Fir­men lau­fen Gefahr, durch die Nut­zung von US-Cloud-Anbie­tern gegen EU-Recht zu ver­sto­ßen. Jetzt wei­ten die Auf­sichts­be­hör­den ihre Ermitt­lun­gen aus. Hohe Buß­gel­der drohen.“

Zum Arti­kel: https://​www​.han​dels​blatt​.com

Durch Aus­nut­zung kri­ti­scher Sicher­heits­lücken in der Soft­ware des Micro­soft Exchan­ge-Ser­vers ist es jüngst zu einer mas­si­ven, glo­ba­len Cyber-Angriffs­wel­le gekom­men, die erheb­li­che Daten­schutz­ri­si­ken aus­ge­löst hat.

Der BvD bie­tet hier­zu kurz­fri­stig zwei Webi­na­re an: 

Sicher­heits­lücken bei Micro­soft Exchan­ge – Wie umge­hen mit dem Risiko?

Ter­mi­ne: Don­ners­tag, 25.03.2021 und Mon­tag, 29.03.2021

In den Webi­na­ren erhal­ten Sie aus Sicht des IT System­be­triebs einen Über­blick über die Attacke, ihre Fol­gen und wel­che Risi­ken sie birgt. Wir erklä­ren, wie Sie her­aus­fin­den, ob Sie betrof­fen sind und wie Sie gegen den Angriff vor­ge­hen kön­nen. Um sol­che und ande­re Cyber-Attacken zu ver­hin­dern oder zumin­dest zu erschwe­ren und auf­zu­ar­bei­ten, bespre­chen wir dafür geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men und ihre Grenzen.

Mel­den Sie sich jetzt an!

Zu den Sicher­heits­lücken bei Micro­soft Exchan­ge-Ser­vern haben die bei­den baye­ri­schen Daten­schutz­auf­sichts­be­hör­den LDA und LfD eine gemein­sa­me „Pra­xis­hil­fe zu Micro­soft Exchan­ge Sicher­heits­lücken“ ver­öf­fent­licht sowie einen gemein­sa­men Fra­ge-und-Ant­wort-Bereich (FAQ) online zur Ver­fü­gung gestellt.

Lesen Sie hier aktu­el­le Pres­se­mit­tei­lun­gen zum Thema:

Pres­se­mit­tei­lung des Baye­ri­schen Lan­des­amts für Daten­schutz­auf­sicht vom 09.03.2021

Nach der aktu­el­len Pres­se­ver­öf­fent­li­chung des Bun­des­amts für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) ist eines klar: Die neu bekannt gewor­de­nen Schwach­stel­len in Micro­soft Exchan­ge-Mail-Ser­vern betref­fen auch eine Viel­zahl deut­scher Fir­men. Eine Ad-hoc-Online-Unter­su­chung des BayL­DA hat allei­ne im ersten Prüf­lauf eine drei­stel­li­ge Zahl von Unter­neh­men iden­ti­fi­ziert, deren Syste­me auch meh­re­re Tage nach den ersten Sicher­heits­war­nun­gen wei­ter­hin akut gefähr­det sind. BayL­DA-Prä­si­dent Will: „Wir sehen mit gro­ßer Sor­ge, dass trotz ein­dring­li­cher War­nun­gen durch die Sicher­heits­be­hör­den und sofor­ti­ger Hil­fe­stel­lun­gen durch Micro­soft immer noch ver­wund­ba­re Mail-Ser­ver im Netz zu fin­den sind. Für die von uns iden­ti­fi­zier­ten Unter­neh­men besteht jetzt aku­ter Hand­lungs­be­darf. Die betrof­fe­nen Syste­me müs­sen umge­hend gepatcht und dann umfas­send über­prüft wer­den. Für Unter­neh­men, die bis jetzt untä­tig geblie­ben sind, gehen wir von einer mel­de­pflich­ti­gen Daten­schutz­ver­let­zung aus.“

Schwach­stel­len als IT-Bestand­teil
Ein pro­fes­sio­nel­ler Umgang mit Sicher­heits­lücken soll­te längst zum All­tag jedes IT-Betrie­bes gehö­ren. Unab­hän­gig von der Art und der Grö­ße des Unter­neh­mens ist es vor allem bei IT-Syste­men, die über das Inter­net erreich­bar sind, neben einer rich­ti­gen Kon­fi­gu­ra­ti­on von ent­schei­den­der Bedeu­tung, bekannt gewor­de­ne Schwach­stel­len mög­lichst zeit­nah zu behe­ben. Auto­ma­ti­sier­te Scans quer durch das Inter­net ermög­li­chen es anson­sten Angrei­fern aus der Fer­ne, auf Knopf­druck einen Über­blick über ver­wund­ba­re Ser­ver zu erhal­ten und nach Belie­ben Cyber­at­tacken dar­auf zu star­ten. Das Zeit­fen­ster zum Behe­ben von Sicher­heits­lücken ist somit mei­stens sehr gering.

BSI infor­miert über neue kri­ti­sche Schwach­stel­len in Micro­soft Exchan­ge
Mit der Pres­se­mit­tei­lung vom 05.03.2021 infor­mier­te das BSI über eine neue, außer­or­dent­lich kri­ti­sche Gefähr­dungs­la­ge, die bei den auch in Deutsch­land sehr weit ver­brei­te­ten Exchan­ge Ser­vern sofor­ti­ges Han­deln der betrof­fe­nen Unter­neh­men erfor­dert. Durch die kom­bi­nier­te Anwen­dung der neu­en Exchan­ge-Schwach­stel­len ist eine Code-Aus­füh­rung aus der Fer­ne für Angrei­fer mög­lich. Das BSI geht davon aus, dass die so ver­wund­ba­ren Syste­me mit hoher Wahr­schein­lich­keit bereits attackiert und mit Schad­soft­ware infi­ziert sind.

Erfolg­rei­che Attacken set­zen aller­dings unter ande­rem vor­aus, dass eine nicht-ver­trau­ens­wür­di­ge Ver­bin­dung zu einem Exchan­ge Ser­ver eta­bliert wer­den kann, z. B. über Out­look Web Access. Laut Infor­ma­tio­nen des BSI sind Ser­ver, wel­che nur per VPN erreich­bar sind oder eben sol­che nicht-ver­trau­ens­wür­di­ge Ver­bin­dun­gen blockie­ren, nicht betrof­fen. Den­noch geht das BSI nach bis­he­ri­gen Ver­öf­fent­li­chun­gen von einer fünf­stel­li­gen Anzahl an betrof­fe­nen Syste­men allei­ne in Deutsch­land aus.

