Unser Datenschutz-Update im August 2023

In dieser Rubrik liefern wir Ihnen jeden Monat aktuelle Informationen aus der Datenschutz-Welt: Urteile, Entscheidungen und sonstige Entwicklungen in diesem Rechtsgebiet. Hier unser Datenschutz-Update für den August 2023.

1. Nachrichten aus der Welt des Datenschutzes

Lokale Backups bei der Nutzung von Cloud-Diensten?

Cloud-Dienste bieten eine Vielzahl von Vorteilen, die sie für Einzelpersonen, Unternehmen und Organisationen attraktiv machen. Dazu zählen: Ressourcen wie Rechenleistung, Speicher und Netzwerkressourcen können nach Bedarf hoch- oder herunterskaliert werden; man spart sich die Kosten für Anschaffung und Wartung physischer Hardware und zahlt nur tatsächlich genutzte Ressourcen; die Dienste ermöglichen eine schnelle Bereitstellung und weltweite Erreichbarkeit und sie bieten diverse Automatisierungsmöglichkeiten. Darüber hinaus gelten sie als sicher, da die Cloud-Anbieter:innen in Verschlüsselung, Zugriffskontrollen und Compliance-Zertifizierungen investieren. 

Trotz dieser Vorteile gibt es auch einige potenzielle Nachteile wie Datenschutzbedenken, Abhängigkeit von Drittanbieter:innen und mögliche Einschränkungen bei der Anpassung von Ressourcen.

Doch auch mit der Sicherheit ist es nicht so unbedenklich, wie man sich wünschen würde. Immer wieder kommt es zu Cyber-Angriffen auf Cloud-Dienste und so kam es bei Krankenkassen wie z.B. der DAK oder bei Behörden auf kommunaler, Landes-und Bundesebene zu erheblichen Störungen und Ausfällen. Glücklicherweise konnten in diesen Fällen die Daten letztlich immer wieder hergestellt werden. 

Jetzt jedoch kam es zu einer Cyber-Attacke, bei der es den Angreifer:innen gelang, sämtliche Daten aller Kund:innen der Cloud-Anbieter:innen unwiederbringlich zu löschen. Der Dänische Anbieter CloudNordic zog mit seinen Servern von einem Rechenzentrum in ein anderes um. Dabei wurden die Maschinen an das interne Netz angeschlossen. Trotz Firewalls und weiteren Sicherheitsmaßnahmen befanden sich auf einigen Servern unerkannte Viren, die im internen Netz aktiv werden konnten und die Verwaltungs- und Backupsysteme durchdringen konnten. 

Die Angreifer:innen kamen so in die Lage, die Laufwerke zu verschlüsseln und forderten Lösegeld. Dieser Forderung wollte und konnte das Unternehmen nicht nachkommen. Die Ransome-Angreifer:innen hatten nicht nur den Cloud-Dienst selbst, sondern auch sämtliche Server der Kund:innen lahmgelegt. Der Cloud-Anbieter war zu keiner Kommunikation mehr in der Lage. Nach Überprüfung stellte sich heraus, dass sämtliche Daten unwiederbringlich verloren sind. Einziger Trost ist, dass die Angreifer:innen wohl keinen direkten Zugriff auf die Daten selbst hatten. 

Fazit: Auch wenn die Nutzung von Cloud-Diensten viele Vorteile bietet, kommt man um ein lokales Backup nicht herum. Denn auch diese Dienste sind kein uneinnehmbares Bollwerk für Cyber-Attacken.

Drei Bußgelder von insgesamt 215.000 € gegen ein Unternehmen verhängt

Die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) verhängte gegen ein Unternehmen drei Bußgelder in Höhe von insgesamt 215.000€. 

1. Das erste Bußgeld erfolgte, weil das Unternehmen eine Liste über Mitarbeiter:innen in der Probezeit führen ließ, die auch Beurteilungen und Begründungen für bzw. gegen die Weiterbeschäftigung beinhaltete. Dabei wurden auch besonders sensible Daten wie Gesundheitsdaten im Sinne von Art. 9 DSGVO verarbeitet, zum Beispiel, wenn die Person in Psychotherapie war. Weiterhin wurden Informationen gespeichert, ob sich die Personen für die Gründung eines Betriebsrats interessierten sowie persönliche Äußerungen beurteilt. Diese Daten, so die Aufsichtsbehörde, waren nicht alle für den Zweck der Beurteilung erforderlich und geeignet. Weiter wurden sie ohne Wissen der Betroffenen gesammelt und verarbeitet. Dies gilt auch für den Fall, dass die Betroffenen in anderem Zusammenhang diese Informationen selbst offenbart haben.
2. Ein weiteres Bußgeld erfolgte, weil das Unternehmen diese Liste nicht im Verarbeitungsverzeichnis aufgeführt hatte und damit gegen Art. 30 DSGVO verstieß. Mit dem Verarbeitungsverzeichnis sollen alle Verarbeitungsvorgänge im Unternehmen dokumentiert und transparent gemacht werden.
3. Das letzte Bußgeld erfolgte, weil der betriebliche Datenschutzbeauftragte nicht involviert wurde und zudem die Meldung der Datenschutzpanne verspätet erfolgte.

