Datenauskunft als Datenpanne?

Datenauskunft als Datenpanne

Die Umsetzung der DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.

Fristen einzuhalten ist nicht alles

Stellen Sie sich vor, Sie sollen einen Antrag auf Auskunft bearbeiten. Sie müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist das der Fall, klären Sie, welche Daten dies sind und zu welchem Zweck Ihr Betrieb sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.

Dabei können Sie sich nicht beliebig Zeit lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht passieren, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte die Datenauskunft zu einer Datenpanne werden.

Die Identität des Antragstellers muss geklärt sein

Die Aufsichtsbehörden für den Datenschutz haben mehrfach deutlich gemacht: Es muss sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.

Das bedeutet somit, dass Sie sicherstellen müssen, dass die Person, die die Auskunft wünscht, auch tatsächlich das Recht dazu hat, also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen durch einen Prozess sicherstellen. Bei vielen Unternehmen ist dem aber noch nicht so, auch wenn die DSGVO bereits drei Jahre zur Anwendung kommt.

Nicht auf die falsche Prüfung der Identität setzen

Nun gibt es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Dabei muss dieser Weg zum einen datenschutzgerecht sein, also zum Beispiel keine unnötigen Daten abfragen. Zum anderen muss der gewählte Weg aber auch sicher genug sein.

Wenn Sie das Verfahren in Ihrem Unternehmen noch nicht kennen, erkundigen Sie sich bitte, bevor Sie ein Auskunftsersuchen bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis genutzt werden.

Ob beispielsweise die Identifizierung über ein Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer vergeben hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.

Kennt also eine anfragende Person das Passwort der betroffenen Person, das für einen Online-Dienst Ihres Unternehmens besteht, und kann sie sich einloggen, bedeutet dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Seien Sie also vorsichtig, denn Identitätsdiebstahl im Internet greift um sich. So basieren die stark verbreiteten Phishing-Attacken genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten herauslocken soll. Das Auskunftsersuchen per Mail kann also auch eine Fälschung sein.

Kennzeichen-Kameras beim Parken

Kennzeichen-Kameras beim Parken

An immer mehr Parkplätzen verschwinden die Einfahrtsschranken. Stattdessen erfassen Kameras die Kennzeichen. Wie ist das mit dem Datenschutz zu vereinbaren?

Einfahrtsschranke – das ist Vergangenheit!

Immer mehr Unternehmen bauen an der Einfahrt zum Firmenparkplatz die Einfahrtsschranke ab. Stattdessen filmen sie die Kennzeichen der einfahrenden Fahrzeuge. In einer Datenbank lässt sich feststellen, ob dieses Fahrzeug den Parkplatz benutzen darf.

Ähnlich verfahren die Betreiber von öffentlichen Parkhäusern. Hineinfahren kann jeder einfach so. Bezahlt wird am Automaten, nachdem der Fahrer sein Kennzeichen eingegeben hat.

Mehr Bequemlichkeit beim Parken

Die Vorteile liegen auf der Hand. Kein Fahrer muss mehr die Scheibe an der Fahrertür öffnen, nach dem Einfahrtschip kramen oder mühsam das Parkticket bei der Einfahrt lösen. Bei der Bezahlung muss man kein Einfahrtticket mehr in den Automaten stecken. Stattdessen gibt man sein Kennzeichen ein.

Kfz-Kennzeichen sind personenbezogen

Der Datenschutz ist ein Thema, weil die Kennzeichen von Fahrzeugen personenbezogene Daten enthalten. Das überrascht auf den ersten Blick. Aber: Mithilfe des Kennzeichens ist es leicht möglich, den Halter eines Fahrzeugs festzustellen. Genau dazu sind sie da. Wer Kennzeichen festhält, muss deshalb die Datenschutzregelungen beachten.

Kaum Probleme bei Firmenparkplätzen

Bei einem Firmenparkplatz ist alles relativ einfach. Seine Benutzung ist in irgendeiner Weise im Zusammenhang mit dem Arbeitsverhältnis geregelt. Beispielsweise kann der Arbeitsvertrag eine entsprechende Klausel enthalten. Vielleicht gibt es auch eine Betriebsvereinbarung. Arbeitsvertrag oder Betriebsvereinbarung sind dann die Rechtsgrundlage dafür, dass der Arbeitgeber die nötigen Daten festhalten darf.

Meist kosten Firmenparkplätze nichts. Dann genügt es, die Parkberechtigung festzustellen. Dazu sind die Kennzeichen der berechtigten Fahrzeuge in einer Datenbank gespeichert. Fährt ein Fahrzeug in den Parkplatz ein, wird sein Kennzeichen mit dieser Datenbank abgeglichen.