Micro­soft Patches ein­spie­len
Das Ein­spie­len der von Micro­soft bereit­ge­stell­ten Updates soll­te von Exchan­ge-Admi­ni­stra­to­ren unver­züg­lich durch­ge­führt wer­den. Micro­soft stellt mitt­ler­wei­le zudem ein eige­nes Prüf-Skript für betrof­fe­ne Betrie­be zur Ver­fü­gung (sie­he unten in „Wei­ter­füh­ren­de Links“). Mit die­sem kön­nen die System­ad­mi­ni­stra­to­ren der Fir­men Anhalts­punk­te dafür fin­den, ob der eige­ne Exchan­ge Ser­ver erfolg­reich ange­grif­fen wurde.

Daten­schutz­recht­li­che Bewer­tung zur Exchan­ge-Sicher­heits­pro­ble­ma­tik
Vie­le Unter­neh­men sind ver­un­si­chert, inwie­weit der eige­ne Betrieb gefähr­det ist und per­so­nen­be­zo­ge­ne Daten tat­säch­lich abge­grif­fen wor­den sind. Wäh­rend zu Beginn laut Micro­soft pri­mär For­schungs­ein­rich­tun­gen mit Pan­de­mie-Fokus, Hoch­schu­len, Anwalts­fir­men und Orga­ni­sa­tio­nen aus dem Rüstungs­sek­tor ange­grif­fen wur­den, steht mitt­ler­wei­le die Annah­me im Raum, dass Angrif­fe bran­chen­un­ab­hän­gig erfolgen.

Unab­hän­gig von einer genaue­ren Bewer­tung eines mög­li­chen daten­schutz­recht­li­chen Scha­dens einer Cyber­at­tacke sind Ver­ant­wort­li­che mit gefähr­de­ten Syste­men zunächst ver­pflich­tet, umge­hend die bereit­ge­stell­ten Patches für ihre Syste­me zu instal­lie­ren und damit ihrer Ver­pflich­tung gemäß Art. 32 DS-GVO nach­zu­kom­men, die Sicher­heit ihrer Ver­ar­bei­tungs­tä­tig­kei­ten zu gewähr­lei­sten. Ver­ant­wort­li­che, die die­ser Auf­ga­be bis­lang nicht nach­ge­kom­men sind, trifft ange­sichts des auch durch die zen­tra­le Funk­ti­on von Exchan­ge Ser­vern im Kom­mu­ni­ka­ti­ons­sy­stem der Unter­neh­men außer­or­dent­lich erhöh­ten Sicher­heits­ri­si­kos unab­hän­gig von wei­te­ren Befun­den die Ver­pflich­tung, die Sicher­heits­lücke als Schutz­ver­let­zung bin­nen 72 Stun­den zu mel­den. Dies stellt sicher, dass die wei­te­ren Schrit­te zur Wie­der­her­stel­lung der Sicher­heit des Gesamt­sy­stems unter Auf­sicht des BayL­DA durch­ge­führt werden.

Ange­sichts des hohen Scha­dens­po­ten­ti­als bei Aus­nut­zung der Sicher­heits­lücke und der deut­lich erhöh­ten Wahr­schein­lich­keit sol­cher Angrif­fe bestehen auch für Ver­ant­wort­li­che, die das erfor­der­li­che Update bereits zeit­nah durch­ge­führt haben, noch wei­te­re Unter­su­chungs­pflich­ten: Um aus­zu­schlie­ßen, dass ein Ein­spie­len der Micro­soft-Updates zu spät gelun­gen ist und zwi­schen­zeit­lich Schad­code instal­liert wur­de, sind sämt­li­che betrof­fe­nen Syste­me dahin­ge­hend zu über­prü­fen, ob sie noch den Anfor­de­run­gen des Art. 32 DS-GVO gebo­te­nen Schutz gewähr­lei­sten. Tre­ten dabei Schutz­ver­let­zun­gen, etwa soge­nann­te Hin­ter­tü­ren im System auf, ist in die­sen Fäl­len eben­falls eine Mel­dung an die Daten­schutz­auf­sichts­be­hör­de durch­zu­füh­ren, da dann für die betrof­fe­nen Per­so­nen ein Risi­ko besteht.

Inwie­weit in man­chen Fäl­len sogar ein hohes Risi­ko für betrof­fe­ne Per­so­nen besteht und eine Benach­rich­ti­gung derer nach Art. 34 DS-GVO not­wen­dig ist, ist letzt­end­lich abhän­gig vom Ein­zel­fall. Hier ist eine Indi­vi­du­al­prü­fung durch den eige­nen Daten­schutz­be­auf­trag­ten der Unter­neh­men erforderlich.

Daten­schutz­prü­fung des BayL­DA in Bay­ern
Seit der Pres­se­infor­ma­ti­on des BSI ver­gan­ge­ne Woche erhält das BayL­DA Bera­tungs­an­fra­gen und Mel­dun­gen zu Daten­schutz­ver­let­zun­gen von ver­schie­de­nen Unter­neh­men. Daher hat das BayL­DA die Prüf­ka­pa­zi­tä­ten des eige­nen Cyber­la­bors ein­ge­setzt, um betrof­fe­ne baye­ri­sche Unter­neh­men auf die aku­te Gefähr­dungs­la­ge hin­zu­wei­sen. Eines der Zie­le der Prü­fung ist es, anfäl­li­ge Exchan­ge Ser­ver in Bay­ern zu iden­ti­fi­zie­ren und deren Betrei­ber zu kontaktieren.

Das BayL­DA hat dafür in einem ersten Prüf­lauf am 08.03.2021 stich­pro­ben­ar­tig 16.502 baye­ri­sche Syste­me auf ihre mög­li­che Ver­wund­bar­keit unter­sucht. Bei den Orga­ni­sa­tio­nen, die auf eine Micro­soft Exchan­ge-Kom­mu­ni­ka­ti­ons­struk­tur set­zen, wur­de kon­trol­liert, ob der not­wen­di­ge Patch-Level zum Schlie­ßen der Lücken vor­han­den ist. Bereits im ersten Prüf­lauf wur­de eine drei­stel­li­ge Zahl poten­ti­ell ver­wund­ba­rer Ser­ver iden­ti­fi­ziert, deren Ver­ant­wort­li­che nun umge­hend über die daten­schutz­recht­li­chen Ver­pflich­tun­gen und Kon­se­quen­zen unter­rich­tet werden.

