Inhalt:

• Einleitung: DSGVO - 15 Probleme und Anregungen zur Lösung
• Verzeichnis der Anwendungen
• Datenschutz-Folgenabschätzung (DSFA)
• Cookies
• Gratis Mails
• WhatsApp
• Facebook
• Einverständniserklärung
• Datenversand
• Videoüberwachung
• MS-Office365
• Smarte Geräte
• Kinder und Jugendliche
• Personen mit eingeschränkter Geschäftsfähigkeit
• Papierunterlagen
• Wartung, Reparatur und Entsorgung von IT-Geräten

 

 

Einleitung: DSGVO - 15 Probleme und Anregungen zur Lösung

Die Entscheidungspraxis der Gerichte und der Behörden sowie die praktische Arbeit bei Unternehmen hat wiederkehrende "Problemzonen" zu Tage gefördert. Neben einer Zusammenstellung der wichtigsten Dinge, die man besser unterlassen sollte, finden Sie hier Anregungen zur Lösung von praktischen Schwierigkeiten. Darüber sollte man nachdenken, auch und insbesondere dann, wenn man beruflich für die Verarbeitung "sensibler Daten" gem. Art. 9 oder Art. 10 DSGVO verantwortlich ist, also z.B. Gesundheitsdaten oder Daten von Rechtsfällen bearbeitet und speichert.

Das bedeutet aber nicht, dass nur berufliche Daten sorgfältig behandelt werden müssen. Auch private Datenverarbeitungen haben keinen "Freibrief", der sie von allen Verpflichtungen befreit. Speziell für Österreich gilt, dass JEDERMANN Anspruch auf Schutz seiner Daten geltend machen kann (§ 1 DSG - Verfassungsbestimmung). Daher können auch juristische Personen, wie z.B. Vereine, Gemeinden oder Firmen, unter bestimmten Umständen den Schutz ihrer Daten einfordern. Einzelpersonen können das ohnehin.

Dazu kommt noch, dass der EuGH in der Vergangenheit die Rechte der Betroffenen von Datenverarbeitungen massiv gestärkt hat. Er scheute dabei auch keine Konflikte mit großen Playern, wie z.B. Google oder Facebook.

Wer also Daten verarbeitet, tut gut daran, sich an die wichtigsten Regeln zu halten und Grauzonen nach Möglichkeit zu meiden. Für Fragen steht Ideato jederzeit gern zur Verfügung. Und natürlich helfen wir auch gerne bei der Beseitigung erkannter Schwachstellen.

 

 

Verzeichnis der Anwendungen

Das Verzeichnis der Anwendungen eines Unternehmens ist mit der geschriebenen Verfassung eines Staates vergleichbar. Jedes Unternehmen muss ein derartiges Verzeichnis führen, aus dem die Eckdaten der verschiedenen IT-Prozesse ersichtlich sind. Nicht alle Unternehmen erfüllen diese Verpflichtung. Das ist nicht nur ein Mangel bei der Erfüllung gesetzlicher Pflichten. Die Firmen berauben sich damit selbst eines wichtigen Hilfsmittels zur Steuerung ihrer Unternehmensprozesse.

Erstellung des Verzeichnisses

Um die Erstellung des "Verzeichnis der Anwendungen" kommt man nicht herum, wenn man sich an das Gesetz hält. Es gibt aber Musterblätter verschiedener Organisationen (z.B. WKO) als Hilfe. Sie alle listen die wichtigsten Angaben auf, die man von einer Datenverarbeitung erheben muss. Die große Chance, die sich dabei ergibt, ist eine umfassende Darstellung der meisten Prozesse eines Unternehmens sowie der beteiligten Akteure und ihrer Aufgaben. In vielen Fällen hat sich die Erstellung einer Skizze bewährt, in der die Verarbeitungen, die eingesetzte Hard- und Software und die damit befassten Mitarbeiter auf unterschiedlichen Ebenen dargestellt werden. Davon lassen sich dann einfach die Angaben für das Ausfüllen der vorgeschriebenen Tabelle ableiten.

Neben der Einhaltung der gesetzlichen Verpflichtung hat die übersichtliche Darstellung noch einen weiteren, wichtigen Vorteil: Die meisten Unternehmensprozesse werden auf ihre Zweckmäßigkeit geprüft. Die Chancen, die sich damit abseits der Überlegungen zum Datenschutz aus wirtschaftlicher Sicht bieten, brauchen kaum näher erläutert zu werden.

 

 

Datenschutz-Folgenabschätzung (DSFA)

Wenn eine Datenverarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat, muss eine DSFA durchgeführt und dokumentiert werden. Auch die Prüfung, ob eine DSFA erforderlich ist, ist zu dokumentieren, selbst wenn sie zum Schluss kommt, dass man keine benötigt.

Zur Prüfung der Notwendigkeit und zur Durchführung der DSFA gibt es Anleitungen und Hilfestellungen der Datenschutzbeauftragten der deutschen Bundesländer und der österreichischen Datenschutzbehörde (DSB). Die Sichtweisen der Behörden sind unterschiedlich. Bayern etwa hat auf der Basis von Art. 35 Abs. 4 der DSGVO eine "Blacklist" jener Datenverarbeitungen erstellt, für die eine DSFA zwingend erforderlich ist. Dieses Hilfsmittel wurde mit informativen Beispielen angereichert. Zusätzlich bietet Bayern auch noch ein Software-Tool (PIA-Tool) für Windows-PCs zum Download, mit dem man bei der Entscheidung, ob eine DSFA nötig ist, unterstützt wird.

Für Österreich gibt es - mit einigen inhaltlichen Unterschieden zur bayerischen Regelung - sowohl eine "Blacklist" (DSFA muss unbedingt erfolgen, BGBl II 278/2018) als auch eine "Whitelist" (DSFA ist nicht erforderlich, BGBl II 108/2018). Auf aussagekräftige, informative Beispiele verzichtet die DSB allerdings. Wie überhaupt die Beratungsleistung der DSB in Fachkreisen - insbesondere im Vergleich mit Deutschland - als "ausbaufähig" beurteilt wird.