Daten für die Abrechnung

Kostet ein Parkplatz etwas, braucht man zusätzlich Daten für die Abrechnung. Bei öffentlichen Parkplätzen ist das die Regel. Abgerechnet wird bei der Ausfahrt. Dazu braucht man Einfahrtszeit und Ausfahrtszeit. Manchmal bestehen Monatsverträge für Dauerparker. Bei ihnen spielen die Parkzeiten normalerweise keine Rolle. Dann sind diese Daten auch nicht nötig.

Datenschutzhinweise bei der Einfahrt

Ein häufiges Konfliktthema sind die Datenschutzhinweise an der Einfahrt zum Parkplatz. Bei einem Firmenparkplatz für Beschäftigte können sie entweder sehr kurz ausfallen oder sogar völlig wegbleiben. Die Beschäftigten sind im Regelfall auch ohne solche Hinweise ausreichend informiert. So steht beispielsweise in Betriebsvereinbarungen für Firmenparkplätze meist auch, welche Daten gespeichert werden dürfen und was mit ihnen geschieht.

Parkhäuser mit engen Einfahrten

Bei Parkhäusern ist es nicht ganz so einfach. Typisch ist folgende Situation: Wer parken will, merkt erst an der Einfahrt, dass es keine Schranke gibt. Oft genug sind die Einfahrten eng. Für große Schilder mit ausführlichen Informationen ist schlicht kein Platz. Die Datenschutz-Grundverordnung verlangt aber, dass eine umfassende Information über die Verarbeitung der Daten erfolgt.

Vernünftige Lösungen für die Praxis

Für solche Fälle sind die Datenschutzbehörden mit praxisnahen Lösungen einverstanden. Sie sehen so aus: An der Einfahrt steht ein Schild, das auf die Kennzeichenerfassung hinweist. Ansonsten heißt es dort lediglich: „Weitere Informationen im Parkhaus. Freie Ausfahrt binnen 10 Minuten möglich.“ Diese Formulierung ist nur ein Beispiel, es sind auch andere kurze Texte möglich.

Wem es nicht gefällt, kann kostenlos ausfahren

Wer einfährt, kann sich dann im Parkhaus informieren, wie die Kennzeichenerfassung erfolgt und welche Daten gespeichert werden. Ist er damit nicht einverstanden, kann er sich wieder ins Auto setzen und gebührenfrei ausfahren. Sein Kennzeichen wurde dann zwar bei der Einfahrt erfasst. Das System ist aber so eingestellt, dass es diese Daten vollständig löscht, wenn das Fahrzeug innerhalb der Karenzzeit ausfährt.

Bequemlichkeit und Datenschutz – das geht!

Insgesamt ist die Kennzeichenerfassung auf Parkplätzen ein Beispiel dafür, dass Bequemlichkeit und Datenschutz wunderbar zusammenpassen können. Es ist deshalb kein Wunder, dass immer mehr Supermärkte und Einkaufszentren solche Systeme einsetzen.

 

Private Aktivitäten und die DSGVO

Private Aktivitäten und die DSGVO

Immer wieder hört man, dass die DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?

Eine Ausnahme vom Anwendungsbereich der DSGVO

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer: Sie gilt nicht für die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“ So beschreibt es an etwas versteckter Stelle Art. 2 Absatz 2 Buchstabe c DSGVO.

Hinter der Regelung steht der Gedanke, dass rein private Aktivitäten die Interessen anderer Personen normalerweise nicht berühren.

Ausnahmen sind eng auszulegen

Die DSGVO lässt hier eine Ausnahme von ihrem Anwendungsbereich zu. Ausnahmen sind generell eng auszulegen. Deshalb empfiehlt es sich, die Regelung sehr genau anzuschauen. Dabei ergeben sich wichtige Aspekte:

Natürliche und juristische Personen

  • Die Ausnahme betrifft nur die Verarbeitung von Daten durch „natürliche Personen“. Das sind alle Menschen. Der Gegenbegriff dazu sind „juristische Personen“. Das heißt konkret: Wenn Herr Meier für sich persönlich einen Geburtstagskalender mit seinen Bekannten führt, spielt die DSGVO keine Rolle. Denn dies tut er als natürliche Person. Führt er einen Geburtstagskalender mit demselben Inhalt dagegen als Geschäftsführer für die Meier GmbH, sieht es anders aus. Dann gilt dafür die DSGVO.

Persönliche und geschäftliche Tätigkeiten

  • Die Ausnahme erfasst nur „persönliche und familiäre Tätigkeiten“. Das Gegenstück dazu sind vor allem „geschäftliche Tätigkeiten“. Ein elektronisches Telefonbuch mit den Rufnummern von Verwandten und persönlichen Freunden interessiert die DSGVO nicht. Bei einem elektronischen Telefonbuch mit den Rufnummern von Geschäftspartnern sieht das anders aus.

