurant über das Hausrecht in Verbindung mit dem Bewirtungsvertrag eine Sichtung der Corona-Warn-App über die Rechtsgrundlage des Vertrages regeln und sich dann auf Art. 6 Abs. 1 lit. b) DSGVO berufen. Solange die Daten aus der Corona-Warn-App nicht gespeichert werden, würde es auch Sicht der sog. AGB-Kontrolle nicht erkennbar sein, dass hierdurch die Gäste unangemessen benachteiligt würden. Auch überraschend wäre so eine Klausel nicht. Und eine Abweichung vom gesetzlichen Leitbild des Gesetzgebers hätten wir auch nicht. Denn der Einsatz der Corona-Warn-App ist eben (leider) derzeit nicht gesetzlich geregelt.

Auch in anderen Bereichen wie Sportvereinen, Ladengeschäften etc. dürfte das Finden einer geeigneten Rechtsgrundlage nicht unbedingt schwer fallen.

Die Pressemitteilung der DSK stellt somit einen Akt der Verzweiflung dar. Er schadet zumindest nicht. Und dass es ein Gesetz zur Verwendung der Corona-Warn-App nicht gibt, ist nicht Schuld der Aufsichtsbehörden. Gleichwohl wirkt die gesamte Pressemitteilung doch sehr unbeholfen. Sie hätten das vielleicht einfach sein lassen sollen. So lässt sich das in Fachkreisen schwerlich ernst nehmen.

Nachtrag: Die geschätzte Kirsten Bock hatte sich das schon in diesem Beitrag hier näher angesehen und ist skeptisch bzgl. der Zulässigkeit von Einlasskontrollen unter Nutzung der Corona-Warn-App. Insbesondere bei der Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO komme ich allerdings zu einer deutlich anderen Gewichtung. Denn hier sind auch die Interessen von Dritten berücksichtigungsfähig. Aber der Punkt mit den „Gesundheitsdaten“ und der Anwendung von Art. 9 DSGVO ist ein gewichtiger Einwand.

BGH zu Cookies und dem Erfordernis von Einwilligungen – („Planet 49“)

Heute hat der BGH sein Urteil im sog. „Planet 49“-Verfahren gesprochen. Zuvor hatte der BGH bzgl. einiger Fragen zu Cookies dem EuGH Fragen vorgelegt. Hieraus resultierte das sog. „Planet 49“-Urteil des EuGH (Urteil vom 01.10.2019, Az.: C-673/17).

Durch dieses Urteil des EuGH war – in Verbindung mit den Vorlagefragen des BGH – die heutige Entscheidung schon ein wenig im Voraus zu erahnen.

Bislang gibt es nur die Pressemitteilung des BGH zu dem Urteil. Die lässt noch einiges an Interpretationsspielraum im Detail offen. Das Urteil mit Entscheidungsgründen wird dann später hier abrufbar sein.

Aus der Pressemitteilung lässt sich im Hinblick auf ein Erfordernis für eine Einwilligung zum Setzen von Cookies Folgendes entnehmen:

Die Einholung der Einwilligung mittels eines voreingestellten Ankreuzkästchens war nach der bis zum 24. Mai 2018 geltenden Rechtslage – also vor Geltung der Verordnung (EU) 2016/679 – im Sinne von § 307 Abs. 2 Nr. 1 BGB mit wesentlichen Grundgedanken des § 15 Abs. 3 Satz 1 TMG unvereinbar.

Der BGH stellt hier zunächst fest, dass eine Einwilligung schon vor Anwendung der DSGVO nicht durch eine vorangekreuzte Checkbox erteilt werden konnte. Dies war schon mit den wesentlichen Grundgedanken von § 15 Abs. 3 TMG unvereinbar.

Bei der im Streitfall in den Cookies gespeicherten zufallsgenerierten Nummer (ID), die den Registrierungsdaten des Nutzers zugeordnet ist, handelt es sich um ein Pseudonym im Sinne dieser Vorschrift. § 15 Abs. 3 Satz 1 TMG ist mit Blick auf Art. 5 Abs. 3 Satz 1 der Richtlinie 2002/58/EG in der durch Art. 2 Nr. 5 der Richtlinie 2009/136/EG geänderten Fassung dahin richtlinienkonform auszulegen, dass für den Einsatz von Cookies zur Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung die Einwilligung des Nutzers erforderlich ist.

Interessant ist hier zunächst, dass der BGH bei einer zufallsgenerierten ID in einem Cookie von einem „Pseudonym“ i.S.d. § 15 Abs. 3 TMG ausgeht. Dies könnte übrigens im Gegensatz zur der Ansicht der deutschen Aufsichtsbehörden (s. DSK, Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien, März 2019, S. 15) gehen, die bei IDs, die der Wiedererkennung von Nutzern dienen, nicht von einer wirksamen Pseudonymisierung i.S.d. DSGVO ausgehen.

Aus den Ausführungen der Pressemitteilung des BGH lässt sich hier zunächst nur entnehmen, dass für Cookies, die zur „Erstellung von Nutzerprofilen für Zwecke der Werbung oder Marktforschung“ eine Einwilligung des Nutzers erforderlich ist. Das lässt durchaus etwas Spielraum für Interpretationen offen. Hier sollten wir aber die Urteilsbegründung abwarten.

In den weiteren Ausführungen der Pressmitteilung nimmt der BGH dann kurz Stellung zur ePrivacy-Richtlinie und dem TMG. Wir können das auch als Ausführungen des BGH zu seinem „Kreativ-Spagat“ der richtlinienkonformen Auslegung des TMG nennen:

Der richtlinienkonformen Auslegung des § 15 Abs. 3 Satz 1 TMG steht nicht entgegen, dass der deutsche Gesetzgeber bisher keinen Umsetzungsakt vorgenommen hat. Denn es ist anzunehmen, dass der Gesetzgeber die bestehende Rechtslage in Deutschland für richtlinienkonform erachtete. Mit dem Wortlaut des § 15 Abs. 3 Satz 1 TMG ist eine entsprechende richtlinienkonforme Auslegung noch vereinbar. Im Fehlen einer (wirksamen) Einwilligung kann im Blick darauf, dass der Gesetzgeber mit § 15 Abs. 3 Satz 1 TMG das unionsrechtliche Einwilligungserfordernis umgesetzt sah, der nach dieser Vorschrift der Zulässigkeit der Erstellung von Nutzungsprofilen entgegenstehende Widerspruch gesehen werden.

Das muss man sich einmal auf der Zunge zergehen lassen. Also der BGH meint, dass § 15 Abs. 3 Satz 1 TMG (noch) richtlinienkonform dahingehend ausgelegt werden kann, dass die nach Art. 5 Abs. 3 ePrivacy-Richtlinie erforderliche Einwilligung in nicht unbedingt erforderliche Cookies in Art. 15 Abs. 3 Satz 1 TMG „hineingelesen“ werden kann. Und zwar so, dass bei Fehlen einer Einwilligung automatisch ein Widerspruch vorliegt. Wow…das ist in der Tat ein Spagat. Aber das war ja zu erwarten.

Jedenfalls führt das im Ergebnis dazu, dass § 15 Abs. 3 TMG wegen der möglichen richtlinienkonformen Auslegung und der insoweit bewussten Entscheidung des deutschen Gesetzgebers wegen Art. 95 DSGVO von der DSGVO unberührt bleibt.

Schließlich macht der BGH dann noch Ausführungen dazu, dass die Definition der Einwilligung in der DSGVO im Vergleich zur vorherigen Regelung zur Einwilligung in der EG-Datenschutzrichtlinie zu demselben Ergebnis führen, so dass sich auch nach der neuen Rechtslage immer noch eine vorangehakte Checkbox keine wirksame Einwilligung darstellen könne.

Wer jetzt denkt, dass der BGH mit seinem „Kreativ-Spagat“ zu weit gegangen ist, dem möchte ich einmal die Aufzeichnung der Urteilsbegründung nahelegen. Den Start des Videos an der entsprechenden Stelle habe ich hier voreingestellt:

Die Urteilsbegründung in der gesamten Länge kannst du dir hier ansehen:

Hilfe…ist „Zoom“ etwa eine Datenschleuder?

Neuestes Update: 27.05.2020

Vorwort: „Zoom“ steht aktuell erheblich im Hinblick auf „Datenschutz“ unter Kritik. Ich persönlich finde die Kritik zu großen Teilen unberechtigt. Aber: Es ist nicht zu bestreiten, dass „Zoom“ einen Teil der Kritik zum Anlass genommen hat, besser zu werden. In diesem Beitrag geht es allein um rechtliche Erwägungen. Also um die Frage, ob „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.

Viele rufen diesen Beitrag auf, um zu erfahren, ob „Zoom“ nun aktuell noch in datenschutzrechtlich zulässiger Weise genutzt werden kann. Daher gibt es meine aktuelle Meinung sowie das Datum dieser Aussage jeweils hier zu Beginn des Beitrags:

Zoom-Barometer: Kann „Zoom“ aktuell datenschutzrechtlich zulässig eingesetzt werden?
Ja, meiner Meinung nach kann „Zoom“ aktuell in datenschutzrechtlich zulässiger Weise eingesetzt werden (Stand: 27.05.2020). Meine aktuelle Sichtweise kannst du Update XIX entnehmen.
Update I (26.03.2020): Ich habe den Beitrag aktualisiert (weiter unten), um zu neuen Vorwürfen, dass „Zoom“ personenbezogene Daten an Drittanbieter „übermittele“, Feedback zu geben.
Update II (27.03.2020): Zur Übermittlung von Daten an Facebook bei Nutzung der iOS App (ganz unten).
Update III (27.03.2020): Anmerkungen zur Stellungnahme von Prof. Dr. Roßnagel
Update IV (28.03.2020): Zoom hat den Facebook-Bug in der iOS App behoben.
Update V (30.03.2020): Der heute vom Handelsblatt auf der Website veröffentlichte Artikel enthält keine neuen Vorwürfe. Sondern nur die, die hier bereits entkräftet wurden. Dieser Beitrag ist also immer noch aktuell. Und zur Klarstellung: Kein datenschutzrechtlich Verantwortlicher ist verpflichtet „Zoom“ zu nutzen. „Zoom“ ist aber ein Tool, das in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.
Update VI (31.03.2020): Zoom hat seine Datenschutzhinweise aktualisiert. Und sie sind gut (s.u.).
Update VII (01.04.2020): Zu den neuen Vorwürfen gegenüber „Zoom“ („Zoombombing“, Softwareinstallation auf dem Mac, Verzeichnisdienst), s.u.
Update VIII (01.04.2020): Sicherheitslücke bzgl. UNC-Links und der „Root-Privilege-Bug“.
Update IX (02.04.2020): „The heat is on“ – Die Kritik an „Zoom“ wird immer lauter. Soll ich bei „Zoom“ bleiben?
Update X (02.04.2020): Endlich! Zoom hat es kapiert und ändert die Richtung – in die richtige Richtung. Gute Nachrichten!
Update XI (03.04.2020): Stellungnahme zum „War Dialing“-Tool
Update XII (03.04.2020): Verschlüsselungsschwächen bei „Zoom“?
Update XIII (05.04.2020): Zoom reagiert auf neue Vorwürfe.
Update XIV (09.04.2020): Meine aktuelle Sichtweise zu „Zoom“
Update XV (15.04.2020): Was gibt es Neues in Sachen „Zoom“?
Update XVI (16.04.2020): Die Berliner Aufsichtsbehörde äußert sich zu Microsoft Teams, Skype und „Zoom“
Update XVII (23.04.2020): Aktueller Stand in Sachen „Zoom“
Update XVIII (29.04.2020): Zoom 5.0 ist da und löst einen Großteil der Probleme
Update XIX (27.05.2020): Zoom hat weitere Verbesserungen eingeführt

Manchmal gehen mir die „sozialen“ Medien erheblich auf die Nerven. Ein unschönes Beispiel gab es gestern. Da setzt ein Mensch aus den USA diesen Tweet ab:

Der Mensch hat sich übrigens das Tool nach eigenen Angaben anscheinend nicht näher angesehen, behauptet aber, dass „zoom“ – ein Anbieter von Online-Meeting, Videokonferenz- und Webinarservices aus den USA – pauschal eine Überwachung der Teilnehmer an einem Meeting durchführt.

Schon gestern morgen bekam ich erste E-Mails, die mich alarmiert (oder besonnen) darauf hinwiesen, weil einigen bekannt ist, dass ich selbst „zoom“ nutze. Den Tweet hatte ich zu der Zeit schon gesehen, weil er zahlreich re-tweeted wurde. Und ich denke nicht, dass viele sich mal bewusst mit dem Thema auseinandergesetzt haben. Denn wenn sie das getan und sich einmal tiefer mit „zoom“ beschäftigt hätten, dann hätten sie gleich gewusst, um welches Feature es geht.

Es ist das sog. „Aufmerksamkeitstracking“. Dieses ist übrigens standardmäßig deaktiviert und muss vom „Host“ des sog. Meetings bewusst aktiviert werden.

Update, 02.04.2020: Das „Aufmerksamkeitstracking“ wurde von „Zoom“ am 01.04.2020 deaktiviert. Die Einstellungsmöglichkeit findet sich nicht mehr in den aktuellen Einstellungen zu Meetings. Die nachfolgend „kursiv“ formatierte Textpassage ist damit jetzt „überholt“:

Hier können wir also zunächst feststellen, dass eben nicht „Zoom“ als Anbieter „überwacht“, sondern der Host des Meetings dies veranlasst. Nun könnte ich mir schon vorstellen, dass einige Arbeitgeber, die ihren Beschäftigten z.B. im Home Office nicht trauen, dieses Feature aktivieren. Das ist dann aber deren Entscheidung und Verantwortlichkeit.

Die Frage ist doch aber eigentlich, warum gibt es dieses Feature überhaupt? Und da ist die Antwort ganz einfach. Wenn man z.B. Fortbildungen „online“ anbietet, möchte (oder muss – wie z.B. bei Fachanwaltsfortbildungen) ich nicht nur die Einwahl in ein Webinar nachweisen, sondern auch die aktive (und aufmerksame) Teilnahme. Um E-Learning-Anbietern diese Möglichkeit zu bieten, bieten Anbieter wie „Zoom“, Webex, GoToWebinar & Co. eine Funktion, die dem Host oder „Admin“ eines Webinars die Möglichkeit gibt, live oder nachträglich zu sehen, ob ein Teilnehmer das Webinar nur hat im Hintergrund laufen lassen, das Fenster also nicht aktiv war, sondern der Teilnehmer stattdessen mit einem anderen Programm, das in einem Fenster aktiv war, ggf. interagiert hat. Wenn ein Teilnehmer eines Webinars, für das ein Fortbildungsnachweis ausgestellt wird, also im Nachhinein bemerken würde, dass ein Teilnehmer 70% seiner Zeit nicht das Webinarfenster aktiv hatte, dann kann bei entsprechender vorheriger Ansage dazu führen, dass ein Fortbildungsnachweis eben nicht ausgestellt wird. Feature wie diese ermöglichen also erst, berufliche Fortbildung. Sie sollten gleichwohl bewusst und transparent eingesetzt werden.

Ich setze dieses Feature übrigens nicht ein. Ich finde es aber gerade im Fortbildungsbereich sehr sinnvoll, weil es Möglichkeiten für digitale Alternativen zu Präsenzschulungen ermöglicht. Und die brauchen wir in der aktuellen Zeit des Corona-Virus dringend.

Apropos Corona-Virus: Aktuell sind sehr viele Unternehmen auf der Suche nach Online-Meeting-Tools. Ich weiß nicht, wieviele Anfragen ich allein bzgl. „zoom“ erhalten habe…

Was mich wirklich nicht nur ärgert, sondern auch enttäuscht ist, dass unsachliche und undifferenzierte Tweets wie der Tweet am Anfang dieses Beitrages einfach weiterverbreitet werden. Ohne auch nur einmal zu hinterfragen, ob das auch stimmt. Und dass dann Organisationen wie z.B. „Digitalcourage e.V.“, die ich immer recht respektabel fand, so etwas tweeten:

Hört, hört…also Skype und „zoom“ sind also Datenschutz-Katastrohen. Unter Bezugnahme auf den falschen Ausgangstweet. Keinerlei Hinterfragen, keinerlei Sachlichkeit. In den von Digital-Courage verlinkten Beitrag zu „guten Alternativen“ finden wir dann diese Tools: Jitsi-Meet und Nextcloud Talk

Ich finde beide Tools toll, aber für den Massengebrauch leider häufig unbrauchbar. Wer Online-Meetings mit mehr als 5 oder gar 10 Personen macht, wird mit keinem der Tools eine vernünftige Lösung finden. Sie sind einfach nicht performant. Daher für mich keine Alternative. (Update, 27.04.2020): Bzgl. Jitsi Meet gibt es allerdings auch gute Erfahrungen dahingehend, dass bei einem gut ausgelegten Hosting einer eigenen Instanz durchaus 100 oder mehr Personen gut möglich sind. Allerdings ist dringend empfohlen, dann einen auf Chromium basierenden Browser zu verwenden (also z.B Google Chrome).
Wir haben in unseren Online-Schulungen bis zu 500 Personen, manchmal sogar über 800 Personen. Keines dieser Tools hilft mir da weiter. Wer sich für diese Anforderungen deutsche Anbieter oder Anbieter aus der EU ansieht, wird kaum etwas Verlässliches finden. Einige Anbieter, die sich auf dem vermeintlich guten „deutschen Datenschutz“ und „deutschen Rechenzentren“ ausruhen, sind noch nicht einmal in der Lage, ihre Datenschutzhinweise auf der Website datenschutzkonform zu gestalten. Wie soll ich diese Anbieter ernst nehmen?

