Schlagwort-Archive: Datenschutzgrundverordnung

Die Berliner Landesbeauftragte bleibt auf Konfrontationskurs

Die Landesbeauftragte für Datenschutz und Informationsfreiheit des Landes Berlin, Maja Smoltczyk, hat im Streit mit Microsoft und Zoom nachgelegt. In der heute (03.07.2020) veröffentlichten Handlungshilfe „Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenz-Diensten“ gibt es ein Ampelsystem zur Kennzeichnung von Diensten, die aus datenschutzrechtlicher Sicht geeignet oder eben auch nicht geeignet sind. Skype, Skype Business und Zoom sind weiterhin mit rot als nicht geeignet gekennzeichnet. Gleiches gilt übrigens auch für Microsoft Teams.

Die Nutzung dieser Dienste geht als weiter mit dem Risiko eines Datenschutzverstoßes einher, der bußgeldbewehrt ist. Die Begründungen, warum einzelne Anbieter so bewertet wurden, finden sich im Abschnitt „Anmerkungen zu den einzelnen Anbietern“ am Ende des Dokuments. Im Grunde geht es um die rechtswidrige Nutzung von Teilnehmerdaten und um unklare Verarbeitungsvorgänge.

Datenschutz, Schulen und Videokonferenzen

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit BW veröffentlichte am 24. Juni 2020 eine Pressemitteilung zum Thema Zoom im Besonderen und Videokonferenzen im schulischen Umfeld im Allgemeinen.

Er erkannte an, dass Zoom nach allen bisher geäußerten Kritikpunkten reagiert und nachgebessert hat.

Interessant an der Pressemitteilung finde ich folgende Stelle:

Das Ding mit den Videokonferenzen

Seit Beginn der Corona-Pandemie wird die Diskussion geführt, welches Videokonferenz-System sicher und datenschutzgerecht ist und welches das nicht ist.

Es geistern Tools wie Microsoft Teams, Skype, Zoom, Jitsi, Big Blue Button, Webex und noch viele weitere durch die Gegend.

Zu Beginn dieser Phase war Zoom mit der App ganz dolle böse. Die App gab Daten weiter. Das Problem wurde dann behoben. Da war Zoom zunächst einmal ein ganz gut geeignetes Tool. Die Daten allerdings liegen in den USA.

Wie soll man denn nun vorgehen, wenn es um die Bewertung von Hilfsmitteln im Hinblick auf das Thema Datenschutz geht?

Wer ist die verantwortliche Stelle?

Datenschutz gilt ausdrücklich nicht im Privaten (Art. 2 Abs. 2 lit. c DS-GVO). Also als Privatperson kann ich jedes Tool nutzen, das mir gerade über den Weg läuft. Gestalte ich als Lehrperson meinen Unterricht, kommuniziere ich mit Kunden, mit Patienten usw., dann ist mein Arbeitgeber die verantwortliche Stelle und die DS-GVO kommt zur Anwendung.

Werden überhaupt personenbezogene Daten erhoben, gespeichert, verarbeitet oder weitergegeben?

In einem Zustand der völligen Anonymität muss Datenschutz nicht berücksichtigt werden. Sobald aber die genutzten Daten einer natürlichen Person zugeordnet werden können, sieht das anders aus. Bei Videokonferenzen fallen Transportdaten (IP-Adressen, ev. Mail-Adressen, Autorisierungsangaben…) an. Mindestens IP- und Mail-Adresse lassen eine Identifizierung zu. Bei den Inhaltsdaten kommen Videodaten ins Spiel, wenn die Kamera genutzt wird. Textangaben werden vielleicht im Chat erhoben.

Auf welche Rechtsgrundlagen kann sich die verantwortliche Stelle beziehen?

Schön isses immer, wenn es eine gesetzliche Grundlage für die Datennutzung gibt. Da fällt mir keine ein, die bei Videokonferenzen herangezogen werden könnte.