Behandlung von gemischten Fällen

  • Dieses Beispiel führt zu „Mischfällen“, die in der Praxis relativ häufig sind. Jemand hat in seinem privaten Handy die Rufnummern von Verwandten und Freunden gespeichert. Außerdem finden sich dort auch die Nummern aller wichtigen Geschäftspartner. Private Verbindungen bestehen zu den Geschäftspartnern nicht. Hier gilt die DSGVO für das gesamte Nummernverzeichnis, also für alle Daten. Denn von der DSGVO ausgenommen sind nur Tätigkeiten, die „ausschließlich“ persönlicher oder familiärer Natur sind. Hier dient das Verzeichnis aber auch geschäftlichen Zwecken.

Im Zweifel: keine Ausnahme möglich!

Unsicherheiten bei der Abgrenzung gehen immer zulasten dessen, der die Daten verarbeitet. Im Zweifel gilt die DSGVO also, und eine Berufung auf die Ausnahme ist nicht möglich. Beispiel: Es bleibt unklar, ob jemand einen Geburtstagskalender als Privatmann oder als Geschäftsführer nutzt. Dann muss er die DSGVO voll beachten. Er kann sich nicht auf die Ausnahme von der DSGVO berufen.

Soziale Netzwerke ohne Zugriffsbeschränkung

Viele wollen ihre Fotos einem weiteren Kreis von Bekannten zugänglich machen und stellen sie beispielsweise bei Facebook ein. Ansehen kann sie jeder, der auf den Account zugreift. Damit befinden sich die Aufnahmen außerhalb des ausschließlich privaten Bereichs. In solchen Fällen gilt die DSGVO in vollem Umfang.

Echt private Gruppen in sozialen Netzwerken

Natürlich sind auch in sozialen Netzwerken rein private Gruppen möglich. Beispiel: Weit voneinander entfernt lebende Mitglieder einer Familie richten eine private Gruppe ein, in der sie private Bilder und private Nachrichten austauschen. Zugriff haben nur die Mitglieder. Dafür gilt die DSGVO nicht. Wichtig ist aber eine persönliche Verbundenheit der Gruppe untereinander.

„Zahlenspiele“ helfen nicht weiter

Keine Rolle spielt dagegen, wie viele Mitglieder zu einer Gruppe gehören. Bloß weil eine Gruppe beispielsweise nur fünf oder zehn Mitglieder hat, ist sie nicht automatisch eine private Gruppe. Umgekehrt können beispielsweise bei einer großen Familie auch 20 oder 30 Personen durchaus noch eine private Gruppe bilden.

Überwachungskamera in der eigenen Wohnung

Manche lassen in ihrer Wohnung eine Kamera laufen, wenn sie außer Haus sind. Das tut etwa ein Katzenfreund, der tagsüber immer wieder einmal aus der Entfernung sehen will, wie es der Kätzin mit den neu geborenen Kätzchen geht. Das ist eindeutig ein Fall rein privater Datenverarbeitung, auch wenn der Zugriff über eine Datenleitung aus der Ferne erfolgt.

Überwachungskamera vor dem eigenen Haus

Anders sieht es bei Kameras in Hauseinfahrten aus. Das akzeptieren die Datenschutzbehörden nicht mehr als private Datenverarbeitung. Der Grund: Eine solche Überwachung dient dazu, Störenfriede im Bild festzuhalten. Das geht dann schon über den internen, rein privaten Bereich hinaus.

 

Aufgepasst bei Online-Videokonferenzen!

Aufgepasst bei Online-Videokonferenzen!

Statt persönlicher Besprechungen vor Ort finden vermehrt Videokonferenzen über das Internet statt. Viele dieser Online-Services sind leicht zu bedienen, so scheint es. In Wirklichkeit aber gibt es einiges zu beachten, damit Ihre Privatsphäre geschützt bleibt.

Live aus dem Homeoffice

Unter dem Eindruck der Coronakrise hat sich das Arbeiten in vielen Branchen verändert. 95 Prozent der Unternehmen ersetzen Präsenztreffen durch Videokonferenzen, so eine Umfrage des Digitalverbands Bitkom. Wenn Sie gegenwärtig auch im Homeoffice arbeiten, kennen Sie sicherlich die beliebten Videokonferenz-Dienste wie Zoom oder Teams.

Für die Durchführung von Online-Besprechungen oder die Teilnahme daran ist kaum eine Installation erforderlich. Browser, Webcam, Mikrofon, Lautsprecher und gute Internetverbindung reichen. Entsprechend oft am Tag nimmt man an einem der Online-Meetings teil. Das ist bereits so stark Teil des beruflichen Alltags geworden, dass manche Teilnehmer vergessen, dass die Webcam oder das Mikrofon schon oder noch angeschaltet ist. So werden Bilder und Töne übertragen, die eigentlich nicht für die Öffentlichkeit bestimmt waren. Doch die Privatsphäre ist noch stärker in Gefahr.

Datenschützer und Sicherheitsbehörden geben wichtige Hinweise

Die Aufsichtsbehörden für den Datenschutz haben eine Orientierungshilfe zu Videokonferenzsystemen veröffentlicht und geben darin auch wichtige Hinweise, die die Nutzerinnen und Nutzer betreffen. Daraus ergeben sich Punkte, die Sie bei Online-Videokonferenzen beachten sollten.