Und wieso gibt es eigentlich keine Alternativen aus der EU? Ich würde sie gerne einsetzen. Bei mir ist „zoom“ das einzige Tool gewesen, dass nachhaltig die Leistung hat, große Meetings zu „wuppen“, ohne dass Ton oder Bild ausfallen oder ich Meeting-Teilnehmende bitten muss, bitte ihre Kamera auszustellen, damit das mit der Bandbreite hinhaut.

Da können einige noch so viel herummurren, dass das ein böser US-Anbieter ist. Ich nutze seit > 2 Jahren „zoom“. Es gibt kaum ein „Tool“, in dem so feingranular Einstellungen zum Datenschutz vornehmen kann. Ich kann selbst dafür sorgen, dass nur wenige Daten anfallen und vor allem die anfallenden gelöscht werden.

Dann höre ich auch immer wieder, der Einsatz von „zoom“ sei nicht DSGVO-konform. Nun…warum nicht? Es gibt einen Auftragsverarbeitungsvertrag, der den Voraussetzungen von Art. 28 DSGVO entspricht. Und für das dann erforderliche angemessene Datenschutzniveau im Drittland (USA) sorgt rechtlich das Privacy Shield (allerdings nicht für HR-Daten). Ja…dass das „Privacy Shield“ datenschutzrechtlich nicht der große „Bringer“ ist, ist mir auch klar. Rein rechtlich ist es aber derzeit DSGVO-konform, „zoom“ zu nutzen, wenn du den Auftragsverarbeitungsvertrag mit „zoom“ schließt.

Und jeder, der jetzt Sorge (oder das Gefühl) hat, dass die Daten in den USA direkt den Geheimdiensten in die Hände fallen, der soll „zoom“ nicht einsetzen. Das ist doch völlig okay. Aber erzähl’ mir nicht, dass der Einsatz von „zoom“ rechtlich unzulässig wäre. Das ist er m.E. nicht. Und es wäre vielleicht auch etwas naiv zu glauben, dass bei einer Speicherung von Daten in Deutschland ohne eine Ende-zu-Ende-Verschlüsselung ein Zugriff durch Geheimdienste ausgeschlossen wäre. Seit „Edward Snowden“ wissen wir, dass wir uns da nicht so sicher sein können.

Letztlich muss jeder selbst wissen, wie er es mit der Informationssicherheit hält. Das hat aber nicht unmittelbar mit Datenschutzkonformität zu tun, sondern mit dem eigenen Anspruch an die Informationssicherheit. Das sind zwei verschiedene Dinge. Sie können sich überlagern, sind aber nicht zwingend deckungsgleich.

Und ganz ehrlich….ich habe in den letzten 17 Jahren viele deutsche Rechenzentren gesehen und viele deutsche Anbieter von Software auditiert. Ich denke, ich kann sagen, dass deine Informationen auch dort nicht immer zwingend gut aufgehoben sind. Die Argumentation, dass alles aus den USA böse sei, die „Datenschützer“ manchmal an den Tag legen, ist m.E. nicht haltbar.

Aber es ist natürlich einfach, diese Vorurteile unkritisch weiterzuverteilen. Wir können – gerade in Zeiten wie diesen – sachliche Informationen gebrauchen. Unsachliche Retweets können wir hingegen nicht gebrauchen. In „sozialen“ Medien ist viel Rauschen und häufig zu wenig „Signal“. Bitte lasst uns doch gemeinsam dazu beitragen, dass nicht jeder Beitrag in sozialen Medien für „wahr“ gehalten wird, weil er möglichst häufig geteilt wird. Bitte doch einmal zumindest nachfragen, ob es vielleicht sein kann, dass das Ganze sich ganz anders darstellt. Aber ein Knopf ist schnell gedrückt, ein Beitrag schnell geteilt und schon ist die vermeintliche „Wahrheit“ gewiss…so einfach ist das eben nicht.

Und übrigens…da mir das heute ja auch bei Twitter unterstellt wurde: Ich habe keinerlei „Aktien“ oder sonstige finanziellen Beteiligungen an „zoom“. Ich möchte hier einfach nur verlässlich arbeiten und mich nicht mit technischen Problemen bei Bild und Ton herumschlagen.

Update I, 26.03.2020: Ist an dem Vorwurf „Zoom übermittelt personenbezogene Daten an Drittanbieter“ etwas dran?

Der (auch von mir*) geschätzte IT-Sicherheitsexperte Mike Kuketz hat in seinem Blog seine zuvor schon geäußerte Kritik konkretisiert. Und zwar hier: Zoom übermittelt personenbezogene Daten an Drittanbieter

* Glaubt Kuketz mir vielleicht nicht, weil er mich neuerdings als „Hütchenspieler vom Jahrmarkt“ bezeichnet. Ist aber so. Dabei bin ich auch gar kein Hütchenspieler. Mir fehlt das Talent dafür…egal, ich nehme es mit Humor. 🙂

Aber kommen wir zum Thema: Mike Kuketz hat sich den Dienst „Zoom“ mal ein wenig angeguckt und vor allem auch seine Kritik an den Datenschutzhinweisen von „Zoom“ geäußert. Das ist legitim. Und ich finde es gut, wenn sich Sicherheitsexperten diese Dienste ansehen und kritisieren.

Denn nur so kann eine Verbersserung stattfinden. Und vor allem haben die technischen Experten mehr Kenntnis darüber, wie man sich die Datenflüsse in den Applikationen ansieht und analysiert.

Schauen wir uns mal die Vorgehensweise an: Kuketz hat sich zunächst die Datenschutzrichtlinien von „Zoom“ angesehen. Er verlinkt auf die deutsche Fassung der „Zoom“-Datenschutzhinweise – zu Recht natürlich.

Leider ist die deutsche Fassung der „Zoom“-Datenschutzhinweise auch nicht gerade ein gelungenes Beispiel für eine gute Übersetzung. So wurde z.B. der Datenverarbeitungsvorgang der „Erhebung“ von Daten, der im englischen „collect“ heißt, mit „sammeln“ übersetzt. Das erweckt natürlich schon den Eindruck, dass „Zoom“ Daten sammelt. Das ist vermeintlich auch der Grund, warum einige Kritiker die Datenschutzhinweise von „Zoom“ für eine „Datenschutz-Katastrophe“ oder „gruselig“ halten.

Allerdings ist das insoweit m.E. ein Erkenntnisproblem. Denn dem Datenschutzrechtler fällt dieser Fehler sofort auf, da es ein Standardproblem in Übersetzungen ist, dass „collect“ nicht mit „erheben“ übersetzt wird. Das könnte „Zoom“ sicher besser machen und ist insoweit auch nicht sonderlich professionell.

Viel Grusel oder Katastrophe kann ich den Datenschutzhinweisen von „Zoom“ allerdings nicht entnehmen. Sicher würde ich die anders schreiben.

Update, 31.03.2020: Zoom hat seine Datenschutzhinweise am 30.03.2020 aktualisiert. Die Vorwürfe, die man Zoom zuvor machen konnte, sind damit erledigt. Details dazu weiter unten.

Bei allen Punkten, die „Zoom“ dort als Erhebung und Verarbeitung angibt, kann ich nach über zwei Jahren „Zoom“-Nutzerschaft aber jeweils zuordnen, warum es dort steht und die Angaben insoweit korrekt sind. Das kann ich von anderen Diensten, die ich nutze nicht immer unbedingt sagen. Da wundere ich mich schon, dass manche Dinge anderer Anbieten nicht in deren Datenschutzhinweisen stehen.

Aber weiter zur Vorgehensweise von Kuketz. Er reibt sich zunächst an der ersten Aussage von „Zoom“ in ihrer Datenschutzrichtlinie. Denn dort steht etwas vom Schutz der Privatsphäre. Nun, mir gehen diese Aussagen auch immer auf die Nerven. Das ist „Datenschutz-Prosa“. Braucht man nicht. Da sind wir uns also auch einig.

Kuketz hat sich dann die Website angesehen und richtigerweise eine ganze Reihe eingebundener Scripts zu Diensten gefunden, die für Marketing-, Webanalyse und Supportzwecke eingebunden werden. Die dazu geäußerte Kritik kann ich gut nachvollziehen. Da würde ich mir auch weniger wünschen, aber nun ja…

Ein nicht ganz unwichtiges Kriterium erwähnt Kuketz allerdings nicht. Denn auf den Seiten, die „Zoom“-Nutzer an Meeting-Teilnehmende senden, ist der Großteil dieser Trackingdienste nicht eingebunden. Vielleicht nicht ganz unwichtig zu wissen, wenn es um die Weitergabe von Meeting-Links geht.

Unabhängig davon ist natürlich auch die Teilnahme an einem „Zoom“-Meeting möglich, wenn die Meeting-ID und ggf. die weiteren Zugangsdaten in der „Zoom“-Applikation selbst eingegeben werden.

Dann folgt in dem Beitrag der eigentlich „spannende“ Teil, der die Ausgangsthese, dass „Zoom“ personenbezogene Daten an „Drittanbieter übermittelt“, belegen soll.

Kuketz stellt hierbei kurz dar, wie er die Anmeldung bei „Zoom“ durchläuft:

Nach der Angabe einer E-Mail-Adresse und Einwilligung in die nebulöse Datenschutzerklärung wird der Account erstellt. Den Aktivierungslink bestätige ich und soll anschließend noch Vor- und Nachname angeben. Nachdem die Informationen eingetragen sind sende ich das Formular ab – eine Einwilligung in die Datenschutzerklärung wird nicht gesondert (bspw. über ein Häkchen) eingeholt.

Kurze Anmerkung. Dass keine Einwilligung eingeholt wird, ist rechtlich übrigens genau richtig. Denn die Einwilligung wäre für „Zoom“ hier die falsche Rechtsgrundlage. Der Dienst ließe sich sonst nicht vertragskonform für die zahlenden „Zoom“-Nutzer erbringen.

Im weiteren Verlauf stellt Mike Kuketz dann fest, dass bei der Anmeldung die E-Mail-Adresse (offenbar aber nicht Vor- und Nachname) an den Anbieter „Wootric“ übertragen werden. Daraus schließt Kuketz, dass deswegen eine „Übermittlung personenbezogener Daten an Drittanbieter“ vorliege. Weiter führt er aus, dass dies in den Datenschutzhinweisen von „Zoom“ nicht erwähnt würde.

Nun…wo ist der Skandal?

Ich hatte bei der Überschrift des Beitrages eigentlich erwartet, dass „Zoom“ vielleicht wirklich etwas Schlimmes und/oder Rechtswidriges macht. Allerdings liegt weder das eine oder andere vor.

Schauen wir uns an, was Kuketz herausgefunden hat:

Festgestellt hat Kuketz, dass ein Teil der Daten, d.h. die E-Mail-Adresse an den Dienstleister Wootric übertragen wird.

Als Jurist frage ich mich dann, ob das nun ein Verstoß ist. In rechtlicher Hinsicht stellt die Übertragung der E-Mail-Adresse an den Anbieter Wootric eine Offenlegung von personenbezogenen Daten dar. Allerdings nicht, wovon Kuketz wohl ausgeht, an einen „Dritten“. „Wootric“ ist zwar Empfänger der Daten i.S.d. Art. 4 Nr. 9 DSGVO, aber nach Art. 4 Nr. 10 DSGVO eben kein Dritter. Das ist ein feiner und rechtlich entscheidender Unterschied.

In der Liste der Unterauftragsverarbeiter („Subprocessors“) von „Zoom“ ist Wootric entsprechend ausgeführt:

Die Aussage von Kuketz „Zoom übermittelt personenbezogene Daten an Drittanbieter“ ist – da dürfen wir Juristen genau arbeiten – im Hinblick auf die Offenlegung der E-Mail-Adresse an den Unterauftragnehmer „Wootric“ also rechtlich falsch.

Kuketz moniert weiter, dass die Offenlegung der Daten von „Zoom“ an „Wootric“ nicht in den Datenschutzhinweisen von „Zoom“ angegeben werde. Das ist richtig. Richtig ist aber auch, dass „Zoom“ das gar nicht tun muss.
Eine Pflicht zur Angabe von Unterauftragsverarbeitern in Datenschutzhinweisen gibt es nämlich nach wohl h.M. nicht.
Hintergrund: Art. 13 DSGVO ist insoweit primärrechtskonform auszulegen. Eine Pflicht zur Nennung von Unterauftragnehmern würde Art. 15 und 16 GRCh widersprechen.
Wichtig: Bei einem Auskunftsersuchen nach Art. 15 DSGVO wären Unterauftragnehmer wie „Wootric“ aber anzugeben.

Zwischenfazit von Kuketz ist:

Zoom nutzt also X-Dienstleister, mit denen dann vermutlich X-Verträge zur Auftragsverarbeitung abgeschlossen wurden, in denen die Unternehmen verpflichtet werden, die Daten ausschließlich zur Durchführung der »angeforderten Dienstleistung« zu verwenden. Sofern so umgesetzt, wäre das zumindest rechtlich in Ordnung. Nur hat das nichts mit dem Versprechen aus der Datenschutzerklärung zu tun:

„Ihre Privatsphäre zu schützen und sicherzustellen“

Die X-Dienstleister, die bei der Nutzung der eigentlichen „Zoom“-Services (zu unterscheiden von der reinen Website), sind dieser Liste zu entnehmen. Ich habe 15 Dienstleister gezählt. Ich finde, das sind für einen Service wie „Zoom“ nicht viele. Ich hätte da mehr erwartet.

Warum nun der Einsatz von Dienstleistern dem Schutz der „Privatsphäre“ widersprechen soll, verstehe ich nicht. Wenn wir den Gedanken zu Ende führen, dann dürften wir gar keine Auftragsverarbeiter mehr einsetzen, sondern würden alles selbst machen. Ich fürchte, das würde nicht zu mehr Datensicherheit führen.

Mein Fazit

Ich kann mich nur wiederholen. Wer „Zoom“ nicht einsetzen mag, weil er seine Informationssicherheit nicht als gewährleistet ansieht, der soll es lassen. Ich habe dafür Verständnis. Und es ist eine legitime Entscheidung.

Die Behauptung, dass „Zoom“ nicht datenschutzkonform einsetzbar ist, ist aus datenschutzrechtlicher Sichtweise aber offensichtlich falsch.

Genauso wenig stimmt in rechtlicher Hinsicht, dass „Zoom“ personenbezogene Daten an „Drittanbieter“ übermittelt.

Wie gesagt…ich mag es, wenn wir Dinge differenziert betrachten. Mike Kuketz macht seine Arbeit im technischen Bereich sicher prima. Und ich maße mir nicht an, über die Datenflüsse mehr zu wissen oder analysieren zu können als er. Was die juristische Beurteilung angeht, liegt er da aber falsch.

Und jetzt hoffe ich, dass sich die Gemüter mal wieder beruhigen und wir alle unsere Arbeit machen können.

Update II (27.03.2020) – Zum Vorwurf der Übermittlung von Daten an Facebook bei Nutzung der iOS App

Gestern (am 27.03.2020) wurde in dem Online-Journal Vice dieser Artikel veröffentlicht: Zoom iOS App Sends Data to Facebook Even if You Don’t Have a Facebook Account

Es wurde offenbar herausgefunden, dass in der „Zoom“ iOS App das Facebook SDK zum Einsatz kommt. Dieses wird von App-Entwicklern gerne verwendet, um Funktionalitäten von Facebook in einer App einzusetzen. Meine Vermutung ist, dass „Zoom“ das Facebook SDK in der iOS App einsetzt, um die Funktionalität, sich mit seinem „Facebook Konto“ anzumelden, umzusetzen.

Durch den Einsatz des Facebook SDK kommt nach Angaben in dem Vice-Bericht dazu, dass beim Start der iOS App Daten an die sog. Graph-API von Facebook gesendet werden. An diese API werden offenbar Daten über das vom Nutzer verwendete Gerät, Zeitzone und Stadt (der Einwahl) den Mobilfunknetzanbieter und eben auch eine generierte ID, die Facebook dann nutzen könnte, um diesen Nutzer mit Werbung anzusprechen.

Stimmen diese Vorwürfe? Nun…überprüft habe ich das nicht. Dafür fehlen mir auch ehrlich gesagt Mittel und Know-How. Die Angaben in dem Artikel klingen aber glaubhaft. Und es ist anscheinend nicht nur von einem Datensicherheits-Unternehmen herausgefunden, sondern von einem anderen Spezialisten bestätigt worden.

Was ist für mich die Konsequenz? Da „Zoom“ sich bislang nicht zu den Vorwürfen geäußert hat, habe ich heute morgen, unter Bezugnahme auf meinen Auftragsverarbeitungsvertrag das Datenschutzteam von „Zoom“ angeschrieben und konkrete Fragen zur Aufklärung gestellt.

Ich werde meinen Datenschutz-Coaching-Mitgliedern empfehlen, vorerst die iOS App von „Zoom“ nur dann zu verwenden, wenn sie für sich eine etwaige Übermittlung von Daten an Facebook für unproblematisch halten.

Bei der Desktop-App von „Zoom“ werden meines Wissens keine Daten an Facebook übertragen. Ich habe dies gerade vor einigen Tagen im Hinblick auf von mir verwendete macOS-Version mittels eines Netwerk-Monitors überprüft und keine entsprechenden Verbindungsaufrufe gefunden.

Ich hoffe sehr, dass „Zoom“ hier schnell reagiert und Abhilfe schafft. Ich habe die letzten zwei Tage damit verbracht, mir Alternativen anzuschauen. Die gibt es aber nur für Webinare bis maximal 250 Personen. Das ist für uns leider zu klein. Wir brauchen mindestens eine Kapazität für 400 Teilnehmer, besser bis zu 700 (oder 1000).


Update IV, 28.03.2020: Durch ein Update der iOS App wurde der Fehler gestern Abend behoben.

