Inhalt:

• Faxnachrichten: Datensicherheit nicht mehr gegeben
• Ermittlungsverfahren zum "grünen Pass"
• Hamburger Datenschutzbeauftragter eröffnet Verfahren gegen Facebook wegen WhatsApp und untersagt Datenverarbeitung
• Datenschutz bei Smartcars - Leitlinien der Europäischen Datenschutzbehörde EDPB

 

 

Faxnachrichten: Datensicherheit nicht mehr gegeben

Die Datenschutzbehörde von Bremen hat dieser Tage eine Einschätzung veröffentlicht, wonach Faxnachrichten nicht mehr als datenschutzkonform einzustufen sind. Bisher wurde die Faxübertragung von Ärzten, Therapeuten, Anwälten, Gerichten, Steuerberatern etc. gewählt, um eine schnelle, sichere Übertragung von Mitteilungen vornehmen zu können. Technische Änderungen haben jedoch zur Folge, dass das Faxen von Rezepten, Berufungen, Bescheiden etc. (d.h. Daten gem. Art. 9 DSGVO) nicht mehr rechtskonform ist.

Ursprünglich wurden Faxnachrichten physikalisch vom Sender direkt zum Empfänger übertragen. Es handelte sich um Punkt-zu-Punkt-Übertragung ohne "Zwischenstation". Mittlerweile sind jedoch die Telefonnetze ebenfalls Datennetze geworden. Faxnachrichten werden im Zuge der Übertragung in Bilder umgewandelt und landen in den meisten Fällen in einem Mailserver, von dem sie als unverschlüsselte Nachrichten weiterverteilt werden. Das gilt sogar dann, wenn an beiden Enden der Verbindung ein Faxgerät steht und beide - Sender und Empfänger der Nachricht - nichts Böses vermuten.

Noch ist unklar, wie schnell sich die Beurteilung aus Bremen als "geltende Lehre" allgemein durchsetzt. Technisch korrekt und plausibel ist sie jedenfalls. Dass Faxnachrichten daher demnächst nicht mehr als sichere Übertragungsform gelten werden, steht außer Zweifel. Es gibt jedoch genügend Alternativen, nämlich rechtskonforme, kostengünstige und vorallem einfache Übertragungsmethoden, die keine außergewöhnlichen Vorkenntnisse der Nutzer erfordern. Ideato hat seinen Klienten bereits mehrfach erfolgreich solche Werkzeuge eingerichtet und kann mit entsprechenden Erfahrungswerten helfen.

Quellen

https://www.derstandard.at/story/2000126557037/persoenliche-daten-faxen-ist-unsicher-und-daher-dsgvo-widrig

https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen/telefax_ist_nicht_datenschutz_konform-16111

https://www.golem.de/news/personenbezogene-daten-fax-ist-nicht-mehr-datenschutzkonform-2105-156400.html

(alle 12.5.2021)

 

 

Ermittlungsverfahren zum "grünen Pass"

Was der "grüne Pass" oder das "grüne Zertifikat" genau sein soll, ist ja noch in Diskussion. Die damit angestrebte Wirkung hingegen scheint relativ klar zu sein: Der Inhaber soll sich damit Reisefreiheit in ganz Europa und problemlosen Zutritt zu allen Einrichtungen verschaffen können. Unabhängig davon, ob das gute Stück am Mobiltelefon oder als Stück Papier von den Behörden zur Verfügung gestellt wird: Im Hintergrund wird jedenfalls eine enorme Sammlung personenbezogener Daten stehen, die detailierte Rückschlüsse auf den Gesundheitszustand der Betroffenen erlaubt.

Weil die notwendige Datenbank so groß und so informativ ist, kann man sich leicht vorstellen, dass Kriminelle und staatliche Vorfeldorganisationen (die "üblichen Verdächtigen" sitzen z.B. in Russland, China und anderen Ländern) viel Aufwand treiben werden, um die Daten nutzen zu können. Dabei ist aber noch nichteinmal klar, welche Einrichtung als "Verantwortlicher" (Art. 4 DSGVO) für die Datensammlung gelten wird. Und noch etwas: Selbstverständlich könnte man fast alle Datenschutzrisiken dadurch marginalisieren, dass die Betroffenen gegen Vorweis bestimmter Dokumente das Zertifikat von Lokalbehörden als Papier ausgefolgt bekommen, worüber der Aussteller ausschließlich bei sich einen amtlichen Vermerk archiviert. Ohne zentrale Datenbank sinkt der Nutzen für illegale Zugriffe auf die Daten beträchtlich.

Während die meisten von uns mit der geplanten Datensammlung als "Betroffene" konfrontiert sein werden, könnten Ärzte, Therapeuten oder generell Gesundheitsdienstleister auch als "Beitragstäter" mit der Angelegenheit in Berührung kommen. Immerhin bestätigen sie Impfungen, negative Tests oder überwundene Krankheiten. Unter Juristen ist unbestritten, dass es nicht ausreicht, behördliche Anweisungen zu vollziehen. Jede involvierte Stelle ist gehalten, sich auch Gedanken zur Rechtsgrundlage behördlicher Anweisung zu machen. Wenn etwa die Verordnung eines Ministeriums gegen das Verfassungs- oder das EU-Recht verstößt, kann ihre Befolgung im Extremfall sogar strafrechtliche Konsequenzen nach sich ziehen.