Zum einen ist es wichtig, nur im Unternehmen freigegebene Dienste zu nutzen, auch dann, wenn Sie im Rahmen Ihrer beruflichen Tätigkeit selbst eine Online-Konferenz planen und dazu einladen.

Zum anderen sollten Sie auf bestimmte technische und organisatorische Maßnahmen achten, um Ihre Privatsphäre besser zu schützen, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) unterstreicht:

  • Stellen Sie sicher, dass nur die Personen an Ihrem Online-Treffen teilnehmen, die Sie auch eingeladen haben – das geht beispielsweise mit einer komplexen PIN für Ihren virtuellen Raum.
  • Überschreiben Sie die Standardvorgaben der Raumbezeichnung und Ihrer Nutzerkennung durch individuelle Namen. Achten Sie darauf, dass Sie keine trivialen Passwörter, Nutzerkennungen oder PINs vergeben.
  • Geben Sie nur die nötigsten Daten ein, wenn Sie sich für den Dienst registrieren müssen.
  • Machen Sie sich bewusst, was Sie zeigen, wenn Sie den Bildschirm teilen. Wenn Sie Daten austauschen, können auch Schadprogramme übertragen werden.
  • Schließen Sie Sicherheitslücken, indem Sie Updates installieren.
  • Achten Sie darauf, dass im genutzten Webbrowser eine aktive Verschlüsselung bestätigt wird, zum Beispiel in der Adresszeile des Browsers durch „https“.
  • Schalten Sie Webcam und Mikrofon nur ein, wenn Sie diese wirklich brauchen, und deaktivieren Sie danach diese Funktionen wieder.
  • Nutzen Sie für die Webcam am besten eine Abdeckung, die sich vor- und wegschieben lässt.

Beherzigen Sie diese Sicherheitshinweise, um von sich und Ihrem Homeoffice nicht mehr preiszugeben, als Sie wollen.

 

Datenschutzerklärungen besser verstehen

Datenschutzerklärungen besser verstehen

Eine aktuelle Studie zeigt, dass viele Datenschutzerklärungen nicht verständlich genug sind. Entsprechend häufig verzichten Internetnutzer darauf, die sogenannten Privacy Policies zu lesen. Doch darunter kann der persönliche Datenschutz leiden.

Von wegen Erklärung des Datenschutzes

Online-Angebote wie Websites und Webshops müssen eine Datenschutzerklärung besitzen, so verlangt es nicht erst die Datenschutz-Grundverordnung (DSGVO). Trotzdem gibt es immer noch Webseiten, die keine „Privacy Policy“ veröffentlichen.

Andere Online-Dienste haben zwar eine Datenschutzerklärung, doch diese verdient ihren Namen nicht: Sie erklärt nicht den Datenschutz – jedenfalls nicht so, wie es für den normalen Internetnutzer erforderlich wäre.

Umfrage belegt unzureichende Erklärungen

Eine aktuelle Studie hat die Datenschutzrichtlinien führender Social-Media-Plattformen untersucht. Deren Nutzer wurden zudem befragt, um herauszufinden, wie lesbar die Datenschutzerklärungen wirklich sind. Dabei wurden die Altersgruppen berücksichtigt, die die jeweilige Social-Media-Plattform nutzen dürfen.

Hier sind einige der Ergebnisse:

  • 87 % der Menschen akzeptieren Datenschutzrichtlinien, ohne sie zu lesen.
  • Die Datenschutzrichtlinie von TikTok zum Beispiel erfordert ein Lesealter von 17+ Jahren, trotz der Möglichkeit, sich ab dem Alter von 13 Jahren dafür anzumelden.
  • Im Durchschnitt dauert es mehr als 47 Minuten, um die Datenschutzrichtlinien für soziale Medien zu lesen. Die Datenschutzrichtlinien von TikTok, WhatsApp und LinkedIn gehören zu den längsten.
  • API (62 %), Cookies (57 %), Drittanbieter (53 %) und IP-Adresse (46 %) stehen ganz oben auf der Liste des Fachjargons für Datenschutzrichtlinien, die die Menschen nicht verstehen.

Offensichtlich vermeiden die meisten Internetnutzer, Datenschutzerklärungen zu prüfen, da sie zu komplex, zu lang und unverständlich sind. Damit entsprechen die Datenschutzerklärungen nicht den Vorgaben der DSGVO. Zudem können die Nutzer von ihren Rechten keinen Gebrauch machen. Denn für sie ist die Datennutzung nicht transparent.