Hat man in weiser Voraussicht entsprechende Formulierungen in Verträgen stehen, dann kann man sich auf Vertragserfüllung als Ausnahmetatbestand berufen. Das können Schulen z. B. im Schul- oder im Ausbildungsvertrag regeln. Vielleicht ist auch die Schulordnung ein geeigneter Platz.

Dann gäbe es noch die Einwilligung. Eine Einwilligung muss freiwillig erfolgen und sie muss dokumentiert sein. Außerdem ist sie jederzeit widerrufbar. Die Einwilligung ist also wenig geeignet, Unterricht in Zeiten der Pandemie mit Videokonferenztools zu gestalten.

Bleibt das besondere Interesse der verarbeitenden Stelle. Das allerdings ist ein Leichtgewicht-Argument. Nur wenn es absolut keine datenschutzgerechten Alternativen gibt, kann ich vielleicht das besonderes Interesse ins Feld schicken.

Mein Fazit zu diesem Punkt: Wer nicht in der Glaskugel die Pandemie hat heraufziehen sehen und vorsorglich seine Verträge vor Vertragsschluss angepasst hat, steht doof da, zumindest was die Nutzung von Videokonferenzen und einiger anderer Online-Tools betrifft.

Wie kann man nun sauber aus diesem Dilemma heraus kommen?

Wie bereits gezeigt: Vertragserfüllung ist die beste Lösung. Auf diese werden sich aber viele verantwortliche Stellen nicht berufen können. Die Einwilligung ist blöd. Was mache ich mit den SuS, die nicht einwilligen?

Schritt 1: Eigener Server – Beim eigenen Videokonferenz-Server verlassen die Daten nicht die verantwortliche Stelle. Eine Weitergabe der Daten nach außen oder gar in ein unsicheres Drittland (z. B. USA) kommt nun nicht mehr vor.

Schritt 2: Auswahl einer geeigneten Software – Die Lizenzform Open Source garantiert ein beachtliches Maß an Transparenz. Wenn dann dann noch die Plattform technik- und softwareneutral genutzt werden kann, ist schon mal viel gewonnen. Ich zwinge die Nutzer nicht, eine App zu installieren, wenn das Meeting auch im Web-Browser läuft.

Schritt 3: Minimierung der genutzten personenbezogenen Daten – Wenn keine Anmeldung zu einem Meeting mit einer Webadresse erforderlich ist, fällt diese Datenkategorie schon mal weg. Treten die SuS mit ausgeschalteter Kamera dem Meeting bei, ist auch diese Hürde ausgeräumt. Da der Chat innerhalb der verantwortlichen Stelle bleibt und zum Ende des Meetings gelöscht wird, ist das Thema auch kein wirkliches Thema mehr. Heikel bleiben Aufzeichnungen der Meetings. Aber die können ja untersagt werden.

Wenn man diesen Punkten Beachtung schenkt, dann sieht das Leichtgewicht „Besonderes Interesse der verantwortlichen Stelle nach Risikoabwägung“ plötzlich gar nicht mehr wie ein Leichtgewicht aus. Vielmehr eröffnet sich hiermit die Möglichkeit, Videokonferenzen datenschutzkonform durchzuführen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit schreibt zum Thema in ihrer „Checkliste für die Durchführung von Videokonferenzen während der Kontaktbeschränkungen“ vom 22. Mai 2020:

Aktualisiert – Leitlinien zur Einwilligung in Nutzung von Websites

Am 5. Mai 2020 aktualisierte der Europäische Datenschutzausschuss (EDSA) die Leitlinien. Der Bundesbeauftragte für Datenschutz und Informationsfreiheit Prof. Ulrich Kelber ist Mitglied des EDSA. Er begrüßte die Änderungen.

Ausgangslage

Immer noch existieren Websites, die durch geeignete Maßnahmen den Nutzern Tracking unterjubeln.