Auf­grund der Viel­zahl an betrof­fe­nen Fir­men kann im Regel­fall kei­ne Indi­vi­du­al­be­ra­tung statt­fin­den. Des­halb eta­bliert das BayL­DA einen Fra­ge-und-Ant­wort-Bereich (FAQ) auf sei­ner Web­site für Unter­neh­men, die zu die­sem The­ma Daten­schutz­fra­gen haben. Die­ser ist unter fol­gen­der Adres­se erreich­bar: www​.lda​.bay​ern​.de/​e​x​c​h​a​nge

Das BayL­DA beab­sich­tigt nach der ersten Infor­ma­ti­on der Unter­neh­men wei­te­re Prüf­läu­fe. Bei Ver­stö­ßen gegen die Vor­ga­ben der Daten­schutz-Grund­ver­ord­nung dro­hen dann den Ver­ant­wort­li­chen, die nicht ange­mes­sen reagie­ren, auf­sicht­li­che Ver­fah­ren bis hin zu Geldbußen.

Wei­te­re Links:

Down­load Sicher­heits­lücken bei Micro­soft Exchan­ge-Mail-Ser­vern: Aku­ter Hand­lungs­be­darf für baye­ri­sche Unter­neh­men als PDF

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Ste­fan Brink schließt das Ver­fah­ren gegen die VfB Stutt­gart 1893 AG ab und erlässt ein Buß­geld in Höhe von 300.000 Euro wegen fahr­läs­si­ger Ver­let­zung der daten­schutz­recht­li­chen Rechen­schafts­pflicht gemäß Art. 5 Abs. 2 DS-GVO.

Die Ver­ant­wort­li­chen des VfB Stutt­gart 1893 e.V. und der VfB Stutt­gart 1893 AG haben die Auf­klä­rungs- und Ermitt­lungs­maß­nah­men des Lan­des­be­auf­trag­ten unter­stützt, durch eige­ne Initia­ti­ve geför­dert sowie mit der Behör­de des Lan­des­be­auf­trag­ten umfang­reich kooperiert.

Neben der Buß­geld­zah­lung und der kosten­träch­ti­gen Umstruk­tu­rie­rung und Ver­bes­se­rung ihres Daten­schutz­ma­nage­ments ergreift die VfB Stutt­gart 1893 AG in Abstim­mung mit dem LfDI Maß­nah­men zur Sen­si­bi­li­sie­rung jun­ger Men­schen für Datenschutzanliegen.

So för­dert der VfB das Pro­jekt „Daten­schutz geht zur Schu­le“ durch Unter­stüt­zung bei der Öffent­lich­keits­ar­beit für regio­na­le Schul-Akti­ons­ta­ge und im Rah­men kind-/ju­gend­ge­rech­ter Vide­os zur Sen­si­bi­li­sie­rung für daten­schutz­re­le­van­te The­men. Dar­über hin­aus kon­zi­piert der VfB Schu­lun­gen für die Fuß­ball­nach­wuchs­mann­schaf­ten U10 bis U21 zum The­ma „Daten­schutz bei Jugendlichen“.

LfDI Ste­fan Brink: „Mit dem Erlass die­ses Buß­geld­be­schei­des schlie­ßen wir ein Ver­fah­ren ab, das auch für uns als Auf­sichts­be­hör­de unge­wöhn­lich war. Unge­wöhn­lich war nicht nur der Gegen­stand unse­res Ver­fah­rens, son­dern vor allem das hier­mit ver­bun­de­ne öffent­li­che und media­le Inter­es­se. Unge­wöhn­lich war auch der Umfang des durch die Ein­schal­tung der Ese­con beleg­ten Auf­klä­rungs­in­ter­es­ses und der Koope­ra­ti­ons­be­reit­schaft des VfB mit unse­rer Behörde.“

Aus die­sem Ver­fah­ren her­aus erge­be sich die gute Chan­ce, so Ste­fan Brink wei­ter, dass der VfB Stutt­gart künf­tig beim fai­ren Umgang mit den Daten der Mit­glie­der bes­ser auf­ge­stellt ist. „Auch wenn wir mit Blick auf Ver­jäh­rungs­vor­schrif­ten nicht alle öffent­lich dis­ku­tier­ten Vor­gän­ge voll­stän­dig unter­su­chen konn­ten, ist doch das jetzt ein­ver­nehm­lich gefun­de­ne Ergeb­nis über­zeu­gend: Neben dem spür­ba­ren Buß­geld sorgt der VfB für erheb­li­che orga­ni­sa­to­ri­sche und tech­ni­sche Ver­bes­se­run­gen in Sachen Daten­schutz. Zudem pla­nen die Ver­ant­wort­li­chen erfreu­li­cher­wei­se künf­tig ein Enga­ge­ment bei der Auf­klä­rung über Daten­schutz­an­lie­gen, mit dem vor allem jun­ge Men­schen ange­spro­chen wer­den sollen.“

Mit dem Erlass des Buß­geld­be­scheids sind die Ermitt­lun­gen gegen den VfB Stutt­gart 1893 e.V. und die VfB Stutt­gart 1893 AG abgeschlossen.

Die­se Pres­se­mit­tei­lung als PDF-Doku­ment aufrufen.

Goog­le Chro­me will das World Wide Web daten­schutz­freund­li­cher machen. Der Inter­net-Rie­se läu­tet das Ende der Coo­kies von Dritt­an­bie­tern ein. Mehr Pri­vat­sphä­re für alle User sei das Ziel.

Gestern ver­öf­fent­lich­te David Tem­kin, Direc­tor of Pro­duct Manage­ment, Ads Pri­va­cy and Trust bei Goog­le, in sei­nem Goog­le-Blog­bei­trag: »Auf dem Weg zu einem daten­schutz­freund­li­che­ren Web«, dass Goog­le das Tracking von Nut­zer­ver­hal­ten im Netz zu Wer­be­zwecken nicht mehr unter­stüt­zen wolle.