Datenschutz verstehen, um die eigenen Daten schützen zu können

Wenn Sie eine Datenschutzerklärung lesen und etwas nicht verstehen, dann geht es vielen Kolleginnen und Kollegen sicher genauso. Fragen Sie deshalb Ihre Ansprechpartner im Unternehmen für den Datenschutz und bitten Sie um eine Erklärung. Nur so können Sie und die anderen Beschäftigten im Unternehmen wirklich von Ihren Rechten Gebrauch machen und auf die Nutzung eines Online-Dienstes bewusst verzichten, weil Sie mit dem dort praktizierten Datenschutz nicht einverstanden sind.

An dieser Stelle seien die Begriffe erklärt, die für besonders viele Menschen unverständlich sind.

 

Office 365: Was sagt der Datenschutz?

Office 365: Was sagt der Datenschutz?

Wer einen Cloud-Dienst nutzen will, muss sich über die Folgen für den Datenschutz klar sein. Im Fall von Office 365 ist das nicht einfach und damit umso wichtiger. Die Aufsichtsbehörden für den Datenschutz haben weitere Untersuchungen angekündigt.

Rechtsunsicherheit bei Office aus der Cloud

Immer mehr Unternehmen aus Deutschland setzen Cloud-Dienste ein. Drei von vier Unternehmen nutzten im Jahr 2019 Rechenleistungen aus der Cloud, im Vorjahr waren es 73 Prozent und im Jahr 2017 erst 66 Prozent, so der Cloud-Monitor 2020 des Digitalverbands Bitkom. Gegen die Verwendung von Cloud-Services spricht, dass es zu unerlaubten Datenzugriffen in der Cloud kommen könnte. Außerdem besteht eine gewisse Rechtsunsicherheit, von der 60 Prozent der Unternehmen berichten, die sich bisher gegen Cloud-Lösungen entschieden haben.

Diese Unsicherheit hinsichtlich der Rechtslage erstreckt sich auch auf so beliebte Dienste wie Office-Lösungen aus der Cloud. Hier ist insbesondere Microsoft Office 365 zu nennen. Selbst Aufsichtsbehörden für den Datenschutz machen deutlich, dass es zum Datenschutz bei Office 365 Unklarheiten gibt. So lautete das Fazit des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen im Juli 2019: Microsoft Office 365 an Schulen einzusetzen, ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.

In einer zweiten Stellungnahme im August 2019 erklärte die Aufsichtsbehörde dann: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.

Auch im Jahr 2020 sind die Fragen zum Datenschutz bei Office 365 nicht eindeutig geklärt. Die Aufsichtsbehörden in den Bundesländern haben dazu noch keine vollständig einheitliche Linie gefunden. Doch was bedeutet das für Unternehmen und für Nutzer?

Erhebliche Verbesserungen bei Office 365 notwendig

Natürlich sollte es Unternehmen und Nutzer aufhorchen lassen, wenn sich die Aufsichtsbehörden für den Datenschutz so ausführlich und detailliert mit den Datenschutzfragen eines bestimmten Cloud-Dienstes befassen. Einerseits ist dies der hohen Verbreitung von Office 365 geschuldet, die die Relevanz der Datenschutzfragen erhöht. Andererseits gibt es nach Ansicht aller Aufsichtsbehörden für den Datenschutz in Deutschland ein „erhebliches datenschutzrechtliches Verbesserungspotenzial“ bei Office 365.

Die Nutzungsbedingungen von Microsoft machen demnach nicht ausreichend klar, welche nutzerbezogenen Daten Microsoft wie verarbeitet. Die Aufzeichnung und Nutzung der von Microsoft erhobenen Telemetriedaten weist Unklarheiten auf. Es ist für die Datenschützer unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange es diese Daten speichert. Die Weitergabe von Nutzerdaten an Unterauftragnehmer ist nicht ausreichend geregelt.

Die Aufsichtsbehörden haben deshalb beschlossen, eine Arbeitsgruppe einzurichten, die Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Unternehmen und Nutzer tun also gut daran, die Nutzungsbedingungen und die Datenschutzerklärung zu Office 365 im Auge zu behalten. Die Aufsichtsbehörden für den Datenschutz fordern hier viele Anpassungen und Klarstellungen, damit der Datenschutz-Grundverordnung (DSGVO) der EU Genüge getan wird.

Mit der Cloud kann sich vieles ändern

Office 365 ist ein wichtiges und gutes Beispiel, warum der Wechsel hin zu einem Cloud-Dienst nicht leichtfertig geschehen sollte, sondern Prüfungen vorab und auch während der Nutzungsphase nach sich ziehen muss. Denn der Datenschutz lässt sich nicht einfach als gewährleistet annehmen.

Die früher lokal installierten Office-Programme und eine Office-Lösung aus der Cloud mögen ähnliche oder die gleichen Funktionen haben. Für den Datenschutz jedoch und für die Nutzerdaten bedeutet es einen großen Unterschied, ob eine Anwendung lokal oder über eine Cloud genutzt wird.

