Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat das Bundesdatenschutzgesetz (BDSG) evaluiert und am 29.10.2021 den zugehörigen Bericht veröffentlicht. Aufsichtsbehörden, private und öffentliche Stellen haben an der Evaluation teilgenommen.
Für Unternehmen besonders relevant sind die Punkte zur Verhängung von Bußgeldern.
Anwendbarkeit von §§ 30, 130 OWiG
Nach § 41 Abs. 1 S. 1 BDSG gelten für Verstöße nach Art. 83 Abs. 4 bis 6 Datenschutz-Grundverordnung (DSGVO), soweit das BDSG nichts anderes bestimmt, die Vorschriften des Gesetzes über Ordnungswidrigkeiten (OWiG) sinngemäß. Diese Verweisung ist umstritten.
Aus § 30 Abs. 1 OWiG ergibt sich die Anforderung, dass eine natürliche Person eine schuldhafte Handlung vorgenommen haben muss. Die Person muss zudem aus dem in § 30 Abs. 1 Nr. 1-5 OWiG genannten Personenkreis stammen – eine sogenannte Leitungsperson sein. In vielen Praxisfällen erfolgen Datenschutzverstöße im Kundenkontakt. Diese können gemäß OWiG nur unter sehr engen Voraussetzungen eine unmittelbare bußgeldrechtliche Haftung des Unternehmens auslösen.
Viele Stimmen, darunter auch der Europäische Gerichtshof (EuGH), vertreten die Ansicht, dass es für die Haftung des Unternehmens genüge, wenn eine berechtigte natürliche Person für das Unternehmen handele. Alle Beschäftigten wären davon erfasst und es müsste auch keine Aufsichtspflichtverletzung einer Leitungsperson nachgewiesen werden. Hierbei wird auf den funktionalen Unternehmensbegriff aus Art. 102 und 102 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) zurückgegriffen.
Das BMI sieht hier eine bewusste Entscheidung des deutschen Gesetzgebers zugunsten des deutschen OWiG, da das Rechtsstaatsprinzip eine Anknüpfung an das Schuldprinzip und somit Handlungen natürlicher Personen erfordere. Artikel 83 DSGVO schreibe demnach nur die Höhe des Bußgeldes zwingend vor, überlasse die Einzelheiten aber ausdrücklich den nationalen Gesetzgebern.
Ob hier nun eine zulässige nationale Ausgestaltung oder ein Verstoß gegen europarechtliche Regelungen vorliegt, ist auch unter deutschen Gerichten umstritten. Das BMI sieht derzeit jedenfalls keinen Änderungsbedarf und verteidigt den bestehenden Normtext.
Weitere Befugnisse für Aufsichtsbehörden entsprechende dem Wettbewerbsrecht
Im Verwaltungsverfahren stehen den Aufsichtsbehörden die Maßnahmen nach Artikel 58 Abs. 1 DSGVO, im Bußgeldverfahren die Befugnisse aus Art. 41 BDSG zur Verfügung. In der Praxis haben Aufsichtsbehörden festgestellt, dass oftmals Umsätze nicht offengelegt werden und auch anderweitig nicht ermittelt werden können.
Da die Umsätze aber Referenzgröße für den Bußgeldrahmen sind, regte die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) die Aufnahme eines Verweises auf Normen des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) an, wodurch z.B. Auskunftspflichten bezüglich wirtschaftlicher Verhältnisse und/oder eine Befugnis zur Schätzung von Umsätzen die Befugnisse der Datenschutzaufsicht ergänzen könnten.
Hierzu sagt das BMI eine weitere Prüfung zu und will die Belange der von Ordnungswidrigkeitenverfahren Betroffenen einbeziehen.
Fazit
Die Evaluation dient der Weiterentwicklung des Datenschutzrechts. Erkannte Anpassungsbedarfe werden früher oder später in ein weiteres Datenschutz Anpassungs- und Umsetzungsgesetz münden. Diese Gelegenheit sollten Betroffene und Verantwortliche nutzen, um durch die Mittel der politischen Teilhabe Einfluss zu nehmen. Damit steigt die Wahrscheinlichkeit, mit den überarbeiteten Regelungen zufrieden zu sein.