Empfohlen wurde mir z.B. BigBlueButton. Das klang zunächst vielversprechend. Allerdings ist der Aufwand für ein eigenes Hosting für uns viel zu hoch. Ehrlich gesagt ist mir das zu viel „Gefrickel“. Das könnte man natürlich hosten und supporten lassen, denke ich. Nur habe ich mir dann mal das Benutzerinterface und die Technik angesehen und muss leider sagen, dass das nicht ist, was wir brauchen. Das wäre im Vergleich zu „Zoom“ ein absoluter Rückschritt. Ist es das wert? Derzeit nicht.

Andere Anbieter wie Cisco Webex habe ich mir letztes Jahr als Alternative angesehen. Hat für uns nicht gepasst. Gleiches gilt für GoToWebinar. Die habe ich vor „Zoom“ genutzt und die Unzufriedenheit war damals der Grund für den Wechsel zu „Zoom“.

Ich halte die Augen offen und hoffe, dass „Zoom“ hier umgehend aufklärt und – falls erforderlich – unverzüglich Anpassungen vornimmt.

Update III (27.03.2020): Anmerkungen zur Stellungnahme von Prof. Dr. Roßnagel

Prof. Dr. Roßnagel hat mit Datum vom 23.03.2020 eine Stellungnahme zu „Zoom und Datenschutz“ (PDF) auf den Seiten seiner Hochschule veröffentlicht.

Die Stellungnahme stellt eine „Analyse“ der Datenschutzrichtlinien von „Zoom“ dar, die zugegebenermaßen „suboptimal“ (s.o.) formuliert sind. Roßnagel findet kleinere Mängel im Hinblick auf Art. 13 DSGVO, weil keine Hinweise auf ein Beschwerderecht bei einer Aufsichtsbehörde gegeben werden. Sicher kein kritischer Mangel, der zudem geheilt werden kann (s.u.).

Dann kommen Ausführungen zu Art. 14 DSGVO. Und da muss ich leider sagen, dass ich meine, dass die Ausführungen ein bisschen neben der Spur liegen. Denn für die Nutzung von „Zoom“ muss ich entweder die Applikation oder die Browser-Variante nutzen und bin damit immer unmittelbar Betroffener i.S.d. Art. 13 DSGVO. Soweit überhaupt Daten nicht vom Betroffenen selbst erhoben werden, wird dies bei der Nutzung der Online-Meeting-Services auch nicht von „Zoom“ verantwortet werden, sondern vom jeweiligen „Zoom“-Host, der insoweit als Verantwortlicher agiert.

Und da wären wir auch schon beim Grundproblem der Stellungnahme. Roßnagel verliert kein Wort über die dem Service zugrundeliegende Auftragsverarbeitung und das Data Processing Addendum von „Zoom“, das auch den Auftragsverarbeitungsvertrag i.S.d. Art. 28 DSGVO enthält. Ich frage mich: Warum nicht? Ist das einfach übersehen worden? Ist die Funktionsweise des Dienstes nicht verstanden worden? Oder soll es nur eine reine Betrachtung der Datenschutzrichtlinien für die „Website“ von „Zoom“ sein. Letzteres drängt sich als Eindruck auf.

Nur wird damit übersehen, dass die „Website“ von „Zoom“ nicht identisch mit dem „Online-Meeting-Service“ ist, für den „Zoom“ insoweit nur als Auftragsverarbeiter agiert. Als Auftragsverarbeiter ist „Zoom“ allerdings auch nicht nach den Art. 13, 14 DSGVO verpflichtet. Daher sind auch die weiteren Vorwürfe im Hinblick auf eine Nichteinhaltung von Art. 25 DSGVO im Hinblick auf den „Online-Meeting“-Service durch „Zoom“ nicht richtig zugeordnet. Auch Art. 25 DSGVO richtet sich an den Verantwortlichen, nicht den Auftragsverarbeiter.

Im Ergebnis will Roßnagel dann auch noch eine gemeinsame Verantwortlichkeit zwischen „Zoom“ und der Universität Kassel als Verantwortlichem herleiten. Dabei wird allerdings auch übersehen, dass eine Nutzung der „Zoom“-Applikation auch ohne die Website möglich ist. Ein Anknüpfungspunkt für eine gemeinsame Verantwortlichkeit fehlt dann jedoch.

Die Kritik von Roßnagel ist in Teilen berechtigt. In den entscheidenden Teilen aber nicht. Bei mir ist der Eindruck entstanden, dass Roßnagel sich den Dienst gar nicht näher angesehen, sondern sein Urteil allein auf Basis der Internetseite von „Zoom“ getroffen hat. Ich denke allerdings schon, dass hier differenziert werden muss.

Update, 31.03.2020: Die von Prof. Dr. Roßnagel geäußerte Kritik ist mit den am 30.03.2020 aktualisierten Datenschutzhinweise von „Zoom“ weitestgehend gegenstandslos. Ich bin gespannt, ob die Stellungnahme von Prof. Dr. Roßnagel aktualisiert wird.

Update VI, 31.03.2020: „Zoom“ hat seine Datenschutzhinweise aktualisiert

Als bekennender „Zoom“-Nutzer ist mir gestern Abend ein kleiner Stein vom Herzen gefallen, also den Tweet vom CEO von „Zoom“ las, aus dem sich ergab, dass „Zoom“ offenbar seine Datenschutzhinweise überarbeitet hat.

Das musste nicht zwingend etwas Gutes bedeuten. Aber schon der erste Blick war eine Erleichterung. Sie haben es endlich kapiert. Datenschutz und klare Aussagen dazu sind wichtig. Und so beginnen die Datenschutzhinweise von „Zoom“ nun mit einem klaren Statement der Leiterin der Rechtsabteilung von „Zoom“. Dort heißt es nun:

Wir verkaufen Ihre personenbezogenen Daten nicht. Egal, ob Sie ein Unternehmen, eine Schule oder ein einzelner Benutzer sind, wir verkaufen Ihre Daten nicht.

Ihre Meetings gehören Ihnen. Wir überwachen sie nicht und speichern sie nach Abschluss Ihres Meetings auch nicht, es sei denn, wir werden vom Gastgeber des Meetings beauftragt, sie aufzuzeichnen und zu speichern. Wir benachrichtigen die Teilnehmer sowohl über Audio als auch über Video, wenn sie an Meetings teilnehmen, ob der Gastgeber ein Meeting aufzeichnet, und die Teilnehmer haben die Möglichkeit, das Meeting zu verlassen

Großartig. Endlich. Richtig. Und gut gemacht. Auch der Rest der Datenschutzhinweise ist nun transparent und unterscheidet endlich zwischen der Website von „Zoom“ und dem Dienst „Zoom“. Das sind nämlich zwei verschiedene Dinge.

Die bislang unglücklich formulierte Passage in den Datenschutzhinweise zu einem „Verkauf“ von Daten, die wohl humorvoll sein sollte, ist nun endlich durch ein kräftiges und deutliches Statement ersetzt worden. Es werden keine Daten verkauft. Punkt.

Die verschiedenen Datenarten werden mit Beispielen und den jeweiligen Zwecken der Datenverarbeitung nun transparent und übersichtlich in tabellarischen Auflistungen dargestellt.

Das so umstrittene Feature des „Aufmerksamkeits-Trackings“, das Anlass für diesen Beitrag war (bzw. die Kritik an diesem Feature), ist nun auch ausdrücklich erklärt. Insbesondere wird hier jetzt deutlich gemacht, dass der Gastgeber eines Meetings (oder sein Account-Administrator) diese Funktion anschalten muss.

Übrigens erfüllen die neuen Datenschutzhinweise von „Zoom“ nun endlich auch alle Anforderungen aus Art. 13 DSGVO. Allerdings scheint die Angabe des „Vertreters“ in der EU zu fehlen. Das sollte „Zoom“ ergänzen.

Update VII, 01.04.2020: Zu den neuen Vorwürfen gegenüber „Zoom“ („Zoombombing“, Softwareinstallation auf dem Mac, Verzeichnisdienst und Ende-zu-Ende-Verschlüsselung)

Auch gestern wurde wieder Kritik gegenüber „Zoom“ geäußert. Um es vorwegzunehmen. In rechtlicher Hinsicht halte ich einen Part der Kritik für relevant. Und zwar hat „Zoom“ offensichtlich in seinem „Company Directory“ ein Problem bzw. Problem gehabt. Das lässt sich in diesem Artikel bei VICE nachlesen. Die technische Konfiguration dieses Dienstes (den ich nicht nutze) lässt oder ließ offensichtlich zu wünschen übrig. Der Fehler ist zwar aktuell behoben, aber nicht strukturell. Hier sollte „Zoom“ also eine verlässlichere Umsetzung implementieren.

Führt dieser Vorfall nun aber unweigerlich zu der Konsequenz, dass „Zoom“ datenschutzrechlich nicht mehr einsetzbar sei? Ich meine „Nein“. Es war allerdings der erst Fehler, den ich ernsthaft für rechtlich relevant halte.

Der zweite neue Vorwurf der Art und Weise der Softwareinstallation unter macOS ist mir schon seit jeher ein Dorn im Auge, weil „Zoom“ sich hier aus Gründen der vermeintlichen „Dummheit“ von Nutzern eines Tricks bedient, damit man bei weiteren Updates der „Zoom“ App unter macOS nicht jedesmal seinen Administratornamen und das Passwort eingeben muss. Wobei es meist nicht einmal, die vermeintliche „Dummheit“ der User ist, sondern die Tatsache, dass diese keine Software installieren können sollen. Und das ja „eigentlich“ auch seinen Grund. Daher ist dieses Vorgehen keine gute Idee von „Zoom“, aber datenschutzrechtlich nicht von Belang. Kenner wissen übrigens, wie das zu umgehen ist. Noch besser wäre allerdings, wenn „Zoom“ seine macOS App im Mac App Store anbieten würde. Das würde das Problem auch für die Nutzer beheben.

Weiter wurde „Zoom“ nun vorgeworfen, dass sie in ihren Marketing- und Produktinformationen den Eindruck erwecken würden, dass „Zoom“ eine Ende-zu-Ende-Verschlüsselung einsetze. Ich wurde vorgestern Abend schon mit dem Vorwurf konfrontiert und war überrascht. Ich bin noch nie davon ausgegangen, dass Video- und Audio-Meeting bei „Zoom“ Ende-zu-Ende-verschlüsselt sind. Ich habe erst wegen des Beitrags auf der Website von „The Intercept“ davon erfahren, dass „Zoom“ das überhaupt erwähnt. Wenn man sich das näher ansieht, erfährt man allerdings auch, dass nur die Chat-Inhalte Ende-zu-Ende-verschlüsselt sind. Letzteres war mir übrigens auch nicht mehr bekannt. Ich bin auch da nur davon ausgegangen, dass wie bei Video- und Audio nur die übliche Transportverschlüsselung via TLS zum Einsatz kommt.
Lange Rede, kurzer Sinn…die Aufregung kann ich hier aus datenschutzrechtlicher Sicht nicht nachvollziehen. Und wer lesen kann, ist klar im Vorteil. Ich habe in meinem Umfeld mal „Zoom-Nutzer“ gefragt. Niemand hatte die Idee, dass bei Video und Audio in „Zoom“-Meetings eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Das ist natürlich nicht repräsentativ. Ich habe nur den Eindruck, dass jetzt bei „Zoom“ gerade von Tech-Journalisten jeder Stein zweimal umgedreht wird. Auch das finde ich gut, solange es gut recherchiert ist. Rein rechtlich ist dieser Vorwurf für mich als Datenschutzrechtler aber nicht relevant. „Zoom“ hat dies am 01.04.2020 hier dann auch noch einmal klargestellt: „The Facts Around Zoom and Encryption for Meetings/Webinars“

Dann zum „Zoombombing“, also den Vorfällen, dass fremde Menschen sich einfach nach dem Zufallsprinzip über Meeting-IDs in fremde Meetings einwählen und dort dann z.B. pornografische Fotos zeigen etc.
Da muss ich sagen, dass es wieder mal Sache des Gastgebers eines „Zoom“-Meetings ist, hier Vorsorge zu treffen. Und das ist nicht schwer. Meetings also nur mit Passwort, ggf. mit Warteraum etc. Und vor allem sollte man in den Grundeinstellungen vorsehen, dass der Bildschirm nur vom Host geteilt werden kann. Wenn alle Meeting-Teilnehmenden da sind, kann zudem ein Meeting geschlossen werden („Lock the Meeting“), so dass keiner mehr hinzukommen kann etc.
Dafür gibt es also ausreichend Schutzmechanismen, die man aber auch als Gastgeber einer „Zoom“-Konferenz nutzen sollte. Den schwarzen Peter hier „Zoom“ zuzuschieben, ist nach meiner bescheidenen Auffassung jetzt eher eine schwache Argumentation.

Dann ist noch hinzugekommen, das nun die New Yorker Generalstaatsanwältin nun Untersuchungen gegen „Zoom“ wegen der „Datenschutz- und der Datensicherheitspraxis“ eingeleitet hat. Nun…ich finde das gut. Auch das wird mehr Klarheit bringen. Und letztlich wird auch das dazu beitragen, dass „Zoom“ den nun begonnenen Weg, den Aspekten des „Datenschutzes“ im Unternehmen noch mehr Fokus und Gewicht zu geben, noch verstärken werden muss. Ein bisschen Druck kann da nicht schaden.

Update VIII, 01.04.2020: Sicherheitslücke „UNC-Links“ & „Camera Bug“

Heute gab es weitere Vorwürfe gegenüber „Zoom“.
Der eine Beitrag richtet sich (richtigerweise) gegen die bereits oben beschriebene Installationsweise von „Zoom“ unter macOS. Der Beitrag zeigt dann, wie dadurch theoretisch jemand durch eine Manipulation des Installations-Scripts die Webkamera „hijacken“ könnte. Gut, theoretisch ist das möglich. Das praktische Risiko für aktuelle Zoom-User im Home Office dürfte aber doch sehr gering sein. Also: Richtiger Hinweis, aber Risiko gering. Das Problem würde sich lösen, wenn „Zoom“ endlich seine Installationsroutine unter macOS ändern würde (s.o.). Im Ergebnis aber kein Drama.

Den zweiten Hinweis auf eine Sicherheitslücke fand ich auf den ersten Blick dann schon erheblicher. Und zwar „rendert“ die Zoom-App sog. „UNC-Links“ und macht sie anklickbar. In diesem Beitrag ist recht allgemein verständlich beschrieben, wie das Angriffszenario aussieht. Ich habe die betreffende Passage mal ins Deutsche übersetzt:

Wenn ein Angreifer einen UNC-Link in einem Zoom-Besprechungs-Chatfenster veröffentlicht hat und Sie als Zoom-Benutzer auf diesen Link klicken und Ihr Windows-Computer oder Ihre Firewall die Netzwerkfreigabe über das Internet erlaubt, dann würde Ihr Computer versuchen, auf die angegebenen Dateien auf dem Server unter foobar.com mit dem SMB-Dateifreigabeprotokoll (Server Message Block) zuzugreifen.

Ihr Computer würde versuchen, sich beim foobar.com-Server anzumelden, indem er Ihren Windows-Benutzernamen und eine schwach verschlüsselte Form Ihres Windows-Kennworts an den Fernserver sendet.

Dieses Passwort könnte mit dem Windows-NTLM-Algorithmus verschlüsselt sein, der sehr leicht zu „knacken“ ist, um das eigentliche Passwort abzuleiten. Wenn dies der Fall ist, kann sich der Idiot, der den UNC-Link gepostet hat, jetzt bei Ihrem Computer anmelden.

Und wenn der UNC-Dateipfad zu einer Anwendung oder einer anderen ausführbaren Datei auf dem foobar.com-Server führt, dann könnte sich die Anwendung – bei der es sich leicht um Malware handeln könnte – öffnen und auf Ihrem Rechner laufen. Der Idiot, der Ihre Windows-Anmeldeinformationen hat, könnte diese Malware verwenden, um aus der Ferne auf Ihren Computer zuzugreifen.

Das hört sich übel an. Bei näherer Hinsicht ist das allerdings auch nicht wirklich ein „Drama“. Denn in gleicher Art und Weise funktioniert z.B. der Windows Explorer. Entsprechend wurde dieser „Bug“ unter IT-Securtiy-Fachleuten z.T. auch als vollkommen übertrieben dargestellt (z.B. hier und hier).

Wie ansonsten auch, sollte man bei „Zoom“-Meetings darauf achten, dass keine „Fremden“ teilnehmen und dass Menschen auch darauf achten, worauf sie klicken. Intern könnten zudem bestimmte Ports für Netzwerkzugriffe nach außen geblockt werden, um das Risiko zu minimieren. Für Anbieter von Webinaren mit „Zoom“ und einer offenen Teilnehmergruppe wäre es allerdings schon wünschenswert, dass der Fehler durch „Zoom“ so schnell wie möglich behoben wird.

Update IX, 02.04.2020: Soll ich bei „Zoom“ bleiben?

„The heat is on“. So könnte man wohl die letzten Tage bzgl. „Zoom“ nennen. Viel schlechte Presse, neue Sicherheitsvorwürfe. Soll ich persönlich dennoch bei „Zoom“ bleiben?
Ich bin ehrlich. Ich habe mich in den letzten Tagen immer wieder nach Alternativen umgesehen. Und für den reinen Meeting-Bereich, also Online-Meetings mit bis zu 50 Personen (oder ggf. bis zu 200 Personen) gibt es gute oder zumindest brauchbare Alternativen. Da kann sich jeder einmal umsehen, wenn er sich bei „Zoom“ nicht mehr wohlfühlt.

Da ich „Zoom“ für große Webinare benötige, habe ich persönlich immer noch keine Alternative gefunden. Und ich bin nach wie vor der Meinung, dass „Zoom“ in datenschutzrechtlich zulässiger Weise eingesetzt werden kann.