Aus einer Stu­die des Pew Rese­arch Cen­ter, die Mit­te Novem­ber 2019 erschie­nen ist, geht her­vor, dass rund 81 Pro­zent der ame­ri­ka­ni­schen Bür­ger und Bür­ge­rin­nen der Mei­nung sind, dass die poten­zi­el­len Risi­ken, denen sie auf­grund der Daten­samm­lung durch Unter­neh­men aus­ge­setzt sind, die Vor­tei­le des Inter­nets über­wie­gen. Die­se Stu­die scheint dem Trust-Mana­ger von Goog­le ordent­lich zu den­ken gege­ben haben: Er schreibt: »Wenn sich die digi­ta­le Wer­bung nicht wei­ter­ent­wickelt, um den wach­sen­den Beden­ken der Men­schen hin­sicht­lich ihrer Pri­vat­sphä­re und der Nut­zung ihrer per­sön­li­chen Iden­ti­tät Rech­nung zu tra­gen, ris­kie­ren wir die Zukunft des frei­en und offe­nen Webs.«

Chro­me hat im letz­ten Jahr ange­kün­digt, die Unter­stüt­zung für Coo­kies von Dritt­an­bie­tern zu ent­fer­nen und Goog­le habe mit der gesam­ten Bran­che an der Pri­va­cy Sand­box gear­bei­tet, um Inno­va­tio­nen zu ent­wickeln, die die Anony­mi­tät schüt­zen und gleich­zei­tig Ergeb­nis­se für Wer­be­trei­ben­de und Publisher lie­fern sol­len. Den­noch habe der Tech-Rie­se immer wie­der Fra­gen erhal­ten, ob Goog­le sich ande­ren Unter­neh­men der Wer­be-Tech­nik-Bran­che anschlie­ßen wür­de, die Coo­kies von Dritt­an­bie­tern durch alter­na­ti­ve Iden­ti­fi­zie­rungs­merk­ma­le auf Nut­zer­ebe­ne erset­zen wol­len. »Heu­te stel­len wir klar, dass wir nach der Abschaf­fung der Coo­kies von Dritt­an­bie­tern kei­ne alter­na­ti­ven Iden­ti­fi­zie­rungs­merk­ma­le erstel­len wer­den, um Per­so­nen beim Sur­fen im Inter­net zu ver­fol­gen und dass wir die­se auch nicht in unse­ren Pro­duk­ten ver­wen­den wer­den«, sagt Tem­kin dazu.

Dem Unter­neh­men sei bewusst, dass ande­re Anbie­ter noch immer eine Ebe­ne der Benut­ze­r­iden­ti­tät für die Ver­fol­gung von Wer­bung im Web anbie­ten kön­nen, die Goog­le aber nicht anbie­ten wer­de, etwa PII-Dia­gram­me, die auf den E‑Mail-Adres­sen von Per­so­nen basie­ren. Tem­kin glaubt nicht, dass die­se Lösun­gen den stei­gen­den Erwar­tun­gen der Ver­brau­cher in Bezug auf den Daten­schutz gerecht wür­den, noch wer­de sie den sich schnell ent­wickeln­den regu­la­to­ri­schen Beschrän­kun­gen stand­hal­ten und sei­en daher kei­ne nach­hal­ti­ge, lang­fri­sti­ge Inve­sti­ti­on. Statt­des­sen wür­den die Web-Pro­duk­te von daten­schutz­freund­li­chen APIs ange­trie­ben, die indi­vi­du­el­les Tracking ver­hin­der­ten und den­noch Ergeb­nis­se für Wer­be­trei­ben­de und Publisher lie­fern würden.

»Men­schen soll­ten nicht akzep­tie­ren müs­sen, im gesam­ten Web ver­folgt zu wer­den, um die Vor­tei­le rele­van­ter Wer­bung zu nut­zen. Und Wer­be­trei­ben­de müs­sen nicht ein­zel­ne Ver­brau­cher im gesam­ten Web ver­fol­gen, um die Lei­stungs­vor­tei­le digi­ta­ler Wer­bung zu nutzen.«

Indi­vi­du­el­le Iden­ti­fi­ka­to­ren könn­ten laut Tem­kin leicht durch Fort­schrit­te in den Berei­chen Aggre­ga­ti­on, Anony­mi­sie­rung, gerä­te­in­ter­ne Ver­ar­bei­tung und ande­re daten­schutz­freund­li­che Tech­no­lo­gien ersetzt wer­den: »Tat­säch­lich zei­gen unse­re jüng­sten Tests von FLoC eine Mög­lich­keit, Coo­kies von Dritt­an­bie­tern effek­tiv aus der Wer­be­glei­chung her­aus­zu­neh­men und statt­des­sen Indi­vi­du­en inner­halb gro­ßer Men­schen­men­gen mit gemein­sa­men Inter­es­sen zu ver­stecken«, erklärt er. Chro­me beab­sich­ti­ge, FLoC-basier­te Kohor­ten mit der näch­sten Ver­si­on noch in die­sem Monat für öffent­li­che Tests durch Ori­gin Tri­als zur Ver­fü­gung zu stel­len. Im zwei­ten Quar­tal will Goog­le begin­nen, die­se FLoC-basier­te Kohor­ten mit Wer­be­trei­ben­den in Goog­le Ads zu testen. Chro­me will außer­dem im April die erste Ite­ra­ti­on der neu­en Nut­zer­kon­trol­len anbie­ten und die­se Kon­trol­len in zukünf­ti­gen Ver­sio­nen erwei­tern, sobald mehr Vor­schlä­ge die Ori­gin Tri­al-Pha­se errei­chen und sie mehr Feed­back von End­nut­zen­den und der Bran­che erhal­ten würden.

»Um das Inter­net offen und zugäng­lich für alle zu hal­ten, müs­sen wir alle mehr für den Schutz der Pri­vat­sphä­re tun und das bedeu­tet nicht nur ein Ende der Coo­kies von Dritt­an­bie­tern, son­dern auch jeg­li­cher Tech­no­lo­gie, die dazu ver­wen­det wird, ein­zel­ne Per­so­nen zu ver­fol­gen, wäh­rend sie im Inter­net surfen.«

Das wird kein gene­rel­les Ende für Wer­bung bei Goog­le sein. Der Inter­net-Rie­se wer­de wei­ter­hin First-Par­ty-Bezie­hun­gen auf sei­nen Wer­be­platt­for­men für Part­ner unter­stüt­zen, bei denen sie direk­te Ver­bin­dun­gen zu ihren eige­nen Kun­den haben.

