Schlagwort-Archive: Datenschutzgrundverordnung

In dieser Woche (KW23): Datenschutztag in Berlin

Aktuelle Entwicklungen im Datenschutz

Meike Kamp (Berliner Beauftragte für Datenschutz und Informationsfreiheit)

Europäischer Datenschutzausschuss


Der Europäische Datenschutzausschuss harmonisiert die Bußgeldleitlinien im Geltungsbreich der DS-GVO. Grundlagen für die Bemessung von Bußgeldern sind Art eines Verstoßes, Schwere, Umsatz der verantwortlichen Stelle gemäß Art. 83 ABS. 4-6. In die Bußgeldbemessung fließen außerdem ein die Wirksamkeit des Bußgeldes sowie seine abschreckende Wirkung.

Die Leitlinien zu den Rechten Betroffener konkretisieren Art. 15 DS-GVO. Besonders das Auskunftsrecht wurde präzisiert. Welchen Umfang hat das Auskunftsrecht und welche Modalitäten müssen beachtet werden? Dazu gibt es eine wesentliche Abgrenzung offenkundig unbegründeter und exzessiver Anträge.

Souveräne Clouds stellen ein immer wiederkehrendes Thema dar. Hier werden Mindestkriterien für digitale Souveränität der Anbieter und der Anwender beschrieben: selbstständig, selbstbestimmt, sicher.

Deutsche Datenschutzkonferenz

Mich nerven auch immer wieder Pur-Modelle auf Websites (Zugang zu Inhalten entweder als kostenpflichtiges Abo oder durch Einwilligung in eine Verarbeitung pbD für werbliche Zwecke). Hierfür gilt: Das Angebot eines trackingfreien Modells (auch kostenpflichtig) ist ausreichend.

Die Position der Datenschutzkonferenz zu Microsoft Online Dienste (Office 365) ist eindeutig:
MS praktiziert eine Verarbeitung personenbezogener Daten (pbD) zu eigenen und nicht legitimen Zwecken. Es erfolgt keine korrekte Löschung pbD. Es bestehen keine angemessenen Maßnahmen zum Schutz vor Übermittlung in Drittländer. Die TOMs sind nicht angemessen.
Fazit: Microsoft kann nicht nachweisen, dass datenschutzkonform gearbeitet wird.
Unabhängig von dieser Bewertung durch die Datenschutzkonferenz findet man häufig, besonders medial geführt, folgende Argumentationen: MS365 wird ja überall genutzt, also muss man großzügig sein. Andere nutzen es doch auch.

Zuletzt wurde konkreter auf das Recht auf eine Kopie pbD eingegangen.
Dem Anspruch auf Kopie pbD Betroffener muss die verantwortliche Stelle durch eine originalgetreue und verständliche Reproduktion der Daten Nachkommen. Das schließt Auszüge aus Dokumenten, ganze Dokumente und Auszüge aus Datenbanken ein.

Das Standard-Datenschutzmodell (SDM) – Version 3.0

Referent Martin Rost (Mitarbeiter beim
ULD Schleswig-Holstein und Autor des Buches
„Das Standard-Datenschutzmodell (SDM): Einführung,
Hintergründe und Kontexte zum Erreichen der Gewährleistungsziele“)

Ich lasse an dieser Stelle mal alle zu fachspezifischen Inhalte weg. Sehr cool fand ich die Einleitung in das Thema. Eine häufig anzutreffende Meinung ist ja, dass es im Datenschutz darum geht, Daten zu schützen. Fachlich etwas näher am Thema seiend führt zu der Annahme (so auch ich bisher), dass Datenschutz immer der Schutz von Menschen ist. Das stimmen sicherlich. Aber Datenschutz meint eben vor allem, Prozesse von Datennutzung so zu gestalten, das möglichst geringe Risiken für Betroffene bestehen. Und damit stehen eben Prozesse im Zentrum aller Überlegungen.

Datenschutzmaßnahmen stellen ein ausgewogenes Verhältnis her zwischen der Organisation der verantwortlichen Stelle mit Mitarbeitern, Dienstleistern, eingesetzter Software, Leistungserbringern, Logistik, Staat mit vielleicht untätiger Politik…

Künstliche Intelligenz im Spannungsfeld des Datenschutzes

Dr. Behrang Raji (Legal Counsel Data Protection)

Ein spannender Redebeitrag zum Thema KI und Datenschutz. Wichtig finde ich den Bezug zu den Vorschlägen aus Schleswig Holstein für eine ChatGPT-Nutzung in Unternehmen und Einrichtungen:

Richtlinien für den Umgang im Unternehmen schaffen.
Die Nutzung privater Accounts für dienstliche Zwecke sollte untersagt werden.
Es sollten keine personenbezogenen Daten für die Prompts genutzt werden.
Es sollten nur Unternehmensinformationen verwendet werden, die bereits öffentlich sind.
Die Nutzung des Dienstes unter Verwendung personenbezogener Daten zum Zweck der Erstellung von Beurteilungen der Persönlichkeit, der Arbeitsleistung sollte verboten werden.
Bei generierten Texten sollte ChatGPT als Quelle angegeben und und zusammen mit den Prompts dokumentiert werden.
Die Ausgaben von ChatGPT sollten immer auf Richtigkeit überprüft werden.
Der Dienst darf nicht genutzt werden, um Entscheidungen über natürliche Personen zu treffen (Art. 22 DSGVO).