Stefan Effmert
Berater für Datenschutz
Volljurist
Dem Europäischen Gerichtshof (EuGH) wurde durch das Bundesarbeitsgericht (BAG) die Frage zur Entscheidung vorgelegt, ob der deutsche Sonderkündigungsschutz im Arbeitsrecht für Datenschutzbeauftragte mit der DSGVO vereinbar ist und ob Betriebsratsvorsitzende die Position des betrieblichen Datenschutzbeauftragten bekleiden können, ohne dass hierbei ein Interessenkonflikt besteht.
Im zugrunde liegenden Fall, welchen das BAG zu entscheiden hat, wurde ein zum betrieblichen Datenschutzbeauftragter ernannter Betriebsratsvorsitzender mit dem Hinweis abberufen, beide Ämter gleichzeitig in Personalunion zu betreiben. Dies würde zwingend zu einem mit den Amtspflichten unvereinbaren Interessenkonflikt führen und stelle somit einen wichtigen Grund iSd § 626 BGB zur Kündigung der Tätigkeit als Datenschutzbeauftragter dar.
Das BAG hingegen ist der Auffassung, ein wichtiger Grund für eine Abberufung würde nicht vorliegen. Für die Frage, ob der Datenschutzbeauftragte abberufen werden kann, kommt es jedoch auf die Auslegung der DSGVO als Unionsrecht an, welches durch den EuGH geklärt werden muss.
Im Rahmen eines Vorabentscheidungsverfahrens hat sich der 9. Senat des BAG daher an den EuGH gewandt. Dabei soll zunächst die Frage geklärt werden, ob neben Art. 38 Abs. 3 Satz 2 DSGVO nationale Regelungen wie § 38 Abs. 2 iVm. § 6 Abs. 4 Satz 1 BDSG anwendbar sind, wenn die Voraussetzungen für eine Abberufung durch das nationale Recht wesentlich verschärft werden.
Entscheidet sich der EuGH für die Anwendbarkeit der nationalen Regelungen gemäß BDSG, so soll weiterhin die Frage geklärt werden, ob die Ausübung der Tätigkeit des betrieblichen Datenschutzbeauftragten neben der Tätigkeit als Betriebsratsvorsitzender zu einem Interessenkonflikt gemäß Art. 38 Abs. 6 Satz 2 DSGVO führt.
Es bleibt abzuwarten, wie der EuGH in dieser Sache entscheidet, da dies auch Auswirkungen auf weitere streitige Themen hat, wie beispielsweise, ob der Betriebsrat ein eigener Verantwortlicher iSd DSGVO darstellt.
Laura Piater
Consultant für Datenschutz
Volljuristin
Am 02.03.2021 teilte Microsoft mit, dass Schwachstellen in Microsoft Exchange-Servern (=E-Mail Server) aktiv durch Hacker ausgenutzt wurden und werden. Daraufhin stellte Microsoft ein Update für die Nutzer bereit.
Was ist passiert?
Durch vier Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065) wurde es Hackern ermöglicht, Daten abzugreifen (z.B. E-Mail-Kommunikation) und sich dadurch ggfs. Zugang zum gesamten Unternehmensnetzwerk zu verschaffen und Schadsoftware auf den Systemen zu implementieren.
Der Hackerangriff betrifft laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ca. 9.000 in Deutschland ansässige Unternehmen. Das BSI schätzt die Bedrohung als sehr hoch ein und hat bereits damit begonnen, potenziell Betroffene zu informieren. Laut Microsoft sind von dem Hackerangriff keine Privatpersonen und deren Exchange Server betroffen.
Was ist jetzt zu tun?
Sofern noch nicht erfolgt, sollten Unternehmen umgehend die von Microsoft bereitgestellten Updates implementieren, um diese Schwachstellen zu schließen. Zudem sollte von den Systemadministratoren über das von Microsoft zur Verfügung gestellte Powershell-Skript geprüft werden, ob ein Exchange-Server bereits erfolgreich angegriffen wurde. Wenn bereits ein erfolgreicher Hackerangriff stattgefunden hat, muss das Unternehmen in den Incident Response Modus wechseln und entsprechende Nachforschungen betreiben.
Genauere Ausführungen zu den Schwachstellen und zum weiteren Vorgehen entnehmen Sie der: Sicherheitswarnung des BSI.
