Inhalt:

• Sind ISO-zertifizierte Betriebe auch DSGVO-konform?
• Facebook zeigt Nerven - Chancen für die Nutzer von Google, Facebook und Clouds
• Office365 - ein Rechtsrisiko?
• Unzulässige Neugier und rechtswidrige Datenverarbeitung
• Viele Fragen: Datenschutz in kleinen Vereinen

 

 

Sind ISO-zertifizierte Betriebe auch DSGVO-konform?

Wenn sich ein IT-Unternehmen mit einer ISO-Zertifizierung schmückt, löst das bei den Kunden Vertrauen aus. Die werden schon alles richtig machen und auch den Datenschutz beachten, denkt man. Wie weit aber eine Zertifizierung - egal ob nach ISO 9001 oder sogar nach ISO 27001 - auch die Compliance zur DSGVO garantiert, entscheidet individuell das jeweilige Unternehmen bzw. der Auditor, der die Prüfung vornimmt. Keinesfalls kann jedoch einfach vorausgesetzt werden, dass ein ISO zertifiziertes Unternehmen automatisch auch den lückenlosen Schutz personenbezogener Daten gewährleistet.

Sowohl in der ISO 9001 ("Qualitätsmanagement") als auch speziell in der ISO 27001 ("Informationssicherheitsmanagementsysteme") ist die Beachtung der rechtlichen Rahmenbedingungen eine Prüfbedingung. Das betrifft grundsätzlich den gesamten Rechtsbestand, bei der ISO 27001 aber speziell die Datenschutzgrundverordnung (DSGVO), nationale Datenschutzgesetze (z.B. BDSG oder DSG) und das Urheberrecht. Dazu gibt es eine ausführliche Checklist, mit der die Erfüllung der rechtlichen Rahmenbedingungen überprüft werden muss.

Was allerdings jedes zertifizierte Unternehmen individuell entscheidet, ist der Tiefgang der rechtlichen Compliance. Der Ehrlichkeit halber muss man eingestehen, dass weder eine vollständige Erfüllung aller rechtlichen Normen möglich ist, noch die absolute technische Sicherheit erreicht werden kann.

Das Hauptanliegen der Informationsmanagementsysteme ist es, mindestens drei Anforderungen bezüglich der Datenverarbeitung sicherzustellen:

• Vertraulichkeit, d.h. dass Daten lediglich von autorisierten Benutzern gelesen bzw. modifiziert werden (sowohl beim Zugriff auf gespeicherte Daten, wie auch während der Datenübertragung).
• Integrität, d.h. Schutz der Daten vor unbemerkter und unprotokollierter Veränderung.
• Verfügbarkeit, d.h. Gewährleistung des Zugriffes auf Daten innerhalb eines vereinbarten Zeitrahmens.

Die DSGVO erweitert diese Forderungen noch um vier Hauptbedingungen:

• Prüfung der Zulässigkeit der Verarbeitung personenbezogener Daten (gibt es ausreichende Rechtsgründe für die Datenverarbeitung?),
• Datenminimierung, d.h. Reduktion der verarbeiteten personenbezogenen Daten auf das für den Zweck unumgänglich notwendige Minimum,
• behördliche oder gerichtliche Sanktionen bei Übertretungen,
• Schadenersatzanspruch von Betroffenen.

Die Antwort auf die Frage, ob es ein zertifiziertes Unternehmen mit dem Datenschutz genau nimmt, fällt also klar aus: Möglicherweise. Im Zweifelsfall lohnt es sich für den Kunden, wachsam zu sein und vielleicht sogar die Datenschutzbedingungen, die ihm besonders wichtig sind, ausdrücklich schriftlich zu vereinbaren.