Aktuelle Bedrohungen und Entwicklungen in der IT-Landschaft

Mark Semmler (Dipl. Informatiker und IT Security Specialist)

Mark Semmler erlebe ich zum zweiten Mal auf dem Datenschutztag. Und es war wieder ein Erlebnis.

Ich fasse nur einige Punkte seines Vortrages zusammen. In der Gesamtheit kann man dieses Feuer aus Sprache, Fakten und Inhalt nicht wiedergeben.

Ransomware ist immer noch ein Multimilliardengeschäft und weist inzwischen eine starke Diversifizierung auf. Über 100 Gruppen agieren weltweit, wobei etwa 95 % aller Akteuere aus Russland und Weißrussland kommen. Zielgerichtete Angriffe auf kritische Infrastrukturen haben deutlich zugenommen.
Hinzu kommen Fakenews, die auf Twitter und Facebook verbreitet werden. Semmler spricht von A-BC-D-Kriegsführung. Das D steht für „digital“. Das technisches Niveau der Akteure ist niedrig und mittelhoch und immer noch, erstaunlicherweise, erfolgreich.

Dabei ist derKonkurrenzdruck gestiegen. Es geht nur noch darum, schnell Daten von Opfern zu verschlüsseln und Geld zu machen:
Kunde durch eine Backdoor öffnen – in der Breite Kunden unter Kontrolle bekommen – Daten verschlüsseln – Geld fordern.
Der Handlungsdruck auf Seiten der Angreifer bedeutet für Betroffene eine deutlich geringere Reaktionszeit.

Dieser Markt ist immer noch nicht ausgetrocknet. Neu Angriffe erfolgen zunehmend auf kleine und mittlere Unternehmen.

Was fordert Semmler von der Politik? Maßnahmen müssen verpflichtend werden und gesetzlich verankern sein. Lösegeldzahlung müssen unter Strafe gestellt werden. Nur so kann dieser Sumpf trocken gelegt werden. Semmler selbst verhandelt kein Lösegeld mehr. Auslöser für diese Entscheidung war der Ukraine-Krieg.

Fazit

Ein toller, informativer Tag geht zu Ende. Es hat sich gelohnt!

5 Jahre DS-GVO

25. Mai 2018: Die Datenschutzgrundverordnung tritt in Kraft. Das ist heute genau 5 Jahre her. Ich kann mich noch gut an das Gejammer erinnern. Dabei waren es mehr als zwei Jahre, die Zeit waren, sich auf das neue Gesetz vorzubereiten.

Seite 1 der DS-GVO: von 27. April 2016

Was ist das Besondere an der Datenschutz-Grundverordnung? Fragt man 10 Personen, wird man mindestens 6 verschiedene Antworten erhalten. Ich kann nur sagen, worin für mich die Besonderheiten liegen.

Die wichtigste Besonderheit zu erst: Wir haben Datenschutzniveau, welches einheitlich und gleichermaßen den gesamten Europäischen Wirtschaftsraum umfasst. Egal, wo im EWR ich mich befinde. Das Datenschutzniveau ist immer gleich. Meine Betroffenenrechte sind identisch. Die Aufgaben für verantwortliche Stellen sind gleich.

Die Betroffenenrechte werden in den Brennpunkt gerückt. Erst kürzlich wurde ein Rekordbußgeld in Höhe von 1,2 Mrd. Euro an den Meta-Konzern erteilt. Egal ob ich in der Rolle des Mitarbeiters, des Kunden oder des Patienten bin, es existiert ein angemessenes Schutzniveau.

Den Betroffenen von Datennutzungsprozessen wird eine Mitwirkungspflicht auferlegt. Wie oft höre ich: „Oh mein Gott! Ich soll am Zensus teilnehmen… Mimimi…“ Aber Android als Smartphone-Betriebssystem nutzen, WhatsApp verwenden und regelmäßig Statusfotos Posten.

Gibt es auch was zu kritisieren? Ja! Das Thema „Digitale Fotos“ hätte aus meiner Sicht mehr Beachtung verdient. Die Art und Weise, wie wir heute Fotos erzeugen, hat sich gegenüber 2014/2016 deutlich verändert. Swipe ich auf meinem Smartphone-Display oder mache ich ein Foto – nicht erkennbar. Teleobjektive haben sich vom Preis-Leistungs-Verhältnis verändert. Auf Grund großer möglicher Distanzen ist für eine fotografierte Person nicht mehr erkennbar, dass sie überhaupt Fotografiert wird. Digitales Bild- und Videomaterial sind allgegenwärtig: Actioncams, Dashcams, Videoüberwachung…

Final: Ich mag die DS-GVO. In meiner Praxis als Datenschutzbeauftragter erlebe ich es immer wieder, dass sich Betroffen mit ihren Fragen oder mit ihren Problemen an mich wenden. Die Rolle des DSB ist stärker in den Mittelpunkt gerückt: Transparenz, Informationspflicht – beides unterstützt und stärkt die Rolle der Betroffenen.

