LfDI BW: Bußgeld gegen AOK Baden-Württemberg

/in /von

Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung (Art. 32 der Europäischen Datenschutz-Grundverordnung DS-GVO) hat die Bußgeldstelle des LfDI Baden-Württemberg mit Bescheid vom 25.06.2020 gegen die  AOK Baden-Württemberg  eine  Geldbuße  von  1.240.000,- Euro  verhängt   und – in konstruktiver Zusammenarbeit mit der AOK – zugleich die Weichen für eine Verbesserung der technischen und organisatorischen Maßnahmen zum Schutz persönlicher Daten bei der AOK Baden-Württemberg gestellt.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmer, darunter deren Kontaktdaten und Krankenkassenzugehörigkeit. Dabei wollte die AOK die Daten der Gewinnspielteilnehmer auch zu Werbezwecken nutzen, sofern die Teilnehmer hierzu eingewilligt hatten. Mithilfe technischer und organisatorischer Maßnahmen, u. a. durch interne Richtlinien und Datenschutzschulungen, wollte die AOK hierbei sicherstellen, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten. Die von der AOK festgelegten Maßnahmen genügten jedoch nicht den gesetzlichen Anforderungen. In der Folge wurden die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet. Versichertendaten waren hiervon nicht betroffen.

Die AOK Baden-Württemberg stellte unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen ein, um sämtliche Abläufe grundlegend auf den Prüfstand zu stellen. Zudem gründete die AOK eine Task Force für Datenschutz im Vertrieb und passte neben den Einwilligungserklärungen insbesondere auch interne Prozesse und Kontrollstrukturen an. Weitere Maßnahmen sollen in enger Abstimmung mit dem LfDI erfolgen.

Innerhalb des Bußgeldrahmens gemäß Art. 83 Abs. 4 DS-GVO sprachen die umfassenden internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Kooperation mit dem LfDI zu Gunsten der AOK. Auf diese Weise konnte in kurzer Zeit eine Steigerung des Schutzniveaus für personenbezogene Daten bei Vertriebstätigkeiten der AOK erreicht werden. Diese Verbesserungen und zusätzlichen Kontrollmechanismen wird die AOK zukünftig entsprechend den Vorgaben und Empfehlungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit fortführen und ggf. anpassen.

Bei der Bemessung der Geldbuße wurde neben Umständen wie der Größe und Bedeutung der AOK Baden-Württemberg insbesondere auch berücksichtigt, dass sie als eine gesetzliche Krankenversicherung wichtiger Bestandteil unseres Gesundheitssystems ist. Schließlich obliegt der AOK die gesetzliche Aufgabe, die Gesundheit der Versicherten zu erhalten, wiederherzustellen oder zu verbessern. Weil Bußgelder nach der DS-GVO nicht nur wirksam und abschreckend, sondern auch verhältnismäßig sein müssen, war bei der Bestimmung der Bußgeldhöhe sicherzustellen, dass die Erfüllung dieser gesetzliche Aufgabe nicht gefährdet wird. Hierbei wurden die gegenwärtigen Herausforderungen für die AOK infolge der aktuellen Corona-Pandemie in besonderem Maße berücksichtigt.

„Datensicherheit ist eine Daueraufgabe“, betont der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink. „Technische und organisatorische Maßnahmen sind regelmäßig den tatsächlichen Verhältnissen anzupassen, um auf Dauer ein angemessenes Schutzniveau sicherzustellen.“ Der Sicherstellung datenschutzkonformer Zustände und der guten Zusammenarbeit von verantwortlichen Stellen mit dem LfDI als Aufsichtsbehörde wird dabei regelmäßig große Bedeutung beigemessen. „Wir streben keine besonders hohen Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an“, so Brink abschließend.

Diese Pressemitteilung als PDF-Dokument aufrufen.