Durchführung der Datenschutz-Folgenabschätzung (DSFA)

Voraussetzung für alle Arbeiten mit der DSFA ist ein korrekt erstelltes "Verzeichnis der Anwendungen". Anhand dieses Verzeichnisses, der Bestimmungen der DSGVO sowie allfälliger Black- und White-Lists der zuständigen Datenschutzbehörde wird im ersten Schritt für jede Anwendung beurteilt, ob sie „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat. Die Überlegungen dazu und das Ergebnis werden dokumentiert.

Für Österreich empfiehlt sich angesichts der behördlichen Entscheidungen die "White-List" sehr eng auszulegen und die DSFA immer vorzunehmen, wenn die konkrete Anwendung nicht präzise den in der Liste angeführten Standardfällen entspricht. Umgekehrt sollte die "Black-List" weit interpretiert werden, sodass eine DSFA immer angefertigt wird, wenn die konkrete Anwendung auch nur in die Nähe der in der Liste angeführten Fälle kommt.

Der Datenschutzbeauftragte von Bayern vertritt hinsichtlich der Entscheidung, eine DSFA durchzuführen, eine offenbar weniger enge Sicht, als die österreichische DSB. Wenigstens lassen sich die bisherigen Entscheidungen und die veröffentlichte Black-List in dieser Weise deuten. In jedem Fall lohnt sich die Mühe, das angebotene PIA-Tool für die Entscheidung heranzuziehen.

Wenn eine DSFA notwendig ist, steht die Beschreibung der TOMs - der technisch-organisatorischen Maßnahmen - im Zentrum. Die TOMs dienen dazu, einen allfälligen Schaden für die Rechte und Freiheiten natürlicher Personen - falls er eintritt - möglichst gering zu halten. Deswegen lohnt es sich, in breiter Diskussion mit Fachleuten herauszufinden, was der effizienteste Weg der Gefahrenreduktion sein kann, der mit dem geringsten Aufwand für den Verantwortlichen verbunden ist.

 

 

Cookies

Auf nahezu allen Homepages wird auf sie in störender Weise hingewiesen, ohne den Nutzer nachhaltig aufzuklären. Eine wichtige Entscheidung des EuGH ist ziemlich neu (Oktober 2019) und stellt fest, dass das, was im Gesetz steht, auch gilt: Websites, auf denen die Zustimmung zu Cookies voreingestellt ist oder sogar automatisch erteilt wird, sind nicht zulässig. Die Nutzer müssen - vor der Zustimmung - im Einzelnen darüber informiert werden, welche Cookies gesetzt werden, wie lange sie wirksam sind und wofür sie der Anbieter einer Seite im Detail verwendet. Nur so kann der Nutzer nämlich "in informierter Weise" (DSGVO Erwägung Nr. 32 und Art. 4 Pkt 11) seine Zustimmung erteilen oder verweigern. Dies gilt insbesondere für Cookies, die technisch nicht erforderlich sind und nur zu Werbe-, Marketing- und Analysezwecken dienen.

Quelle:
http://curia.europa.eu/juris/liste.jsf?language=de&num=C-673/17 (1.10.2019)
https://www.datenschutzbeauftragter-info.de/eugh-aktive-einwilligung-fuer-cookies-erforderlich/ (1.10.2019)

Cookies auf der eigenen Homepage

Der Nutzer einer Website muss über alle gesetzten Cookies informiert werden damit er sich entscheiden kann, ob er sie akzeptiert oder nicht. Wichtig ist daher, ob Cookies für den Betreiber einer Website einen messbaren Mehrwert bringen. Die Verwendung bzw. Einbindung von Google-Analytics schafft zwar Google einen umfangreichen Zugang zu Daten des Nutzers. Für den Betreiber der Seite bleiben aber in der Regel keine nennenswerten Vorteile übrig, weil Google die weiterführenden Daten für sich behält. Cookies, die technisch erforderlich sind, etwa die Sprachauswahl, stellen zwar kein Problem dar, müssen aber auch in der Information für den Nutzer angeführt werden. "Wolkige" Beschreibungen des Zweckes von Cookies, z.B. "Optimierung des Surferlebnisses", entsprechen nicht der Rechtslage. Voreingestellte Zustimmungen sind rechtswidrig. Ebenso sind Formulierungen wie "Durch Nutzung der Seite stimmen Sie der Verwendung von Cookies zu" zumindest problematisch, weil sie einer voreingestellten Zustimmung sehr nahe kommen und keine Alternative bieten.

Ein Anbieter, der den Zugang zu seiner Seite blockiert, wenn der Besucher nicht allen Cookies zugestimmt hat, löst zumindest eine juristische Diskussion über Grundrechtsfragen und Erwerbsfreiheit aus. Davon abgesehen sind ja Internetauftritte Marketinginstrumente. Eine Seite für Besucher zu sperren, kommt in den meisten Fällen einer wirtschaftlichen Selbstbeschädigung gleich.

 

 

Gratis Mails

Wer die eMail-Adresse eines Gratisanbieters verwendet (z.B. gmx, hotmail, gmail etc.) muss davon ausgehen, dass alle seine Mails, die gesendeten und die empfangenen, nahezu schutzlos auf Servern gelagert sind, für die kein EU-Recht gilt. Im günstigsten Fall ist das Recht der USA anzuwenden, und der Betreiber hat eine "Konformitätserklärung" abgegeben. Damit bekunden Anbieter in den USA gegenüber dem US-Handelsministerium, dass sie Regeln befolgen, die – mit Abstrichen - denen der DSGVO ähnlich sind. Die Einhaltung dieses Versprechens wird aber nicht überprüft. Bestimmte US-Behörden haben immer per Gesetz die Möglichkeit, von Dienste-Anbietern in den USA die Herausgabe von Daten zu erzwingen. Die betroffenen Firmen müssen darüber Stillschweigen bewahren. Das gilt sogar dann, wenn die betroffenen Rechner nicht in den USA sondern in Europa stehen und ihr Betrieb der DSGVO unterliegt. Darüber hinaus analysieren die Gratismailanbieter aus eigenem Interesse das bei ihnen gespeicherte Datenmaterial ihrer Nutzer (das steht meistens sogar in den Nutzungsbedingungen!) und ziehen daraus Schlüsse für ihre Geschäftsmodelle. Dass sie damit kaum europäischem Recht entsprechen, stört sie nicht nachhaltig. Fazit: Mails, die man an hotmail, gmx, gmail oder andere Gratisanbieter schickt, sind offenen Postkarten vergleichbar und in keine Weise geschützt. Die österreichische Ärztekammer z.B. hat daher die Verwendung von Gratis-Mailkonten für berufliche Zwecke untersagt.