Die DSGVO verlangt, dass Unternehmen nur solche Cloud-Anbieter beauftragen, die ausreichende Garantien bieten, dass sie den Datenschutz nach DSGVO einhalten. Dies zu überprüfen, muss vor der Entscheidung für einen Cloud-Dienst geschehen. Und da sich Cloud-Dienste schnell in Funktionen und Nutzungsbedingungen verändern können, muss eine solche Prüfung auch während der Nutzung stattfinden.

Der Weg in die Cloud scheint einfach und bequem zu sein. Ein Webbrowser kann schon ausreichen. Doch die Folgen für den Datenschutz zu prüfen, ist komplex und nicht zu vernachlässigen. Das sollten Unternehmen beim Für und Wider von Cloud Computing stärker bedenken als bisher.

 

WhatsApp ändert Datenschutzrichtlinien

Neue Regeln bei Whatsapp

Warum Whatsapp und co. für Firmen ungeeignet sind und welche Alternativen Sie datenschutzkonform nutzen können

Was früher vom Nutzer abgelehnt werden konnte, ist ab Februar 2021 verpflichtend: So werden künftig alle Daten aus Whatsapp an Facebook und zu Facebook gehörigen Unternehmen übermittelt. Wer dem nicht zustimmt, kann die App ab dem 15.2.2021 nicht mehr nutzen.

Zukünftig könnte man also kontextbezogene Vorschläge von Whatsapp erhalten, wie zum Beispiel in einem harmlosen Fall, beim aus tauschen von Rezepten auf Whatsapp einen Vorschlag chefkoch.de zu besuchen.
Whatsapp möchte damit erreichen, neue Dienste entwickeln zu können, wie etwa eine Bezahlfunktion über Facebook Pay oder die Möglichkeit plattformübergreifend chatten zu können.

Laut Aussage von WhatsApp gelten die neuen Datenschutzbestimmungen erstmal nicht in Europa. Die neuen Datenschutzbestimmungen müssen aber trotzdem von Europäern akzeptiert werden.

Die Nutzung von Whatsapp für die Kundenkommunikation ist schon seit Inkrafttretens der DSGVO 2018 kritisch. Insbesondere ohne die Nutzung von Whatsapp Business.

Besonders kritisch ist das Nutzen von Whatsapp als Unternehmenschat oder zur Kommunikation mit Kunden nach außerkraftsetzen des Privacy Shield (Schrems II) im Juli 2020. Seit dem ist für das Nutzen von Whatsapp eine ausdrückliche Genehmigung der Kunden einzuholen. Außerdem ist das hohe Risiko für Hackerangriffe,  insbesondere das Einschleusen von Trojanern, nicht zu unterschätzen.

Wer das nicht möchte und wessen Gespräche ausschließlich privat oder Unternehmensintern  belieben sollen, hat nun keine Wahl mehr und muss dem Messenger-Dienst gänzlich den Rücken kehren. Mittlerweile gibt es unzählige Whatsapp-Alternativen wie Signal, Telegram oder Threema.

Erstere gewann durch einen Tweet von Elon Musk, der zu dessen Nutzung aufrief, einen hohen Nutzerzuwachs. Doch Vorsicht: obwohl Signal deutlich sicherer zu sein scheint, als Whatsapp, nutzt auch dieser Messenger-Dienst externe Server für seine Dienste, wie zum Beispiel die Google Cloud oder Amazon AWS. Hier taucht auch das Schrems II Problem wieder auf.

Von Telegram ist gänzlich abzuraten. Der Dienst nutzt keine End-zu-End-Verschlüsselung , speichert sämtliche Nachrichtenverläufe, Kontakte, Gruppen und Nutzerprofile auf fremden Servern und ist nicht DSGVO konform.

Unsere Empfehlung  ist Threema: denn der Dienst lässt sich anonym ohne Angaben von personenbezogenen Daten nutzen und ist Ende-zu-Ende-verschlüsselt. Alle Dienste laufen ausschließlich auf der eigenen Server-Hardware und Nachrichtenverläufe werden sofort nach Zustellung vom Server gelöscht. Die Nutzerdaten werden nicht zu Werbezwecken genutzt und der App-Quellcode ist öffentlich einsehbar, sodass sich verifizieren lässt, dass ob die App sicher ist und welche Server Verbindungen haben.

Die Nutzung von Threema auch im Unternehmen ist daher datenschutzkonform und allen anderen Messengern vorzuziehen. Wer dennoch im direkten Kundenkontakt nicht auf Whatsapp verzichten kann oder will, muss sich die schriftliche Einverständniserklärung seiner Kunden zur weiteren Nutzung einholen und auf die Risiken nach Schrems II hinweisen.

Videosprechstunden – ein Datenschutzrisiko?

Videosprechstunden – ein Datenschutzrisiko?

Lange gab es sie höchstens als Nische für einige Privatpatienten: Videosprechstunden im Internet. Jetzt bieten plötzlich relativ viele Ärzte solche Sprechstunden an. Woran liegt das? Bleibt dabei vielleicht der Datenschutz auf der Strecke?