DSK: Orientierungshilfe für datenschutzkonforme Nutzung von E-Mail

/in /von

E-Mail ist neben dem World Wide Web ein wichtiger Internetdienst, nicht zuletzt, weil es durch E-Mails möglich ist, Textnachrichten ebenso wie digitale Dokumente (also z. B. Grafiken oder Office-Dokumente) typischerweise in wenigen Sekunden rund um die Erde zu senden. Ihren Siegeszug trat die E-Mail bereits in dem Jahre 1984 an und ihre Beliebtheit hält trotz diverser Messenger und Sozialer Dienste weiter an.

Insbesondere wenn mit der E-Mail personenbezo-gene Daten übermittelt werden (über die ohnehin vorhandenen Metadaten des Versenders hinaus), existieren auch datenschutzrechtliche Anforderun-gen, die insbesondere Verantwortliche und Auftragsverarbeiter beachten müssen. Sie sind gesetzlich gehalten, die Risiken, die sich aus ihren Verarbeitungen personenbezogener Daten ergeben, hinrei-chend zu mindern.

Das betrifft auch Risiken, die durch die Übermittlung personenbezogener Daten per E-Mail entstehen. Der gesetzlich gebotene Schutz personenbezogener Daten im Zuge der Übermittlung von E-Mail-Nachrichten erstreckt sich sowohl auf die personenbezogenen Inhalte als auch die Umstände der Kommunikation, soweit sich aus letzteren Informationen über natürliche Personen ableiten lassen.

Sowohl Transportverschlüsselung als auch Ende-zu-Ende-Verschlüsselung mindern für ihren jeweiligen Anwendungszweck Risiken für die Vertraulichkeit und Integrität der übertragenen personenbezogenen Daten. Der Einsatz von Transportverschlüsselung bietet lediglich einen Basis-Schutz und stellt eine Mindestmaßnahme zur Erfüllung der gesetzlichen Anforderungen dar. Der durchgreifendste Schutz der Inhaltsdaten wird hingegen durch Ende-zu-Ende-Verschlüsselung erreicht. Verantwortliche müssen beide Verfahren in der Abwägung der not-wendigen Maßnahmen berücksichtigen. In einer von der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder mehrheitlich verabschiedeten Orientierungshilfe werden die Anforderungen an die Verfahren zum Versand und zur Entgegennahme von E-Mail-Nachrichten erläutert.

Quelle: Konferenz der unabhängigen Datenschutzaufsichtsbehördendes Bundes und der Länder

BayLDA: Datenschutzrechtliche Regelungen bei Homeoffice

/in /von

Die Corona-Pandemie hat dafür gesorgt, dass das Thema Homeoffice auch bei Unternehmen, die sich bislang nicht intensiv damit beschäf-tigt haben, in den Vordergrund gerückt ist. Im „Normalfall“ stellt sich die Einrichtung eines Home-Office-Arbeitsplatzes als eine wohlüber-legte und gut geplante Maßnahme dar. Damit auch im Falle einer pandemiebedingten, schnelleren Umsetzung der Verlagerung der Datenschutz am heimischen Arbeitsplatz nicht auf der Strecke bleibt, haben auch Datenschutz-Aufsichtsbehörden eine ganze Reihe von Leitfäden veröffentlicht, so bspw. Das ULD oder auch der BfDI.

Die aktuellste Veröffentlichung kommt von dem BayLDA in Form eines „Selbst-Check: Datenschutzrechtliche Regelungen bei Homeoffice“.

Das BayLDA möchte mit seiner Handreichung einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Im Sinne einer gezielten Prävention von Datenschutzverstößen soll damit im momen-tanen „neuen Alltag“ eine gesteigerte Sensibilisierung für dieses Thema erreicht und mit konkreten Prüffragen der eigene Stand der Umsetzung unterstützt werden, so das BayLDA.

Die aufgeführten Prüfpunkte sieht das BayLDA nicht als abschließend an, sondern stellt einen Best-Practice-Ansatz dar, der beispielsweise von seiten der Geschäftsführung oder des Datenschutzbeauftragten im Sinne einer Soll-Ist-Überprüfung verwendet werden kann. Eine gut sortierte Sammlung zum Thema Datenschutz und Home-Office bietet die GDD mit weiteren nützlichen Links zum Thema.