Die Hype-App Club­hou­se lockt neue Nut­zer in Scha­ren an, auch immer mehr Fir­men wol­len sie für ihre Zwecke nut­zen. Das kann jedoch sehr schnell zu einem Buß­geld wegen Ver­stö­ßen gegen Daten­schutz­vor­ga­ben wie die DSGVO führen.

Der Hype um Club­hou­se wird immer grö­ßer, spä­te­stens mit dem bald erwar­te­ten Erschei­nen der Android-Ver­si­on wird die Audio-Chat-App sich wohl end­gül­tig zu einem Mas­sen­phä­no­men ent­wickeln. Nicht nur Pri­vat­per­so­nen wol­len rat­schen, mit­dis­ku­tie­ren und zuhö­ren, auch zahl­rei­che Unter­neh­men, Poli­ti­ker und Mar­ke­ting-Pro­fis haben die App längst im Blick und ver­su­chen sie für sich zu nut­zen. Manch einer geht das vor lau­ter Eile aller­dings viel zu kopf­los an. Einer­seits inhalt­lich, indem er sich von der schein­bar unge­zwun­ge­nen Plap­per-Atmo­sphä­re zu all­zu unbe­dach­ten Aus­sa­gen hin­rei­ßen lässt, wie jüngst Thü­rin­gens Mini­ster­prä­si­dent Bodo Rame­low. All­zu schnell wer­den in den Gesprächs­run­den pri­va­te oder unter­neh­me­ri­sche Geheim­nis­se aus­ge­plau­dert sowie über­mü­ti­ge Aus­sa­gen in die Welt gesetzt, die im Ernst­fall sogar straf­recht­li­che Kon­se­quen­zen haben könn­ten. Wer sich hier geschäft­li­chen Kon­text bewegt, soll­te sich bei aller Locker­heit und trotz der ver­meint­li­chen Unsicht­bar­keit auch demen­spre­chend seri­ös verhalten.

Ande­rer­seits bie­tet Club­hou­se gera­de für Busi­ness-Nut­zer auch auf recht­li­cher und tech­ni­scher Sei­te gefähr­li­che Fall­stricke, ins­be­son­de­re was den Daten­schutz angeht. Das beginnt bereits auf Sei­ten des Anbie­ters, der bis­lang weder die Bedin­gung einer

deut­schen Daten­schutz­er­klä­rung erfüllt, noch ein Impres­sum angibt. Dar­über hin­aus haben Sicher­heits­for­scher schwe­re Lücken in der App auf­ge­deckt, über die sich Chats und Teil­neh­mer mani­pu­lie­ren und abhö­ren aber auch Mal­wa­re ein­schleu­sen las­sen. Durch die Koope­ra­ti­on mit dem chi­ne­si­schen Anbie­ter Ago­ra, der haupt­säch­lich für den Chat-Teil der Soft­ware ver­ant­wort­lich ist, lan­den Nut­zer­da­ten und Gesprä­che auch auf Ser­vern in Chi­na, wie Secu­ri­ty-Fach­leu­te bereits nach­wei­sen konnten.

Im Zen­trum der recht­li­chen Gefah­ren für Unter­neh­men steht jedoch die Ein­la­dungs­funk­ti­on, mit der Club­hou­se gezielt eine künst­li­che Ver­knap­pung schafft und so den Hype geschickt anfacht. Um selbst ande­re Mit­glie­der mit den begehr­ten »Invi­tes« ver­sor­gen zu kön­nen, müs­sen die Nut­zer dem Dienst zuerst Zugriff auf ihr Adress­buch gewäh­ren. Was im pri­va­ten Kon­text nor­ma­ler­wei­se kein gro­ßes Pro­blem ist, wird im beruf­li­chen Umfeld zur Gefahr.

Denn die Daten der Kon­tak­te aus dem Adress­buch wer­den von der App auf die Ser­ver des Anbie­ters in den USA her­un­ter­ge­la­den und dort ana­ly­siert sowie zudem mit Ago­ra geteilt. Danach folgt ein regel­mä­ßi­ger Abgleich, über den sich auch die ent­stan­de­nen Bezie­hun­gen inner­halb der App ver­fol­gen lassen.

Auch wenn der Anbie­ter wenig glaub­wür­dig beteu­ert, es wür­den hier­zu ein­zig die Tele­fon­num­mern benö­tigt, ist das nach Ansicht der mei­sten Daten­schüt­zer schon eine Wei­ter­ga­be und Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten im Sin­ne der DSGVO. Die wie­der­um setzt vor­aus, dass zumin­dest von jedem ein­zel­nen betrof­fe­nen geschäft­li­chen Kon­takt, der nicht selbst die Bedin­gun­gen der App akzep­tiert hat, eine schrift­li­che Ein­ver­ständ­nis­er­klä­rung für den Vor­gang vor­liegt. Hin­zu kommt, dass bis­her nicht klar ist, ob der Anbie­ter zumin­dest die Vor­ga­ben des EU-US Pri­va­cy Shield erfüllt.

Sau­be­re Tren­nung pri­va­ter und beruf­li­cher Nut­zungs­be­rei­che erforderlich

Dabei spielt es aus Sicht des Daten­schut­zes kei­ne Rol­le, ob es sich um ein pri­va­tes Gerät oder ein Fir­men-Smart­pho­ne han­delt. Was zählt, ist ein­zig die Art der Kon­tak­te und Daten. Um einen ent­spre­chen­den Ver­stoß zu bege­hen, reicht es also schon, wenn auf dem pri­va­ten Smart­pho­ne nur ein ein­zi­ger Arbeits­kon­takt abge­legt ist, des­sen Daten unge­fragt an Club­hou­se gehen. Umso grö­ßer wird die Gefahr dem­entspre­chend, wenn das Gan­ze auf für bei­de Zwecke genutz­ten oder gar Fir­men­ge­rä­ten statt­fin­det und gan­ze geschäft­li­che Kon­takt­li­sten betrof­fen sind.