Ärgerlich ist, wenn jetzt z.B. bei Twitter gewarnt und dringend empfohlen wird, die „Zoom“-App auf dem Mac zu löschen (wie z.B. hier). Das ist nicht seriös, denn zur Ausnutzung der betreffenden Sicherheitslücke müsste der Angreifer einen lokalen Zugang zu dem Mac haben (s.o.). Darauf sollte in so einem Tweet dann auch hingewiesen werden. Nicht jeder, der den guten Artikel von Patrick Wardle liest, kann diesen auch verstehen.

Warten wir mal ab, was der Tag für „Zoom“ heute wieder bringt…

Update X, 02.04.2020 – Kräftiges Statement von „Zoom“ zu IT-Sicherheit & Datenschutz

Endlich ist es soweit. „Zoom“ scheint verstanden zu haben. Noch am 01.04.2020 (Pazifischer Zeit) erscheint ein Beitrag vom CEO von „Zoom“ Eric S. Yuan im Blog von „Zoom“. Er trägt den Titel: „A Message to Our Users“

Und er enthält ziemlich genau das, worauf ich gewartet habe. Ein klares Statement dazu, dass sie Datenschutz und IT-Sicherheit zu sehr vernachlässigt haben und nun einen Fokus auf diese Themen setzen werden.

Neben dem typischen Gefasel, das Datenschutz wichtig ist etc., gibt es in dem Blogbeitrag zunächst Hinweise dazu, was Zoom bislang getan hat. Und da war ich selbst überrascht. Denn nach Angaben von „Zoom“ wurden die gestern veröffentlichen Sicherheitslücken (dazu mein Update IX) auch gestern schon behoben – neben diesen anderen Aktionen (Update, 03.04.2020: „Zoom“ hat einige der nachfolgenden Statements noch einmal konkretisiert, ich habe die Änderungen aufgenommen):

On April 1, we:

  • Published a blog to clarify the facts around encryption on our platform – acknowledging and apologizing for the confusion.

Okay…fand ich schon vorher nicht so tragisch, s.o.

  • Permanently removed the attendee attention tracker feature.

Habe ich gerade nachgeprüft. Ist korrekt. Die Funktionalität ist entfernt.

  • Released fixes for both Mac-related issues raised by Patrick Wardle.

Patrick Wardle hat am 02.04.2020 bestätigt, dass mit der neuen Version 4.6.9 der Zoom-App die Probleme behoben worden sind.

  • Released a fix for the UNC link issue.

Auch hier ist bestätigt, dass die neue Version 4.6.9. die Probleme der Zoom App behoben worden sind.

  • Permanently removed the LinkedIn Sales Navigator after identifying unnecessary data disclosure by the feature.

War mir bislang nicht bekannt, aber gut, wenn das so ist.

Worauf ich persönlich gewartet habe, war ein starkes „Comittment“ für das Thema Datenschutz und IT-Sicherheit. Und das kam nun endlich – ich habe den betreffenden Teil des Statements des CEO diesbezüglich einmal übersetzt:

In den nächsten 90 Tagen werden wir die erforderlichen Ressourcen bereitstellen, um Probleme besser identifizieren, angehen und proaktiv lösen zu können. Wir haben uns auch verpflichtet, während dieses gesamten Prozesses transparent zu sein. Wir wollen tun, was nötig ist, um Ihr Vertrauen zu erhalten. Dazu gehört:

  • Ein sofortiges „Einfrieren“ von Funktionen und die Verlagerung aller unserer technischen Ressourcen auf unsere größten Vertrauens-, Sicherheits- und Datenschutzprobleme.
  • Die Durchführung einer umfassenden Überprüfung mit Experten von Drittanbietern und repräsentativen Nutzern, um die Sicherheit all unserer neuen Kunden-Anwendungsfälle zu verstehen und zu gewährleisten.
  • Erstellung eines Transparenzberichts, der Informationen zu Anfragen nach Daten, Aufzeichnungen oder Inhalten enthält.
  • Die Verbesserung unseres aktuellen Bug-Bounty-Programms.
  • Die Einrichtung eines CISO-Rates in Partnerschaft mit führenden CISOs aus der gesamten Branche, um einen ständigen Dialog über bewährte Praktiken im Bereich Sicherheit und Datenschutz zu ermöglichen.
  • Durchführung einer Reihe von gleichzeitigen White Box-Penetrationstests, um Probleme weiter zu identifizieren und zu lösen.
  • Ab nächster Woche werde ich mittwochs um 10 Uhr morgens ein wöchentliches Webinar veranstalten, um unsere Community über die neuesten Entwicklungen im Bereich Sicherheit und Datenschutz zu informieren.

Das ist in vielen Punkten das, was aus der Informationssicherheitsszene gefordert wurde. Ich kann das nur begrüßen und hoffe, dass den Worten auch Taten folgen.

Ich werde bis auf Weiteres bei „Zoom“ für die Veranstaltung unserer Webinare bleiben.

Update XI, 03.04.2020: „War Dialing“

Ich wurde auf Twitter auf ein vermeintliches Problem bei „Zoom“ wegen eines sog. „War Dialing“-Tools aufmerksam gemacht. Dieses Tool ermöglicht das Auffinden von „Zoom“-Meetings, die nicht durch ein Passwort geschützt sind und damit dann z.B. von nicht eingeladenen Gästen (für z.B. „Zoombombing“) „besucht“ werden können.

Wer aber schon bislang (was zudem die Standard-Einstellung bei „Zoom“ ist) seine Meetings mit einem Passwort geschützt hat, ist nicht gefährdet.

Daher hier noch einmal die Empfehlung, seine „Zoom“-Meetings mit einem Passwort zu schützen. Zudem kann man immer daran denken, seine „Zoom-Meetings“ durch Verwendung des „Warteraum“-Features durchzuführen. Damit können durch den Gastgeber eines Meetings die Meeting-Teilnehmenden in den Meeting-Raum einzeln manuell eingelassen werden. Ferner kann das „Zoom“-Meeting, wenn alle Teilnehmenden im Meeting sind, „geschlossen“ werden. Weitere Personen können dann nicht mehr am Meeting teilnehmen.

Update XII, 03.04.2020: Zweifel an der Sicherheit der Verschlüsselung von „Zoom“?

Heute wurde ein Bericht veröffentlicht, der einen kritischen Blick auf die von „Zoom“ verwendeten Verschlüsselungstechnologien wirft. Die Hauptergebnisse der Untersuchung habe ich einmal übersetzt:

  1. In der Zoom-Dokumentation wird behauptet, dass die App nach Möglichkeit die „AES-256“-Verschlüsselung für Besprechungen verwendet. Wir stellen jedoch fest, dass in jeder Zoom-Sitzung ein einziger AES-128-Schlüssel im ECB-Modus von allen Teilnehmern zur Ver- und Entschlüsselung von Audio und Video verwendet wird. Die Verwendung des ECB-Modus wird nicht empfohlen, da die im Klartext vorhandenen Muster bei der Verschlüsselung erhalten bleiben.
  2. Die AES-128-Schlüssel, die nach unserer Überprüfung ausreichen, um im Internetverkehr abgefangene Zoom-Pakete zu entschlüsseln, scheinen von Zoom-Servern erzeugt zu werden und werden in einigen Fällen den Teilnehmern einer Zoom-Sitzung über Server in China zugestellt, selbst wenn sich alle Sitzungsteilnehmer und die Firma des Zoom-Teilnehmers außerhalb Chinas befinden.
  3. Zoom, ein Unternehmen mit Sitz im Silicon Valley, scheint drei Unternehmen in China zu besitzen, über die mindestens 700 Mitarbeiter für die Entwicklung der Software von Zoom bezahlt werden. Diese Vereinbarung ist angeblich ein Versuch der Arbeitsarbitrage: Zoom kann die Zahlung von US-Löhnen beim Verkauf an US-Kunden vermeiden und so ihre Gewinnspanne erhöhen. Allerdings könnte diese Vereinbarung Zoom auf den Druck der chinesischen Behörden reagieren lassen.

Ob der Punkt 3.) jetzt wirklich ein „Argument“ ist, wird jedes Unternehmen, das „Zoom“ nutzt, für sich beantworten müssen.

Die Punkte 1.) und 2.) sind für mich das erste Mal relevante Punkte, zu denen ich mir eine kurzfristige vernünftige Stellungnahme von „Zoom“ wünsche. Die Verwendung des ECB-Modus ändert zwar nichts daran, dass die Daten verschlüsselt sind. Aber in dem Beitrag wird anhand der Verschlüsselung eines Bildes eines Pinguins ganz gut sichtbar, warum das keine wirklich gute Verschlüsselung ist.

Im Hinblick auf besondere Betriebs- und Geschäftsgeheimnisse sollte man daher hier Vorsicht walten lassen und die weitere Entwicklung beobachten. Gegen die Veranstaltung von Webinaren über „Zoom“ bestehen allerdings m.E. keine Bedenken. Ich werde hier über den weitere Entwicklung berichten.

Nun wird sich bei „Zoom“ zeigen, ob das „Commitment“ zu Datenschutz und IT-Sicherheit wirklich ernst gemeint war.

In dem Beitrag wird aufgrund einer aktuellen Sicherheitslücke im Warteraum-Feature empfohlen, zunächst nur den Passwort-Modus für „Zoom“-Meetings zu verwenden. Der Fehler wurde an „Zoom“ berichtet und „Zoom“ hätte auch reagiert. Die Autoren des Beitrags werden dann nach Behebung der Lücke über dieselbe berichten. Es bleibt also spannend mit „Zoom“.

Update XIII, 05.04.2020 Reaktion von „Zoom“ und ein sachlicher Beitrag

„Zoom“ hat in recht ordentlicher Weise auf die letzten Vorwürfe (s. Update 12) reagiert. Das lässt hoffen. Aber aktuell würde ich immer noch Vorsicht bei „Zoom“-Meetings walten lassen, über die Betriebs- und Geschäftsgeheimnisse besprochen werden. Warten wir ab, wie „Zoom“ hier reagiert.

Die aktuelle Diskussion um „Zoom“ wird sehr emotional geführt. Sehr hilfreich und vor allem fachlich kompetent fand ich diesen Beitrag hier: „Zoom isn’t Malware.“

Update XIV, 09.04.2020 Meine aktuelle Sichtweise zu „Zoom“

Ich kann die Menge der E-Mails, die mich zum Thema „Zoom“ erreichen, nicht mehr nachzählen. Unglaublich, wie dieses Thema derzeit intensiv diskutiert wird. Seit gestern wird nun vermehrt gefragt, was ich von „Zoom“ halte, wo nun „sogar“ Google die Software von den Geräten ihrer Beschäftigten verbannt hat.
Dass Google das nun tut, verwundert mich nicht unbedingt, wenn wir uns das Produktportfolio von Google im Hinblick auf ihr eigenes Produkt „Meet“ anschauen. Mich interessiert da eher, wie die Informationssicherheits-Community die Geschehnisse um „Zoom“ aktuell bewertet. Und da gibt es ein durchaus differenziertes Bild. Wie z.B. hier (Patrick Wardle), Bill Marczak und hier Steven M. Bellovin. Generell wird gewürdigt, dass „Zoom“ die Probleme ernstnimmt und auch zügig adressiert. Auch hier werde ich den weiteren Verlauf aber genau beobachten.

Derzeit sehe ich unter Bezugnahme auf die insoweit einschlägigen Stellungnahmen aus dem Bereich der Informationssicherheit keine ernsthaften Probleme beim Einsatz von „Zoom“ im Bereich E-Learning, Lehre (z.B. Universitäten) oder Online-Training, wenn die aktuelle „Zoom“-Version unter macOS installiert wurde. Daher werde ich auch weiterhin auf „Zoom“ setzen und die weitere Entwicklung genau beobachten.

Im Hinblick auf Betriebs- und Geschäftsgeheimnisse würde ich aktuell in der Tat Vorsicht walten lassen. Hier wird „Zoom“ beweisen müssen, dass den Worten auch weiter Taten folgen werden. „Zoom“ hat angekündigt, dass die bisher verwendete Verschlüsselung gehärtet wird und man auf „AES-256 GCM“ umsteigen wird. Und zwar soll dies kurzfristig (binnen 45 Tagen heißt es) erfolgen. Wenn dies umgesetzt werden sollte, halte ich auch im Bereich der Betriebs- und Geschäftsgeheimnisse „Zoom“ wieder für vertretbar. Warten wir also ab.

Update XV, 15.04.2020 Was gibt es Neues in Sachen „Zoom“?

Es ist in den letzten Tagen doch etwas ruhiger geworden in Sachen „Zoom“. Das ist vielleicht auch den Ostertagen geschuldet. Gestern kam noch einmal eine Meldung, dass rund 500.000 Logindaten (E-Mail-Adresse & Passwort) im Darknet käuflich zu erwerben sind. Allerdings hat sich schnell herausgestellt, dass es sich dabei um Kombinationen von E-Mail-Adressen und Passwörtern aus alten Hacks anderer Anbieter (z.B. LinkedIn) handelt. Ist also kein originäres „Zoom“-Problem, sondern vielmehr noch einmal Anlass für die dringende Bitte an alle Internet-Nutzer, bitte nicht dieselben Passwörter für die Anmeldung bei verschiedenen Internetdiensten zu verwenden.

Ansonsten kann ich momentan eher nur Positives bzgl. „Zoom“ berichten. Es sind weitere schnelle Updates mit verbesserten Sicherheitsfunktionen entschieden.

Was bislang nur größeren Kunden von „Zoom“ möglich war, wird jetzt für alle zahlenden Zoom-Nutzer ab 18.04.2020 möglich. Denn dann kann die Rechenzentrums-Region genutzt werden. Wenn also ein EU-Unternehmen „Zoom“ nutzt, kann im Account-Bereich künftig eingestellt werden, dass die Daten auch nur in den EU-Rechenzentren von „Zoom“ verarbeitet werden. Ein guter, wichtiger und richtiger Schritt.

Seit dem 07.04.2020 wird zudem der Auftragsverarbeitungsvertrag automatisch mit der Erstellung eines „Zoom“-Accounts in das Vertragsverhältnis eingebunden. Ein gesonderter Abschluss und die Einsendung des Vertrages ist nicht mehr erforderlich. Ich habe daher meinen Beitrag „So schließt du einen Auftragsverarbeitungsvertrag mit „Zoom““ entsprechend aktualisiert.

Aufmerksame Menschen werden erkennen, dass im Auftragsverarbeitungsvertrag von „Zoom“, der online abrufbar ist, mehrere Seiten fehlen bzw. Seitensprünge vorhanden sind. Das ist darauf zurückzuführen, dass auf diesen Seiten normalerweise Unterschriftenfelder vorhanden wären, die durch den elektronischen Vertragsabschluss entfallen. Die Tatsache, dass „Zoom“ diese Seiten nun in der elektronischen Fassung entnommen hat, dürfte damit begründet sein, dass im Vertragsmanagement entschieden worden ist, nur eine Fassung des Auftragsverarbeitungsvertrages zu verwenden, damit es bei der Angabe von Seitenzahlen nicht zu Verwirrungen kommt. So schließt der Anbieter von „Zoom“ mit Unternehmenskunden immer noch auch unterschriebene Fassungen des Auftragsverarbeitungsvertrages ab, in dem dann die Unterschriftenfelder und damit auch die in der elektronischen Fassung fehlenden Seiten vorhanden sind. Ich persönlich hätte es bevorzugt, wenn die Seitenangaben in der elektronischen Fassung durchlaufend gewesen wären, um Verwirrungen zu vermeiden. Rechtlich zwingend ist dies jedoch nicht. Zudem hätte ich persönlich mir gewünscht, dass die automatische Einbindung des Auftragsverarbeitungsvertrages bei der Registrierung eines Accounts etwas deutlicher erfolgen würde. Dazu gibt es ein paar weitere Worte von mir im o.g. Artikel.
Grundsätzlich ist diese Entwicklung bei „Zoom“ aber auch positiv zu bewerten.

Wenn jetzt noch der Wechsel der Verschlüsselung von „AES ECB“ auf „AES 256 GCM“ erfolgt, wird eine Empfehlung von „Zoom“ auch für den Bereich von Geschäftsgeheimnissen wieder möglich erscheinen.

Gegen die Nutzung von „Zoom“ für Webinare, E-Learning und ähnliche Angebote gibt es aus rechtlicher Sicht jetzt schon keine grundlegenden Bedenken. Alle kritischen Ausführungen dazu ließen sich bei näherem Hinschauen meinerseits widerlegen bzw. wurden nicht substantiiert belegt. Es scheint also aktuell eher ein „Gefühl“ zu sein, „Zoom“ nicht nutzen zu können bzw. zu wollen. Dieses Gefühl steht jedem zu. Niemand muss „Zoom“ nutzen. Allerdings meine ich schon, dass ein Einsatz von „Zoom“ immer noch rechtlich und auch technisch vertretbar ist. Für einige alternative Anbieter kann ich das leider nicht sagen.

Wir dürfen also gespannt sein, ob „Zoom“ kurzfristig auch die verwendete Verschlüsselung optimiert. Vorstellbar wäre hier für mich auch, dass ein Nutzer ggf. das Sicherheits-Niveau einstellen kann. Denn die „AES ECB“-Verschlüsselung könnte vor allem auch einer der Gründe für die gute „Performance“ von „Zoom“ in Zeiten von hoher Auslastung sein. Eine Ver- und Entschlüsselung per „ECB“ ist nämlich bedeutend schneller als andere „AES“-Verschlüsselungsvarianten. So heißt es zumindest. Ich bin insoweit auch nur mit „Halbwissen“ ausgestattet.