Leitlinien

Ein Cookie-Wall ist eine Maßnahme, die das Nutzen einer Website ohne Cookie-Einwilligung unmöglich macht. Die Leitlinien erlauben Cookie-Walls nur noch, wenn eine Nutzungsalternative, beispielsweise als Bezahldienst, existiert.

Zweiter wichtiger Fakt: Die Nutzung einer Website stellt keine Einwilligung dar. Das ist an sich nicht neu. Bisher galt bereits, dass eine Einwilligung immer durch einen aktiven Akt erklärt werden muss.

Ihr Datenschutzbeauftragter – Blog

Guten Tag und herzlich willkommen in meinem Datenschutz-Blog.

Spätestens seit dem 25. Mai 2018, dem Tag, an dem die Datenschutz-Grundverordnung der Europäischen Union in Kraft trat, ist das Thema Datenschutz zu einem festen Begleiter geworden.

Ich greife verschiedene Themen auf und stelle sie hier vor. Bei Fragen kann ich unter ulf.tschech@ihrdatenschutzbeauftragter.info kontaktiert werden.

Bemerkenswertes Bußgeld

Der Bundesbeauftragte für Datenschutz und informationelle Selbstbestimmung hat gegenüber der 1&1 Telecom GmbH ein Bußgeld in Höhe von 9.550.000 Euro verhängt. Die Telefonhotline von 1&1 gab umfangreiche Auskünfte zu Kundendaten. Eine Identifikation erfolgte lediglich über Name und Geburtsdatum. Obwohl sich 1&1 einsichtig zeigte und Maßnahmen ergriff („…bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren.“ aus der Kunden-E-Mail), fiel das Bußgeld doch bemerkenswert hoch aus.

Der Bundesbeauftragte dazu:

Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden.“ (https://www.bfdi.bund.de/SiteGlobals/Modules/Buehne/DE/Startseite/Pressemitteilung_Link/HP_Text_Pressemitteilung.html)

Verdammt, es ist Weihnachtszeit!

Die Adventszeit soll uns eigentlich Besinnlichkeit bescheren. Gelichzeitig jedoch wollen wir Geschäftspartner mit einem weihnachtlichen Gruß erfreuen. An dieser Stelle nimmt das Drama seinen Anfang. Was ist schon ein herzerwärmender Weihnachtsgruß ohne persönliche Ansprache des Empfängers. Und schwupps – schon ist man von weihnachtlicher Beschaulichkeit bei der Datenschutz-Grundverordnung (DS-GVO) und dem Gesetz gegen den unlauteren Wettbewerb (UWG) gelandet.

Weihnachtliche Grüße, die per E-Mail versandt werden, sind werbende Maßnahmen und unterliegen somit den Regelungen des UWG (§ 7 Abs. 2 Nr. 3). Ohne vorliegende und dokumentierte Einwilligung kann die Weihnachtspost abgemahnt werden. In Bezug auf den DS-GVO könnte man an dieser Stelle mit Art. 6 Abs. 1 Buchstabe f – berechtigtes Interesse – argumentieren. Schließlich will man sich ja den allgemeinen Gepflogenheiten der Weihnachtspost unterordnen. Das UWG hat man damit allerdings immer noch an den Hacken. Nutzt man E-Mail als Kommunikationsweg, sollte man die Gelegenheit nutzen und die Empfänger auf ihr Widerspruchsrecht hinweisen.

Die DS-GVO kommt dann ins Spiel, wenn man mit einem offenen E-Mail-Verteiler arbeitet. Klare Empfehlung an dieser Stelle: BCC-Feld für alle Empfänger nutzen. Das Thema „Offener E-Mail-Verteiler“ hatte ich schon mal ins Blickfeld gerückt.

Hausdurchsuchung in Thüringen

Der Landesbeauftragte für Datenschutz in Thüringen veranlasste eine Hausdurchsuchung bei einer Privatperson.