Vermeidung von Anbietern von Gratis-Mails

Schon um rund EUR 90 jährlich erhält man bei rein europäischen Anbietern mit Serverstandort in der EU die Möglichkeit, sich beliebige Mailadressen (oft bis zu 100 und mehr!) einzurichten. Man bestellt dazu einen Domain-Namen nach eigener Wahl und bekommt im Paket neben dem Mailserver auch Webspace für einen Internetauftritt. Die Einrichtung der Mailadressen erfolgt über Web-Portale, die einfach zu bedienen sind und auch Ungeübten das Anlegen, Warten oder Löschen einer Adresse ohne komplizierte Kunstgriffe ermöglichen.

Vorsicht geboten ist bei US-amerikanischen Anbietern mit einem Sitz in der EU. Für sie gilt neben der DSGVO auch das Recht der USA, das die Herausgabe von Daten an US-Regierungsbehörden erzwingen kann. Nach Ansicht von Datenschutzbeauftragten deutscher Bundesländer sind in dieser Konstellation die Standards der DSGVO nicht gewährleistet.

Noch ein Hinweis: Wenn jemand Webspace gemietet hat, muss er nicht zwangsläufig eine Homepage betreiben! Es gibt zahlreiche Personen, die Domains lediglich der Mailadressen wegen besitzen.

 

 

WhatsApp

Die beliebte Anwendung macht immer wieder Schlagzeilen mit Verletzungen des Datenschutzes. Sie kopiert schon bei der Installation alle Kontakte des Nutzers und speichert sie auf US-amerikanischen Servern. Auch spätere Änderungen im Kontakte-Verzeichnis werden synchronisiert. Die Verwendung von WhatsApp hat daher zur Folge, dass der Verantwortliche (d.h. der Nutzer von WhatsApp) personenbezogene Daten nichtsahnender Dritter ohne deren Kenntnis und Einwilligung und damit ohne Rechtsgrundlage an Facebook übermittelt. Ob das im privaten Umfeld Konsequenzen nach sich zieht, hängt vom Einzelfall ab. Im beruflichen Zusammenhang gilt die DSGVO, womit schon die Installation von WhatsApp auf beruflich genutzten Mobiltelefonen, auf denen in der Regel auch berufliche Kontakte gespeichert sind, rechtswidrig ist. Manche Berufsverbände (z.B. die österreichische Ärztekammer oder der bayerische Logopädenverband) weisen in ihren Berufsvorschriften auch ausdrücklich darauf hin. Die rein private Nutzung auf einem separaten Handy, auf dem keine beruflichen Kontakte gespeichert sind, ist in Österreich davon "nur" insofern berührt, als das Datenschutzgesetz (DSG) auch für Privatpersonen gilt und vorsieht, dass "jedermann" Anspruch auf Datenschutz hat.

Einsatz von Messengern

WhatsApp ist zwar (noch) der verbreitetste, aber nicht der einzige Messenger. Es gibt funktionsgleiche, kostenlose Alternativen, wobei "Signal" hinsichtlich der Sicherheit hervorsticht. Signal wird deshalb auch von Sicherheitsfachleuten und im behördlichen Umfeld vorzugsweise eingesetzt. Aber auch immer mehr Privatpersonen schaffen den Umstieg!

Wer ein WhatsApp Konto besessen hat, dieses löscht und z.B. zu Signal wechselt, hat zwar den Schaden schon angerichtet. Er verhindert aber für die Zukunft, dass die Korrekturen und Erweiterungen seines Kontakte-Verzeichnisses laufend an Facebook weitergeleitet werden. Das ist besser, als die Beibehaltung des vorherigen, problematischen Zustandes.

WhatsApp gemeinsam mit einem "sauberen" Messenger auf dem gleichen Handy (oder dem gleichen PC) zu betreiben, bringt gegenüber der ausschließlichen Verwendung von WhatsApp keinen Gewinn an Datensicherheit und ändert nichts an der Rechtswidrigkeit.

 

 

Facebook

Dass Facebook Inc. (und die europäische Tochterfirma Facebook Ireland Ltd.) beim Datenschutz die Grenze des Erlaubten aus geschäftlichem Interesse immer wieder massiv überschreitet, hat sich mittlerweile herumgesprochen. Facebook hat auch zahlreiche unbeabsichtigte Vorfälle zu verantworten, bei denen Millionen heikler Nutzerdaten durch technische Fehler oder als Ergebnis von erfolgreichen Hacks offen ins Netz gelangten. Auch das ist allgemein bekannt. Die Beurteilung des Vorteils, den eine Facebook-Fanpage für ein Unternehmen bringt, hängt von den näheren Umständen ab. Wer Facebook für sein eigenes Unternehmen nutzt, übernimmt - so sieht es der EuGH - eine juristische Mitverantwortung für das, was Facebook mit den Daten der Nutzer macht. Nachdem das Absaugen der Nutzer-Daten sogar schon dann stattfindet, sobald ein Ahnungsloser eine Internet-Seite besucht, auf der ein "Facebook-Like-Button" angebracht ist, sind Unternehmer gut beraten, sich technisch und juristisch abzusichern, bevor sie eine Facebook-Fanpage für ihr Unternehmen einsetzen.

Verwendung von Facebook

Unternehmer, die auf eine Facebook-Fanpage nicht verzichten und auf ihrer Homepage den "Like"-Button anbringen wollen, müssen eine technische „Krücke“ verwenden. Die sorgt dafür, dass die Code-Snippets, die von Facebook beigestellt werden, vom Besucher ihrer Homepage bewusst und informiert aktiviert werden und keine automatische Datenübertragung stattfindet. Sobald der Code nämlich aktiv ist, werden die Cookies von Facebook auf dem Endgerät des Besuchers der Website gespeichert. Parallel dazu müssen die Besucher ausdrücklich informiert werden, dass sie Cookies von Facebook auf ihren Geräten speichern.