Die Fir­men ste­hen bei Club­hou­se somit erneut vor ähn­li­chen Pro­ble­men wie schon bei Whats­app. Gera­de die Vor­be­din­gung der schrift­li­chen Ein­ver­ständ­nis­er­klä­rung aller Kon­tak­te lässt sich in der Pra­xis nicht erfül­len. Theo­re­tisch lässt sich das zwar bei Club­hou­se – zumin­dest der­zeit noch – umge­hen, indem vor der ersten Nut­zung die Invi­te-Opti­on deak­ti­viert wird. Da sich das bei der pri­va­ten Nut­zung von Club­hou­se im Unter­neh­mens­um­feld aber kaum durch­set­zen lässt, ist hier eine strik­te Tren­nung der Kon­ten, Daten und Kon­tak­te gebo­ten. Ent­we­der phy­sisch, indem es eige­ne Gerä­te für Busi­ness und Pri­va­tes gibt. Oder tech­nisch, indem es zwei getrenn­te Kon­ten und Berei­che dafür auf einem Gerät gibt, sei es nun ein geschäft­li­ches oder im Rah­men von BYOD genutz­tes Smartphone.

Man­che Her­stel­ler wie Sam­sung bie­ten ent­spre­chen­de Lösun­gen an, der Königs­weg ist jedoch Mobi­le Device Manage­ment (MDM). Des­sen Kern sind eine kla­re Stra­te­gie und eine Lösung mit der ihre Vor­ga­ben auch über die Tren­nung hin­aus umge­setzt wer­den kann. Dazu emp­fiehlt Jan Dzu­lko, der mit Ever­pho­ne Abo-Kom­plett­pa­ke­te für Fir­mens­mart­pho­nes (Pho­ne-as-a-Ser­vice) anbie­tet, strik­te Trenn­li­ni­en. »Bei unse­ren Kun­den haben wir vor­ge­sorgt. Stan­dard­mä­ßig kön­nen kri­ti­sche Apps nur im pri­va­ten Bereich instal­liert und genutzt wer­den. Das rate ich allen Unter­neh­men, um DSGVO-Pro­ble­me und auch saf­ti­ge Buß­gel­der zu vermeiden.«

Die nach wie vor hohen Zah­len derer, die an Coro­na erkran­ken (und ster­ben) bedin­gen, dass auch die mei­sten Schu­len bis auf Wei­te­res nicht zum Prä­senz­un­ter­richt zurück­keh­ren. Dies wie­der­um befeu­ert ein The­ma, wel­ches mit der Pan­de­mie zum daten­schutz­recht­li­chen Dau­er­the­ma gewor­den ist: Wel­che Video­kon­fe­renz­sy­ste­me las­sen sich daten­schutz­kon­form nut­zen? Wel­che Anfor­de­run­gen müs­sen ein­ge­hal­ten wer­den? Was pas­siert, wenn die daten­schutz­recht­li­chen Anfor­de­run­gen nicht so schnell umge­setzt wer­den kön­nen, wie es erfor­der­lich wäre? 

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Rhein­land-Pfalz (LfDI), Pro­fes­sor Die­ter Kugel­mann, macht hier­zu einen sehr prag­ma­ti­schen Vorschlag: 

Aus Daten­schutz-Sicht hat die vom rhein­land-pfäl­zi­schen Bil­dungs­mi­ni­ste­ri­um emp­foh­le­ne Lösung Big Blue But­ton (BBB), die bei der Johan­nes Guten­berg-Uni­ver­si­tät Mainz geho­stet wird, gro­ße Vor­zü­ge. Bei BBB han­delt es sich um eine Open Source-Lösung, die es ermög­licht, sie unter voll­stän­di­ger, eige­ner Kon­trol­le und auf eige­nen Syste­men zu betrei­ben. Die Über­mitt­lung von Nut­zungs­da­ten an Drit­te oder deren Ver­wen­dung gar für Wer­be­zwecke kann aus­ge­schlos­sen werden.”

Die Soft­ware Big Blue But­ton war vor eini­ger Zeit auch im Rah­men der recht­li­chen Kurz­prü­fung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit (BlnBDI), Maja Smolt­c­zyk, posi­tiv erwähnt wor­den. Die Liste war als Hil­fe­stel­lung für Ber­li­ner Unter­neh­men, Behör­den, Ver­ei­ne und Frei­be­ruf­ler gedacht.Professor Kugel­mann weiter:

Aus daten­schutz­recht­li­chen Grün­den soll­te dar­auf­hin gear­bei­tet wer­den, dass mit Beginn des Schul­jahrs 2021/​2022 alle Schu­len auf BBB zurück­grei­fen kön­nen. Ange­sichts der der­zei­ti­gen Aus­nah­me­si­tua­ti­on und bestehen­der tech­ni­scher Pro­ble­me ist es ver­tret­bar, wenn im lau­fen­den Schul­jahr Schu­len außer­eu­ro­päi­sche Video­kon­fe­renz­soft­ware ver­wen­den, um dem Bil­dungs­auf­trag nach­zu­kom­men. Um den Schu­len in der schwie­ri­gen Pan­de­mie-Situa­ti­on Mög­lich­kei­ten des Distanz­un­ter­richts zu erhal­ten, wer­den, mit Blick auf den bis Schul­jah­res­en­de zuge­sag­ten per­for­man­ten Aus­bau der Big Blue But­ton-Platt­form, daher Beden­ken hin­sicht­lich einer fort­dau­ern­den Nut­zung durch Schu­len von MS Teams und ver­gleich­ba­ren Lösun­gen US-ame­ri­ka­ni­scher Anbie­ter vor­erst zurückgestellt.

Die Anwen­dung die­ser sehr prag­ma­ti­schen Sicht­wei­se knüpft der LfDI Rhein­land-Pfalz jedoch an eini­ge Bedingungen:

• Bereits ein­ge­setz­te Lösun­gen US-ame­ri­ka­ni­scher Anbie­ter müs­sen auf schul­ei­ge­nen Syste­men betrie­ben wer­den, oder es müs­sen, bei Inan­spruch­nah­me eines Dienst­lei­sters im Rah­men einer Auf­trags­ver­ar­bei­tung gemäß Arti­kel 28 Daten­schutz-Grund­ver­ord­nung, die Kon­fe­renz­da­ten auf Syste­men deut­scher oder euro­päi­scher Anbie­ter ver­ar­bei­tet wer­den. Zudem müs­sen die Lösun­gen daten­spar­sam kon­fi­gu­riert und mit von der Schu­le ver­ge­be­nen, pseud­ony­mi­sier­ten Zugangs­da­ten genutzt wer­den. Es wird eine Ver­wen­dung der Nut­zungs­da­ten für Wer­be­zwecke ver­trag­lich aus­ge­schlos­sen (§ 103 Über­grei­fen­de Schulordnung).