Mittlerweile hat in der EU ein Rennen eingesetzt, wer zuerst eine funktionierende App zum "grünen Pass" zur Anwendung bringt. Die Provinz Bozen scheint unter den Favoriten zu sein, könnte aber von der Datenschutzbehörde in Rom ausgebremst werden, die ein Ermittlungsverfahren eingeleitet hat. In Österreich versucht die Regierung, Bozen um jeden Preis wenigstens auf den Fersen zu bleiben, während Sachverständige vor einer Husch-Pfusch-Lösung warnen, die weder verfassungskonform ist, noch den Anforderungen des EU-weiten Datenschutzes entspricht. Wie diese Diskussion ausgeht, bleibt abzuwarten.

Quelle:

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9581333

(30.4.2021)

 

 

Hamburger Datenschutzbeauftragter eröffnet Verfahren gegen Facebook wegen WhatsApp und untersagt Datenverarbeitung

Facebook darf nach einer Anordnung des Hamburger Datenschutzbeauftragten vorerst keine personenbezogenen Daten seines Messengerdienstes Whatsapp mehr verarbeiten. Dafür fehle eine ausreichende rechtliche Grundlage, teilte die Behörde, die in Deutschland für Facebook zuständig ist, am 11.5.2021 mit. Damit ist die Umsetzung der für 15. Mai von Facebook geplanten neuen Nutzungsbestimmungen wenigstens vorläufig unterbunden.

Facebook behauptet, dass die Datenschutzbehörde aufgrund unzutreffender Annahmen entschieden hätte. Jedenfalls geht das Match zwischen Facebook und WhatsApp einerseits sowie den Behörden und Nutzern andererseits in Europa in die nächste Runde.

Dass es auch auf anderen Schauplätzen mit WhatApp gravierende Probleme gibt, sei nur am Rande erwähnt: Mitte April 2021 gab u.a. T-Mobile bekannt, dass Kriminelle über WhatsApp auch Schadsoftware verbreiten.

An dieser Stelle darf nochmals hingewiesen werden, dass die Verwendung von WhatsApp auf Geräten, die (auch) zum beruflichen Gebrauch dienen, nicht rechtskonform ist. Dies auch deshalb, weil WhatsApp das gesamte Kontaktverzeichnis eines Nutzers auf seine Server kopiert. Auf diese Weise überantwortet der Nutzer die Daten seiner Kontaktpersonen den Betreibern von Whatsapp, ohne dafür die ausdrückliche Erlaubnis eingeholt zu haben. Wenn berufliche Verschwiegenheitsverpflichtungen bestehen (z.B. bei Ärzten, Therapeuten, Apothekern, Anwälten, Steuerberatern etc.) stellt die Verwendung von WhatsApp sogar noch einen zusätzlichen Rechtsbruch dar.

Quellen:

https://www.derstandard.at/story/2000125798780/hamburger-datenschuetzer-eroeffnet-verfahren-gegen-facebook-wegen-whatsapp

(13.4.2021)

https://www.derstandard.at/story/2000126564970/deutscher-datenschutzbeauftragter-verbietet-facebook-verabreitung-von-whatsapp-nutzerdaten

(11.5.2021)

https://www.t-online.de/digital/sicherheit/id_89801800/whatsapp-vorsicht-schadsoftware-verbreitet-sich-ueber-nachrichten.html?utm_source=pocket-newtab-global-de-DE

(12.4.2021)

https://www.derstandard.at/story/2000125753278/schadsoftware-infiziert-halbe-millionen-huawei-smartphones-ueber-offizielle-app-gallery

(12.4.2021)

 

 

Datenschutz bei Smartcars - Leitlinien der Europäischen Datenschutzbehörde EDPB

Zeitgemäße Fahrzeuge verfügen nicht nur über zahlreiche Rechner zur Steuerung verschiedener Funktionen, sondern sie übertragen auch umfangreiche Daten an unbekannte Stellen. Damit wird das gesamte Fahrverhalten, die Fahrtstrecken, die Anzahl der Personen im Fahrzeug, ja sogar Bilder der Umgebung oder des Fahrzeuginnenraums systematisch erfasst, weitergeleitet und ausgewertet. Der Vorgang ist als "profiling" in der DSGVO beschrieben und nur unter sehr eingeschränkten Umständen zulässig. Kompliziert wird der Sachverhalt zusätzlich noch dadurch, dass weder für den Fahrer, noch für den Eigentümer des Fahrzeuges klar ist, wer für die Datenverarbeitung als "Verantwortlicher" gem. Art 4 DSGVO zu sehen ist. Dazu kommt noch, dass es aus Sicht der Rechtswissenschaft durchaus offen ist, wer als Eigentümer der Daten gilt, die das Fahrzeug mittels seiner Sensoren und Kameras erzeugt. Betroffen von diesem Phänomen sind alle Fahrzeugnutzer. Die Autobauer haben nämlich auch verhindert, dass man die rechtswidrige Datensammlung unterbinden, d.h. ausschalten kann.

Quellen:

https://garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9568537

(29.3.2021)

https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012020-processing-personal-data-context-connected_en

(9.3.2021)