Für die Aktivierung des "Like"-Buttons in einem zweistufigen Verfahren gibt es fertige Codes, die sich bewährt haben.

 

 

Einverständniserklärung

Wie schon in der Klienteninfo vom Oktober 2019 ausführlich berichtet, hat die Datenschutzbehörde in Wien (DSB) europaweite Aufmerksamkeit mit einer im Grunde logischen Entscheidung erregt: Die Verantwortlichen dürfen das Risiko für die Sicherheit personenbezogener Daten nicht auf die Betroffenen abwälzen, indem sie deren Zustimmung zu einer Unterschreitung der gesetzlich vorgesehenen Sicherheitsstandards einholen.

Anlassfall war die Versendung von Gesundheitsdaten mittels offenen Mails. Schon allein die Aufforderung an Betroffene, ein solches Einverständnis zu erteilen, ist nach Ansicht der DSB ein Rechtsbruch.

Das bedeutet u.a.:

Einverständniserklärungen von Betroffenen dürfen nur für Sachverhalte eingeholt werden, die in der DSGVO (bzw. im DSG für Österreich) vorgesehen sind. Andere Einverständniserklärungen sind hochproblematisch.

Einverständniserklärungen benötigt ein Verantwortlicher aber dann, wenn er ansonsten keine Rechtsgrundlage für die Datenverarbeitung geltend machen kann. Die gibt es aber in der Mehrzahl der Fälle ohnehin!

Lösung für Einverständniserklärungen und Information

Die DSGVO sieht Einverständniserklärungen für die Fälle vor, wo zwischen dem Verantwortlichen einer Datenverarbeitung (z.B. einem Unternehmen) und einem Betroffenen keine engere Beziehung besteht, die eine Verarbeitung personenbezogener Daten rechtfertigt. Will etwa ein Unternehmen an Besucher seines Messestandes nachträglich Newsletter verschicken und dafür während der Messe die eMail-Adressen sammeln, ist eine ausdrückliche (schriftliche) Zustimmung der Messebesucher nötig. Für die Verarbeitung personenbezogener Daten zu bestehenden Kundenverbindungen ist hingegen kein Einverständnis erforderlich, wohl aber die Information gem. Art. 13 und 14 DSGVO über Art und Quelle, Umfang und Dauer der Datenverarbeitung sowie über die Rechte der Betroffenen. In Österreich sind zahlreiche Gesundheitsberufe von dieser Informationspflicht ausgenommen.

Wo immer möglich, sollte man bei der Verarbeitung personenbezogener Daten besser andere Rechtsgrundlagen heranziehen und auf Einverständniserklärungen verzichten. Das Einverständnis kann der Betroffene jederzeit ohne Angabe von Gründen zurückziehen.

Davon unabhängig hat in Österreich das Ärztegesetz jedoch immer schon vorgeschrieben, dass Ärzte nur mit Zustimmung des Patienten andere Ärzte, in deren Behandlung der Kranke steht, über den Gesundheitszustand informieren dürfen (ÄrzteG 1998, BGBl. I Nr. 169/1998 § 51 Abs. 2 Zi 2). Diese Vorschrift ist noch immer in Kraft, im Gesamtzusammenhang mit der aktuellen Rechtsordnung und ihren österreichischen Ausnahmeregelungen jedoch logisch schwer erklärbar.

 

 

Datenversand

Unbeschadet des Umstandes, dass es mit ein wenig Aufwand verbunden ist, muss der Verantwortliche dafür sorgen, dass er personenbezogene Daten nur auf angemessen gesicherten Wegen verschickt. Der Verzicht auf Sicherheit, insbesondere beim Versand von sensiblen Daten (z.B. Gesundheitsdaten) ist auch dann nicht zulässig, wenn der Betroffene einwilligt (Achtung: Schon die Einholung einer solchen Zustimmung ist verboten!).

Einzelne Datenschutzbeauftragte deutscher Bundesländer vertreten die Auffassung, dass der Schutzgedanke der DSGVO den Verantwortlichen sogar abverlangt, dass sie nicht nur den eigenen, aktiven Datenversand absichern müssen, sondern auch gesicherte Wege anbieten müßten, auf denen ihnen ihre Geschäftspartner (Kunden, Patienten, Klienten) personenbezogene Daten übermitteln können. Das würde bedeuten, dass z.B. Ärzte, Anwälte, Steuerberater, Therapeuten etc. für Patienten oder Klienten die Technik bereitstellen müssen, mit der Daten gesichert in die Praxen, Ordinationen oder Kanzleien versandt werden können. Diese Meinung ist jedoch derzeit (noch) nicht bindend.