Quelle: Bayerisches Landesamt für Datenschutzaufsicht

BvD fordert anlässlich der Evaluierung der DSGVO Bürokratieabbau zur Entlastung von KMU

/in /von

Positionspapier gibt Handlungsempfehlungen aus Praxisperspektive
Anlässlich der ersten Evaluierung der am 25.05.2018 anwendbar gewordenen Datenschutz-Grundverordnung (DSGVO) spricht sich der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. für eine Entlastung kleiner und mittelständischer Unternehmen aus. In einem Positionspapier fordert der Verband einen Abbau von Bürokratie durch stärkere Einbindung des Datenschutzbeauftragten (DSB). Denn durch die DSGVO begründete Bürokratie ergibt sich nicht durch die Benennung des DSB, sondern aufgrund der hiervon unabhängig bestehenden und bußgeldbewehrten umfassenden Organisations- und Dokumentationspflichten der DSGVO. Die Einbindung des DSB führt daher zu einer Entlastung des Mittelstands.

Pressemitteilung
Positionspapier

LfDI RP: Corona-Warn-App ist aus „Datenschutz-Sicht okay“

/in /von

Die in Berlin vorgestellte Corona-Warn-App ist aus Sicht des Landesdatenschutzbeauftragten Dieter Kugelmann „datenschutzrechtlich okay“

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 16.06.2020

Die heute in Berlin vorgestellte Corona-Warn-App ist aus Sicht des Landesdatenschutzbeauftragten Dieter Kugelmann „datenschutzrechtlich okay“. „Das Herunterladen und das Nutzen der App ist freiwillig, und die gesammelten Daten werden dezentral auf den einzelnen Smartphones gespeichert. Diese beiden Prinzipien haben aus Datenschutz-Sicht eine immens große Bedeutung“, sagt Professor Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI). „Die App ist aus der Datenschutz-Perspektive in Ordnung. Man kann sie sich guten Gewissens herunterladen. Ob sie tauglich ist, ist eine Frage des Gesundheitsschutzes. Allerdings darf die App nicht zur Dauerlösung werden: Wenn die Corona-Pandemie besiegt ist, sollte die App der Vergangenheit angehören und nicht mehr auf den Smartphones aktiviert sein.“

Kugelmann sagt weiter: „Jede Bürgerin und jeder Bürger sollte sich aber bewusst machen, dass die neu auf den Smartphones gesammelten Daten, etwa Informationen zu Covid 19-Erkrankungen, das Ziel von kriminellen Hacker-Angriffen werden könnten. Jede und Jeder sollte daher überlegen, auf seinem Smartphone eine Anti-Virus-Software zu installieren. Die meisten Menschen achten auf ihren Computern darauf, ein aktuelles Viren-Schutz-Programm installiert zu haben. Auf dem Smartphone, auf dem viele Menschen sensible Daten eingeben und speichern, sollte dieses auch selbstverständlich werden.“

„Die ursprünglichen Pläne zur Corona-Warn-App waren aus Datenschutz-Sicht furchterregend“, sagt Kugelmann. „Es ist ein großer Erfolg für die Datenschützer der Länder und des Bundes, dass die App nun anders konzipiert wurde. Neben der dezentralen Speicherung und Anonymisierung der Kontaktdaten wird auf die Erhebung von Standortdaten verzichtet. Auch die Entwicklung des Programmcodes erfolgte transparent. Zudem werden die Daten nach zwei Wochen gelöscht. Es ist allerdings sehr wichtig, dass das Freiwilligkeits-Prinzip der App nicht Schritt für Schritt ausgehöhlt wird: Es darf nicht passieren, dass etwa Gaststättenbetreiber, Konzertveranstalter oder private Busunternehmer irgendwann sagen: ‚Wir akzeptieren nur Kunden und Gäste, die die App heruntergeladen haben‘.“