In dieser Woche (KW20): Der Tätigkeitsbericht der Sächsischen Datenschutz- und Transparenzbeauftragten

Ich sitze gerade im Zug nach München. Die Arbeit ruft. Bei Kaffee und einer Streuselschnecke lese ich den Tätigkeitsbericht für das Jahr 2022.

Na, wer erkennt die Herkunft der leckeren Streuselschnecke?

Weg von der Kulinarik und hin zum Datenschutz. Was habe ich mir im Tätigkeitsbericht angestrichen? Alle Zitate in diesem Beitrag stammen aus dem Tätigkeitsbericht 2022.

Allgemeines

Tätigkeitsbericht, a. o. a. O., S. 4

Warum ist dieser Abschnitt bemerkenswert? Hier werden Verantwortliche für den Datenschutz benannt. Wichtig: Auch Betroffene haben eine Verantwortung. Wie gehe ich mit meinem Daten um? An wen gebe ich welche Daten weiter? Das sind keine Aufgaben ausschließlich für verantwortliche Stellen im Sinne der DS-GVO. Das geht uns alle an!

Tätigkeitsbericht, a. o. a. O., S. 5

Im Vorfeld dieses Abschnittes wird auf die Probleme von Facebook-Seiten aus der Sicht des Datenschutzes hingewiesen. Die Konsequenz findet sich hier. Und ja, ich habe meinen Twitter-Account gelöscht und bin zu Mastodon gewechselt.

WhatsApp im nicht ausschließlich privaten/familiären Umfeld

Am Beispiel von Gerichtsvollziehern geht die Landesbeauftragte auf die unzulässige Nutzung von WhatsApp ein.

Tätigkeitsbericht, a. o. a. O., S. 67

Tätigkeitsbericht, a. o. a. O., S. 67

Es gäbe da doch so viele datenschutzgerechtere Lösungen. Ich bin schon lange von WhatsApp weg und nutze Signal (privat) und Threema (beruflich). Cool ist auch Element. Hier werden Daten dezentral verschlüsselt gespeichert.

Gemeldete Datenschutzvorfälle

Tätigkeitsbericht, a. o. a. O., S. 144

Postsachen können falsch adressiert oder in den falschen Umschlag gelangen. So etwas habe ich in meiner Praxis auch schon erlebt. wichtig ist aus meiner Sicht, dass es nach einem solchen Vorfall kein „weiter wie bisher“ geben darf. Was ist falsch gelaufen? Wo müssen Prozesse verändert werden?

Tätigkeitsbericht, a. o. a. O., S. 145

Prävention

Tätigkeitsbericht, a. o. a. O., S. 147

Finde ich eine super kompakte und sehr zutreffende Anleitung.

Bußgelder

Hier wird es jetzt bemerkenswert. Und mein Vertrauen in die Sächsische Polizei wird nicht größer…

Tätigkeitsbericht, a. o. a. O., S. 175
Tätigkeitsbericht, a. o. a. O., S. 177

Eine Dashcam kann schon datenschutzgerecht betrieben werden. Vielleicht widme ich dem Thema mal einen eigenen Beitrag.

So, das war meine Zusammenfassung zum Tätigkeitsbericht. Ich habe ihn durchaus als interessant und abwechslungsreich empfunden. Nichts, was zum Vorlesen geeignet wäre. Aber wenn man sich für das Thema Datenschutz interessiert, kann das eine abwechslungsreiche Lektüre sein.

Zoom, Zoom, Zoom – und es geht nicht um Bienen oder um Fotografie

Freitag, 28. April 2023 – Verleihung des Big Brother Awards in Bielefeld

Und wer hat diesen überaus begehrten Preis gewonnen? Unter anderem die Zoom Video Communications Inc.!

Und warum? Zoom behauptet, DS-GVO-konform zu sein. Stimmt aber nicht! Als Unternehmen mit Sitz in den USA ist das Unternehmen auskunftspflichtig gegenüber der Justiz, den Geheimdiensten und anderen staatlichen Stellen in den USA. Dabei isses völlig egal, wo die Server ihren Standort haben, auf denen die Daten gespeichert sind.