Vorschläge für sichere Übertragung

1. Das alte Fax ist nicht tot! Die kassenärztliche Vereinigung Bayerns und die Ärztekammer Wien stellen übereinstimmend fest, dass die Übertragung sensibler Daten per Fax als sicher anzusehen ist (weil es sich technisch um eine Point-to-Point-Verbindung handelt). Im institutionellen Bereich sind oftmals Faxgeräte vorhanden. Privatpersonen verfügen in der Regel nicht darüber.
2. Wenn die Zahl der Fälle überschaubar bleibt, kann der Absender auch verschlüsselte PDF per Mail verschicken. Das von ihm festgelegte Passwort zum Öffnen des Files darf selbstverständlich nicht auf dem gleichen Kanal (im Beispiel also ebenfalls per Mail) versandt werden. Ein Telefonat etwa, bei dem man sich gleich auch von der Identität des Empfängers überzeugen kann, wäre eine zulässige Möglichkeit.
3. Bei technisch fortgeschrittenen Internetnutzern empfiehlt sich die Verwendung von PGP ("Pretty Good Privacy"). Jedermann kann sich kostenlos für seine Mailadresse PGP-Schlüssel erzeugen. Man erhält immer ein Schlüsselpaar, nämlich einen öffentlichen und einen privaten Schlüssel. Den öffentlichen Schlüssel publiziert man (z.B. als Standardanhang an eigenen Mails). Den privaten Schlüssel verwahrt man sicher und verwendet ihn zur Entschlüsselung von empfangenen, mit dem öffentlichen Schlüssel verschlüsselten Mails. Das klingt etwas kompliziert, ist es aber nicht wirklich. Der Arzt, Steuerberater oder Therapeut benötigt also den öffentlichen Schlüssel seines Patienten oder Klienten, um ihm gesichert personenbezogene Informationen zusenden zu können.
   Weit verbreitet ist diese Methode nicht. Als Standard kommt sie daher kaum in Betracht, und ein Trend zur Änderung ist augenblicklich nicht erkennbar.
4. Den geringsten Aufwand bei der täglichen Arbeit bereitet die Verwendung einer gesicherten Cloud, z.B. "owncloud" oder "nextcloud". Die Lösung ist verhältnismäßig rasch hergestellt, die laufenden Kosten können sehr klein gehalten werden, weshalb diese Variante auch KMU-tauglich ist. Der gesamte Datenverkehr zwischen dem Unternehmen und externen Nutzern verläuft in beide Richtungen gesichert. Die externen Nutzer benötigen auf ihren Endgeräten keine Installation. Der Zugang erfolgt über einen URL (z.B. "https://cloud.meinedomain.de"), eine UserID und ein Passwort. Diese Dinge bekommt der externe Anwender vom Inhaber der Cloud. Mit diesen drei Informationen gelangt er auf gesichertem Weg über seinen Browser in ein geschütztes Verzeichnis, in das er Files verschieben kann - und natürlich kann er sich von dort auf dem gleichen Weg auch Files abholen. Neben dem gesicherten Datenverkehr mit der Außenwelt bietet die Cloudlösung noch zahlreiche weitere Vorteile für die Zusammenarbeit innerhalb des Unternehmens, wie gemeinsamen Zugriff auf Mails, gemeinsame Kalender etc. Sie ist sehr effizient und zukunftssicher, weil sie sogar die absehbare Entwicklung der Rechtsprechung jetzt schon vorwegnimmt.
   Entscheidend ist, dass der Anbieter des Servers, auf dem die Cloud installiert wird, nur dem Recht der EU unterliegt und seinen Serverstandort in der EU hat.

Quellen:
https://www.kvb.de/fileadmin/kvb/dokumente/Praxis/Praxisfuehrung/KVB-Infoblatt-FAQ-DSGVO.pdf (20.10.2019)
https://www.aekwien.at/datenschutzgrundverordnung (20.10.2019)

 

 

Videoüberwachung

Die Datenschutzbehörde in Österreich erläßt einen Großteil ihrer Entscheidungen im Zusammenhang mit Video-Überwachungen. Fotos und Videos sind gem. DSGVO Art. 4 Z 16 biometrische Daten und fallen nach Art. 9 Abs 1 unter den Begriff "Besondere Kategorien personenbezogener Daten" (Sensible Daten). Die Anfertigung von Fotos und Videos sowie ihre Verarbeitung muss also nach strengen Maßstäben erfolgen und ist mit dem Handling von Gesundheitsdaten vergleichbar. Eine österreichische Spezialität ist, dass der besondere Persönlichkeitsschutz auch für private Datenverarbeitungen gilt, wenn Fotos oder Videos systematisch im öffentlichen Raum angefertigt werden. Die häufigsten Sanktionen der DSB in Österreich werden im Zusammenhang mit Video-Überwachungen verhängt, die nicht rechtskonform sind. Dazu zählt etwa die zu ausgedehnte Erfassung des öffentlichen Raumes, die mangelnde Kennzeichnung des erfassten Bereiches oder eine Überschreitung der zulässigen Aufbewahrungsfrist von üblicherweise 3 Tagen.

Video-Überwachung rechtskonform

Die Video-Überwachung öffentlich zugänglicher Räume ist nur zur KONKRETEN Gefahrenabwehr und zur Beweisführung zulässig. Grundsätzlich ist immer zu prüfen, ob sich der Zweck auch durch "gelindere Maßnahmen" erreichen läßt. Wer bereits Opfer eines kriminellen Aktes (z.B. Einbruch, Raub, Diebstahl) war, hat bei der Angabe der Rechtsgrundlage für die Verarbeitung "bessere Karten".

Die Überwachung ist jedenfalls in das "Verzeichnis der Verarbeitungen" aufzunehmen.

Während in Österreich aufgrund der "Whitelist" der DSB gem. Art. 35 DSGVO nur in Ausnahmsfällen eine Datenschutz-Folgenabschätzung für Video-Überwachungen erforderlich ist, läßt sich das für Deutschland lediglich anhand des konkreten Falles festlegen. Die Beurteilung ist nämlich u.a. auch davon abhängig, ob Kinder betroffen sind. Kinderärzte oder Praxen, in denen häufig Kinder verkehren, sind anders zu beurteilen, als Geschäftsräume von Juwelieren.

Die räumliche Ausdehnung des überwachten Bereiches ist so klein wie möglich zu halten.

Durch eine leicht sichtbare Information ist die überwachte Zone, der Rechtsgrund, der Verantwortliche, die Speicherdauer und die Rechte der Betroffenen bekanntzumachen.

Hinsichtlich der erlaubten Dauer der Speicherung kann allgemein von 3 Tagen ausgegangen werden. Es empfiehlt sich, eine automatische Datenlöschung zu verwenden und deren Programmierung zu dokumentieren.

 

 

MS-Office365

Die Büroanwendung Office365 von Microsoft existiert in verschiedenen Versionen. Verbreitet ist jene, mit dem örtlich flexiblen Zugriff, bei dem weder das Programm, noch die selbst produzierten Daten auf dem Arbeitsplatz abgespeichert sind, sondern die Persistierung auf Servern von Microsoft erfolgt. Mit der Userbezeichnung und dem Passwort kann man die Lösung weltweit nutzen, solange das Abonnenment läuft. Zugriff auf die Daten hat aber auch Microsoft worüber im Rahmen der Klienteninformation bereits berichtet wurde. Der für Nutzer verlockende Vorteil der Lösung besteht darin, dass man (theoretisch) immer Zugriff auf das Programm und auf seine Daten hat und von jedem Gerät aus arbeiten kann.

Weil jedoch der Schutz der selbst erstellten Files unter diesen Umständen nicht im notwendigen Ausmaß garantiert werden kann, wurde beispielsweise in Deutschland die Verwendung von Office365 an Schulen bereits ausdrücklich untersagt, sogar dann, wenn die Daten auf europäischen Servern liegen. Das österreichische Bildungsministerium hingegen hält die Zusicherungen von Microsoft, die Datensicherheit sei gewährleistet, für ausreichend.