• Die Nut­ze­rin­nen und Nut­zer müs­sen gemäß Arti­kel 13 DS-GVO infor­miert werden.

• Auf die in § 1 Abs. 6 Schul­ge­setz vor­ge­se­he­ne Mög­lich­keit, eine ver­bind­li­che Nut­zung digi­ta­ler Lehr- und Lern­mit­tel vor­zu­se­hen, wird ver­zich­tet. Wenn Eltern, Schü­le­rin­nen oder Schü­ler einer Nut­zung ame­ri­ka­ni­scher Soft­ware­pro­duk­te aus­drück­lich wider­spre­chen, wer­den äqui­va­len­te Lehr­an­ge­bo­te zur Ver­fü­gung gestellt.

Die Bun­des­netz­agen­tur hat gegen das Call-Cen­ter Cell it! GmbH & Co. KG eine Geld­bu­ße in Höhe von 145.000 Euro verhängt.

Die Cell it! hat­te nach Erkennt­nis­sen der Bun­des­netz­agen­tur im Auf­trag des Mobil­funk­an­bie­ters Mobil­com-Debi­tel an des­sen Kun­den ins­be­son­de­re Dritt­an­bie­ter­abon­ne­ments für Hör­bü­cher und Zeit­schrif­ten, Video-on-Demand-Dien­ste, Sicher­heits­soft­ware oder Han­dy­ver­si­che­run­gen ver­trie­ben. Dabei kam es immer wie­der dazu, dass den Ange­ru­fe­nen im Nach­gang des Tele­fo­nats Zusatz­dienst­lei­stun­gen unter­ge­scho­ben und teil­wei­se auch in Rech­nung gestellt wur­den, die die­se über­haupt nicht bestellt hatten.

Dane­ben hat­te Cell it! für den Pay-TV-Anbie­ter Sky Deutsch­land Fern­se­hen tele­fo­ni­sche Neu­kun­den­ak­qui­se über­nom­men. Das Unter­neh­men führ­te all die­se Anru­fe durch, obwohl kei­ne gül­ti­ge Wer­be­ein­wil­li­gung der Ange­ru­fe­nen vor­lag. Vie­le Betrof­fe­ne berich­te­ten zudem gegen­über der Bun­des­netz­agen­tur, dass trotz Unter­sa­gung wei­te­rer Anru­fe gehäuft Kon­takt­auf­nah­men erfolg­ten, durch die sie sich mas­siv belä­stigt fühlten.

Zu den kon­kre­ten For­men der Direkt­wer­bung, also dem Kon­takt­weg zu den betrof­fe­nen Per­so­nen (Anspra­che per Tele­fon­an­ruf, E‑Mail, Fax etc.), regelt das Wett­be­werbs­recht, § 7 des Geset­zes gegen den unlau­te­ren Wett­be­werb (UWG), in wel­chen Fäl­len von einer unzu­mut­ba­ren Belä­sti­gung der Bewor­be­nen aus­zu­ge­hen und eine Wer­bung die­ser Art unzu­läs­sig ist.

Weil Art. 6 Abs. 1 Satz 1 lit. f DS-GVO eine Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nur für zuläs­sig erklärt, soweit die Inter­es­sen oder Grund­rech­te und Grund­frei­hei­ten der betrof­fe­nen Per­son nicht über­wie­gen, sind auch bei der daten­schutz­recht­li­chen Beur­tei­lung einer Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten für Zwecke der Direkt­wer­bung die Wer­tun­gen in den Schutz­vor­schrif­ten des UWG für die jewei­li­ge Wer­be­form mit­zu­be­rück­sich­ti­gen. Wenn für den wer­ben­den Ver­ant­wort­li­chen ein bestimm­ter Kon­takt­weg zu einer betrof­fe­nen Per­son danach nicht erlaubt ist, kann die Inter­es­sen­ab­wä­gung nach Art. 6 Abs. 1 Satz 1 lit. f DS-GVO auch nicht zugun­sten der Zuläs­sig­keit einer Ver­ar­bei­tung die­ser Kon­takt­da­ten für Zwecke der Direkt­wer­bung ausfallen.

Daten­schutz­kon­fe­renz (DSK): Ori­en­tie­rungs­hil­fe der Auf­sichts­be­hör­den zur Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten für Zwecke der Direkt­wer­bung unter Gel­tung der Datenschutz-Grundverordnung

Pres­se­mit­tei­lung des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit vom 15.01.2021

Der Bun­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI), Pro­fes­sor Ulrich Kel­ber, ist sehr zufrie­den mit dem Ergeb­nis des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA) zu Stan­dard­da­ten­schutz­klau­seln (SDK). Die euro­päi­schen Daten­schutz­auf­sichts­be­hör­den und der Euro­päi­sche Daten­schutz­be­auf­trag­te (EDPS) hat­ten in der Sit­zung vom 14. Janu­ar gemein­sa­me Stel­lung­nah­men zu den Ent­wür­fen der Euro­päi­schen Kom­mis­si­on von SDK beschlossen.