Ich zitiere aus der Laudatio: „Der Preis geht auch an alle Gruppen, insbesondere Menschenrechts- sowie Umwelt- und Klimaorganisationen, die Zoom einsetzen und damit ihre Teilnehmer.innen der Überwachung preisgeben, obwohl es freie und datenschutzfreundliche Alternativen gibt… Eine Firma wie Zoom, die in den USA ansässig ist, unterliegt dem Cloud Act, dem Patriot Act und dem FISA Act. Und die bedeuten, dass eine in den USA ansässige Firma sämtliche Daten von Nicht-US-Bürger.innen an die dortigen Geheimdienste weitergeben muss.“

Was noch mal speichert Zoom alles? Ich zitiere aus der Datenschutzinformation von Zoom:

  • Kontoinformationen: Informationen, die mit einem Konto verknüpft sind, das Zoom Produkte und Dienstleistungen in Lizenz vergibt, wie z. B. der Name des Administrators, Kontaktinformationen, die Konto-ID, Abrechnungs- und Transaktionsinformationen sowie Informationen zum Abonnement.
  • Profil- und Teilnehmerinformationen: Informationen, die mit dem Zoom-Profil eines Benutzers verknüpft sind, der Zoom-Produkte und -Dienstleistungen im Rahmen eines lizenzierten Kontos verwendet, oder die von einem Teilnehmer ohne Lizenz, der einem Meeting beitritt, zur Verfügung gestellt werden, z. B. Name, Anzeigename, Bild, E-Mail-Adresse, Telefonnummer, Berufsinformationen, angegebener Standort, Benutzer-ID oder andere Informationen, die vom Benutzer und/oder dessen Kontoinhaber bereitgestellt werden.
  • Kontaktinformationen: Kontaktinformationen, die von Konten und/oder deren Benutzern hinzugefügt werden, um Kontaktlisten in Zoom-Produkten und -Dienstleistungen zu erstellen; dazu können auch Kontaktinformationen gehören, die ein Benutzer aus einer Drittanbieter-App integriert, oder die Benutzer bereitstellen, um Empfehlungseinladungen zu verarbeiten.
  • Einstellungen: Informationen, die mit den Präferenzen und Einstellungen eines Zoom Kontos oder Benutzerprofils verknüpft sind, wie z. B. Audio- und Videoeinstellungen, der Aufzeichnungsort der Datei, Einstellungen für die Bildschirmfreigabe und andere Einstellungen und Konfigurationsinformationen.
  • Registrierungsinformationen: Informationen, die bei der Registrierung für ein Zoom Meeting, ein Zoom Webinar, einen Zoom Room oder eine Aufzeichnung zur Verfügung gestellt werden, wie z. B. Name und Kontaktinformationen, Antworten auf Registrierungsfragen und andere vom Host angeforderte Registrierungsinformationen.
  • Geräteinformationen: Informationen über die Computer, Telefone und andere Geräte, die bei der Interaktion mit Zoom Produkten und Dienstleistungen verwendet werden, wie z. B. Informationen über Lautsprecher, Mikrofon, Kamera, Version des Betriebssystems, Festplatten-ID, PC-Name, MAC-Adresse, IP-Adresse (die verwendet werden kann, um allgemein auf den Standort auf Stadt- oder Länderebene zu schließen), Geräteattribute (wie Version des Betriebssystems und Akkustand), WLAN-Informationen und andere Geräteinformationen (wie Bluetooth-Signale).
  • Inhalt und Kontext aus Meetings, Webinaren, Chats und anderen Funktionen für die kollaboratives Arbeiten: Inhalte, die in Meetings, Webinaren oder Nachrichten generiert werden, die in Zoom Produkten und Dienstleistungen gehostet werden, darunter Audio, Video, Meeting-Nachrichten, Whiteboards innerhalb und außerhalb von Meetings, Chat-Inhalte, Transkriptionen, Transkriptbearbeitungen und -empfehlungen, schriftliches Feedback, Antworten auf Umfragen und F&A, Dateien sowie zugehöriger Kontext, wie z. B. Einladungsdetails, Name des Meetings oder des Chats oder Tagesordnung des Meetings. Je nach Einstellungen des Kontoinhabers, dem, was Sie freigegeben haben, Ihren Einstellungen und was Sie in den Zoom Produkten und Dienstleistungen machen, können die Inhalte Ihre Stimme und Ihr Bild beinhalten.