Laura Piater
Justiziarin
Consultant für Datenschutz
Seit dem 1. Januar 2021 stellen Krankenkassen die elektronische Patientenakte gemäß des neuen Patientendaten-Schutz-Gesetzes zur Verfügung. Ziel ist laut Bundesregierung, eine sichere, nutzerfreundliche und barrierefreie digitale Kommunikation zwischen Behandelnden und PatientInnen zu ermöglichen.
Zunächst können PatientInnen Befunde, Arztberichte oder auch Röntgenbilder speichern und entsprechend freigeben. Ab dem Jahr 2022 folgen dann auch der Impfausweis, der Mutterpass, das gelbe Untersuchungsheft für Kinder und das Zahnbonusheft.
Ein weiteres Feature, welches im Jahr 2022 erst verfügbar sein wird, ist die manuelle separate Freigabe von Datensätzen. So können NutzerInnen im kommenden Jahr selbst in der App entscheiden, welche Daten, wem frei gegeben werden.
Genau dieses Feature im Hinblick auf die elektronische Patientenakte verlangt Bundesdatenschutzbeauftragter Ulrich Kelber von den Krankenkassen. In einer offenen Stellungnahme warnte er vor aufsichtsrechtlichen Maßnahmen gegen Krankenkassen seitens seiner Behörde. Denn, wenn das Gesetz in seiner jetzigen Form umgesetzt wird, verstoße es gegen europäisches Datenschutzrecht (DSGVO).
Das Bundesgesundheitsministerium hingegen spricht davon, „dass der Patient Herr seiner Daten werde“. Weiter führt das Ministerium aus: „Die Nutzung der ePA ist freiwillig. Der Versicherte entscheidet, welche Daten in der ePA gespeichert und welche wieder gelöscht werden. Er entscheidet auch in jedem Einzelfall, wer auf die ePA zugreifen darf.“ Dadurch sollen z.B. doppelte Untersuchungen vermieden werden.
Problematisch aus Sicht des Datenschutzes sei, dass im ersten Jahr der ePA personenbezogene Daten offengelegt werden, obwohl dies gegen Grundprinzipien (Zweckbindung) der DSGVO verstoße, so die Landesdatenschutzbeauftrage Niedersachsen Thiel. So kann jeder Arzt und jede Ärztin des Nutzers – im Jahre 2021 – Befunde, Berichte, Bilder etc. jeder anderen Praxis einsehen. Darüber hinaus geht es hierbei nicht um Daten mit einem niedrigen Risiko für die Betroffenen, sondern um sensible Daten besonderer Kategorien i.S.d DSGVO. So können z.B. Informationen intimster Natur wie psychische Erkrankungen oder Schwangerschaftsabbrüche bei dem behandelnden Augenarzt offengelegt werden.
Weiterer Kritikpunkt auch der Datenschützer, dass es zu einer Ungleichbehandlung beim Grundrecht auf informationelle Selbstbestimmung kommt. Bisher können nämlich nur „Nutzende von geeigneten Endgeräten wie Mobiltelefonen oder Tablets einen datenschutzrechtlich ausreichenden Zugriff auf ihre eigene ePA erhalten“.
Letztlich wird noch das Authentifizierungsverfahren für die ePA kritisiert da es keine technischen und organisatorischen Maßnahmen entsprechend der Vorgaben der DSGVO bietet. Insbesondere bei Anmeldungen ohne Einsatz der elektronischen Gesundheitskarte entspreche das Authentifizierungsverfahren nicht dem aktuellen Stand der Technik.
Fazit:
Die Krankenkassen befinden sich in einer schwierigen Situation. Auf der einen Seiten müssen sie ihren Versicherten die Chance einer nutzerfreundlichen und barrierefreien digitalen Kommunikation bieten. Auf der anderen Seite verstößt die durch das deutsche Gesetz vorgeschrieben Vorgehensweise gegen europäisches Datenschutzrecht, was das Risiko aufsichtsrechtlicher Maßnahmen mit sich bringt. Es ist abzuwarten, wie das Bundesgesundheitsministerium, der Bundesdatenschutzbeauftragte oder ein damit betrautes Gericht entscheiden.