Quellen:
https://www.datenschutz-notizen.de/iso-iec-27001-vs-dsgvo-1022677/
https://www.aspectra.ch/de/wissen/blog/bedeutet-iso-zertifizierung-gdpr-compliance---b1032
https://www.bsigroup.com/globalassets/localfiles/de-de/isoiec-27001/ressourcen/bsi-iso-27001-eu-dsgvo.pdf
https://www.iitr.de/blog/iso27001-und-eu-datenschutzgrundverordnung/11179/
https://www.datenschutzexperte.de/blog/datenschutz-im-unternehmen/iso-27001-und-iso-27701/
(16.9.2020)

 

 

Facebook zeigt Nerven - Chancen für die Nutzer von Google, Facebook und Clouds

Im letzten Newsletter haben wir berichtet, dass die irische Datenschutzbehörde Facebook verboten hat, Daten in die USA zu übermitteln. Das wurde am 10. September 2020 bekannt. Dass das Verbot von Facebook als äußerst unangenehm empfunden wird, geht u.a. aus Beiträgen in der Zeitschrift "Vice" und in taz.de hervor. Wenn die Darstellungen richtig sind, sieht Facebook durch die Anweisung der irischen Behörde sein Europa-Geschäft unter erheblichen Druck gebracht und beklagt diesen Umstand heftig. Dass die Verantwortlichen von Facebook hingegen plötzlich ihr Herz für den Datenschutz geöffnet hätten, läßt sich aus den Berichten nicht ableiten.

Der Bann des EuGH hat in Europa die Verwendung von Facebook, Google, Amazon usw. für Unternehmen (speziell beim e-Marketing) rechtswidrig gemacht (Entscheidung v. 16.7.2020) und die US-amerikanischen IT-Giganten der Verfolgung durch die europäischen Datenschutzbehörden ausgesetzt. Die Redaktion von taz.de spekuliert nun über zwei - durchaus plausible - Varianten, wie Facebook & Co unter Einhaltung der DSGVO durch technische und organisatorische Anpassungen weiterhin sowohl in den USA, als auch in Europa seinen Geschäften nachgehen könnte. Ob diese Überlegungen einer intensiven juristischen Prüfung standhalten werden, bleibt abzuwarten.

Sollten sich unter dem Druck der europäischen Behörden gangbare Auswege aus der gegenwärtigen Sackgasse finden lassen, käme das der Zerschlagung des "Gordischen Knotens" gleich. Eine juristisch saubere Lösung hätte viele Vorteile: Die US-basierte Internetwirtschaft könnte weiterhin ihren Geschäften in Europa nachgehen und die Anwender müssten nicht auf funktionierende Lösungen verzichten. Allerdings: Europa bliebe weiterhin von den USA und China abhängig, weil für den Aufbau eigener Lösungen kein Anlass mehr bestünde. Für die Praxis sind daher die Entscheidungen, die von den Beteiligten getroffen werden, äußerst folgenreich.

Quellen:
https://www.ideato.at/templates/masterbootstrap/news/20200717_ideato-news.html
(17.7.2020)

https://www.vice.com/en_us/article/889pk3/facebook-threatens-to-pull-out-of-europe-if-it-doesnt-get-its-way
(21.9.2020)

https://taz.de/Konzern-droht-mit-Aus-in-der-EU/!5711828/
(27.9.2020)

 

 

Office365 - ein Rechtsrisiko?

Für den Einzelanwender stellt sich die Frage, wieweit er einem Verdacht nachgehen muss, bevor er ein populäres, im Handel erhältliches Softwarewerkzeug eines Weltkonzerns einsetzen darf. Kann er etwa den Beteuerungen von Microsoft, alles wäre datenschutzkonform, trauen, oder wird in einem allfälligen Behördenverfahren eine tiefergehende Prüfung von ihm verlangt werden?

Um es kurz zu machen: Derzeit wird man seitens der Datenschutzbehörden bei dieser Entscheidung alleine gelassen. In Österreich ist die Datenschutzbehörde (DSB) ohnehin permanent "auf Tauchstation", wenn es um praktische Ratschläge geht, die den Anwendern das Leben leichter machen könnten. Vielleicht will man in Wien keine Fehler machen und vernachlässigt so die eigentliche Hauptaufgabe? Wir können nur spekulieren.