  • Informationen zur Nutzung von Meetings, Webinaren, Chat, Funktionen zum kollaborativen Arbeiten sowie der Website: Informationen darüber, wie Personen und deren Geräte mit Zoom-Produkten und -Services interagieren, wie z. B.: wann Teilnehmer einem Meeting beitreten und es verlassen; ob Teilnehmer Nachrichten versendet haben und mit wem sie Nachrichten austauschen; Leistungsdaten; Mausbewegungen, Klicks, Tastenanschläge oder Aktionen (wie Stummschaltung/Aufhebung der Stummschaltung oder Video ein/aus), Bearbeitungen an Transkripten – sofern vom Kontoinhaber autorisiert – und andere Eingaben, die Zoom dabei helfen, die Nutzung von Funktionen zu verstehen, das Design der Produkte zu verbessern und Funktionen vorzuschlagen; welche Drittanbieter-Apps zu einem Meeting oder einem anderen Produkt oder Service hinzugefügt wurden und auf welche Informationen die App zugreifen und welche Aktionen sie ausführen darf; die Nutzung von Drittanbieter-Apps und dem Zoom App Marketplace; verwendete Funktionen (wie Bildschirmfreigabe, Emojis oder Filter) und andere Nutzungsinformationen und -kennzahlen. Dazu gehören auch Informationen darüber, wann und wie Personen die Websites von Zoom besuchen und mit ihnen interagieren, einschließlich der Seiten, die aufgerufen werden, die Interaktion mit Website-Funktionen und ob sich eine Person für ein Zoom Produkt oder eine Zoom Dienstleistung registriert hat oder nicht.
  • Eingeschränkte Informationen von den Diensten „Zoom Email“ und „Zoom Calendar“: „Zoom Email“ bezeichnet den nativen E-Mail-Service von Zoom sowie die E-Mail-Nachrichten, die darüber gesendet werden. E-Mails, die von aktiven Benutzern von Zoom Email gesendet und empfangen werden sind in Zoom Email standardmäßig End-to-End verschlüsselt. Damit die End-to-End-Verschlüsselung unterstützt wird, müssen Benutzer von Zoom Email ihrem Zoom Email-Konto ein Gerät mit der zugehörigen E-Mail-Adresse hinzufügen und eine unterstützte Zoom-Anwendung benutzen. Bei einer End-to-End verschlüsselten E-Mail besitzen nur die Benutzer und je nach Einstellungen die Kontoinhaber oder bestimmte Kontoadministratoren den Schlüssel, um den Inhalt der E-Mail zu sehen. Das schließt Nachricht, Betreff, Anhänge und benutzerdefinierte Kennzeichnungen ein, die Benutzer zu E-Mails im Posteingang hinzufügen. E-Mails, die an Benutzer außerhalb von Zoom Email gesendet oder von diesen empfangen werden, werden nach dem Absenden oder Empfangen vom Zoom-E-Mail-Server verschlüsselt, wenn der Zoom Email-Benutzer eine verschlüsselte Nachricht sendet. In jedem Fall hat Zoom Zugriff auf E-Mail-Metadaten, die für den grundlegenden E-Mail-Verkehr benötigt werden, insbesondere E-Mail-Adressen aus den Feldern „Von“, „An“, „CC“ und „BCC“, Uhrzeit, MimeID sowie Anzahl und Größe der Anhänge. Durch die Nutzung des nativen Kalenderdienstes von Zoom erhält Zoom Informationen zu Meetingeinladungen, Nachrichten, Absendern und Empfängern sowie andere Kalenderinformationen.
  • Inhalte aus Integrationen von Drittanbietern: Benutzer können über die Zoom-Anwendung auf E-Mail- und Kalenderdienste von Drittanbietern zugreifen, wenn sie diese integrieren.  Diese Informationen werden von Zoom nicht End-to-End verschlüsselt, aber nur dann abgerufen, wenn dazu ein Auftrag besteht oder dies aus rechtlichen oder Sicherheitsgründen erforderlich ist.  Wenn Kontoinhaber und/oder deren Benutzer E-Mail-Dienste in die Produkte und Services von Zoom integrieren, darunter Tools zur Geschäftsanalyse wie ZoomIQ, kann Zoom E-Mail-Informationen wie Inhalt der E-Mail, Header und Metadaten dieser Drittanbieter-Services erheben oder verarbeiten, um die durch das Konto angeforderten Dienste zu erbringen oder das Produkt zu verbessern.
  • Kommunikation mit Zoom: Informationen über Ihre Kommunikation mit Zoom, einschließlich im Zusammenhang mit Supportfragen, Ihrem Konto und anderen Anfragen.
  • Informationen von Partnern: Zoom erhält von Drittunternehmen, wie z. B. von Marktdatenaufbereitern, Informationen über Kontoinhaber und deren Benutzer, wie z. B. Informationen über die Unternehmensgröße oder Branche eines Kontoinhabers, Kontaktinformationen oder die Aktivität bestimmter Enterprise-Domains. Zoom kann auch Informationen von externen Werbepartnern einholen, die in Zoom Produkten und Dienstleistungen angezeigte Werbeanzeigen liefern, z. B. ob Sie auf eine von diesen Werbepartnern gezeigte Werbeanzeige geklickt haben.