Insbesondere bei Verarbeitung von „Sensiblen Daten“ gem. Art. 9 DSGVO (z.B. Gesundheitsdaten) muss vor der Verwendung von MS-Office365 genau geprüft werden, ob nicht die technischen Umstände der Lösung mit Unwägbarkeiten verbunden sind. Juristische Konsequenzen sind, wenn es zu Problemen kommt, mit hoher Wahrscheinlichkeit zu erwarten.

Quelle:
https://www.lizengo.de/office-paket/microsoft-office-365-personal (21.10.2019)
https://www.derstandard.at/story/2000106119463/deutscher-datenschuetzer-office-365-darf-an-schulen-nicht-verwendet-werden (10.7.2019)
https://datenschutz.hessen.de/pressemitteilungen/stellungnahme-des-hessischen-beauftragten-f%C3%BCr-datenschutz-und (9.7.2019)

Vorschläge zum Umgang mit MS-Office365

Wer MS-Office nur in den Kernfunktionen benützt, also um formatierte Textfiles zu erstellen oder Tabellenkalkulation und Präsentationen anzufertigen, der könnte ganz einfach auf gleichwertige Open-Source-Lösungen umsteigen: "Open Office" oder "Libre Office" bieten z.B. so gut wie alle Funktionalitäten von MS-Office. Dazu sind die Pakte kostenfrei und können auch Files mit MS-Office austauschen.

Sollte jemand zum Schluß kommen, dass er auf MS-Office nicht verzichten kann, ist es wichtig, eine Version zu beschaffen, die lokal installiert wird und die Daten auf einem Medium speichert, das unter vollständiger Kontrolle des Eigentümers steht. Man muss davon ausgehen, dass MS-Office ohnehin ohne Wissen des Nutzers eine Reihe von Informationen an den Hersteller meldet. Deshalb ist im möglichen Umfang darauf zu achten, dass Microsoft keinen Zugang zu den personenbezogenen Daten bekommt, die mittels MS-Office erstellt werden.

 

 

Smarte Geräte

Smarte Geräte sind in der überwiegenden Zahl der Fälle nicht rechtskonform. Darüber haben wir in den Klienteninformationen schon mehrfach berichtet. Neu ist, dass sogar ein hochrangiger Google-Mitarbeiter gegenüber der BBC auf die Gefahren hinweist, die mit der Verwendung von "Alexa" verbunden sind. Und die Tageszeitung "Der Standard" berichtet in der Online-Ausgabe v. 20.10.2019 darüber, dass Amazons " Cloud Cam" kürzlich einigen Amazon-Mitarbeitern einen unterhaltsamen Tag bescherte, weil der smarte Helfer nichtsahnende Nutzer beim Sex filmte und die Daten wie vorgesehen bei Amazon ablegte.

In Geschäftsräumen ist daher die Verwendung smarter Geräte, die Daten weltweit übertragen (und das tun sie in der überwiegenden Zahl der Fälle) hoch problematisch. Oft weisen die Hersteller bereits darauf hin, dass sie sich den Zugriff auf alle Daten vorbehalten, die mittels der Geräte erfasst werden (Google behauptet sogar, „Eigentümer“ dieser Daten zu sein!). Aber selbst wenn solche Hinweise nicht publiziert werden, ist es in der Regel schwer bis unmöglich, herauszufinden, auf welchen Servern die Daten gelagert werden und zu welchen Bedingungen die Verarbeitung erfolgt. Dass sie sich außerhalb des direkten Zugriffs des Nutzers befinden, ist gesichertes Wissen. Ein rechtskonformer Betrieb ist unter diesen Umständen nicht möglich.

Erwähnt werden muss auch, dass viele "smarte" Helfer (z.B. Leuchtmittel, die per App gesteuert werden können) so konstruiert sind, dass Hacker mehr oder weniger einfach in das gesamte Netzwerk des Betreibers eindringen und es für ihre Zwecke (z.B. zur massenweisen Versendung von Spams) nutzen können. Die Konsequenzen für den Besitzer können bis zum Schadenersatz gegenüber Dritten gehen.

Das im privaten Bereich immer wieder vorgebrachte "Argument", dass sich fremde "Agenten" und Hacker kaum für einzelne, alltägliche Menschen interessieren und Skepsis daher übertrieben wäre, geht an der Problemstellung vorbei. Selbst wenn man nämlich Amazon, Google, Apple, Facebook und den Regierungen aller Staaten des Globus vertraut, sollte sich der Nutzer die Frage stellen, ob die Datenübertragung z.B. vom smarten Mixer oder von der Kamera des Staubsaugers in das eigene Heimnetz gesichert erfolgt. Ist das nämlich nicht der Fall, können auch Neugierige aus Nachbarwohnungen mitschauen, mithören und wahrscheinlich sogar in die Gerätesteuerung eingreifen. Je nach den örtlichen Gegebenheiten ist dann die Zahl der Mitwisser nicht mehr begrenzbar.

Quelle:
https://www.derstandard.at/story/2000110114002/googles-hardware-chef-warnt-seine-gaeste-vor-smarten-lautsprechern (20.10.2019)
https://orf.at/#/stories/3141551/ (21.10.2019)

Verwendung von smarten Helfern

Um es gleich vorweg zu sagen: Ein gleichwertiger, rechtskonformer Ersatz für "Alexa", "Siri" und dgl. ist am Markt nicht verfügbar. In Geschäftsräumen, Praxen, Ordinationen etc. ist die Verwendung verboten - ohne wenn und aber. Auch im privaten Umfeld ist die heimliche Aufzeichnung von Gesprächen - und das ist die „bestimmungsgemäße Verwendung“ aller genannten Geräte – ein schwerer Gesetzesverstoß.