In Deutschland bisher ein reines Nischenangebot

Da und dort gab es Videosprechstunden im Internet auch schon bisher. Zielgruppe waren durchweg jüngere Privatpatienten. Anbieter waren meist Ärzte mit einer Praxis im europäischen Ausland, etwa in Großbritannien. In Deutschland waren weite Teile der Ärzteschaft skeptisch. Hier galt die eiserne Regel: Die Behandlung eines Patienten setzt voraus, dass der Arzt ihn persönlich vor sich hat. Ausnahmen waren selten.

Im Ausland teilweise stärker üblich

Im Ausland handhabte man das zum Teil schon bisher anders. Selbstverständlich geht auch dort nicht alles über das Internet. Aber vieles eben doch. Das allein wäre aber noch kein Grund für eine Änderung in Deutschland gewesen. Denn eine ernsthafte Konkurrenz für die hiesige Ärzteschaft waren diese Video-Sprechstunden aus dem Ausland nicht.

Corona als Mit-Auslöser

Eine Triebfeder für Veränderungen war Corona. Zumindest für eine Corona-Verdachtsdiagnose ist es oft nicht nötig, den Patienten zu sehen. Der Arzt schickt ihn zum Abstrich und sieht danach weiter. Das kann auch über Video geschehen. Ähnliche Beispiele gibt es in den meisten medizinischen Fachrichtungen.

Abrechnung jetzt auch bei Kassenpatienten möglich

Hinzu kommt, dass sich ein „Praxisbesuch per Video“ inzwischen bei den Krankenkassen abrechnen lässt. Der Spitzenverband der Gesetzlichen Krankenversicherung und die Kassenärztliche Bundesvereinigung haben vor Kurzem eine „Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde“ abgeschlossen. Sie legt fest, was ein Arzt beachten muss, damit eine Abrechnung möglich ist.

Hohe Vorgaben für den Datenschutz

Zu den Anforderungen, die ein Arzt erfüllen muss, gehören genaue Vorgaben für den Datenschutz. Die Vereinbarung legt technische Spezifikationen fest, die einzuhalten sind, beispielsweise eine angemessene Verschlüsselung. Ohne sie könnte es zu einer Verletzung der ärztlichen Schweigepflicht kommen. Das können Ärzte nicht riskieren. Solche Verletzungen können eine Straftat darstellen und haben auch standesrechtliche Folgen.

Nur zertifizierte Systeme zulässig

Eine Videosprechstunde über Zoom oder ähnliche im Internet allgemein angebotene Systeme, die im Büroalltag häufig sind, ist ausgeschlossen. Zum Einsatz kommen dürfen nur Systeme von Anbietern, die eine besondere Zertifizierung durchlaufen haben. Sie sind in einer Liste bei der Kassenärztlichen Bundesvereinigung eingetragen.

Keine Registrierung für Patientinnen und Patienten

Wichtig für alle Patientinnen und Patienten: Sie müssen sich vor der Benutzung eines solchen Systems nirgendwo registrieren lassen! Für den Arzt ist das anders. Er muss eine Registrierung beim Systemanbieter durchlaufen. Das verhindert, dass sich zwielichtige Gestalten als Ärzte ausgeben.

Videosprechstunde nur nach Terminvereinbarung

Patientinnen und Patienten, die einen Video-Termin haben wollen, müssen ihn vorher mit der Praxis vereinbaren. Dies kann etwa telefonisch geschehen oder über ein Tool zur Terminreservierung im Internet. Der Zugang zur Sprechstunde erfolgt mit einem Zugangscode, den der Arzt rechtzeitig vor dem Termin übermittelt. Es liegt in der eigenen Verantwortung des Patienten, mit diesem Zugangscode sorgfältig umzugehen. Das gilt insbesondere dann, wenn die Sprechstunde bei einem Arzt vereinbart wird, der den Patienten noch nicht persönlich kennt.

Kaum Schwachstellen für die Vertraulichkeit in der Arztpraxis

Denkbare Schwachstellen für die Vertraulichkeit liegen in der Umgebung beim Arzt oder beim Patienten, die auf dem Bildschirm nicht sichtbar ist. Beim Arzt kann man davon ausgehen, dass nicht noch andere Personen in der Praxis heimlich mithören oder mitsehen. Das wäre eine schwere Verletzung der ärztlichen Schweigepflicht.

Schwachstellen in der Wohnung des Patienten

In der heimischen Umgebung des Patienten kann es schlechter aussehen. Wer sich für eine Videosprechstunde nicht allein in einen Raum zurückziehen kann, sollte möglicherweise die Finger davon lassen. Und eine andere Person heimlich mithören zu lassen, mag zwar keine Straftat sein. Fair gegenüber dem Arzt ist es aber sicher nicht.

Ein Angebot, kein Zwang!

Beachtet man die geschilderten Sicherheitsmaßnahmen, steht nichts dagegen, eine Videosprechstunde einmal auszuprobieren. Es ist ein zusätzliches Angebot, für Kassen- wie für Privatpatienten, nicht mehr und nicht weniger.