Dazu sag­te BfDI Ulrich Kel­ber: „Es gab inten­si­ve Ver­hand­lun­gen zu den Stel­lung­nah­men, die ich mit mei­nen Kol­le­gin­nen und Kol­le­gen ver­ab­schie­det habe. EDSA und EDPS kom­men zu einem kla­ren Urteil. Unse­re deut­sche Posi­ti­on fin­det sich an vie­len Stel­len der Papie­re wie­der. Die­ser gemein­sa­me Vor­schlag wür­de Rechts­si­cher­heit für den Daten­aus­tausch mit Län­dern außer­halb des Euro­päi­schen Wirt­schafts­rau­mes brin­gen, ohne Ein­schrän­kun­gen beim Daten­schutz zu machen.“

Der BfDI hat­te mit sei­nen Kol­le­gin­nen und Kol­le­gen aus den Bun­des­län­dern die deut­sche Posi­ti­on ent­wickelt. Der EDSA und der EDPS waren zum Jah­res­wech­sel von der Euro­päi­schen Kom­mis­si­on gebe­ten wor­den, eine gemein­sa­me Stel­lung­nah­me zu zwei Ent­wür­fen von SDK nach Art. 28 und Art. 46 der Daten­schutz-Grund­ver­ord­nung (DSGVO) zu erar­bei­ten. Die neu­en SDK zu Art. 46 DSGVO sol­len die bis­he­ri­gen bei inter­na­tio­na­len Daten­über­mitt­lun­gen erset­zen. Neue­run­gen gibt es bei­spiels­wei­se bei Anpas­sun­gen an die Anfor­de­run­gen der DSGVO und die Schrems II Recht­spre­chung des Euro­päi­schen Gerichts­ho­fes. Die SDK zu Arti­kel 28 DSGVO sol­len für die Ver­trags­ge­stal­tung zwi­schen Ver­ant­wort­li­chen und Auf­trags­ver­ar­bei­tern erst­mals einen euro­pa­weit ver­wend­ba­ren Stan­dard set­zen, der den Unter­neh­men und Behör­den die Umset­zung der ent­spre­chen­den Vor­ga­ben der DSGVO deut­lich erleich­tert. Der EDSA wird den gemein­sa­men Vor­schlag in Kür­ze auf sei­ner Home­page ver­öf­fent­li­chen: https://​www​.edpb​.euro​pa​.eu/

Die Pres­se­mit­tei­lun­gen des Bun­des­be­auf­trag­ten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit kön­nen hier abge­ru­fen werden.

Down­load Stel­lung­nah­me zu über­ar­bei­te­ten Stan­dard­da­ten­schutz­klau­seln als PDF

Pres­se­mit­tei­lung der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen vom 15.01.2021

Die Lan­des­be­auf­trag­te für den Daten­schutz (LfD) Nie­der­sach­sen, Bar­ba­ra Thiel, stellt klar, dass es kein grund­sätz­li­ches daten­schutz­recht­li­ches Hin­der­nis gibt, auf Mel­de­da­ten zurück­zu­grei­fen, um Impf­in­for­ma­tio­nen an Bür­ge­rin­nen und Bür­ger zu schicken. Durch die öffent­li­che Dar­stel­lung der ver­gan­ge­nen Tage war der Ein­druck ent­stan­den, der Daten­schutz ver­hin­de­re gene­rell die Nut­zung der Mel­de­da­ten für die­sen Zweck. Das ist falsch.

Rich­tig ist, dass dem Sozi­al­mi­ni­ste­ri­um die Nut­zung des Mel­de­re­gi­ster­da­ten­spie­gels (die tages­ak­tu­el­le Zusam­men­stel­lung der kom­mu­na­len Mel­de­re­gi­ster­da­ten) auf­grund lan­des­recht­li­cher Rege­lun­gen nicht mög­lich ist, um Impf­in­for­ma­tio­nen an über 80-jäh­ri­ge Per­so­nen zu ver­sen­den. Ins­be­son­de­re die Rege­lun­gen des Nie­der­säch­si­schen Aus­füh­rungs­ge­set­zes zum Bun­des­mel­de­ge­setz ste­hen dem ent­ge­gen. Dies gilt auch für die Ein­bin­dung eines pri­va­ten Dienstleisters.

Aller­dings gibt es ande­re Mög­lich­kei­ten, auf die Mel­de­da­ten zurück­zu­grei­fen, ohne mit dem Mel­de- oder Daten­schutz­recht in Kon­flikt zu gera­ten. Zum einen kön­nen die Infor­ma­tio­nen des Sozi­al­mi­ni­ste­ri­ums über die Kom­mu­nen ver­sen­det wer­den. Die­se hal­ten die nöti­gen Daten ohne­hin vor und dür­fen sie auch für die­sen Zweck ver­wen­den. Es ist des­halb zu begrü­ßen, dass das Sozi­al­mi­ni­ste­ri­um das Ange­bot der kom­mu­na­len Spit­zen­ver­bän­de ange­nom­men hat, bei der Ver­sen­dung der Impf­schrei­ben zu unterstützen.

Zum ande­ren kann das Sozi­al­mi­ni­ste­ri­um die Daten gemäß § 34 Abs. 2 Bun­des­mel­de­ge­setz auch durch eine soge­nann­te Grup­pen­aus­kunft von den jewei­li­gen Kom­mu­nen erhal­ten und für die Impf­in­for­ma­tio­nen ver­wen­den. Für die Ver­sen­dung könn­te das Mini­ste­ri­um hier auch einen pri­va­ten Dienst­lei­ster ein­set­zen. Sofern die­ser Dienst­lei­ster mit per­so­nen­be­zo­ge­nen Daten in Berüh­rung kommt, wäre der Abschluss eines Auf­trags­ver­ar­bei­tungs­ver­tra­ges erfor­der­lich. Ins­be­son­de­re müss­te durch den Ver­trag sicher­ge­stellt wer­den, dass der Dienst­lei­ster die Daten nicht zu eige­nen Zwecken ver­wen­det, wie z. B. für Werbung.

Wir sehen aus daten­schutz­recht­li­cher Sicht kei­ne Not­wen­dig­keit für die Ver­wen­dung der Daten­bank der Deut­schen Post Direkt GmbH“, sagt Lan­des­da­ten­schutz­be­auf­trag­te Bar­ba­ra Thiel. „Es gibt recht­lich gang­ba­re Mög­lich­kei­ten, um die Mel­de­da­ten zu ver­wen­den. Es ist nun wie­der ein­mal der fal­sche Ein­druck ent­stan­den, Daten­schutz stün­de über allen ande­ren Gütern und wür­de not­wen­di­ge Maß­nah­men ver­hin­dern. Bedau­er­li­cher­wei­se ist mein Haus in die­sen Fra­gen nicht vom Sozi­al­mi­ni­ste­ri­um ein­ge­bun­den worden.“

Die Pres­se­mit­tei­lun­gen der Lan­des­be­auf­trag­ten für den Daten­schutz Nie­der­sach­sen kön­nen hier abge­ru­fen werden.