Der Datenschutzbeauftragte sagt: „Mit der nun vorliegenden App werden – so meine erste Bewertung – die Freiheitsrechte geachtet. Auch während der Pandemie dürfen wir nicht vorschnell Freiheitsrechte aufgeben, erst recht nicht, wenn es dem effektiven Gesundheitsschutz gar nicht dient oder nicht angemessen ist. Es besteht kein Zweifel, dass die Bekämpfung der Pandemie weiterhin Priorität genießen muss. Dies muss aber in einem rechtsstaatlichen Rahmen geschehen, damit die staatliche Ordnung nicht erodiert.“

LAG Köln: umfangreiche Privatnutzung von eMail/Internet rechtfertigt fristlose Kündigung

/in /von

Das Landesarbeitsgericht (LAG) Köln entschied mit seinem Urteil vom 07.02.2020 (aSa 329/19), dass eine außerordentliche Kündigung aufgrund umfangreicher privater Internetnutzung während der Arbeitszeit trotz Verbot gerechtfertigt ist.

Der Kläger war als einziger Mitarbeiter bei der Beklagten, ein Unternehmen, das im Bereich Webdesign, Social Media und Online-Marketing tätig war, angestellt.

Vertraglich vereinbart war, dass die von der Beklagten zur Verfügung gestellte IT-Infrastruktur nicht zu privaten Zwecken benutzt werden durfte. Es stellte sich heraus, dass der Kläger an mehreren Tagen und über Monate hinweg regelmäßig das Internet und den betrieblichen E-Mail-Account zu privaten Zwecken nutzte. Daraufhin kündigte die Beklagte dem Kläger fristlos. Gegen diese Kündigung zog der Arbeitnehmer vor Gericht. Das LAG Köln lehnte nun die Revision des Arbeitnehmers und Klägers als unbegründet ab und beurteilte damit die Kündigung für wirksam.

Als Nachweise hatte die Beklagte vor Gericht, Inhalte aus den E-Mail-Verläufen auf dem dienstlichen Laptop und dem Browser-Cache vorgebracht. Dahingehend unterstellte der Kläger der Beklagten „massive Datenverstöße“. Durch die Vorlage der Beweise stellte sich das LAG Köln die Frage, ob die Beklagte die Daten überhaupt speichern durfte oder ob ein Beweisverwertungsverbot gegeben war.

Im Ergebnis bejahte das LAG Köln die Verwendung der Informationen und führte dazu folgendes aus:

„Einer prozessualen Verwertung der Inhalte der E-Mails auf dem dienstlichen Laptop und der Einträge in den Log-Dateien der Internet-Browser steht auch kein sog. prozessuales Verwertungsverbot (…) entgegen. Rn. 128

Greift die prozessuale Verwertung eines Beweismittels in das allgemeine Persönlichkeitsrecht eines Arbeitnehmers ein (1. Stufe), das – jedenfalls außerhalb des unantastbaren Kernbereich privater Lebensführung – nicht schrankenlos gewährleistet wird, überwiegt bei einer Güterabwägung das Interesse des Arbeitgebers an seiner Verwertung und der Funktionstüchtigkeit der Rechtspflege das Interesse am Schutz dieses Grundrechts nur dann, wenn weitere, über das schlichte Beweisinteresse hinausgehende Umstände auf Seiten des Arbeitgebers hinzutreten (2. Stufe).“ Rn. 94

Da die vorliegend streitgegenständlichen Speichervorgänge noch vor Inkrafttreten der DSGVO und des BDSG-nF passierten, beruht diese Entscheidung noch auf der alten Rechtslage. Allerdings hat diese Entscheidung auch nach aktuellem Datenschutzrecht noch Bestand. Denn der § 26 BDSG-nF, in der die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis geregelt ist, entspricht weitestgehend der alten Regelung in § 32 BDSG-aF und wurde in der Entscheidung zusätzlich zitiert.