Homeoffice – was sollte ich beachten?

Homeoffice von heute auf morgen wegen Corona ist eine Herausforderung. Vieles ist zu organisieren. Der Datenschutz sollte dabei mit im Blick sein. Jede und jeder kann leicht einige einfache Dinge beachten. Das bewirkt oft erstaunlich viel.

Einsatz privater Geräte nur nach Absprache

Homeoffice geht nicht ohne EDV. Wer dafür ein dienstliches Gerät zur Verfügung hat, darf nur dieses Gerät verwenden. Der Einsatz privater Geräte verlangt eine Absprache mit dem Arbeitgeber, zumindest mit dem unmittelbaren Vorgesetzten. Das muss nicht unbedingt schriftlich geschehen. Aber zumindest ein kurzer Mail-Austausch ist sinnvoll. Private Geräte können zusätzliche Risiken für den Datenschutz mit sich bringen, die am gewohnten Arbeitsplatz nicht bestehen würden.

Besonders wichtig: Updates und Virenschutz

Gerade bei privaten Geräten sind die Standardregeln der Datensicherheit zu beachten. Dazu gehören vor allem regelmäßige Updates! Am regulären Arbeitsplatz sorgt dafür oft die EDV-Abteilung, ohne dass man etwas davon merkt. Bei privaten Geräten muss sich jede und jeder selbst darum kümmern. Dasselbe gilt für den Virenschutz.

Bildschirmschoner zum Schutz der Daten

Ein Bildschirmschoner sollte Standard sein. Stellen Sie ihn so ein, dass er nach einigen Minuten ohne Aktivität „anspringt“. Das sorgt dafür, dass Familienangehörige und Besucher möglichst keine Daten sehen können. Besonders wichtig ist das, wenn Sie keinen besonderen Raum für das Homeoffice haben. Manchmal hilft es auch weiter, den Bildschirm etwas zu drehen, damit nicht jeder, der den Raum betritt, gleich alles sieht.

Tücken beim privaten Telefon

Weil der Empfang am Festnetz-Telefon oft besser ist, nutzen erstaunlich viele im Homeoffice nicht das Diensthandy, sondern den privaten Telefonanschluss. Dabei gerät oft in Vergessenheit, dass es in jedem Telefon Anruflisten gibt. Teils lässt sich diese Funktion schlicht ausschalten. Dann ist das Problem gelöst. Wenn das nicht geht oder nicht gewünscht ist, ist ein regelmäßiges Löschen der Listen nötig. Zumindest einmal in der Woche sollte man dies fest einplanen.

Papierunterlagen sicher aufbewahren!

Ganz ohne Papier geht es meistens auch im Homeoffice nicht. Wer Unterlagen aus dem regulären Büro mit nach Hause nimmt, ist für sie verantwortlich. Ein eigenes Zimmer für das Homeoffice bleibt für viele ein Traum. Aber mit der Aufbewahrung in einem abgeschlossenen Schrank/Rollschrank ist auch schon viel gewonnen.

Altpapier datenschutzkonform beseitigen!

Wo Papier benutzt wird, fällt auch Abfallpapier an. Vielleicht haben Sie ohnehin privat einen kleinen Aktenvernichter im Haus. Egal, ob er nun den Vorgaben für Bürogeräte voll entspricht – es ist besser als nichts. Keinesfalls dürfen Sie Abfallpapier mit personenbezogenen Daten „einfach so“ in die heimische Papiertonne stecken.

Corona als Auslöser von Kreativität?

Vielleicht bietet das Homeoffice aber auch einen guten Anlass dazu, von Abläufen mit Papier auf elektronische Abläufe umzustellen. Das geht erstaunlich oft. Corona kann auch kreativ machen!

 

DSGVO konformes Videokonferenzsystem

DSGVO konforme Videokonferenzsoftware

Auf Wunsch unserer Kunden, haben wir auf einem Hochleistungsserver im Rhein-Neckar Gebiet ein System für Videokonferenzräume zur Verfügung gestellt.

BigBlueButton

Zum Einsatz kommt die Software BigBlueButton in einer OnPremise Installation. BigBlueButton ist einen open Source Software aus Canada mit vielen Funktionen für Video und Audio Konferenzen, die den bekannten Systemen in wenigem nachsteht.

DSGVO konformen Videokonferenzlösung

Für unsere Mandanten im DSB Bereich bieten wir eigene Konferenzräume zum Selbstkostenpreis an. Wir erleichtern uns selber die DSB Arbeit damit und helfen unseren Mandanten mit einer DSGVO konformen Videokonferenzlösung.

Erfahren Sie mehr über die Videokonferenzlösung auf der folgenden Seite oder melden Sie sich gleich für einen Testzugang an:

Informationen zum DSGVO konformen Videokonferenzsystem

Testzugang anfordern