Als betroffene Person ist man derzeit also nur begrenzt „Herr seiner Daten“. Es bleibt also– wie so oft – eine Abwägung zwischen den eigenen Interessen: Digitale und leichtere Kommunikation oder Datenschutz.
Jan Brinkmann
Consultant für Datenschutz
Volljurist
Der BGH bestätigte vorläufig die Auffassung des Bundeskartellamts, wonach Facebook missbräuchlich seine marktbeherrschende Stellung ausnutzt (Beschluss vom 23.06.2020, Az. KVR 69/19).
Die Nutzungsbedingungen von Facebook sehen auch die Verarbeitung und Verwendung von Nutzerdaten vor. Dabei geht es jedoch nicht nur um die Daten, die die Nutzer bei Facebook selbst teilen, sondern auch um das, was sie außerhalb von Facebook preisgeben – sei es bei WhatsApp, Instagram oder anderen Seiten außerhalb des sozialen Netzwerks. All diese Daten verwendet Facebook schließlich, um dem Nutzer ein „personalisiertes Erlebnis“ bereitzustellen, also kurz gesagt: u.a. zur Vermarktung von Werbeplätzen.
Das Bundeskartellamt hat Facebook nun untersagt, diese Daten ohne eine weitere Einwilligung der Nutzer zu verarbeiten. Denn durch die Verwendung der Nutzungsbedingungen verstoße Facebook gegen § 19 Abs. 1 GWB (Gesetz gegen Wettbewerbsbeschränkungen), wonach die missbräuchliche Ausnutzung einer marktbeherrschenden Stellung durch ein Unternehmen verboten ist. Facebook sei auf dem nationalen Markt der Bereitstellung sozialer Netzwerke marktbeherrschend und missbrauche diese Stellung, indem es, entgegen den Vorschriften der Datenschutzgrundverordnung (DSGVO), die private Nutzung des Netzwerks von seiner Befugnis abhängig mache, ohne weitere Einwilligung der Nutzer, die außerhalb von Facebook generierten Nutzerdaten mit solchen von Facebook zu verknüpfen.
Wir werden zu diesem Fall weiter berichten.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Die iOS-App "Mail" enthält nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) schwerwiegende Sicherheitslücken. Angreifern ist es aktuell möglich, durch das Senden einer E-Mail an ein iPhone oder iPad, die darauf enthaltenen E-Mails zu Lesen, zu Verändern oder zu Löschen.
Dazu BSI-Präsident Arne Schönbohm:
"Das BSI schätzt diese Schwachstellen als besonders kritisch ein. Sie ermöglicht es den Angreifern, weite Teile der Mail-Kommunikation auf den betroffenen Geräten zu manipulieren. Es steht zudem aktuell kein Patch zur Verfügung. Damit sind Tausende iPhones und iPads von Privatpersonen, Unternehmen und Behörden akut gefährdet."
Aktuell wir das Löschen der App „Mail“ empfohlen. Zum Abrufen und Lesen von E-Mails sollte bis zur Schließung der Sicherheitslücke auf andere Apps oder Webmail zurückgegriffen werden.
Das angekündigte iOS-Update sollte schnellstmöglich eingespielt werden, sobald es von Apple zur Verfügung gestellt wurde.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Die Bundesregierung will den verwundbaren Finanzsektor besser vor Cyberattacken schützen. Das Bundesfinanzministerium und die Deutsche Bundesbank haben ein Programm Namens TIBER-DE beschlossen, um die Widerstandsfähigkeit von Finanzunternehmen gegen Hackerangriffe zu stärken.
TIBER steht für „Threat Intelligence Based Ethical Red Teaming“ und unterscheidet sich von den üblicherweise durchgeführten Penetrationstests dergestalt, dass sie nicht nur auf Einzelsysteme abzielen, sondern szenariobasiert sind, weniger zeitlichen Restriktionen unterliegen, die reale Bedrohungslage berücksichtigen, Fachbereiche und teils auch Ländergrenzen überschreiten können - und damit realen Angreifern viel näher kommen.
TIBER ist zwar für den Finanzsektor geschaffen, kann aber auch für andere Branchen angewendet werden.
it.sec verfolgt die Entwicklung des Standards von Anbeginn und bietet TIBER Tests auf Basis jahrzehntelanger Erfahrung im Finanzsegment sowie bei Red-Team Assessments vollumfänglich (und mit Referenzen) an.