Stellt eine digitale Fotografie eine Datennutzung dar gemäß DS-GVO dar?

Zuerst einmal muss die Frage nach dem Haushaltsprivileg beantwortet werden. Die DS-GVO sagt dazu: „(2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten …
c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,“ (Art. 2 Abs. 2, lit. c DS-GVO) Hier käme das Kunsturhebergesetz zur Anwendung. Wir können also davon ausgehen, dass in vielen Fällen einer identifizierbaren verantwortlichen Stelle die DS-GVO zur Anwendung kommt.

Art. 4 Abs. 1 DS-GVO regelt, dass bei Fotos mit einer für eine Erkennung natürlicher Personen ausreichenden Auflösung von einer Datenverarbeitung auszugehen ist. Es spielt hierbei keine Rolle, ob die abgebildeten Personen namentlich zugeordnet werden. Das digitale Bild allein genügt.

Können Personen, die ohne Rechtsgrundlage auf einem Bild gelandet sind, nachträglich durch Balken oder andere Hilfsmittel anonymisiert werden? Das kann man schon machen. Mit dem digitalen Bild ohne Rechtsgrundlage ist das sprichwörtliche Kind allerdings bereits in den Brunnen gefallen. Denn eine Datenerhebung und eine Datenspeicherung haben ja bereits stattgefunden. Vielleicht kommt noch eine Datenweitergabe hinzu?

Fazit: Digitale Fotos natürlicher Personen ohne Rechtsgrundlage zu erzeugen, ist Bußgeldbewährt. Da nützt ein nachträgliches Anonymisieren auch nix.

Tschüss WhatsApp

Am 13. Mai 2021 habe ich meinen WhatsApp-Account gekündigt. Und? Was hat es mir gebracht? Das Gute zuerst: Ich bemerke bisher keine Einschränkungen. Weltweit betrachtet gibt es durchaus eine gewisse Tendenz, WhatsApp und damit dem Facebook-Konzern den Rücken zu kehren. Wirtschaftlich spürbar ist die Abwanderungsbewegung für WhatsApp wahrscheinlich nicht. Aktuelle Zahlen zum Thema habe ich bisher nicht finden können. Was wären denn die Alternativen? In Deutschland beispielsweise hat es keine bemerkenswerte Bewegung weg von WhatsApp hin zu Alternativen gegeben. Wahrscheinlich sind die Alternativen zu wenig bekannt.

Telegram

Derzeit befindet sich, gemessen an den Nutzerzahlen, Telegramm auf Platz 2 nach WhatsApp. Man geht aktuell von etwa 500 Millionen Nutzern aus. Im Vergleich dazu rechnet man bei WhatsApp mit etwa 1,2 bis 1,5 Milliarden Nutzern. Der größte Nachteil von Telegrammen besteht aus meiner Sicht darin, dass eine End-to-End-Verschlüsselung nicht als Standard angeboten wird. Dafür muss erst die Funktion „Geheimen Chat starten“ verwendet werden. Gruppen können hier bis zu 250.000 Mitglieder enthalten. Öffentlich zugängliche Kanäle lassen sich erstellen. Das macht Telegram in einigen Kreisen besonders beliebt. Der Unternehmenssitz befindet sich in London.

Signal

Ein Pro-Argument für Signal lautet oft: Edward Snowden und Elon Musk empfehlen Signal. Anders als die anderen Kindern ist Signal nicht gewinnorientiert. Die gemeinnützige Stiftung finanziert sich über Spenden. Der Drang, Nutzerdaten zu versilbern kann Signal gegenwärtig nicht unterstellt werden. Die Chats sind End-to-End-verschlüsselt. Kontakt- und Metadaten werden nicht bei Signal gespeichert. Das macht Signal aus Sicht des Datenschutzes sympathisch. Die Chats selbst werden auf dem lokalen Endgerät gespeichert. Dadurch entfällt zwar die Möglichkeit eines Backups, aber das Datenschutzniveau bleibt hoch.

Threema

Personenbezogene Daten werden hier für die Einrichtung eines Benutzeraccounts nicht benötigt. Die Threema-ID als Identifikationsmerkmal wird beim Anlegen des Accounts erstellt. Die Server stehen in der Schweiz, einem datenschutzrechtlich sicheren Drittstaat. Hat ein Nutzer eine Nachricht vom Server abgerufen, wird diese dort gelöscht. Die Kontaktlisten werden auf den Servern nur anonymisiert gespeichert. Metadaten werden weder erzeugt noch gespeichert. Zumindest unter noch funktionierenden Geräten mit gleichem Betriebssystem ist ein Backup möglich. Aus meiner Sicht ist Threema der Dienst mit dem höchsten Datenschutzniveau.

Wire

Wire ist sicherlich der Exot unter den Messenger. In Berlin entwickelt, war Wire als Konkurrenz zu WhatsApp gedacht. Nicht nur gegen WhatsApp, auch gegen Telegramm, Signal oder Threema konnte sich Wire nicht durchsetzen. Die Entwickler haben Wire jetzt eher als Konkurrenz zu Slack und zu anderen Kollaborationstools in Stellung gebracht.

Mein Fazit

Ich komme gut mit der Kombination aus vielen Tools zurecht. Insofern verspüre ich keine großen Kommunikationsverluste nach dem Weggang von WhatsApp. Mein persönlicher Favorit ist Threema, auch wenn die App nicht kostenfrei abgegeben wird. Das hohe Datenschutzniveau ist mir die 3,49 € allemal wert. Im Unterricht befrage ich immer wieder meine Schüler*innen zu dem Thema. Ich stelle auch hier fest, dass es keinen bemerkenswerten Trend weg von WhatsApp gibt. In allen Klassen, in denen ich seit dem 15. Mai 2021 unterrichtet habe, konnte ich genau eine Schülerperson finden, die ebenfalls WhatsApp verlassen hat. Die Frage, wer überhaupt WhatsApp nutzt, habe ich in diesem Zusammenhang nicht gestellt.