Aber auch in Deutschland sind die Profis unterschiedlicher Ansicht. Sie haben jedoch, wie heise.de berichtet, vor, Microsoft aufzufordern, die Karten auf den Tisch zu legen. Im Grunde ist die Entscheidung, ob MS-Office365 in Europa rechtskonform eingesetzt werden kann, einfach zu beantworten, wenn man klare Aussagen zu folgenden Themen bekommt:

• Verarbeitet Microsoft personenbezogene Daten, die von Anwendern von Office365 abgegriffen werden (dazu gehört auch das Nutzungsverhalten an sich) ?
• Kann Microsoft von US-amerikanischen Behörden auf legalem Weg gezwungen werden, personenbezogene Nutzerdaten ohne Zustimmung der Betroffenen auszuliefern, wenn sie auf Rechnern verarbeitet werden, deren Betrieb der DSGVO unterliegt? (Vielleicht kann man durch geschickte Firmenkonstruktionen einen solchen Zugriff ausschließen)

Die Schlussfolgerungen der Deutschen Datenschutzkonferenz (DSK) werden sicher Leitlinien für alle Mitgliedsländer der EU sein. Bis sich die DSK aber ein klares Bild machen konnte, wird wohl jeder Anwender selbst entscheiden müssen, ob er die Software einsetzt oder nicht. Microsoft jedenfalls hat zu keinem Zeitpunkt aufgehört, zu beteuern, Office365 sei rechtskonform und könne von europäischen Nutzern bedenkenlos betrieben werden.

Quelle:

https://www.heise.de/news/Datenschuetzer-uneinig-ueber-Microsoft-Office-365-4919086.html?utm_source=pocket-newtab-global-de-DE
(9.10.2020)

 

 

Unzulässige Neugier und rechtswidrige Datenverarbeitung

Es ist schon richtig, dass man - sofern andere Rechtsgrundlagen fehlen - personenbezogene Daten mit Zustimmung der Betroffenen verarbeiten darf. Die Zustimmung ist allerdings kein "Schleichweg" zur Umgehung des Gebotes des Art. 5 DSGVO, der verlangt, dass die verarbeiteten Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein [müssen, erg.]('Datenminimierung')". Bloße Neugier wird von der DSGVO nicht geduldet.

Kürzlich wurde bekannt, dass Kreditwerber bei Raiffeisen ihr Einverständnis geben mußten, dass die Bank ausufernde Angaben bis hin zur Gewerkschaftsmitgliedschaft verarbeiten darf. Angeblich wurde diese Praxis unter dem Druck der öffentlichen Meinung wieder eingestellt. Sie wäre nur dann legal (und legitim), wenn es Argumente gäbe, die einen Zusammenhang zwischen den erhobenen Merkmalen und der Vermutung über die künftige Erfüllung der Pflichten des Kreditnehmers nahelegen. Hätte die Bank also Belege dafür, dass z.B. Atheisten ihren Rückzahlungspflichten pünktlicher nachkommen, als Katholiken, dann wäre die Feststellung des religiösen Bekenntnisses legitim und legal (soferne die Betroffenen zustimmen).

Das Gebot der Datenminimierung gilt auch für Gesundheitsbetriebe und ist insbesondere bei den Anamnesebögen zu beachten. Nur Angaben, die für die Zwecke der Diagnose und der Therapie erforderlich sind, dürfen erhoben und verarbeitet werden. In der Praxis ist damit allerdings ohnehin ein sehr weiter Rahmen gesteckt. Es kommt im Fall der Fälle aber darauf an, dem Betroffenen den Zusammenhang zwischen den erhobenen Daten und der Behandlung verständlich zu machen.