Das Gericht führte weiter an, dass die Verarbeitung der Browser-Verlaufsdaten und der E-Mails auf Grundlage von § 32 Abs. 1 BDSG aF / § 26 Abs. 1 BDSG nF zulässig sei:

„Vorliegend gestattet § 32 Abs. 1 BDSG aF / § 26 Abs. 1 BDSG nF der Beklagten sowohl Erhebung und Verarbeitung (Speicherung) der bei Internetnutzung entstehenden Verlaufsdaten in der Browserchronik und der E-Mails, als auch deren spätere Nutzung (Auswertung), auch im vorliegenden Prozess.

Hiernach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für seine Durchführung oder Beendigung erforderlich ist.

Dass die Beklagte die ausgewerteten personenbezogenen Daten im Kündigungsschutzprozess auch als Beweismittel nutzen wollte, diente zudem der Beendigung des Beschäftigungsverhältnisses “

Dass der Kläger bei der Auswertung nicht hinzugezogen wurde, sei dabei unerheblich. Zwar erhöhe die Heimlichkeit einer in Grundrechte eingreifenden Maßnahme typischerweise das Gewicht der Freiheitsbeeinträchtigung, so heißt es in einer Urteilsbegründung des BAG. Demzufolge sei eine in Anwesenheit des Klägers durchgeführte Schrankkontrolle gegenüber einer heimlichen Durchsuchung das mildere Mittel, da die Kontrolle in seinem Beisein dem Kläger die Möglichkeit gebe, auf die Art und Weise der Durchführung Einfluss zu nehmen.

Im vorliegenden Fall stelle eine in Anwesenheit des Klägers durchgeführte Auswertung der Log-Dateien der Internet-Browser sowie der E-Mails jedoch kein milderes Mittel gegenüber der ohne Hinzuziehung des Klägers erfolgenden Auswertung dar. Die Art und Weise der Auswertung wäre auch bei Anwesenheit des Klägers keine andere gewesen, so führte das Gericht weiter aus.

Besteht also ein ausdrückliches Verbot für die private Internetnutzung während der Arbeitszeit, stellt eine Zuwiderhandlung einen Verstoß gegen die arbeitsvertraglichen Pflichten dar. In diesem Zusammenhang sollten sich Unternehmen verdeutlichen, welche Folgen es haben kann, wenn die betriebliche Internet- und E-Mailnutzung nicht klar geregelt ist. Sofern nichts geregelt ist oder eine Privatnutzung sogar erlaubt ist, kann eine Protokollierung wie sie in diesem Fall erfolgt ist, schnell zu einem Datenschutz-Problem werden.

Auch bei einer Erlaubnis der Privatnutzung sind ebenfalls klare Regeln nötig, um den dienstlichen Datenverkehr im Rahmen der datenschutzrechtlichen Möglichkeiten überwachen zu können. In jedem Fall ist dazu geraten, die Privatnutzung der IT-Systeme zu regeln, sei es durch ein ausdrückliches Verbot oder eine Erlaubnis. Bei der Formulierung einer solchen Richtlinie sollte der Datenschutzbeauftragte sowie ggf. auch der Betriebsrat einbezogen werden.

LfDI RP: Defizite bei der Kontakterfassung in Corona-Zeiten

/in /von

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 09.06.2020

In zahlreichen Branchen müssen Betriebe und Einrichtungen in diesen Wochen Informationen mit personenbezogenen Daten der Kunden und Gäste sammeln. Hierzu erklärt Professor Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI): „Neben der datenschutzkonformen Erfassung gibt die Datenschutz-Grundverordnung unmissverständlich vor, dass die Gäste und Kunden zum Zeitpunkt der Datenerhebung informiert werden müssen. In vielen Restaurants und weiteren Einrichtungen bestehen hierzu noch Defizite: Entweder wird überhaupt nicht mitgeteilt, zu welchem Zweck Daten erhoben werden. Oder es fehlen wichtige Informationen – etwa der Name des Verantwortlichen des Betriebes, an den man sich bei Nachfragen oder Beschwerden wenden kann. Gerade weil in diesen Wochen hunderttausende Daten neu gesammelt werden, ist ein transparenter Umgang besonders wichtig. Derzeit findet in Deutschland die größte – durch tausende Einzelunternehmen durchgeführte – Datensammelaktion in der Geschichte der Bundesrepublik statt: Diese kann dauerhaft nur auf Akzeptanz stoßen, wenn Klarheit und Transparenz groß geschrieben werden. Wer in ein Restaurant, eine Kneipe, zum Friseur oder ins Theater geht, muss wissen, warum er namentlich erfasst wird.“