Es gibt aber auch andere "smarte" Helfer, z.B. Hausüberwachungen, die sich vom Smartphone steuern lassen. Wenn es um den Einsatz in Geschäftsräumen geht, muss man vorab genau analysieren, ob personenbezogene Daten gewonnen werden, wie sie übertragen werden, wo die Verarbeitung erfolgt, wie lange die Daten gespeichert werden und wer der Verantwortliche der Datenverarbeitung ist (besondere Vorsicht beim Einsatz v. Kameras!) Bei der Konfiguration der Anlage müssen die Einstellungen so gewählt werden, das Anforderungen der DSGVO berücksichtigt sind. Im Zweifelsfall ist es besser, auf Bequemlichkeit zu verzichten und auf den Datenschutz zu achten.

Beim Einsatz smarter Schließanlagen, die von Dienstleistern angeboten werden, gibt man in der Praxis den Generalschlüssel zu seinem Objekt in fremde Hände. Darüber sollte man nachdenken, bevor man einen solchen Schritt setzt. Der Einsatz von bloßen Alarmmeldern, die mit einer Zentrale verbunden sind, ist dagegen meistens ein Gewinn an Sicherheit und in der Regel aus Sicht des Datenschutzes unproblematisch.

Dass ein Küchengerät mit einem Mikrophon ausgestattet ist, ohne dass der ahnungslose Besitzer das erfährt, wird man zunächst nicht vermuten - es kommt aber trotzdem vor. Als Anhalt sollte daher dienen, dass man allen Geräten, die sich mit dem eigenen Netzwerk z.B. über WLAN verbinden, sehr viel Aufmerksamkeit schenken muss. Viele Hersteller lieben es, unbemerkt ihren Kunden "nahe zu sein".

 

 

Kinder und Jugendliche

Kinder werden durch die DSGVO bei der Inanspruchnahme von „Diensten der Informationsgesellschaft“ besonders geschützt. Grundsätzlich gilt der Schutz bis zum vollendeten 16. Lebensjahr. Die Mitgliedsstaaten der EU dürfen jedoch diese Grenzen durch Gesetz herabsetzen. In Österreich geschieht das mit dem Datenschutzgesetz (DSG), das das vollendete 14. Lebensjahr festlegt. Für Deutschland ist keine eigene Altersgrenze geregelt, daher gilt der Kinderschutz bis zum 16. Lebensjahr.

Für die Anbieter von „Diensten der Informationsgesellschaft“ sind zwei Aufgaben zu lösen:

Es muss vorab analysiert werden, ob der jeweilige Nutzer rechtsgültige Verpflichtungen übernehmen muss, wenn er einen Dienst nutzt.

Der Anbieter muss sicherstellen, dass Personen, die sich als Nutzer registrieren und zu bestimmten Dingen verpflichten, die gesetzliche Altersgrenze erreicht haben UND über das notwendige Urteilsvermögen verfügen, um die Tragweite ihrer Verpflichtung einzusehen.

Quelle:
https://ds-gvo.gesundheitsdatenschutz.org/html/einwilligung_06.php (21.10.2019)

Schutz von Kindern und Jugendlichen

Der Kinder- und Jugendschutz der DSGVO spielt insbesondere dann eine Rolle, wenn (zumindest anfänglich) kein Geld fließt. Dies ist etwa dann der Fall, wenn der Nutzer eines Angebotes dem Anbieter kostenlos Rechte einräumt. Dazu zählen z.B.: Urheberrechte an Fotos, die der Nutzer hochlädt; das Recht zur Analyse von Bewegungsdaten, die vom Smartphone generiert werden; u.v.m.

Speziell US-amerikanische Anbieter versuchen über ihre Allgemeinen Geschäftsbedingungen das Problem zu lösen, indem sie festlegen, dass Nutzer unterhalb eines bestimmten Alterslimits ausgeschlossen sind. Im Streitfall wird dieser Lösungsversuch vor Gericht kaum anerkannt werden, wenn die Einhaltung der Altersgrenze nicht geprüft wird.

Erste Aufgabe des Anbieters ist also die einigermaßen gesicherte Feststellung des Geburtsdatums des Nutzers. Bei Onlineanmeldungen könnte das über die Sozialversicherungsnummer geschehen, deren Plausibilität mit einem Algorithmus geprüft werden kann. Sie zu fälschen ist zwar nicht unmöglich, erfordert aber Wissen, viel Aufwand und Energie.

Bei der online Anmeldung eines Nutzers, der die Altersgrenze noch nicht erreicht hat, könnte man ein zweistufiges Verfahren wählen und im zweiten Schritt den Erziehungsberechtigten einbinden.

Die Zusendung von Ausweiskopien zu verlangen, wäre denkbar. Das darf jedoch nur über gesicherte Portale geschehen und keinesfalls per unverschlüsseltem Mail.

Wirkliche Sicherheit über die Einhaltung der Altersgrenze wird jedoch nur die persönliche Anmeldung mit Ausweisleistung bieten.

 

 

Personen mit eingeschränkter Geschäftsfähigkeit

Abgesehen von Kindern unter der gesetzlich vorgegebenen Altersgrenze gibt es Menschen, die aufgrund ihrer gesundheitlichen Lage selbständig keine oder nur bestimmte Rechtsgeschäfte abschließen können.

U.a. kommt das Problem bei Arztbesuchen, bei Therapien oder bei der Besorgung von Medikamenten in der Apotheke zum Tragen. Erwachsenenvertreter - früher waren es Sachwalter - erkundigen sich nach Diagnosen, nach Rezepten, nach dem Behandlungserfolg etc. Solche Auskünfte berühren neben der Verschwiegenheitsverpflichtung auch den Datenschutz.

Informationen über den Betroffenen dürfen nur an ihn selbst und/oder den offiziellen Vertreter erteilt werden. Praktisch bedeutet das, dass bei der Überprüfung der Legitimierung der jeweiligen Personen etwas mehr Aufwand erforderlich ist.

Mögliche Vorgangsweise bei Personen mit eingeschränkter Geschäftsfähigkeit

Die DSGVO verlangt, dass sich Betroffene bei Ausübung ihrer Rechte gegenüber den Verantwortlichen einer Datenverarbeitung identifizieren, sofern sie nicht ohnehin bekannt sind. Das gilt auch für Erwachsenenvertreter, die für eine andere Person tätig werden. Erwachsenenvertreter müssen im Österreichischen Zentralen Vertretungsverzeichnis eingetragen sein, damit ihre Bestellung gültig ist. Dort wird auch festgehalten, für welche Angelegenheiten einer vertretenen Person sie sprechen können.