Eine Idee könnte daher sein: „Zoom“ könnte dem Host eines Meetings die Möglichkeit geben, in kleineren Meetings, in denen z.B. auch Geschäftsgeheimnisse thematisiert werden (und die Performance wegen einer geringeren Teilnehmerzahl nicht entscheidend ist), die bessere Verschlüsselung wie z.B. „AES GCM“ einzustellen und z.B. in „unkritischen“ Meetings und Webinaren die schnellere, aber weniger sichere Verschlüsselung (z.B. AES ECB).

Standardmäßig könnte dann für Meetings die bessere Verschlüsselung voreingestellt werden. Denkbar wäre m.E. auch für Webinare als Voreinstellung die „performantere“, aber weniger sichere Verschlüsselung zu wählen.

Wie dem auch sei. Ich denke schon, dass „Zoom“ hier Verbesserungen vornehmen wird. Und eines werden wir recht sicher sagen können. Es wird wohl kaum einen Videokonferenz-Dienst geben, der ähnlich kritisch von einer großen Zahl von Personen aus dem Informationssicherheitsbereich durchleuchtet wurde, wie „Zoom“ derzeit. „Zoom“ sollte das nutzen, aus den Fehlern lernen und im Gegenzug aber auch eine Chance erhalten können.

Ich freue mich jedenfalls, wenn wir mit diesem Thema lieber auf Basis von sachlichen Erwägungen und weniger auf Basis eines „Gefühls“ umgehen.

Update XVI, 16.04.2020 Berliner Aufsichtsbehörde zu „Zoom“ (Skype und Microsoft Teams)

Wie die Kollegen von Reuschlaw hier schon kritisch kommentiert haben, hat die Berliner Datenschutz-Aufsichtsbehörde sich in Form einer Checkliste (PDF) und einer Stellungnahme oder Orientierungshilfe (PDF) sich zu Anforderungen an Videokonferenzsysteme geäußert.

Neben allgemein guten Ausführungen zu Anforderungen an solche Systeme in der Stellungnahme (PDF) der Aufsichtsbehörde gleitet die Aufsichtsbehörde leider dann in einen kleinen „Nicht-Argumentations-Nebel“ ab. Denn der Einsatz von Microsoft Teams, Skype und natürlich auch „Zoom“ wird per se für rechtswidrig gehalten, ohne substantiiert darauf einzugehen oder dies gar konkret zu begründen.
Zu „Zoom“ heißt es pauschal, dass nach Stand vom 02.04.2020 die datenschutzrechtlichen Anforderungen des Anbieters von „Zoom“ nicht eingehalten würden. Eine konkrete Begründung gibt es nicht. In der Checkliste (PDF) der Aufsichtsbehörde lässt sich dann allenfalls erahnen, dass die Aufsichtsbehörde der Auffassung sein könnte, dass „Microsoft, Skype Communications und Zoom Video Communications“ die Anforderungen bzgl. des Abschlusses der vertraglichen Regelungen (EU-Standardvertragsklauseln) nicht einhalten würden. Begründet wird auch dies wiederum nicht konkret oder nachvollziehbar.

Da sowohl bei Microsoft als auch bei Zoom vertraglich geregelt werden kann, dass eine Datenverarbeitung in der EU erfolgt und zudem auch die Möglichkeit besteht (zumindest im Falle von Zoom) individuelle Auftragsverarbeitungsverträge abzuschließen, vermag ich nicht nachzuvollziehen, wie die Berliner Aufsichtsbehörde zu dieser Auffassung kommt. Anscheinend kennt die Aufsichtsbehörde zumindest nicht die Vertragspraxis der Anbieter und die technische Detail-Ausgestaltung offenbar auch nicht. Jedenfalls fehlen Hinweise zu diesen Themen, die bei so gewichtigen Vorwürfen bzgl. einzelner Anbieter geboten gewesen wären.

Ich muss leider gestehen, dass ich einzelne Äußerungen von Aufsichtsbehörden gerade in Zeiten der aktuellen Pandemie wenig bis gar nicht nachvollziehen kann. So empfiehlt auch die Berliner Aufsichtsbehörde grundsätzlich wieder, man solle ggf. besser Telefonkonferenzen durchführen. Und der weitere Hinweis, dass eine selbst gehostete Videokonferenz generell „sicherer“ sei, ist grundsätzlich auch nur dann korrekt, wenn ein gutes technisches Know-How in dem Unternehmen oder der öffentlichen Stelle zum sicheren Betrieb dieser Systeme besteht. Das ist allerdings nicht unbedingt die Regel.

Im Ergebnis ist festzustellen, dass die von der Berliner Aufsichtsbehörde veröffentlichte Stellungnahme und Checkliste zu Videokonferenzen im Hinblick auf die Behauptung, dass die Nutzung von „Skype“, „Microsoft Teams“ und „Zoom“ rechtlich unzulässig sei, derzeit rechtlich unsubstantiiert ist. Ohne weitere Begründung seitens der Aufsichtsbehörde kann diese Einschätzung der Aufsichtsbehörde m.E. nicht ernstgenommen werden. Wir dürfen gerade in diesen Zeiten von Aufsichtsbehörden gut überlegte und vor allem nachvollziehbare Stellungnahmen erwarten. Hier darf die Berliner Aufsichtsbehörde eine Begründung nachlegen und dabei vor allem auch recherchieren, ob und inwieweit die Tatsachenbehauptungen in den Dokumenten sachlich wirklich zutreffend sind. Auch insoweit möchte ich hier noch einmal die Stellungnahme von Carlo Piltz und Stefan Hessel empfehlen.

Update, 21.04.2020: Mit den leider nicht wirklich geeigneten Empfehlungen oder Hinweisen der Datenschutz-Aufsichtsbehörden haben sich übrigens auch Nico Schröter und Lukas Zöllner in ihrem LTO-Artikel beschäftigt: Denn sie wollen wissen, was sie tun (dürfen)

Update XVII, 23.04.2020 Aktueller Stand in Sachen „Zoom“

In Sachen „Zoom“ gibt es seit dem letzten Update Gutes und Schlechtes zu berichten. Fangen wir mal mit dem Schlechten an. Der geschätzte Thorsten Schröder hat sich den Windows-Client für „Zoom“ etwas näher angesehen und hat – sagen wir es mal so – ein ziemliches „Gefrickel“ von veralteten Softwarebibliotheken und nicht gerade vorbildlichem Code vorgefunden. Ein Teil davon könnte unter bestimmten Voraussetzungen von böswilligen Angreifern ausgenutzt werden. Für konkretere Auswertungen fehlte es an der Zeit, zumal Schröder sich das in seiner Freizeit angesehen hat. Den Beitrag kann man hier nachlesen.
Es ist das zweite Mal, dass ich die Kritik für fundiert halte. Derzeit ist nicht klar, ob sich die Mängel auch auf den Linux- und macOS-Client von „Zoom“ beziehen.

Im Hinblick auf die im Update XII und XV angesprochene „schwache“ AES-Verschlüsselung gibt es jetzt allerdings gute Nachrichten. Gestern hat „Zoom“ eine neue Version 5.0 angekündigt, in der dann die bessere (und gute) „AES 256bit GCM“ implementiert ist. Die funktioniert allerdings nur dann, wenn alle Teilnehmenden auf ein Update auf den neuen „Zoom 5.0“-Client vorgenommen haben. Nach dem 30.05.2020 ist dann ein Update zwingend, um „Zoom“ nutzen zu können. Und dann soll auch nur noch die „AES 256bit GCM“-Verschlüsselung zum Einsatz kommen. Das sind gute Nachrichten.

Richtig gute Nachrichten wären es allerdings erst, wenn dann auch die Schwachstellen im Programm-Code der Apps für die Betriebssysteme behoben sind. Hier darf man ein wenig hoffen, dass „Zoom“ weiter schnell Änderungen implementiert. Nach Angaben von Alex Stamos, den „Zoom“ als Berater hinzugezogen hat, sind derzeit drei externe Unternehmen als „White Hat Hacker“ zum Auffinden von Schwachstellen bei „Zoom“ beauftragt. Erkannte Mängel sollen dann sofort behoben werden.

Die Geschwindigkeit, in der „Zoom“ aktuell Verbesserungen bringt, ist beachtlich. Hier sollten wir uns aber nicht täuschen lassen. Ich hoffe, dass sich insbesondere Experten aus dem Bereich der Informationssicherheit, die neuen „Zoom 5.0“-Versionen ansehen, die im Laufe der nächsten Tage zur Verfügung stehen sollen. Es bleibt also spannend. Ich schaue parallel immer noch nach Alternativen für meine Webinare, behalte mein Vertragsverhältnis mit „Zoom“ aktuell noch aufrecht.

Update XVIII, 29.04.2020 Version „Zoom 5.0“ ist da und löst einen Großteil der Probleme

Mittlerweile hat der Anbieter von „Zoom“ die Version 5.0 zum Download bereitgestellt. Und da mit dieser Version die Verschlüsselung auf „AES 256bit GCM“ umgestellt wird, kann man hier m.E. wieder eine bedingte Freigabe von „Zoom“ für den Bereich von Betriebs- und Geschäftsgeheimnissen geben. Bedingt deswegen, weil die neue Verschlüsselung nur dann zum Einsatz kommt, wenn alle Teilnehmenden die „Zoom 5.0“ verwenden. Nach dem 30.05.2020 wird es aber glücklicherweise eine Update-Pflicht geben, so dass eine Teilnahme an Zoom-Meetings und Webinaren nur noch mit der neuen Software möglich ist.

Die neue Verschlüsselung ist ein bedeutender Schritt nach vorne. Wenn jetzt noch bestätigt werden würde, dass auch die Schwächen des Software-Clients behoben sind (s. Update XVII), dann wäre das ebenfalls ein großer Schritt in Sachen „grünes“ Licht für „Zoom“. Dann verblieben die Bedenken nur noch insoweit für die Menschen, die generell ein Problem damit haben, dass Teile der Softwareentwicklung bei „Zoom“ in China erfolgen oder etwas gegen US-Anbieter allgemein haben. Wer diese Bedenken hat, sollte aber generell überall sehr genau hinschauen, was er nutzt bzw. dann eben Services selbst hosten, wenn er denn den Quelltext zur Verfügung hat und diesen auch verstehen kann bzw. einen Dienstleister mit der Prüfung beauftragt hat und auch insoweit keine Probleme entdeckt werden konnten.

Um es noch einmal zu betonen: Niemand muss „Zoom“ gut finden. Es gibt ausreichend brauchbare Alternativen. Durch die zahlreichen Videokonferenzen beruflicher und privater Natur haben wir sicher alle viele Tools kennengelernt. Jeder möge das nehmen, das er selbst für am besten hält. Im Hinblick auf die Leistung, Bedienung und vor allem die Features bei der Teilnehmerverwaltung ist „Zoom“ immer noch meine erste Wahl, wenn es um Webinare und große Meetings geht. Im Hinblick auf die Rechtskonformität von „Zoom“ ist nach aktuellem Stand allerdings festzustellen, dass „Zoom“ datenschutzkonform eingesetzt werden kann.

Update XIX, 27.05.2020 Zoom hat weitere Verbesserungen eingeführt

Seit dem letzten Update sind einige Wochen vergangen. Und auch in diesen Wochen hat „Zoom“ erfreulicherweise an seinem 90-Tage-Plan zur Verbesserung der Sicherheit von „Zoom“ gearbeitet. Im „Zoom“-Client sind weitere Verbesserungen implementiert worden. Ferner gibt es Hinweise dafür, dass auch die Sicherheitsprobleme des „Clients“ behoben werden. Wer den Teilnehmenden an einem Meeting oder Webinar aber die Teilnahme ohne die Installation einer App anbieten möchte, kann dies auch in seinen „Zoom“-Meeting-Einstellungen konfigurieren. Das führt dazu, dass man beim Aufruf des Meetings dann auch die Möglichkeit erhält, nur über seinen Browser teilzunehmen. Das sollte in der Praxis einen Großteil der Probleme beheben können.

Mittlerweile hat „Zoom“ sogar ein ordentliches Konzept für eine echte Ende-zu-Ende-Verschlüsselung vorgestellt. Auch das sieht vielversprechend aus. Aufgrund dieser Verbesserungen bin ich bzgl. des weiteren Einsatzes von „Zoom“ aktuell weiterhin positiv gestimmt.

Aktuell noch nicht von „Zoom“ behobene kleinere Mängel

Es fehlt die Angabe des Vertreters in der EU (Art. 27 DSGVO) in den Datenschutzhinweisen. Hierauf habe ich „Zoom“ am 31.03.2020 hingewiesen.

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen.

Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn ich mit diesem Fall als Anwalt betraut gewesen wäre, hätte die Behördenleitung Konsequenzen aus diesem rechtswidrigen Verhalten folgen lassen müssen.

Um für rechtliche Klarheit in diesem Bereich zu sorgen, hat der deutsche Gesetzgeber nun eine Änderung des Steuerberatungsgesetzes (StBerG) beschlossen, die seit dem 18.12.2019 in Kraft getreten ist.

Dort ist § 11 StBerG neu gefasst worden:

§ 11 Verarbeitung personenbezogener Daten
(1) Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(2) Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(3) § 83 dieses Gesetzes und § 30 der Abgabenordnung stehen dem nicht entgegen.

Damit sind nun folgende, zuvor nicht ganz klare Probleme gelöst:

  1. Für besondere Kategorien personenbezogener Daten ist nun die Rechtsgrundlage für die Verarbeitung durch Steuerberater geregelt. Und zwar verweist § 11 StBerG insoweit jetzt auf die Befugnis aus Artikel 9 Abs. 2 lit. g) DSGVO. Im Ergebnis ist so eine Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten im deutschen Recht – also im StBerG – geschaffen worden.
  2. Steuerberater sind bei jeglicher Verarbeitung von personenbezogenen Daten selbst Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO und arbeiten weisungsfrei. Im Ergebnis ist damit eine Auftragsverarbeitung ausgeschlossen. Und zwar auch dann, wenn „nur“ eine Lohnabrechnung für Mandanten erfolgt.

Dass der Gesetzgeber gerade auch das Problem, dass z.B. von einigen Aufsichtsbehörden vertreten wurde, dass die Lohnbuchhaltung eine Auftragsverarbeitung sei, lösen wollte, lässt sich übrigens ausdrücklich der Gesetzesbegründung entnehmen:

In § 11 Absatz 2 Satz 1 StBerG wird ergänzt, dass die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei erfolgt. D. h. dies gilt auch für das „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen. Mit dieser Regelung werden die berufsrechtlichen Pflichten des Steuerberaters als Berufsgeheimnisträger zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung sichergestellt.
Quelle: BT-Drs. 19/14909, S. 58

Dass der deutsche Gesetzgeber diese Frage der Berufsausübung im Bereich der freien Berufe so regelt, widerspricht im Übrigen auch nicht dem Europarecht. So wird man hier also nicht über einen Vorrang der DSGVO argumentieren können, dass dennoch eine Auftragsverarbeitung bei Steuerberatern in Frage käme.

Update, 30.12.2019: Da die Diskussion bei Twitter aufkam, ob der nationale Gesetzgeber überhaupt festlegen kann, wer Verantwortlicher und wer Auftragsverarbeiter ist, weise ich ergänzend darauf hin, dass der nationale Gesetzgeber nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung personenbezogener Daten vorgeben kann. Dies hat der Gesetzgeber im vorliegenden Fall in zulässiger (wenn vielleicht auch nicht eleganter) Weise getan, in dem in seiner Gesetzesbegründung erläutert hat, warum Steuerberater auch bei einer Lohnabrechnung etc. eigenverantwortlich tätig werden. Im Ergebnis kann so eine Verantwortlichkeit faktisch vom nationalen Gesetzgeber vorbestimmt werden.

Ich betrachte diese Rechtsfrage damit als geklärt. Daraus ergibt sich: Bei der Inanspruchnahme von Leistungen von Steuerberatern nach dem StBerG liegt KEINE Auftragsverarbeitung vor.

Insbesondere die Aufsichtsbehörden in Baden-Württemberg und Nordrhein-Westfalen sind nun aufgefordert, die von ihnen zuvor vertretene Rechtsauffassung, dass bei einer Lohnbuchhaltung durch Steuerberater eine Auftragsverarbeitung vorliege, öffentlich zu revidieren.
Dies ist schon geboten, um die von den Aufsichtsbehörden (m.E. fälschlicherweise) verursachte Rechtsunsicherheit nunmehr zu beseitigen.

Datenschutz 2020 – Fahrplan zur Datenschutzumsetzung

Für das Jahr 2020 habe ich für meine Mandanten eine Art Datenschutz-Fahrplan entwickelt. Die Idee dahinter ist, „Datenschutz“ einfach besser zu machen. Mit einfachen Methoden, kleinen Schritten und guten Ergebnissen. Ohne den Anspruch, perfekt zu sein.

Wir Menschen überschätzen gerne, was wir in einem Monat schaffen können (Beispiel: hoch motiviert 10kg abnehmen) und wir unterschätzen aber auch, was wir in einem Jahr schaffen können (Beispiel: 10kg in einem Jahr abzunehmen, ist für viele Menschen gut schaffbar).

Und so ist es auch mit der Umsetzung von Datenschutz. Es bringt nämlich nichts, vollkommen übermotiviert schon in ersten Monat „alles an Datenschutz“ umzusetzen. Du wirst sehr schnell sehen, dass das nicht geht. In der Folge kommt der Frust und häufig auch die Resignation. Und in der Konsequenz stehst du bzgl. Umsetzung von Datenschutz genauso wie im Jahr zuvor. Wahrscheinlich also nicht da, wo du sein wolltest.