Nach den Anforderungen der Datenschutz-Grundverordnung (Art. 13 DS-GVO) müssen die Verantwortlichen etwa in einem Restaurant über Folgendes informieren: über Name und Kontaktdaten des Verantwortlichen und ggf. eines Datenschutzbeauftragten, über Zweck und Rechtsgrundlage der Datenverarbeitung, über (mögliche) Empfänger der Daten, über die Dauer der Speicherung, über Betroffenenrechte und das Beschwerderecht bei einer Aufsichtsbehörde sowie über die Folgen, wenn die Kontaktdaten nicht angegeben werden. Diese Informationen können gut einsehbar auf Tischen ausgelegt oder im Eingangsbereich ausgehängt werden. Auch kann auf dem Kontaktformular, auf dem die Kunden sich registrieren, informiert werden. Es sollte überdies ein Exemplar zur Verfügung stehen, das der Gast oder Kunde auf Wunsch mitnehmen kann.

In vielen Branchen besteht die Verpflichtung zur Kontaktdatenerfassung. Es müssen demnach in der Regel Name, Vorname, Anschrift und Telefonnummer gesammelt werden; die Aufbewahrungsfrist für die Daten beträgt einen Monat. Danach sind die Daten grundsätzlich zu löschen, wenn nicht andere gesetzliche Aufbewahrungsfristen gelten. Das zuständige Gesundheitsamt kann, soweit dies erforderlich ist, bei den Betrieben Auskunft über die Kontaktdaten verlangen. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig.

Der LfDI hat zur Information der Verantwortlichen in den Betrieben, die die Daten sammeln müssen, ein Merkblatt zusammengestellt (siehe Anhang). Zudem hat der LfDI auf seiner Internetseite unter www.datenschutz.rlp.de/de/themenfelder-themen/corona-datenschutz/ Informationen zusammengefasst zu: „Was ist bei der Erfassung von Kontaktdaten datenschutzrechtlich zu beachten ist?“. Dort befindet sich auch eine Musterinformation.

Berliner Beauftragte für Datenschutz: Neuauflage des Ratgebers „Wie sicher ist dein Smartphone?“

/in /von

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat eine Neuauflage des Ratgebers „Wie sicher ist dein Smartphone?“ veröffentlicht. Der Ratgeber richtet sich an Jugendliche und Heranwachsende und erklärt leicht verständlich, welche Gefahren beim Umgang mit dem Smartphone für die Privatsphäre drohen und mit welchen Tipps Nutzerinnen und Nutzer sich bestmöglich schützen können.

Die handliche Broschüre behandelt in kurzen übersichtlichen Kapiteln bekannte Gefahren, z. B. Smartphone-Viren, Spionage und Datenklau, und erklärt zudem weniger offensichtliche Risikofelder wie die Erstellung von Bewegungsprofilen oder die Nutzung unverschlüsselter WLAN-Hotspots. Darüber hinaus finden sich in dem Ratgeber nützliche Hinweise dazu, wie man persönliche Informationen datenschutzgerecht löscht, bevor ein Telefon entsorgt oder weggegeben wird, und wie wichtige Daten richtig gesichert werden können.

Der in der Vergangenheit stark nachgefragte Ratgeber wurde erstmalig im Jahr 2008 veröffentlicht und ist nun in der 3. aktualisierten und ergänzten Auflage kostenfrei erhältlich. Er kann als gedruckte Ausgabe bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit angefragt und digital unter _https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/informationsmaterialien/_ abgerufen werden.