Mehr Informationen finden sich bei der FAZ und der Deutschen Bundesbank.
Holger Heimann
Geschäftsführer
it.sec GmbH & Co. KG
Die Gesellschaft für Informatik (GI), gemeinnütziger Verein zur Interessenvertretung der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik, hat unter aktiver Mitwirkung der it.sec in der Funktion als Sprecher des GI-Fachbereichs Sicherheit Stellung bezogen zur Nationalen Strategie für Künstliche Intelligenz (KI) der Bundesregierung.
Eine gezielte Förderung der KI ist begrüßenswert, doch muss diese auch sicher, robust, resilient, nachvollziehbar, vertrauenswürdig und datenschutzkonform sein. Hierzu müssen erst noch geeignete technische und rechtliche Voraussetzungen geschaffen werden:
- Nötig ist eine sichere und gegenüber Störungen robuste Entwicklung der KI durch konsequente Verankerung des Prinzips Security by Design und einem ausreichenden Schutz der Integrität der KI-Systeme und der davon verarbeiteten Daten.
- Ferner bedarf es einer fundierten Abschätzung der Folgen eines unzureichenden Wirklichkeitsmodells, da ein KI-System durch fehlerhafte Modellierung oder unzureichenden Trainingsdaten sonst zufällig auftretende Korrelationen lernt, die keinen inhaltlichen Zusammenhang besitzen oder diskriminierende Strukturen sogar noch verfestigen können.
Der Wortlaut der kompletten Stellungnahme der GI ist abrufbar unter https://gi.de/fileadmin/GI/Allgemein/PDF/2018-12-05_Stellungnahme_KI_Strategie_.pdf
Die KI-Strategie der Bundesregierung ist wiederum abrufbar unter https://www.bmbf.de/files/Nationale_KI-Strategie.pdf
Bernhard C. Witt
Dipl.-Inf., Senior Consultant für Datenschutz und Informationssicherheit
bcwitt@it-sec.de
Spätestens das In-Kraft-Treten der Datenschutzgrundverordnung (DSGVO) und die damit verbundene Androhung drastischer Bußgelder sollte Unternehmen dazu motivieren, ihre Praxis der Datenverarbeitung zu überprüfen und anzupassen.
Dennoch erhielt ein Unternehmen von der Bundesnetzagentur nun ein Bußgeld von 300.000 €, weil es Telefonnummern betroffener Personen ohne deren ausdrückliche Einwilligung für Werbezwecke genutzt hatte.
Zwar kann Direktwerbung als ein berechtigtes Interesse des werbenden Unternehmens betrachtet werden (Erwägungsgrund 47 der DSGVO). Aber auch mit Inkrafttreten der DSGVO gilt § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin. Daher muss nach wie vor die Einwilligung der betroffenen Personen eingeholt werden, wenn man deren Daten zum Zwecke der Telefonwerbung verarbeiten möchte. Ohne Einwilligung ist Telefonwerbung nur in sehr restriktivem Maße erlaubt.
Darüber hinaus erhob das Unternehmen die Daten der betroffenen Personen wohl teilweise bei unseriösen Quellen, übermittelte die Daten in Drittstaaten ohne angemessenes Datenschutzniveau und soll mitunter Subunternehmen für die Datenverarbeitung eingesetzt haben, die bereits negativ wegen entsprechender Praktiken aufgefallen waren.
Ergebnis der unbefugten Datenverarbeitung war, dass die Angerufenen „äußerst hartnäckig, aggressiv, beleidigend und teilweise bedrohend“ werblich angesprochen worden sein sollen. Auch ihr Recht aus Art. 21 Abs. 2 DSGVO, einer solchen Datenverarbeitung zu Werbezwecken zu widersprechen, wurde laut Bundesnetzagentur ignoriert: So wurden betroffene Personen „häufig mehrmals kontaktiert, obwohl sie weitere Anrufe bereits im ersten Gespräch untersagt hatten“.
Der Bußgeldbescheid der Bundesnetzagentur ist noch nicht rechtskräftig (Stand: 10.12.2018). Der weitere Fortgang des Bußgeldverfahrens bleibt daher abzuwarten.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.