Der Vollständigkeit halber darf auch an eine richtungsweisende Entscheidung der österreichischen Datenschutzbehörde im Falle der Allergie-Tagesklinik aus 2019 erinnert werden (siehe unten). Dort wurde festgehalten, dass bereits die Einholung der Zustimmung zu einer rechtswidrigen Vorgangsweise einen Verstoß gegen die DSGVO darstellt, der entsprechend zu ahnden ist. Die Einholung der Zustimmung muss rechtskonform sein, darf also nur Umstände betreffen, die grundsätzlich von der Rechtsordnung als zulässig eingestuft sind.

Quellen:

https://www.derstandard.at/story/2000120107676/ethnische-und-religioese-daten-im-kreditvertrag
(18.9.2020)

https://www.derstandard.at/story/2000120160582/raiffeisen-streicht-passagen-um-rasse-und-religion-aus-vertrag
(21.9.2020)

https://www.ideato.at/templates/masterbootstrap/news/20191001_ideato-news.html
(1.10.2019)

https://www.ris.bka.gv.at/JudikaturEntscheidung.wxe?Abfrage=Dsk&Dokumentnummer=DSBT_20181116_DSB_D213_692_0001_DSB_2018_00
(13.3.2019)

 

 

Viele Fragen: Datenschutz in kleinen Vereinen

Der Sachverhalt tritt häufig auf. Oberflächliche juristische Beurteilungen verursachen bei kleinen Vereinen, wenn sie für Datenverarbeitung verantwortlich sind, sinnlosen und überschießenden Aufwand. Dass die üblicherweise im Laufe der Jahre gewachsenen Organisationsstrukturen der Vereine, die sich am praktischen Bedarf und nicht an juristischen Vorgaben orientieren, die Sache nicht gerade erleichtern, liegt auf der Hand. Korrekte Beurteilungen - aus der Sicht des Datenschutzes - sind eine Herausforderung.

Allein in Österreich gibt es mehr als 120.000 Vereine. Viele davon, insbesondere sehr kleine, besitzen weder ein eigenes Büro, noch Computer. Die Funktionäre verwenden ihre privaten IT-Geräte oder benützen vielleicht sogar die Computer ihrer Arbeitgeber. Vielleicht verfügen sie über eine eigene Homepage und damit über eine Domain, über die Funktionäre Mails im Zusammenhang mit der Vereinstätigkeit verschicken. Ein anderer Teil der Mitglieder und der Funktionäre verwendet dafür möglicher Weise aber private Mail-Accounts oder - mit Zustimmung des Dienstgebers - sogar Mailaccounts, die von ihrem Arbeitgeber bereitgestellt wurden. Jedenfalls ist der verwendete Datenbestand verteilt und kein in sich geschlossenes corpus unter gemeinsamer Verantwortung (i.S.d. Art. 4 DSGVO, s.u.)

In einem jüngst aktuell gewordenen Fall hat ein Betroffener sein Recht gem. Art. 15 in Anspruch genommen und von einem Verein wissen wollen, welche personenbezogenen Daten von ihm verarbeitet werden. Eine erste Prüfung ergab, dass nur Mails in Betracht kamen: Einerseits solche, die an den Antragsteller verschickt wurden und andererseits solche, in denen die Person im einen oder anderen Zusammenhang erwähnt wurde.

Nachdem der Verein bloß über einen einzigen PC verfügt, von dem aus der Obmann fallweise Mails über die Vereinsdomain verschickt, stellte sich zunächst die Frage, ob nur die dort eingegangenen oder von dort versandten Mails vom Auskunftsbegehren erfasst sind. Wenn nämlich die Verarbeitung der Daten, also der Versand, der Empfang oder die Speicherung außerhalb des Einflusses des Vereins stattfindet, also z.B. am Server des Arbeitgebers eines Vereinsfunktionärs, ist fraglich, ob diese Verarbeitung dem Verein zuzurechnen ist. Eindeutig wäre das nur der Fall, wenn der erwähnte Arbeitgeber als Auftragsdatenverarbeiter anzusehen ist, der für seinen Mitarbeiter Daten verarbeitet. Das setzt aber eine entsprechende Vereinbarung voraus. Analog gilt diese Überlegung - sogar in noch stärkerem Umfang - für private Mailaccounts, ganz besonders jedoch, wenn sie bei Anbietern von Gratismails (gmx, hotmail etc.) angelegt sind.