LfDI RP: Anstieg von Datenpannen in diesen Tagen aufgrund von Phishing Mails

/in /von

Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz vom 03.06.2020

In den vergangenen Tagen sind zahlreiche Organisationen und Betriebe in Rheinland-Pfalz mit einer neuartigen Schadsoftware vergleichbar der Schadsoftware Emotet infiziert worden.

Beim Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) sind seit dem 20. Mai acht entsprechende Datenpannen gemeldet worden. Es sind Unternehmen als auch öffentliche Stellen von den Angriffen betroffen. Bei der derzeitigen Angriffswelle handelt es sich um eine Schadsoftware, bei der der Schädling in der Regel neben den E-Mail-Kontakten auch die vorhandene E-Mail-Kommunikation ausliest und sich dann auf dem E-Mail-Weg weiterverbreitet. Ist die Schadsoftware erstmal in IT-Systeme eingedrungen, kann sie unter Umständen andere Schadprogramme nachladen.

Ob und gegebenenfalls in welchem Umfang bei den jüngsten Angriffen in Rheinland-Pfalz über die Daten aus der E-Mail-Kommunikation hinaus weitere Daten abgeflossen sind, ist derzeit noch offen. Nach den ersten Angaben der Verantwortlichen der betroffenen Unternehmen und Einrichtungen sind bisher keine weiteren Abflüsse von Daten festgestellt worden; dies ist jedoch Gegenstand weiterer Ermittlungen. Datenschutzrechtlich sind Angriffe mit der neuartigen Schadsoftware problematisch, weil durch den Abfluss der E-Mails personenbezogene Daten unbefugten Dritten bekannt werden. Diese E-Mails können, je nach Zusammenhang, sensible Daten der Absender enthalten.

Die Angriffe verlaufen in der Regel nach folgendem Muster: Die Schadsoftware liest Kontaktbeziehungen und E-Mail-Inhalte aus den Postfächern bereits infizierter Systeme aus. Anschließend werden authentisch aussehende Spam-Mails an die Empfänger aus der Kontaktliste verschickt. Diese erhalten also fingierte Mails von Absendern, mit denen sie kürzlich tatsächlich in Kontakt standen, was das Risiko erhöht, dass den E-Mails Vertrauen entgegengebracht wird. Die Beschreibungen der Betroffenen in Rheinland-Pfalz in den vergangenen Tagen ähneln sich in diesem Sinne: E-Mails mit den Adressen der betroffenen Unternehmen und Einrichtungen sind an Personen gegangen, die aus zwei Elementen bestanden. Im oberen Teil der E-Mail war ein kurzer Satz mit einem Link enthalten, über den womöglich eine Infektion erfolgen könnte. Im unteren Teil der E-Mail war eine ältere E-Mail angehängt, die die Person zuvor an das Unternehmen oder die Einrichtung gesandt hatte.

Bei einem Befall mit der neuartigen Schadsoftware liegt datenschutzrechtlich eine Datenschutzverletzung vor, die nach Artikel 33 DS-GVO bei der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden zu melden ist. Nach einem Angriff sollten alle betroffenen Personen, das heißt alle E-Mail-Absender, die sich im Postfach des infizierten Unternehmens befinden, nach dem Motto „Sharing is caring“ (Vorbeugen durch Informationen teilen) über den Vorfall informiert werden, um eine Ausbreitung zu verhindern. Handelt es sich bei den betroffenen E-Mails um E-Mails mit sensiblen Inhalten wie besonders geschützte Daten nach Art. 9 DS-GVO, ist von einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen auszugehen. In diesen Fällen unterliegt der Verantwortliche einer Pflicht zur Benachrichtigung der betroffenen Personen nach Art. 34 Abs. 1 DS-GVO.