Nur wie gehen wir hier vor? Für Datenschutz-Coaching-Mitglieder wird es im Jahr 2020 eine ganze Reihe von Unterstützungen geben. Jeden Monat werde ich Ideen präsentieren, wie du im eigenen Unternehmen oder deiner öffentlichen Stelle die richtigen Fragen stellst oder wie du deine Kunden dazu bewegen kannst, dir die entscheidenden Informationen zu geben, damit „Datenschutz“ letztlich besser dokumentiert und vor allem auch umgesetzt werden kann.

Natürlich kannst du das alles selbst am besten machen. Aber manchmal ist ein bisschen Hilfestellung auch ganz gut. Und dazu ist das Video hier vielleicht auch eine kleine Hilfe für dich:

Wenn dir das nicht ausreicht, kannst du natürlich Datenschutz-Coaching-Mitglied werden (falls du das noch nicht bist) und dann ab Januar 2020 durchstarten. Oder vielleicht möchtest du an einer Schulung „Datenschutz 2020 teilnehmen, um hier den Impuls und die Vorlagen für das Jahr zu bekommen. Übrigens gibt es für diese Schulungen einen ordentlichen Rabatt für Datenschutz-Coaching-Mitglieder. Ggf. lohnt sich also beides. 😉

Darf das Finanzamt bei einer Betriebsprüfung die Patientendaten einsehen?

Hier kommt wieder eine schöne Frage, die bei einem Datenschutz-Coaching-Mitglied entstanden ist:

Die Frage

Meine Frage zu Prüfungen durch das Finanzamt in einer Praxis für Krankengymnastik:

Dürfen Prüfer die Patientenkartei und/oder die dort befindlichen Rezepte einsehen, um z. B. Termine und Abrechnungen zu vergleichen?

Auf den Karteien befinden sich neben den Patientendaten auch Diagnoseschlüssel und in den Karteien werden Rezepte, Diagnoseunterlagen, Atteste etc. aufbewahrt.

Reicht es, wenn alle Dokumente aus der Kartei vor der Einsichtnahme entfernt werden oder ist der Zugriff, ohne die Einwilligung des Patienten zu verweigern?

Als Physiotherapeut unterliegt er der Schweigepflicht § 203 Abs. 1 Nr. 1 StGB (Heilberuf mit staatlich geregelter Ausbildung). Darf er ohne Einwilligung des Patienten den Zugriff nicht erlauben?

Besteht vielleicht doch ein Recht auf Einsichtnahme aus anderen Vorschriften?

Meine Antwort

Die Rechtslage

Die Frage, ob und inwieweit die Finanzverwaltung bei Betriebsprüfung Zugriff zu Daten bekommen darf, die einem Berufsgeheimnis i.S.d. § 203 StGB unterliegen, ist schon seit Jahrzehnten immer wieder Gegenstand von Streit.

Bereits 1957 hat der Bundesfinanzhof (BFH) entschieden (BFH, Beschluss vom 11.12.1957, Az.: II 100/53 U), dass Ärzte bei einer Betriebsprüfung die Vorlage der von ihnen geführten Patientenkarteien zwecks Einsichtnahme durch das Finanzamt verweigern dürfen, wenn darin Eintragungen enthalten sind, die sich ihr auf ihre Recht zur Auskunftsverweigerung aus der Abgabenordnung (AO) erstrecken.

Heute ist dieses Auskunftsverweigerungsrecht in § 102 AO geregelt. Es gibt sog. Berufsgeheimnisträgern das Recht, die Auskunft zu verweigern, wenn die Angaben Informationen erhalten würden, die dem Berufsgeheimnis wie z.B. der ärztlichen Schweigepflicht unterliegen.

An dieser Rechtsprechung hat der Bundesfinanzhof im Wesentlichen festgehalten. Weitere Entscheidungen haben sich zwar insbesondere auf die Einsichtnahme von Daten durch die Finanzverwaltung bei Rechtsanwälten bezogen, können aber in gleicher Weise für medizinische Berufe herangezogen werden.

So ist mittlerweile durch den BFH entschieden worden, dass die Auskunft nicht verweigert werden darf, wenn der Patient oder Mandant sie von der Verpflichtung zur Verschwiegenheit entbunden hat, wobei dies (sic!) auch stillschweigend erfolgen könnte (vgl. BFH, Urteil vom 27.09.2017, Az.: XI R 15/15).

Bzgl. der stillschweigenden Entbindung von der Verschwiegenheit möchte ich zur Beruhigung allerdings anführen, dass der BFH dies vorrangig bei Steuerberatern als Möglichkeit annimmt, bei denen schon gegenüber der Finanzverwaltung mitgeteilt wurde, dass insoweit ein Mandatsverhältnis besteht.

Im Zuge der Jahrzehnte hat sich die Rechtsprechung des BFH und der anderen Finanzgericht dahingehend konkretisiert, dass zwar die Einsichtnahme „in vollständiger Form“ durch den Berufsgeheimnisträger verweigert werden darf, das Finanzamt aber die Vorlage der zur Prüfung erforderlich erscheinenden Unterlagen in neutralisierter Form verlangen kann (vgl. BFH, Urteil vom 28.10.2009, Az.: VIII R 78/05).

Eine neue Dimension hat die Frage des Datenzugriffs natürlich durch die zunehmende Digitalisierung gewonnen. Auch hier gehen die Finanzgerichte aber offenbar tendenziell davon aus, dass auch insoweit eine Überlassung von Datenträgern von Berufsgeheimnisträgern an das Finanzamt verlangt werden kann.

Begründung ist, dass der Berufsgeheimnisträger dafür verantwortlich sei, dass er die Datenbestände so organisiert, dass im Falle einer Einsichtnahme nicht zugleich die geschützten Daten betroffen sind (vgl. FG Nürnberg, Urteil vom 30.07.2009, Az.: 6 K 1286/08).

Die datenschutzrechtliche Dimension

Unabhängig von der Schweigepflicht des § 203 StGB gilt nach h.M. parallel dazu auch das jeweils anzuwendende Datenschutzrecht, also hier die DSGVO.

In rechtlicher Hinsicht ist die Einräumung der Einsichtnahme ggü. dem Finanzamt eine Offenlegung von Daten, für die eine Rechtsgrundlage erforderlich ist.

Einschlägige Rechtsgrundlage wäre hier „Caesar“, also Art. 6 Abs. 1 lit. c) DSGVO, da es eine Rechtspflicht aus der Abgabenordnung zur Auskunft gibt.

Nur ist hier zu berücksichtigen, dass diese Rechtspflicht nur soweit greift, wie es das Berufsgeheimnis zulässt.

Hier kommen also wieder die o.g. Grundsätze zum Tragen. Eine Volleinsicht in die Patientendaten ist nicht zulässig, solange keine Einwilligung bzw. besser formuliert eine Schweigepflichtsentbindung der Patienten vorliegt.

Eine andere Rechtsgrundlage ist schon wegen des Verbots der Verletzung der Schweigepflicht aus § 203 StGB nicht ersichtlich.

Die konkrete Antwort auf die Frage…

…lautet daher, dass ohne eine Schweigepflichtsentbindung keine vollständige Überlassung der Patientenkartei oder einzelner Patientendatensätze zulässig ist.

Ich muss es zudem ganz deutlich sagen. Nach meiner Meinung kann sich der Physiotherapeut nach § 203 StGB strafbar machen, wenn er die Daten vollständig im Rahmen einer Betriebsprüfung durch die Betriebsprüfer einsehen ließe oder sogar Daten überließe.

Darüber hinaus könnte diese Einsichtnahme auch zu einem datenschutzrechtlichen Bußgeld führen, da keine Rechtsgrundlage für die Offenlegung der Daten ohne Einwilligung des Patienten ersichtlich ist.1

ABER: Nach der Rechtsprechung ist der Physiotherapeut hier verpflichtet, die Informationen in neutralisierter Form zur Verfügung zu stellen.

Und nicht nur das. Nach der Rechtsprechung einiger Finanzgerichte ist der Physiotherapeut zudem generell verpflichtet, seine Verarbeitung seiner Patientendaten so zu organisieren, dass eine Einsichtnahme in buchhaltungsrelevante Daten erfolgen kann, ohne dass das „Patientengeheimnis“ verletzt wird.

Noch ein paar Hinweise zu Detailproblemen

(Ergänzung vom 27.11.2019)

In vielen medizinischen Berufen sind Angaben zu ICD-10 Codes in Rechnungen für die Abrechnung mit Krankenkassen verpflichtend (z.B. nach § 295 SGB V). Hier stellt sich im Kontext mit Prüfungen durch das Finanzamt de facto eine „Unmöglichkeit“ dar, keine Gesundheitsdaten an das Finanzamt zu offenbaren. Dieses Problem ist nicht Gegenstand meines Beitrages.

Eine Lösung könnte hier aber darin bestehen, dass es in § 29 Abs. 2 AO eine Befugnis der Finanzämter gibt, besondere Kategorien personenbezogener Daten wie z.B. Gesundheitsdaten unter bestimmten Umständen zu verarbeiten.

Der § 29b Abs. 2 AO würde dann zugleich Grundlage für eine Befugnis zur Offenlegung der Gesundheitsdaten gegenüber dem Finanzamt im Hinblick auf Art. 9 Abs. 2 lit. f) DSGVO eröffnen. Vielleicht greift aber auch Art. 6 Abs. 4 DSGVO als alleinige Rechtsgrundlage (Hintergrund: Wenn wir die Entscheidung des BGH zur Art. 6 Abs. 4 DSGVO (BGH, Beschluss vom 24.09.2019, Az.: VI ZB 39/18) zu Ende denken. Das Ganze ist rechtlich derart komplex und ungeklärt, dass es derzeit einem Blick in eine milchige Glaskugel entsprechen würde, wenn wir hier belastbare Aussagen treffen wollten.

  1. Denn für den Fall, dass keine Entbindung von der Schweigepflicht vorliegt, mangelt es an einer Rechtsgrundlage in datenschutzrechtlicher Hinsicht. Falls eine Entbindung von der Schweigepflicht erfolgt ist, liegt nach Ansicht der Finanzgericht offenbar eine Rechtspflicht zur Herausgabe der Daten vor, so dass wir hier von einer datenschutzrechtlichen Befugnis zur Offenlegung nach Art. 6 Abs. 1 lit. c) DSGVO ausgehen können (Fußnote eingefügt am 27.11.2019).↩︎

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren?

Wenn Unternehmen Firmenwagen für Beschäftigte zur Verfügung stellen, stellt sich die datenschutzrechtliche Frage, ob in dem Zusammenhang die Kopie von Führerscheinen von Beschäftigten zulässig ist?

Um diese Frage zu beantworten, müssen wir uns im Ergebnis die Frage stellen, ob die Kopie von Führerscheinen rechtlich erforderlich ist und davor vor allem, welche Rechtsgrundlage hierfür in Betracht kommt.

Richtig ist zunächst, dass die Arbeitgeberin wohl ein Recht der Überprüfung hat, ob eine Beschäftigte im Besitz einer gültigen Fahrerlaubnis hat. Dieses Recht leitet sich aus § 21 Abs. 1 Nr. 2 StVG her. Dort heißt es nämlich (verkürzt):

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer (…)
2. als Halter eines Kraftfahrzeugs anordnet oder zulässt, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat (…).

Das beantwortet aber noch nicht die Frage, ob hierfür auch die Kopie eines Führerscheins zulässig ist oder nicht.

Finden einer Rechtsgrundlage

Also müssen wir uns auf die Suche nach einer Rechtsgrundlage begeben. Denn zweifelsohne stellt die Anfertigung einer Kopie eines Führerscheins im Kontext mit einem Beschäftigungsverhältnis eine Verarbeitung personenbezogener Daten dar.
Nach § 26 Abs. 7 BDSG gelten die Regelungen zur Verarbeitung von personenbezogenen Daten von Beschäftigten nämlich auch für Daten, die nicht-automatisiert verarbeitet werden.

Apropos § 26 BDSG – da wären wir auch schon bei der ersten einschlägigen Rechtsgrundlage, an die wir beim Anfertigen von Kopien von Führerscheinen von Beschäftigten denken könnten.

§ 26 BDSG als Rechtsgrundlage?

Nach § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.

Knackpunkt – Erforderlichkeit

Knackpunkt ist hier (wie so häufig) die Erforderlichkeit – und…da wir uns im (zunächst) deutschen Recht befinden…wohl auch eine „Erforderlichkeit“ i.S.d. deutschen „Verhältnismäßigkeitsgrundsatzes“.

So würden jedenfalls die Arbeitsgerichte mit hoher Wahrscheinlichkeit sozusagen „reflexartig“ auf die Prüfung der Verhältnismäßigkeit springen, wenn sie den Begriff der Erforderlichkeit hören. Und ja…ich muss mir das auch gerade mühsam abtrainieren. Denn genau genommen ist sehr fraglich, ob bei einer Regelung wie z.B. § 26 BDSG, die nach meinem Verständnis wohl eine Art spezifischerer Regelung zu Art. 6 Abs. 1 lit. b) DSGVO darstellt, der deutsche Grundsatz der Verhältnismäßigkeit anzuwenden ist.

Aber egal…ich würde jedenfalls vermuten, dass ein Arbeitsgericht genau diesen Schritt aus o.g. Gründen („Reflex“) durchführen würde. Also schauen wir uns das mal an:

Wann liegt eine „Erforderlichkeit“ nach dem Grundsatz der Verhältnismäßigkeit im deutschen Recht vor?

Eine Maßnahme (wie die Kopie von Führerscheinen) ist verhältnismäßig, wenn

  1. die Datenverarbeitung geeignet ist, um den verfolgten Zweck der „Führerscheinüberprüfung“, zu erfüllen („Eignung“),
  2. es kein milderes Mittel gibt, dass gleich effektiv ist, um den Zweck zu erfüllen und schließlich („Erforderlichkeit“)
  3. die Schwere des mit der Datenverarbeitung einhergehenden Eingriffs in die Persönlichkeitsrechte der Beschäftigten nicht außer Verhältnis zum „Gewicht“ des verfolgten Zwecks steht („Angemessenheit“)

Zweck der Verarbeitung ist hier übrigens nicht die Überprüfung des Vorliegens einer Fahrerlaubnis, sondern meines Erachtens vielmehr die Vermeidung einer Halterhaftung der Arbeitgeberin nach dem StVG. Die Überprüfung der Fahrerlaubnis und die Anfertigung einer Kopie sind hier nur Mittel zum Zweck. Das sollte man also immer differenziert betrachten.

Prüfen wir das also einmal durch.

Beispiel 1: Nehmen wir mal eine Vertriebsmitarbeiterin im Außendienst. Die soll einen Firmenwagen zur Verfügung gestellt bekommen. In dem Kontext möchte man eine Kopie des Führerscheins zu ihrer Personalakte nehmen. Ist das nach § 26 BDSG rechtlich zulässig?

Eignung: Zunächst einmal ist eine Überprüfung des Führerscheins und das Anfertigen einer Kopie zweifelsfrei geeignet, den Zweck der Vermeidung einer Halterhaftung wegen der schuldhaften Überlassung eines Fahrzeuges an Personen ohne eine Fahrerlaubnis zu erfüllen. Dahinter können wir also einen „Haken“ machen.

Anmerken möchte ich hier, dass es nach der Rechtsprechung des BVerfG bei der Frage der „Eignung“ oder „Geeignetheit“ noch nicht einmal erforderlich ist, dass das verwendete Mittel den Zweck erreicht. Es reicht aus, wenn das verwendete Mittel die Erreichung des Zwecks fördert. Das ist also schon sehr weit auszulegen. Zumindest wohl hier im deutschen Recht (§ 26 BDSG), in dem wir uns gerade befinden.

Erforderlichkeit: Diese Stufe der Verhältnismäßigkeitsprüfung ist die „Skeptikerinnen-Stufe“. Und die werden wir häufig bei Aufsichtsbehörden vorfinden. Denn Aufsichtsbehörden setzen „Datenschutz“ gerne auf genau dieser Ebene um. Und zwar indem sie den Standpunkt vertreten, dass es ein milderes Mittel gibt, um den Zweck zu erreichen.

So einfach ist das aber nicht. Denn das BVerfG (und die Rechtswissenschaft) hat den Grundsatz der Verhältnismäßigkeit zunächst einmal für staatliches Handeln in den o.g. Stufen der Eignung, Erforderlichkeit und Angemessenheit geprägt. Und zwar als unmittelbaren Ausfluss des Rechtsstaatsprinzips. Und danach gibt es für die Stufe der Erforderlichkeit ein dem „Gesetzgeber“ zugestandenen Beurteilungs- und Ermessensspielraum.

In der Folge können wir bei Gesetzen z.B. sehr häufig viele mildere Mittel finden, die gleich geeignet wären. Aber der Gesetzgeber hat hier eben einen Spielraum der Beurteilung und Entscheidung, in dem er sich bewegen kann. So sollen Gerichte eben nicht „Gesetzgebung“ spielen, sondern vielmehr nur die Schranken aufweisen, bei denen durch Gesetzte z.B. unzulässig in die Rechte von Bürgerinnen eingegriffen wird.

Nur gilt dieser o.g. Spielraum eben nicht in gleicher Weise für die Exekutive. Und fraglich ist auch, ob und inwieweit dieser Spielraum für die nichtöffentlichen Stellen, d.h. die Unternehmen gilt. Es ist aber unbestritten, dass die Verwaltung und auch Unternehmen auf der Stufe der „Erforderlichkeit“ einen eigenen Einschätzungsspielraum haben. Nur die „Weite“ ist halt unklar.

Das bedeutet im Ergebnis auch – zumindest hier im BDSG als einschlägig anzuwendendes Recht – dass eine Aufsichtsbehörde nicht ohne Weiteres ihre eigene Ansicht über ein milderes Mittel ansetzen darf, um eine Maßnahme z.B. für unzulässig zu halten.