Die Wohnung eines Drohnenbesitzers wurde von der Thüringer Polizei durchsucht. Dabei wurden Datenträger beschlagnahmt. Der Durchsuchung gingen Beschwerden von Nachbarn voraus. Diese hatten angegeben, dass die Drohne ohne Sichtkontakt vor allem in den Abendstunden geflogen wurde. Gärten wurden überflogen, Schlafzimmerfenster könnten gefilmt worden sein.

Die Gefahr von Eingriffen in die Privatsphäre sah der Landesbeauftragte für Datenschutz in Thüringen als so groß an, dass dem das zuständige Gericht folgte und die Durchsuchung veranlasste.

Ein Lehrer, eine Schule und das Recht am eigenen Bild

Am 6. September 2019 musste sich das Verwaltungsgericht Koblenz mit einer Situation aus dem Schulalltag beschäftigen, in der es um das Recht am eigenen Bild im Schulalltag ging.

Ein Lehrer fühlte sich in seinen Persönlichkeitsrechten missachtet. Eine Fotografin hatte von zwei Klassen Fotos gemacht, auf denen auch der Lehrer zu sehen ist. Diese beiden Fotos wurden im Schuljahrbuch veröffentlicht. Genau an dieser Stelle sah der Lehrer seine Persönlichkeitsrechte missachtet. Dabei berief er sich auf § 22 des Kunsturhebergesetzes (KUG): „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden…“

Das Verwaltungsgericht lehnte die Klage ab. Alle Lehrer waren über den Fototermin und über den Verwendungszweck der Fotos informiert. Beim Erzeugen der Fotos hätte der Lehrer die Chance gehabt, aus dem Bild zu treten. Hinzu kommt, so das VG Koblenz, dass in diesem Fall § 23 des KUG herangezogen werden kann: „(1) Ohne die nach § 22 erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden:
1. Bildnisse aus dem Bereiche der Zeitgeschichte…“ Und genau diesen Ausnahmetatbestand sieht das Gericht erfüllt.

Stellt sich noch die Frage: Warum hat der Lehrer nicht auf Grundlage der DS-GVO geklagt? Seine Klage richtete sich ausschließlich gegen die Veröffentlichung von Fotos, auf denen seine Person gezeigt wurde. Er forderte den Rückruf aller verkauften Jahrbücher, das Unkenntlich machen seiner Person und das Schwärzen seines Namens in der Bildunterschrift. Die Veröffentlichung von Personenbildnissen wird im KUG geregelt und ist kein Problem der DS-GVO.

Was kann man für den Schulalltag aus dieser Situation ableiten?

  • Eine dokumentierte, also schriftliche, Einwilligung vermeidet Stress. Dabei ist es unerheblich, ob man sich auf das KUG berufen kann. Die DS-GVO spielt zumindest im Hintergrund immer mit.
  • Für konkrete Fototermine bedarf es einer konkreten Ankündigung. Diese sollte Anlass, Verwendungszweck und Publikationsform enthalten.
  • Ist ein Bild erst einmal publiziert, kann es unmöglich sein, es zu entfernen.

Cookies mal wieder

Am 1. Oktober 2019 hat der EuGH ein wichtiges Urteil zum Umgang mit Cookies auf Websites erlassen. Bisher gab es diesbezüglich ja ein ziemliches Rumgewurschtel, zumindest in Deutschland.

Was bestimmt das Urteil?

  1. Nicht zulässig sind Checkboxen, die bereits aktiviert wurden. Um Cookies zu verhindern, müssten diese Checkbox erst deaktiviert werden.
  2. Zu den Pflichtangaben zählen Informationen zur Funktion der Cookies, zu ihrer Lebensdauer und zu etwaigen Zugriffen Dritter auf diese. Diese Informationen sind den Betroffenen leicht zugänglich verfügbar zu machen.
  3. Ausgenommen davon sind technische Cookies. Als solche werden gemeinhin Cookies verstanden, die dem Login-Status dienen, die Sprachwahl speichern und den Warenkorb abbilden.

Da werden einige Websitebetreiber wohl schnell handeln müssen.