Der LfDI empfiehlt den betroffenen Unternehmen und Organisationen ihre Mitarbeiter für die neue Welle von Phishing-Mails zu sensibilisieren und die Sicherheitsvorkehrung des Bundesamts für Sicherheit in der Informationstechnik zur Vorbeugung eines Angriffs zu befolgen. Weitere Informationen gibt es beim Bundesamt und dem Bayerischen Landesamt für Datenschutzaufsicht.

Die Pressemitteilungen des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können hier abgerufen werden.

BGH Urteil: Cookies dürfen nicht voreingestellt sein, explizite Einwilligung notwendig

/in /von

Aktiv zustimmen oder nur nicht widersprechen? Für das Setzen von Cookies im Internet hat der BGH eine Unklarheit zwischen deutschem und europäischen Gesetzestext ausgeräumt.

Cookies sind allgegenwärtig im Internet. Wer sie auf seinen Internetseiten setzen will, braucht nach einem Urteil des Bundesgerichtshofs (BGH) vom Donnerstag aber in jedem Fall die aktive Zustimmung der Nutzer. Konkret ging es um den Streit zwischen Planet49, einem Anbieter von Online-Gewinnspielen, und dem Bundesverband der Verbraucherzentralen. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung benachteilige den Nutzer unangemessen.

Der Senat habe für seine Entscheidung das deutsche Telemediengesetz (TMG) mit seiner Widerspruchsregelung nach den Vorgaben der seit 2018 geltenden EU-Datenschutzgrundverordnung (DS-GVO) ausgelegt, sagte der Vorsitzende Richter Thomas Koch. Zuvor hatten die Richter dem Europäischen Gerichtshof Fragen zur Vorabentscheidung vorgelegt. Der deutsche Gesetzgeber habe das TMG nach Einführung der DS-GVO zwar nicht überarbeitet, es sei aber klar, dass er keinen Widerspruch zum europäischen Recht sehe. (I ZR 7/16).

Cookies speichern beim Surfen im Internet Daten auf der Festplatte des Nutzers. Bei einem späteren Besuch der Webseite werden mit ihrer Hilfe die Nutzer und ihre Einstellungen wiedererkannt. Cookies werden auch dazu verwendet, Verbrauchern individuelle Werbung zu präsentieren. Wenn ein Nutzer im vorliegenden Fall das voreingestellte Häkchen nicht entfernte, stimmte er einer Auswertung seines Surfverhaltens und interessengerichteter Werbung zu.

Das Urteil des Bundesgerichtshofs sorge dafür, dass die Rechtsunsicherheit für Unternehmen erheblich reduziert werde. Denn endlich ist klar, was in Sachen Cookies erlaubt ist und was nicht. Gleichzeitig steige mit sofortiger Wirkung auch das Abmahn- und Haftungsrisiko bei Verstößen – etwa, wenn Unternehmen nicht sofort handeln und ihre Webseiten und Apps nicht anpassen.

Der Verband der Internetwirtschaft (eco) begrüßte die BGH-Entscheidung. »Das Urteil gibt Unternehmen und Nutzern endlich Klarheit und Rechtssicherheit im Umgang mit Cookies«, sagte Eco-Geschäftsführer Alexander Rabe.

Der Branchenverband Bitkom kritisierte dagegen das Urteil scharf. Es treffe die Webseitenbetreiber schwer und es nerve viele Internetnutzer, erklärte Bitkom-Hauptgeschäftsführer Bernhard Rohleder. Alle Cookies, die als nicht unbedingt erforderlichen gelten, dürften jetzt nur noch mit aktiver Einwilligung gesetzt werden. »Welche Cookies damit gemeint sind, bleibt jedoch unklar. Dieser Unsicherheit wird für alle Seiten zu höheren Aufwänden führen.« Für Internetnutzer entstehe mit dem BGH-Urteil ein weiterer Komfortverlust: »Sie müssen häufiger Banner wegklicken oder Häkchen setzen, bevor sie die gewünschten Inhalte sehen.« Dabei dienten Cookies den Webseitenbetreibenden und Usern gleichermaßen, etwa bei Warenkörben in Online-Shops oder um das Webseitenerlebnis für Nutzer zu verbessern.