45 Jahre Datenschutz in Deutschland

Der Bundestag hat am 10. Juni 1976 das Bundesdatenschutzgesetz beschlossen. Seit 45 Jahren gibt es nun in Deutschland (West) eine gesetzliche Grundlage für den Schutz unserer Privatheit. Gern wird das Argument gezogen, dass sich doch niemand sorgen muss, der nichts zu verbergen hat. „Wer gesetzestreu lebt, muss sich keine Gedanken machen.“ Ich finde, dass die Art, wie ich lebe, liebe, denke niemanden etwas angeht. Es sei denn, ich möchte, dass daraus etwas bekannt wird.

Digitale Kommunikation und Social Media, Online-Shopping und digitale Informationsbeschaffung haben die Situation noch verschärft. Die Corona-Pandemie stellt eine weitere Zuspitzung des Themas dar.

„Wir haben ein Problem in diesem Land mit Datenschutz. Die Corona-Warnapp hat nicht das gebracht, was sie sollte. Darüber brauchen wir eine politische Debatte, ob wir uns nicht von lieb gewordenen deutschen Mentalitäten trennen müssen.“ (Quelle: Twitter)

Wir haben kein Problem mit dem Datenschutz in Deutschland. „Deutsche Mentalitäten“ im Kontext eines Gesetzes anzuführen, erscheint mehr als polemisch. Wir haben tatsächlich ein massives Problem mit dem Datenschutz in Deutschland. Wir haben ein Problem mit der Ausprägung eines datenschutzgerechten Denkens. Datenschutz und informationelle Selbstbestimmung findet in Schulbildung kaum Niederschlag. Wenn Lehrpersonen zu Beginn der Schulschließung auf Tools für Distanzunterricht setzen, ohne dabei auf Datenschutz zu achten, dann verdeutlicht das unsere Situation.

Was ist also zu tun? Lehrpersonen habe eine Vorbildfunktion. Diese muss kompetent wahrgenommen werden. Datenschutz und informationelle Selbstbestimmung muss sich im Unterricht wiederfinden. Es genügt nicht, eine Unterrichtsstunde pro Schuljahr dafür aufzuwenden.

25. Mai 2021 – Drei Jahre Datenschutz-Grundverordnung

Seit drei Jahren gilt nun die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union. Seit drei Jahren haben wir in der EU ein einheitliches Datenschutzrecht. Das allein ist schon mal ein riesen Vorteil.

Ich kann mich noch gut an das Wehklagen von vor drei Jahren erinnern: Die Wirtschaft! Die Medizin! Abgesehen von der Tatsache, dass die DS-GVO immer dann herhalten muss, wenn mal wieder etwas schief gelaufen ist, konnte ich nicht erkennen, dass Unternehmen dem Untergang geweiht waren, nur weil am 25. Mai 2018 die DS-GVO in Kraft getreten ist.

Komisch, damals hat niemand geklagt: Die Bildung! Das kam dann knapp zwei Jahre später. Die Pandemie mit einhergehenden Schulschließungen, mit Distanzunterricht und mit dem Zwang, Unterrichtsprozesse zu digitalisieren, hat unser deutsches Dilemma aufgedeckt. Die Bildung hat nicht geklagt. Wahrscheinlich war man sich in dem Bereich gar nicht bewusst, dass Datenschutz je eine Rolle spielen könnte. Plötzlich stand das Thema auf der Tagesordnung. Zum dritten Jahrestag der Einführung der DS-GVO ist der Bildungsbereich der Bereich, in dem intensiv an und mit dem Thema Datenschutz gearbeitet werden muss.

Datenschutz, Unterricht und Fernunterricht

In den vergangen Wochen häufen sich Fragen zur datenschutzrechtlichen Zulässigkeit von Unterrichtsprozessen, besonders wenn es um den Einsatz von Online-Tools geht. Ich möchte hier die wesentlichen Überlegungen zusammenfassen.

Die erste zu beantwortende Frage ist die Frage nach der verantwortlichen Stelle. Wer entscheidet über Zwecke und Mittel bei der Verarbeitung personenbezogener Daten Art. 4 Punkt 7 DS-GVO)? Für unser Thema läuft das auf die simple Frage hinaus, ob es sich um rein private Aktivitäten handelt oder ob es sich um institutionalisierte Prozesse handelt. Die DS-GVO gilt explizit nicht im ausschließlich familiäre oder privaten Bereich (Art. 2 Abs. 2 Buchstabe c DS-GVO). Ich denke wir können uns jetzt darauf verständigen, dass Unterrichtsprozesse niemals ausschließlich familiär oder privat sind. Wir sind also zunächst im Wirkungsbereich der DS-GVO.