Dass die Aufsichtsbehörden dies gleichwohl gerne so vertreten, können wir unlängst im Hinblick auf eine Erforderlichkeit bei der Datenverarbeitung für Vertragszwecke bei Online-Services nachlesen. Und zwar in den „Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“ (PDF) des Europäischen Datenschutzausschusses. Das ist allerdings wiederum ein anderes Thema, dessen Abhandlung hier den Rahmen sprengen würden.

Jedenfalls wird es in der Praxis beim Merkmal der „Erforderlichkeit“ in der Praxis interessant. Denn viele Aufsichtsbehörden erkennen hier einen Spielraum nicht oder kaum an.

Praktisch würde ich empfehlen, das Merkmal der „Erforderlichkeit“ bei der Datenverarbeitung durch Unternehmen im unmittelbaren Kontext mit der „Angemessenheit“ zu prüfen. Warum? Weil es so zu sachgerechteren Ergebnissen führt. Um das durchführen zu können, müssen wir uns aber um die „Angemessenheit“ kümmern.

Angemessenheit: Eine Datenverarbeitungsmaßnahme ist in ihrer konkreten Ausgestaltung dann angemessen, wenn die Beeinträchtigung, die der Datenverarbeitung für den Betroffenen bedeutet und der mit der Verarbeitung verfolgte Zweck in einem wohl abgewogenem Verhältnis zueinander stehen.

Und hier schlägt dann auch die Stunde der Abwägungen unterschiedlicher Rechtspositionen und vor allem der Grundrechte. Und im Ergebnis sind dann hier gute Argumente gefragt.

Da die oben angeführte „Erforderlichkeit“ – also die Frage nach einem milderen Mittel, das gleich geeignet zur Zweckerreichung ist – kann ehrlicherweise wohl nur dann praktisch erfolgen, wenn wir die rechtlichen Ansprüche, Interessen oder Schutzgüter von Verantwortlichen und Betroffenen miteinander abwägen. Daher würde ich immer dazu raten, im Datenschutzrecht die Prüfung der Erforderlichkeit und Angemessenheit zusammenzuziehen.

Zurück zum Beispiel 1

Also tun wir das noch mal im Hinblick auf das konkrete Beispiel 1 . Die Geeignetheit hatten wir oben ja schon festgestellt. Offen sind also noch Erforderlichkeit und Angemessenheit.

Gibt es ein milderes Mittel, das Vorliegen einer Fahrerlaubnis für eigene Zwecke zu dokumentieren, um seine Risiken aus der Halterhaftung zu minimieren? Ja, das gibt es. Denn es wäre ein milderes Mittel, sich den Ausweis vorzeigen zu lassen, und sich einen Vermerk darüber anzufertigen (bzw. es geeignet zu dokumentieren), dass Mitarbeiterin X am Tag X im Besitz einer Fahrerlaubnis der Fahrerlaubnisklasse Z war.

Ich kenne einige Arbeitgeberinnen, die hier jetzt sofort einwerfen würden, dass die Anfertigung einer Kopie viel weniger Aufwand bereiten würde und zudem nur so „beweissicher“ eine Halterhaftung vermieden werden könnte.

Tja…und dann geht es los. Denn jetzt müssen wir hier die entgegenstehenden Positionen miteinander abwägen. Und hier werden wir auch die Grundsätze der Datenverarbeitung aus Art. 5 DSGVO heranziehen müssen. Und dort speziell Art. 5 Abs. 1 lit. c) DSGVO – den Grundsatz der Datenminimierung. Danach muss die Verarbeitung personenbezogener Daten insbesondere „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Erinnern wir uns diesbezüglich noch einmal um den Zweck. Der Zweck ist die Vermeidung der Halterhaftung aus § 21 StVG. Für diesen Zweck muss eine Maßnahme getroffen werden, die sicherstellt, dass nur die Beschäftigten ein Firmenfahrzeug fahren, die im Besitz einer gültigen Fahrerlaubnis sind.

Sicher kann da das Anfertigen einer Kopie ein geeignetes Mittel für die Dokumentation der Prüfung sein.

Nur wiegt das Argument nicht schwer. Denn auch eine Kopie einer Fahrerlaubnis ist nicht geeignet, sicherzustellen, dass eine Beschäftigte zu einem späteren Datum noch im Besitz einer gültigen Fahrerlaubnis ist.

Genau genommen ist das Anfertigen einer Kopie nur ein Mittel der Dokumentation der erfolgten Überprüfung der Fahrerlaubnis. Ist diese erforderlich, um die Gefahren der Halterhaftung zu minimieren. Unter Berücksichtigung der Angemessenheit der Maßnahme muss ich das ehrlicherweise verneinen. Denn ein Gericht würde keine Verurteilung vornehmen dürfen, nur weil ein Unternehmen entgegen seinen datenschutzrechtlichen Pflichten zur Datenminimierung keine Kopie von Fahrerlaubnissen angefertigt hat. Das Argument der „Beweissicherheit“ überzeugt daher hier auch insgesamt nicht.

Denkbar wäre, dass einige KfZ-Haftpflichtversicherer die Anfertigung von Kopien von Führerscheinen als vertragliche Pflicht der Versicherungsnehmerin in Versicherungsverträgen vornehmen. Das ist derzeit aber wohl nicht bzw. nicht häufig der Fall. Mir ist jedenfalls kein Versicherer bekannt, der dies fordert. Entsprechende Klauseln dürften zudem mit hoher Wahrscheinlichkeit unzulässig sein, da sie einer gesetzlichen Regelung zum Datenschutz (s.o.) widersprechen bzw. mit dieser nicht in Einklang zu bringen wären.

Damit bliebe als „PRO“-Argument für die Kopie nur noch eine Arbeitserleichterung für die Arbeitgeberin. Nur ist diese wiederum bei einer Gesamtschau unter Berücksichtigung der Rechte der Betroffenen nicht angemessen. Insbesondere weil es nicht schwierig sein dürfte, hier einen effektiveren „Workflow“ einzurichten, der eine schnelle Dokumentation einer Überprüfung der Fahrerlaubnis ohne Mehraufwand ermöglicht.

Ergebnis:

§ 26 BDSG ist keine ausreichende Rechtsgrundlage für die Anfertigung von Führerscheinkopien

Ergebnis zu Beispiel 1: Ich halte § 26 BDSG nicht für eine Rechtsgrundlage, die das Anfertigen von Kopien von Führerscheinen erlaubt.

Rechtlich ist übrigens auch ein anderes Ergebnis vertretbar, überzeugt mich aber nicht. Dann wäre eine Zulässigkeit nach § 26 BDSG nach meinem Dafürhalten allerdings nur dann vertretbar, wenn es sich um Beschäftigte handelt, die deren Tätigkeit für das Unternehmen einen „fahrbaren Untersatz“ in Form eines Kraftfahrzeugs voraussetzt.

Rechtspflicht zur Anfertigung von Führerscheinkopien?

Auf der nächsten Stufe könnte man sich überlegen, ob es nicht eine rechtliche Verpflichtung zum Anfertigen von Kopien von Führerscheinen gibt.

Aus dem StVG ergibt sich dies jedenfalls nicht direkt. Insoweit wird man also auch hier keine Rechtsgrundlage für die Anfertigung von Führerscheinkopien finden können.

Zulässigkeit auf Basis einer Interessenabwägung

Nächste Station beim Finden einer Rechtsgrundlage für das Anfertigen von Führerscheinkopien wäre dann die Datenverarbeitung aus Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Hier muss ich zunächst ein Interesse an der Datenverarbeitung für den Verantwortlichen oder einen Dritten bestehen.

Hier reicht jedes Interesse aus, das von der Rechtsordnung gebilligt wird. Dazu kann auch gehören, dass ich mich möglichst gut, gegen eine etwaige Haftung oder gar Strafbarkeit absichern möchte und daher z.B. gerne Führerscheinkopien vorhalten möchte. Und dazu kann es „erforderlich“ sein, die Kopien zu speichern.

Dann muss ich auf der nächsten Stufe jedoch mit einem möglicherweise überwiegenden entgegenstehenden Interesse der betroffenen Beschäftigten abwägen.

Wenn wir es mal plastisch machen wollen, wäre das Interesse der Arbeitgeberin im Hinblick auf Sinnhaftigkeit und Erforderlichkeit der Speicherung von Führerscheinkopien auf einer Skala von 1 – 10 vielleicht auf „2“ einzuordnen. Zumindest wäre das meine persönliche Einordnung.

Das Interesse der durchschnittlichen Betroffenen, dass ihre Führerscheinkopien beim Arbeitgeber nicht digital gespeichert werden, da diese bereits vorgezeigt wurden, dürfte auf der Skala nach meiner Einschätzung aber sicher bei 8 – 9 liegen.

Ohne lange herumdiskutieren zu wollen, meine ich nicht, dass die Interessenabwägung hier zugunsten der Speicherung durch die Arbeitgeberin ausfallen kann.

Daher kann die Speicherung nicht auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgen.

Wenn nichts mehr hilft, hilft die Einwilligung…

Da alle anderen Rechtsgrundlagen offensichtlich ausscheiden, bleibt noch die Einwilligung.

Nach Art. 6 Abs. 1 lit. a) DSGVO ist die Datenverarbeitung zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Und nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Dabei werden diese Anforderungen an die Einwilligung in Deutschland im Beschäftigungsverhältnis hinsichtlich der Freiwilligkeit durch § 26 Abs. 2 BDSG konkretisiert.

Hier können wir schon daran zweifeln, ob insoweit eine Regelungskompetenz der Bundesrepublik Deutschland bestand, aber lassen wir das mal so stehen. Denn sinnvoll ist die Regelung in § 26 Abs. 2 BDSG aufgrund des im Arbeitsverhältnis ggf. bestehenden Ungleichgewichts zwischen Arbeitgeberin und Arbeitnehmerin im Hinblick auf die Freiwilligkeit meines Erachtens schon.

Was ist denn nun dort zur Freiwilligkeit in § 26 Abs. 2 BDSG geregelt? Wörtlich heißt es dort:

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Dass Beschäftigte generell eine Einwilligung erteilen können, weil sie – übertrieben formuliert – ihr Gehirn nicht am Werkstor abgeben, hat das BAG schon vor einiger Zeit entschieden (vgl. dazu mein Beitrag hier).

Festgestellt werden kann, dass eine Einwilligung die Speicherung von Führerscheinkopien zulässig sein kann.

Voraussetzung ist aber, dass dann eine freie Wahl besteht. Und daran könnten u.U. Zweifel bestehen, weil fraglich ist, was denn die Konsequenz ist, wenn die Einwilligung nicht erteilt wird. Darf der Arbeitgeber dann ggf. die Nutzung eines Firmenwagens untersagen? Das ist tatsächlich nicht so einfach zu beantworten.

Meine Empfehlung

Da sich der Sinn für eine Speicherung von Führerscheinkopien mir nicht gänzlich erschließt und diese vor allem rechtlich nicht geboten sind, würde ich generell eher davon abraten, diese Kopien zu speichern.

Es gibt aber ein in der Praxis wichtiges Ausnahme-Szenario. Dieses kann vor allem bei Unternehmen mit mehreren Standorten einschlägig sein. Oder auch dann, wenn z.B. Lebenspartner von Beschäftigten den Dienstwagen mitnutzen können sollen.

In diesen Fällen kann es sein, dass aufgrund einer nicht vorhandenen örtlichen Nähe eine Speicherung von Führerscheinkopien zulässig sein kann. Denn dann ist im Interesse des Beschäftigten, z.B. über eine Internet-, Intranetportal oder über eine App, Bilder von seinem Führerschein zu übermitteln, damit diese dann für Zwecke der Prüfung des Vorliegens einer Fahrerlaubnis gespeichert werden können.

Und für die Angehörigen von Beschäftigten, für die insoweit nicht die Einschränkungen von § 26 Abs. 2 BDSG greifen, kann eine Einwilligung in diesem Szenario ebenfalls zulässig erteilt werden.

Voraussetzung ist hier immer eine transparente und verständliche Beschreibung der Verarbeitungszwecke und der Verarbeitungsumfangs (inkl. Speicherdauer) sowie ein Hinweis auf den Widerruf der Einwilligung und dessen Folgen.

Wenn die Einwilligung dann noch entsprechend protokolliert wird, steht der Speicherung von Führerscheinkopien im o.g. Szenario grundsätzlich nichts im Wege.

Datenschutz-Mittwoch – Kostenlose Kurzwebinare im November / Dezember 2019

Das Jahr nähert sich nun mit dem November so langsam dem Ende. Und da auch dieses Jahr im Hinblick auf Umsatz und Gewinn wieder sehr erfreulich war, habe ich mir gedacht, dass es eine gute Idee ist, auch für „Nicht-Datenschutz-Coaching-Mitglieder“ etwas Gutes zu tun.

Und da kam mir die Idee, so etwas Ähnliches zu machen, wie die „Tutorial Tuesdays“. Das ist eine zweiwöchentliche Kurz-Webinarreihe von Joanna Wiebe von den Copyhackers. Das hat nun gar nichts mit Datenschutz zu tun. Ich bin allerdings ein großer Fan dieser Webinarreihe. Und das Beste ist…sie ist kostenlos.

Und es gibt etwas Besonderes an dieser Webinarreihe: Sie beginnt und endet jeweils pünktlich. Den Ansatz mag ich.

Und so ist bei mir der Datenschutz-Mittwoch entstanden. In der Zeit vom 06.11.2019 bis einschließlich 11.12.2019 werde ich jeden Mittwoch in der Zeit von 10:00 Uhr bis 10:15 Uhr ein Kurz-Webinar zu einem Datenschutz-Thema machen. Das jeweilige Thema wird zuvor über meinen Newsletter Datenschutz-Tipps mitgeteilt und natürlich auch der Einwahl-Link.

Die Termine kannst du jederzeit auch im Terminkalender finden.

Dich erwarten da übrigens in der Regel nicht Folienvorträge, sondern meine Wenigkeit vor einer Kamera…mit einem Mikrofon. That’s it. Ein locker-flockiges Format…hoffe ich jedenfalls. Schau dann doch einfach mal rein.

Die Webinare werden aufgezeichnet. Die Aufzeichnungen sind dann allerdings nicht kostenlos, sondern nur für Datenschutz-Coaching-Mitglieder zugänglich.

Ich möchte ja auch von etwas leben… 😊

Bye, bye Passwortwechsel-Zwang (Update Oktober 2019)

Update, 20.10.2019: Auch das Bundesamt für die Sicherheit in der Informationstechnik passt sich an. Dazu eine Ergänzung am Ende des Textes.

Viele Praktiker können meine Erfahrungen bei Mandanten vor Ort sicher bestätigen:
Der in Unternehmen vorgegebene Zwang zum Wechseln von Passwörtern (i.d.R. alle 90 Tage) kann zu bunten Zetteln am Bildschirm oder unter der Tastatur führen. Nur leider stehen auf diesen Zetteln dann eben die Passwörter. Und das wiederum macht IT-Systeme eben nicht unbedingt sicherer. Im Gegenteil.

Wir Menschen sind eben gerne ein wenig „faul“. Und das ist auch gut so. Ein ehemaliger VWL-Professor, der an der rechtswissenschaftlichen Fakultät der Uni Göttingen lehrte, erzählte uns in dem Kontext immer vom „Homo Oeconomicus“ und warum das dazu führe, dass z.B. auf Freiflächen immer Trampelpfade neben dem eigentlich vorgesehenen Weg entstehen, wenn der eigentlich vorgegebene Weg keinen Sinn macht oder eben einfach einen Umweg darstellt.

Und so ähnlich ist das auch mit den Passwörtern und den Zetteln. Wenn uns das Unternehmen vorgibt, dass wir alle 90 Tage unsere Passwörter (ggf. nicht nur eines) wechseln und diese dann aber auch noch komplex sein sollen, dann führt das ohne Passwort-Manager-Lösungen gerne dazu, dass „Trampelpfade“ entstehen. Nur, dass es dann eben kleine gelbe Klebezettel sind – mit Passwortinformationen.

Seit einer der ersten Befürworter dieser Passwortwechsel-Zwänge dies öffentlich bereute und als Fehler einräumte, ist Bewegung in die Sache gekommen. Denn mittlerweile rät z.B. auch die britische Communications Electronics Security Group (CESG) von Passwortwechseln ab.

Und in Deutschland folgte dann als erstes der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg (LfDI BW) mit seinen neuen Hinweisen zum Umgang mit Passwörtern .

Einen förmlichen Luftsprung vor Begeisterung habe ich wegen dieser Passage hier gemacht:

2) Keine regelmäßige Änderung erzwingen
Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt. Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.

Endlich äußerte sich eine deutsche Behörde dazu. Leider, leider scheint das Bundesamt für Sicherheit in der Informationstechnik (BSI) noch etwas vorsichtiger zu sein. Das BSI schreibt in seinem 2019 überarbeiten IT-Grundschutz-Kompendium immer noch wörtlich (Hervorhebung durch Fettdruck von mir):

Die Institution MUSS den Passwortgebrauch verbindlich regeln. Dabei MUSS festgelegt werden, dass nur Passwörter mit ausreichender Länge und Komplexität verwendet werden. Die Passwörter SOLLTEN in angemessenen Zeitabständen geändert werden. Die Passwörter MÜSSEN sofort gewechselt, sobald sie unautorisierten Personen bekannt geworden sind oder der Verdacht darauf besteht. Passwörter MÜSSEN geheim gehalten werden.

Eines möchte ich jedoch deutlich sagen. Ich bin kein IT-ler, sondern Jurist. Und da immer noch umstritten, ob ein Passwortwechsel-Zwang sinnvoll sein kann oder nicht, kann ich nicht zweifelsfrei sagen, was nun die beste Lösung ist. Aus meiner Erfahrung mit Klebezetteln an Monitoren bei der Mandantschaft neige ich jedoch sehr stark dazu, dass Passwortwechsel-Zwänge in der Regel nicht sinnvoll sind.