Im Interesse einer korrekten Abwicklung von Rechtsgeschäften, Auskunftsersuchen etc. ist es notwendig, dass sich Verantwortliche den Auszug aus dem Vertretungsverzeichnis zeigen lassen und ggfs. sogar eine Kopie zu Dokumentationszwecken aufbewahren. Zu beachten ist, dass solche Kopien als "sensible Daten" anzusehen sind, die einem besonderen Schutz unterliegen.

 

 

Papierunterlagen

Handschriftliche Notizen, Ausdrucke etc. sind nach den Bestimmungen der DSGVO, sofern sie personenbezogene Informationen enthalten, in aller Regel als "Daten" anzusehen. „Kreativ dekorierte" Schreibtische, auf denen sich solche Aufzeichnungen befinden, können ein Problem darstellen, wenn andere Personen als die mit der Sache Beschäftigten Zugang zu den Inhalten bekommen. Nicht vergessen werden darf auch, dass Reinigungsdienste in der Regel zu Tageszeiten tätig sind, wo sie den laufenden Betrieb nicht stören; dies ist vorallem außerhalb der üblichen Bürozeiten der Fall, wenn die Räume unbeobachtet sind.

Externe Besucher, Kunden oder Klienten, die bis in die Büros der Mitarbeiter vordringen, können beim unbeabsichtigten Mithören von Telefonaten oder bei einem Blick auf offen liegende Unterlagen zwangsläufig Informationen erhalten, die nicht für sie bestimmt sind. Das kommt einem Bruch der Datensicherheit und der Pflicht zur Verschwiegenheit gleich.

Nach Zweckerfüllung bzw. am Ende einer allfälligen gesetzlichen Aufbewahrungsfrist werden Papierunterlagen entsorgt. Über Fälle, wo personenbezogene Unterlagen großer Unternehmen widerrechtlich einfach in offene Kübel gekippt wurden, die auf der Straße zur Abholung standen, ist in den Medien berichtet worden.

Behandlung von Papierunterlagen

Je nach Art der auf Papier festgehaltenen Informationen muss die Aufbewahrung mehr oder weniger streng gesichert erfolgen. Bei Rezepten, Therapieaufzeichnungen, Mitschriften von Gesprächen zur Klientenberatung im Zuge von Gerichtsverfahren etc. ist ein besonders strenger Maßstab anzulegen. Solche Unterlagen dürfen nicht so liegen bleiben, dass Dritte unkontrolliert Einsicht nehmen könnten. Versperrte Schränke gelten als Minimalanforderung. Die Mitgliederliste des örtlichen Fußballvereins wird wahrscheinlich nach anderen Gesichtspunkten zu behandeln sein.

In Büros empfiehlt es sich, Zonen einzurichten, in die Besucher problemlos eingeladen werden können, ohne sie mit personenbezogenen Informationen in Kontakt zu bringen. Dies betrifft auch das offene Führen von Telefonaten in Gegenwart von unbeteiligten Dritten.

Akten, die personenbezogene Daten enthalten, müssen gem. DIN 66399 seit 2012 mindestens unter Sicherheitsstufe 3 (z. B. Personaldaten, Bewerbungsunterlagen) bzw. 4 (z. B. Patientendaten, Kanzleiakten mit Mandanteninformationen) vernichtet werden. Dies bedeutet, dass die Geräte zur Aktenvernichtung entsprechende technische Spezifikationen aufweisen müssen.

Professionelle Entsorger achten auf die korrekte Vorgangsweise.

 

 

Wartung, Reparatur und Entsorgung von IT-Geräten

Bei der Wartung von IT-Geräten ist es unvermeidlich, dass die Techniker auch Zugang zu den gespeicherten Information erhalten. Sie müssen daher zum Datenschutz verpflichtet werden.

Achtlos mit dem Elektroschrott entsorgte Geräte können noch eine Fülle von Informationen gespeichert haben, auf die Bastler problemlos zugreifen können. Das gesonderte Entsorgen von Festplatten, die in PCs oder in Druckern Verwendung finden, hat im Laufe des Jahres 2019 bereits zu ausführlichen Medienberichten und politischen Diskussionen geführt.

Auf Smartphones ist in der Regel der Zugang zum gesamten Leben seines Nutzers gespeichert. Beruflich verwendete Geräte darf man daher keinesfalls ohne Vorsichtsmaßnahmen aus der Hand geben.

Richtig reparieren und entsorgen

Werden IT-Geräte, mit denen personenbezogene Daten verarbeitet werden, zur Wartung oder Reparatur gegeben, hat es sich bewährt, mit dem Wartungsbetrieb einen "Auftragsverarbeitervertrag" i.S. der DSGVO abzuschließen. Dadurch wird das Wartungspersonal zum Schutz der Daten verpflichtet, mit denen es im Zuge der Arbeit unvermeidlich in Kontakt kommt.

Erweisen sich Geräte mit eingebauten Speichermedien als irreparabel, muss der Speicher verläßlich unbrauchbar gemacht werden. Dies gilt insbesondere für Smartphones, die immer mehr Funktionen des Geschäftslebens übernehmen und daher, wenn sie in falsche Hände geraten, wahre Schatzkammern für Datensucher sind. Wenn nicht anders möglich, bleibt als einzig verläßliche Methode die physische Zerstörung.

Rotierende Festplatten sind relativ leicht unbrauchbar zu machen: Nach dem Ausbau reicht eine Bohrmaschine, mit der ein Loch durch das Gehäuse und die eingebauten Speichermedien gebohrt wird, in der Regel aus. Feste Speichermedien, z.B. SD-Karten aus Kleincomputern oder Kameras, können thermisch behandelt werden.

Im Zweifelsfall empfiehlt es sich, unbrauchbar gewordene Geräte, die in ein Netzwerk eingebunden waren, physisch komplett zu zerstören, um nicht unbeabsichtigt personenbezogene Daten freizusetzen.

Spezialisierte Unternehmen übernehmen auch Altgeräte zur datenschutzkonformen Entsorgung und zum Recycling wertvoller Grundstoffe. Es ist jedoch auch in diesem Fall zweckmäßig, bei der Übergabe einen stark vereinfachten Auftragsverarbeitervertrag abzuschließen.