Ganz generell wäre es erforderlich, eine Unterscheidung zu treffen zwischen der Privatsphäre eines Vereinsfunktionärs und den Mails oder sonstigen Nachrichten, die ausschließlich oder überwiegend als Vereinstätigkeit einzustufen sind.

Gerade im Fall der privaten Mailaccounts wäre auch zu klären, ob die (privaten) Inhaber zu regelmäßigem Löschen ihrer Daten oder zu einer Mindestbehaltedauer verpflichtet sind. Nachdem derzeit dazu keine Regelungen bestehen, ist der Umfang des Datenbestandes, der vom Auskunftsbegehren möglicherweise erfasst ist, nicht bestimmbar.

Beginnen wir mit dem Versuch, einige Fragen zu beantworten:

Die DSGVO legt die Pflichten von Verantwortlichen für die Verarbeitung personenbezogener Daten fest und regelt die Rechte der Betroffenen. Nach den Begriffsbestimmungen der DSGVO (Art. 4 Pkt. 7) ist der Verantwortliche "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet".

Die Entscheidungsbefugnis des Vereins im Zusammenhang mit der Verarbeitung personenbezogener Daten wird primär z.B. die auf Papier oder allenfalls elektronisch geführten Mitgliederlisten umfassen; letztere zweifelsfrei dann, wenn sie auf IT-Geräten des Vereins verarbeitet werden. Papierakten unterliegen per definitionem nicht der DSGVO. Mails des Vereins befinden sich in seiner Entscheidungsgewalt, sofern sie auf einem Mailserver liegen, der vom Verein angemietet wurde. Wird der private Mailaccount eines Funktionärs überwiegend für Vereinszwecke genutzt, muss man davon ausgehen, dass er der Verantwortung des Vereins zugerechnet wird. Nicht der Entscheidung des Vereins unterworfen sind vereinzelte Mails, die von privaten Accounts oder von fremden Firmenaccounts verschickt werden. Über deren Schicksal entscheidet nämlich die Firma oder derjenige, dem der persönliche Account zugeordnet ist. Bei Gratis-eMails (gmx, hotmail etc.) entscheidet möglicherweise in der Praxis sogar Google oder ein anderer Betreiber.

Aufgrund seiner Entscheidungsbefugnisse wird der Verein daher für die Beantwortung der Anfrage nach Art. 15 grundsätzlich lediglich jene Mails zu berücksichtigen haben, die auf dem von ihm angemieteten Mailserver gespeichert sind oder solche, die sich auf privaten Mailkonten befinden, soferne diese Konten hauptsächlich für die Vereinstätigkeit genutzt werden.

Das Auskunftsrecht umfasst acht Punkte (z.B. Zweck der Verarbeitung, Kategorien von verarbeiteten Daten etc.) inkl. der Übergabe einer Kopie der verarbeiteten Daten. Wenn die betreffenden Unterlagen bzw. die Mails allerdings vollumfänglich an den Anfragesteller übergeben werden sollen, ist genau zu prüfen, ob damit nicht die Rechte dritter Personen beeinträchtigt werden. Dazu ist gem. der ständigen Rechtsprechung der Datenschutzbehörden und der Gerichte eine Güterabwägung im Einzelfall notwendig.

Hinsichtlich des Zeitraumes der von der Anfrage erfasst ist, ist jedenfalls der gesamte vorhandene Datenbestand maßgeblich. Handelt es sich um große Datenmengen, kann auf der Grundlage von Erwägungsgrund 63 vom Auskunftswerber verlangt werden, dass er sein Auskunftsbegehren präzisiert und konkret bekanntgibt, auf welche Information oder welche Verarbeitungsvorgänge sich sein Auskunftsersuchen bezieht.