Und jetzt gibt es auch etwas Neues und weitere Unterstützer der neuen „Lehre“. Denn nunmehr hat sich – wie ich heute erfahren habe – auch die Datenschutzkonferenz (DSK), also die Konferenz der unabhängigen Datenschutz-Aufsichtsbehörden des Bundes und der Länder, zu dem Thema geäußert. Genau genommen gibt es jetzt dieses Dokument, dass „Arbeitskreis Technische und organisatorische Datenschutzfragen“ der DSK erstellt hat.

Und dort können wir unter Ziff. 2.2 wörtlich lesen:

2.2 Passwortwechsel nur in Sonderfällen erzwingen
Sofern starke Passwörter (nach 2.1) verwendet werden, ist ein regelmäßiger Passwortwechsel nicht zwingend erforderlich. Der Wechsel von Passwörtern soll insbesondere dann erzwungen werden, wenn der Dienstanbieter ein Initialpasswort in einer Weise zugeteilt hat, dass eine Kenntnisnahme durch Dritte nicht ausgeschlossen werden kann (z. B. durch postalischen Versand), oder wenn Hinweise auf eine Kompromittierung des Kontos oder sicherheitsrelevante Schwachstellen eingesetzter Softwarekomponenten vorliegen.

Ich persönlich begrüße diese Entwicklung sehr und bin gespannt, ob sich auch das BSI in dieser Angelegenheit auch noch einmal deutlicher zu Wort melden wird. Denn – wie gesagt – es gibt durchaus immer noch Befürworterinnen von Passwortwechsel-Zwängen.

Update, 20.10.2019:

In seinen im Oktober 2019 vorgestellten neuen „Final Draft zum IT-Grundschutz-Baustein ORP.4 Identitäts- und Berechtigungsmanagement“ (PDF) hat das BSI nun die Vorgaben zum Passwortwechsel geändert.

Wörtlich heißt es dort nun in „ORP.4.A23 Regelung für Passwort-verarbeitende Anwendungen und IT-Systeme [IT-Betrieb] (B):

IT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden. Es MÜSSEN Maßnahmen ergriffen werden, um die Kompromittierung von Passwörtern zu erkennen. Ist dies nicht möglich, so SOLLTE geprüft werden, ob die Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden können und Passwörter in gewissen Abständen gewechselt werden.

Insbesondere die Formulierung „Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden.“ macht deutlich, dass sich nun auch das BSI von dem Passwortwechsel-Zwang abkehrt. Eine – wie ich finde – gute Entwicklung.

Was bedeutet das „Planet49“-Urteil des EuGH für deine Cookies? Nicht jedes Cookie braucht ‘nen „Daumen hoch“

Am 01.10.2019 ist eine kleine Keksbombe geplatzt. Am morgen hat der EuGH sein Urteil in der Rechtssache „Planet49“ verkündet.

Und im Ergebnis hat das für ein bisschen mehr Klarheit im Bereich der Verwendung von Cookies gesorgt. Natürlich haben jetzt viele über das Urteil geschrieben. Beispielhaft nenne ich hier mal die Beiträge von Nina Diercks, Thomas Schwenke und Stefan Hanloser.

Vorwort

Ich will mich hier gar nicht so sehr mit den Details des Urteils beschäftigen. Ehrlich gesagt lohnt sich das auch gar nicht wirklich. Wirklich überraschend war die Entscheidung nämlich nicht. Mir kam es eher so vor, dass die „Cookie-Setzenden“ sowie ihre Beratenden wie z.B. wir Anwältinnen und Anwälte die Hoffnung hatte, dass die frühere „Cookie-Praxis“ doch noch vom EuGH gerettet wird. Eine Hoffnung, die mir von vornherein so vorkam, wie die Hoffnung, dass ein Klimawandel nicht stattfindet.

Die Vorlagefragen

Aber zu Sache:

Der EuGH hatte vom BGH einige Fragen gestellt bekommen. Und die hat er beantwortet.

Es handelte sich um diese Fragen, die ich von „Jura“ zu „Deutsch“ übersetzt habe, es sind also nicht die Originalfragen:

  1. Handelt es sich um eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL), wenn die Speicherung von Informationen (durch z.B. Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es dabei einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  3. Liegt eine wirksame Einwilligung im Sinn der Datenschutz-Grundverordnung (DSGVO) vor, wenn – wie in Frage 1 beschrieben – mit einer vorangehakten Checkbox gearbeitet wird?
  4. Welche Informationen hat ein Anbieter einer Internetseite nach Art. 5 Abs. 3 ePrivacy-RL dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Um es vorwegzunehmen ist hier aber auch wichtig zu erkennen, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ i.S.d. Art. 5 Abs. 3 ePrivacy-RL ist. Gefragt wurde auch nicht danach, inwieweit ich für das Setzen des Cookies verantwortlich bin, wenn ein Dritter („3rd-Party“ das Cookie setzt. Und schließlich hat der BGH auch nicht danach gefragt, ob das Setzen von Cookies bei nicht vorhandener Umsetzung der ePrivacy-RL in Deutschland ggf. auf anderen Rechtsgrundlagen der DSGVO als Art. 6 Abs. 1 lit. a) DSGVO basieren kann.

Die Antworten des EuGH

Keine Einwilligung bei vorangekreuzter „Checkbox“

Die Antworten des EuGH fielen deutlich aus. Und glücklicherweise müssen uns noch nicht einmal alle Ausführungen zu interessieren. Denn viele Ausführungen des Urteils beziehen sich auf die alte EG-Datenschutzrichtlinie, die seit Anwendung der DSGVO nicht mehr in Kraft ist. Die Antwort auf die Frage ein bzgl. der EG-Datenschutzrichtlinie möchte ich daher hier gar nicht weiter thematisieren.

Da die Vorgaben der DSGVO zur Einwilligung insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war klar, dass der EuGH in einer vorangekreuzten Checkbox keine wirksame Einwilligung erkennen kann.

Hier war nichts anderes zu erwarten, zumal Erwägungsgrund 32 der DSGVO dieses Szenario von „bereits angekreuzte“ Kästchen konkret adressiert.

Damit war die o.g. erste Frage denn auch schon klar beantwortet.

Gilt das auch, wenn die Informationen in den Cookies nicht personenbezogen sind?

Bei dieser Frage war das Ergebnis mal nicht ganz klar und insoweit spannend. Jetzt könnte man sagen, dass das doch eigentlich egal wäre, da Art. 5 Abs. 3 ePrivacy-RL ja nicht von personenbezogenen Daten spricht, sondern es hier nur darum geht, das in das Recht auf Privatheit i.S.d. Art. 7 GRCh eingegriffen wird.

Das könnte man allerdings mit Blick auf die unklaren Schutzgüter und die Wechselwirkung mit der DSGVO und dem Recht auf den Schutz personenbezogener Daten i.S.d. Art. 8 GRCh ggf. auch anders sehen.

Der EuGH spricht sich hier aber mit Blick auf die Erwägungsgründer der ePrivacy-RL klar dafür aus, dass das Einwilligungserfordernis auch dann gelte, wenn die Informationen im Endgeräte des Nutzers (wie z.B. in Cookies) nicht personenbezogen sind.

Wenn der EuGH das hier anders gesehen hätte, dann hätten viele größere Internetseiten mehr Spielraum gehabt. Denn die Cookies werden in der Regel nicht von ihnen selbst, sondern von den Werbepartnern gesetzt, die wiederum für die Datenverarbeitung für Werbezwecke selbst Verantwortliche sind. Nur für die Phase der Erhebung könnte man ggf. eine gemeinsame Verantwortlichkeit annehmen. Nur dann wäre die Frage für den Internetseitenanbieter gewesen, ob er denn nun die Einwilligung einholen muss oder ob diese Phase der Datenverarbeitung insoweit vielleicht unbedingt erforderlich wäre. Egal…das wären jedenfalls tiefergehende juristische Probleme gewesen, die wir jetzt einfach nicht haben, weil der EuGH hier klare Worte gefunden hat.

Welche Cookie-Infos sind dem Nutzer zu erteilen?

Auch hier muss sich der EuGH zunächst mit der alten EG-Datenschutzrichtlinie befassen, die uns nicht mehr interessiert. Hier führt er aber zunächst grundlegend aus, dass folgende Informationen zum „Verantwortlichen“ für eine Verarbeitung nach Treu und Glauben (vgl. Art. 5 Abs. 1 lit. a) DSGVO) erforderlich sind:

  • Identität des Verantwortlichen
  • Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
  • weitere Informationen beispielsweise zu Empfängern oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Dann biegt der EuGH zur DSGVO ab und bestätigt nur kurz, dass sich das nach Art. 13 DSGVO auch ergebe.

Im Ergebnis sind daher Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.

Soweit so gut oder schlecht. Nur…

Was passiert als Nächstes?

Nun der Ball liegt jetzt wieder im Spielfeld des BGH. Der BGH muss nun entscheiden, wie das Ganze im deutschen Recht zu bewerten ist.

Problem ist, dass der BGH wohl vorhatte, den noch geltenden § 15 Abs. 3 TMG richtlinienkonform, d.h. europarechtskonform auszulegen. Nur…wenn wir uns den Wortlaut ansehen, wird das kaum gehen. Er ist schlichtweg nicht europarechtskonform.

Da die ePrivacy-RL nach der Rechtsprechung des EuGH zur unmittelbaren Wirkung von nicht umgesetzten EU-Richtlinien nicht unmittelbar für nicht-staatliche Internetseitenanbieter gilt, liegt nicht zwingend ein Rechtsverstoß vor. Der BGH wird hier wohl am ehesten § 15 TMG für nicht anwendbar erklären und dann zu Art. 6 DSGVO herüberspringen.

Nach den Ausführungen des EuGH würde ich meinen, dass der BGH dann nur Art. 6 Abs. 1 lit. a) DSGVO – also eine Einwilligung – als einschlägige Rechtsgrundlage für nicht unbedingt erforderliche Cookies in Deutschland halten wird.

Letztlich müssen wir aber noch abwarten.

Wie geht es weiter? Wird es neue Gesetze geben?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen angekündigt, dass sie eine Änderung des TMG vornehmen wollen, wenn der EuGH in der Rechtssache „Planet49“ entschieden hat.

Ich gehe davon aus, dass dann in Deutschland eine Umsetzung von „Cookie Law“ in Deutschland durch das TMG erfolgen wird. Das wird aber noch ein wenig dauern.

Wegen der Entscheidung des EuGH kann es gut sein, dass nun wieder Dynamik des stockenden Gesetzgebungsprozesses um die ePrivacy-Verordnung kommen wird. Deswegen, weil das eine Chance wäre, die nun in der EU schon länger bestehenden „Cookie-Klickorgien“ mal zu beenden und durch vernünftige (technische) Verfahren zu ersetzen. Aber das wird ebenfalls noch dauern.

Was solltest du jetzt tun, wenn du eine Internetseite hast?

Hier die Handlungsempfehlungen in Kürze:

  1. Don’t panic! Es bringt jetzt nicht, hastig zu reagieren. Lieber das Gehirn noch einmal mit Sauerstoff belüften, durchatmen und dann überlegen, was sinnvoll ist. Hilfreich können die nachfolgenden Schritte sein.
  2. Analysiere, ob und welche Cookies (und für welchen Zweck) beim Aufruf deiner Website im Browser gesetzt werden.
  3. Unterscheide die Cookies zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.
  4. Bei den Session-Cookies schaust du dir an, ob du die wirklich benötigst. Viele Spracheinstellungs-Session-Cookies sind z.B. sehr „90er“ – also altmodisch – und werden heute meist nicht mehr benötigt.
    Es gilt immer, wenn du das nicht wirklich brauchst: Schmeiß’ weg!

    Session-Cookies, die du z.B. für die Warenkorb-Steuerung brauchst, können als unbedingt erforderlich gelten. Für die brauchst du keine Einwilligung.

    Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können i.d.R. als „vom Nutzer verlangt“ gelten und daher ohne Einwilligung verwendet werden.

  5. Bei den Persistent-Cookies wird es dann schwieriger. Hier solltest du genau schauen, was du davon brauchst und ob es unbedingt erforderlich ist. Hier ist die Rechtslage extrem unklar.

    Grundsätzlich gilt: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und du daher eine Einwilligung benötigst.

    Der Gegensatz gilt aber auch: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.

  6. Wenn du eine Einwilligung als Rechtsgrundlage für Cookies benötigst, musst du sicherstellen, dass das jeweilige Cookie gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.
  7. Vor einer Einwilligung müssen Nutzer über Zweck des Cookies und Empfänger von Daten informiert werden.

    Außerdem muss die Dauer der Speicherung dargelegt sein. Und es muss Angaben dazu geben, wer „Verantwortlicher“ für die Verarbeitung der Cookie-Daten ist.
    ACHTUNG: Das bist du häufig nicht alleine, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam mit dir verantwortlich. Hier ist auch noch vieles unklar.

    Empfehlen würde ich aber, mit den jeweiligen Anbietern jetzt dringend über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen. Ich gehe davon aus, dass das noch wichtig werden wird.

  8. Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen „conditio sine qua non“. D.h., dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werde würden. Dagegen sprechen aber natürlich auch Argumente.
    Das Ganze ist also extrem „wackelig“. Ich würde hier aktuell raten, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.

Vorstellung Compliance-Kit 2.0 (Video)

Ich habe mit meinem geschätzten Kollege Dr. Sebastian Kraska ein Video aufgenommen, in dem er sein Compliance Kit 2.0 vorstellt.

Es ist das erste Video in einer Reihe von Videos, in denen ich Hilfsmittel für Unternehmen oder Datenschutzbeauftragte (DSB) vorstellen möchte, mit denen sich die Herausforderungen des Datenschutzes durch DSGVO und BDSG ggf. etwas besser meistern lassen.

Dabei stelle ich entweder Produkte selbst vor oder bespreche diese – wie hier – mit Herstellern oder Anwender der Produkte.

Was ist das Compliance-Kit?

Mit dem Tool kannst du ein Datenschutzmanagement mit einem Datenschutzhandbuch als „Zentrale“ in deinem Unternehmen umsetzen. Oder du kannst es als DSB oder als Consultant nutzen, um deine Kunden bei der Implementierung eines Datenschutzmanagementsystems zu unterstützen.

Wenn du dir das Tool ansiehst, erkennst du recht schnell die Orientierung an moderne ISO-Normen. Alles ist sozusagen an seinem Platz.

Videovorstellung des Compliance-Kits 2.0

Ich habe mit Dr. Sebastian Kraska ein Online-Meeting durchgeführt, in dem er – wer könnte es besser – sein eigenes Tool – einmal vorstellt.

Ich denke, das sich Interessierte so ein eigenes Bild von dem Nutzen des Produkts machen können. Ich bin ein großer Freund davon, dass wir die Tools und Systeme nutzen, die zu uns passen. Und auch wenn das Compliance-Kit 2.0 nicht für jede oder jeden passt, ist es sicher einen Blick wert:

Was mir besonders gefallen hat

Was mir besonders gefallen hat, ist, dass das Compliance Kit „out of the box“ genutzt werden kann, um ein Datenschutzmanagement zu implementieren. Alle Texte und Vorlagen sind bereits da und können so verwendet oder eben (nach und nach) angepasst werden.

Ferner beinhaltet das System die Möglichkeit, Dokumente hochzuladen und zu versionieren, um so seinen Nachweispflichten nachzukommen zu können.

Mehr Informationen und kostenloser Testzugang

Wenn du dir das Video angesehen hast und Interesse am Compliance-Kit 2.0 hast, kannst du hier weitere Informationen erhalten.
Dort gibt es auch einen kostenlosen Testzugang für das Compliance-Kit 2.0.

Und nein, ich bekomme keine Provision oder sonst etwas für diese Vorstellung. Ich möchte dir einfach nur Tools & Hilfsmittel vorstellen, die hilfreich für dich sein könnten. Und ja, es kann auch mal sein, dass es in dieser Rubrik einen „Verriss“ gibt. Das Compliance-Kit 2.0 gehört allerdings nicht dazu. Es ist ein hilfreiches Tool für Viele.

Wenn „Datenschutz“ zur Gefahr der Pressefreiheit wird…

Diese Podcast-Folge möchte ich allen ans Herz legen, die Werbung auf Internetseiten nur auf Basis einer Einwilligung für zulässig halten.

Denn das Abfordern einer Einwilligung kann hier ein ganzes Demokratieproblem auslösen. Das mag sich dramatisch anhören, ist es aber meines Erachtens auch. Mehr dazu im Podcast.

Und hier die Infos zur im Podcast angesprochenen Freikartenverlosung für die Konferenz „Digital Shift“ am 25.09.2019.

Ich verlose
4 Freikarten in Form von Gutscheincodes für die Onlinebestellung für die Teilnahme an der Konferenz.

Trage dazu einfach bis
12.09.2019 (18:00 Uhr) im nachfolgenden Formular deine E-Mail-Adresse ein. Unter allen Einsendungen verlose ich dann 4 Freikarten. Die Gewinnerinnen und Gewinner erhalten eine E-Mail mit einem Gutscheincode zur Bestellung eines Tickets auf der Website des Veranstalters. Die Daten werden nicht an Dritte weitergegeben und nach Durchführung der Verlosung gelöscht.

Wenn du nicht gewonnen hast oder zu spät teilgenommen hast, du aber gerne zur Konferenz gehen möchtest, dann kannst du im Online-Shop der „Digital Shift“ diese Rabattcode hier verwenden: shift4guru

Und nein, ich bekomme keine Provision o.ä. dafür. Ich denke einfach, dass es für einige Hörerinnen und Hörer interessant sein kann.