Im nächsten Schritt müssen wir prüfen, ob überhaupt datenschutzrelevante Prozesse umgesetzt werden. Finden Datenerhebungen, Datenspeicherungen, Datennutzungen oder Datenweitergaben statt? Wenn es um die Themen Online-Tools und Fernunterricht geht, besteht zumindest der Verdacht, dass mindestens einer der genannten Prozesse umgesetzt wird. Wir verlassen also auch an dieser Stelle nicht den Wirkungsbereich der DS-GVO.

Eine entscheidende Frage lautet: Sind denn tatsächlich Daten identifizierbarer natürlicher Personen involviert? Wenn eine hinreichende Anonymisierung natürlicher Personen stattfindet, bleibt das Thema Datenschutz zwar auf der Tagesordnung. Es wird allerdings vieles leichter. Für eine Anonymisierung kann beispielsweise auf eine Kombination aus Vorname und erstem oder den ersten beiden Buchstaben des Familiennamens zurückgegriffen werden. SuS sind für ihre Lehrpersonen immer noch identifizierbar. Nach außen hin sind sie allerdings hinreichend anonymisiert. Alternativ kann auf eine Pseudonymisierung zurückgegriffen werden. Ein denkbares Pseudonym kann eine Schülernummer sein. Auch bei dieser Methode gilt: SuS sind für Lehrpersonen identifizierbar. Nach außen hin ist das auch hier nicht möglich. Schwieriger für den weiteren Verlauf einer datenschutzrechtlichen Bewertung sind Situationen, in denen tatsächlich personenbezogene Daten genutzt werden. Macht es sich beispielsweise erforderlich, Schülerdaten wie z. B. den vollständigen Namen, eine Mail-Adresse oder eine Telefonnummer zu nutzen? Jedes Tool, in dem eine Mailadresse der SuS genutzt werden muss, gehört beispielsweise in diese Situation. Noch immer können wir den Wirkungsbereich der DS-GVO nicht verlassen.

Entspannung stellt sich also ein, wenn Daten von SuS anonymisiert oder pseudonymisiert werden können. Die Konsequenzen allerdings sollen an dieser Stelle nicht weiter besprochen werden.

Spannend wird es tatsächlich, wenn personenbezogene Daten von SuS zur Nutzung gelangen. An dieser Stelle ist die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DS-GVO zu prüfen. Eine Datennutzung auf Grund einer Erfüllung gesetzlicher Erfordernisse (Art. 6 Abs. 1 Buchstabe c DS-GVO) kann ich nicht ausmachen. Die Rechtsgrundlage Vertragserfüllung (Art. 6 Abs. 1 Buchstabe b DS-GVO) kann dann benutzt werden, wenn es einen Schulvertrag gibt und wenn in diesem Methoden und betroffene Datenkategorien beschrieben sind. Als sehr problematisch schätze ich die Rechtsgrundlage Einwilligung (Art. 6 Abs. 1 Buchstabe a DS-GVO) ein. Eine Einwilligung muss freiwillig erfolgen (Art. 7 Abs. 4 DS-GVO). Gibt es keine Alternative zu Online-Tools und Fernlernen unter Nutzung personenbezogener Daten, so scheint mir eine Freiwilligkeit auch gemäß Erwägungsgründe 42 und 43 DS-GVO nicht gegeben zu sein.

Was bedeutet das nun für die Praxis? Entspannung stellt sich ein, wenn keine personenbezogene Schülerdaten genutzt werden. Das Zauberwort lautet hier Anonymisierung. Auf eine Nutzung personenbezogener Daten sollte unbedingt verzichtet werden. Die Nutzung beispielsweiser einer Mail-Adresse fällt in die Prozesse Datenerhebung, Datenspeicherung und Datennutzung hinein. Dafür eine Rechtsgrundlage zu finden, dürfte schwer fallen.

Offene Kontaktlisten

Das Thema „offene Kontaktlisten“ scheint ein Dauerbrenner zu sein. So richtig durchgestartet ist das Thema in der Pandemie-Situation. In verschiedenen Bundesländern werden Gästelisten in Restaurants geführt. Frisöre, Kosmetikstudios und andere Einrichtungen sind auch in der Pflicht.

Jedoch ist sind offene Kontaktlisten keine neue Erscheinung. Bei Weiterbildungen, bei Veranstaltungen, im Elternabend gehen Listen herum. Die Teilnehmer* innen sollen ihre Daten eintragen oder schlimmer noch, umfangreiche Daten kontrollieren/korrigieren.

Es war nur eine Frage der Zeit, dass Bußgelder verhängt werden. Die Aufsicht führende Behörde in Hamburg hat die Verfahren zur Gäste- und Besucherdokumentation kontrolliert, Verbesserungsvorschläge unterbreitet und die Ergebnisse kommuniziert. Offensichtlich hat das nicht ausgereicht. Jetzt wurden auch Bußgelder verhängt.

Ich finde das gut so. Eben weil das Thema „offene Kontaktlisten“ in unterschiedlichen Ausprägungen ein Dauerbrenner ist. Ich habe schon zwei Mal die Lokalität wechseln müssen, weil man mit einer Liste ankam, in der ich meine Kontaktdaten erfassen sollte.