Die Höhe des Bußgeldes richtete sich nach dem Umsatz des Unternehmens und der Anzahl der Betroffenen. Der Bescheid über das Bußgeld ist noch nicht rechtskräftig.

Fazit: Auch wenn es Zeitaufwand bedeutet, das Verarbeitungsverzeichnis sollte in Unternehmen nicht vernachlässigt werden. Auch unbedeutend erscheinende Verarbeitungsvorgänge müssen erfasst werden. In diesem Fall handelte es sich jedoch nicht um unbedeutende Vorgänge. Gerade bei der internen Verarbeitung von Mitarbeiterinformationen wird oft nicht geprüft, wie man an diese Informationen gekommen ist, zu welchem Zweck man sie verarbeiten will und ob die Verarbeitung für den Zweck geeignet und erforderlich ist. Fehlt eine Rechtsgrundlage, sollte von der Verarbeitung der personenbezogenen Daten abgesehen werden. In jedem Fall ist – soweit vorhanden – der betriebliche oder externe Datenschutzbeauftragte für die Beurteilung mit heranzuziehen. 

Mehr dazu finden Sie hier: Eine Liste mit Informationen über Beschäftigte in der Probezeit

Fehlendes Rechtsschutzbedürfnis, wenn der Betroffene vom Beschwerdegegner Geld erhält

In Österreich wandte sich ein Webseitenbesucher an den Betreiber mit dem Vorwurf, dass seine persönlichen Daten rechtswidrig verarbeitet würden. Der Betroffene machte seinen Auskunftsanspruch gem. Art. 15 DSGVO geltend. Der Webseitenbetreiber kam diesem Ersuchen nach. Der Betroffene hielt diese Auskunft jedoch für unvollständig. Eine umfangreichere Auskunft lehnte der Webseitenbetreiber ab. 

Daraufhin schrieb der Betroffene an den Webseitenbetreiber, in dem er an seiner Behauptung der unrechtmäßigen Verarbeitung festhielt und behauptete, dass dies ihm erhebliches Unwohlsein bereite. Er erklärte sich gleichzeitig bereit, gegen eine Zahlung von 2.900 € von einer Schadensersatzklage und einer Beschwerde bei der Aufsichtsbehörde abzusehen. 

Der Webseitenbetreiber ging auf diese Forderung nicht ein, der Betroffene beschwerte sich bei der zuständigen Aufsichtsbehörde. 

Obwohl die Aufsichtsbehörden grundsätzlich bei Beschwerden tätig werden müssen, weigerte sich die Behörde in diesem Fall mit dem Hinweis, dass eine Ausnahme vorläge. Dies ist zum Beispiel bei offensichtlich unbegründeten oder exzessiven Anfragen der Fall, Art. 57 Abs. 4 DSGVO. Ein solcher Fall lag nach Annahme der Aufsichtsbehörde vor, da der Beschwerdeführer bereit gewesen war, gegen eine Geldzahlung von weiteren Schritten gegen den Beschwerdegegner abzusehen. 

Hauptargument der österreichischen Aufsichtsbehörde:

„Vor diesem Hintergrund kann nach Ansicht der Datenschutzbehörde beim Beschwerdeführer allerdings von keinem tatsächlichen Rechtschutzbedürfnis ausgegangen werden, weshalb die verfahrensgegenständliche Beschwerdeerhebung als unredlich und die Inanspruchnahme der Tätigkeit der Datenschutzbehörde durch den Beschwerdeführer als rechtsmissbräuchlich zu qualifizieren ist.“

Ähnlich wie bei den Google Fonts Fällen scheint der Aufsichtsbehörde das unübersehbare finanzielle Interesse des Beschwerdeführers negativ aufgestoßen zu sein. Gerade im Hinblick auf die Google-Font Welle ist die Reaktion der österreichischen Aufsichtsbehörde zu begrüßen.

Mehr dazu finden Sie hier: RIS – Rechtssätze und Entscheidungstext für 2023-0.137.735 – Datenschutzbehörde

2. Entscheidungen des Monats

Welche Sicherheitsvorkehrungen dürfen im E-Mail-Verkehr erwartet werden?

In einem Fall vor dem OLG Karlsruhe hatte das Gericht darüber zu entscheiden, ob dem Käufer ein Schadensersatzanspruch gegen den Verkäufer zusteht, weil er auf eine Fake-Email mit Rechnung hin gezahlt hatte oder ob der Verkäufer seinen Kaufpreis weiterhin geltend machen konnte.

Zum Sachverhalt: Der Käufer erhielt als erstes die echte Rechnung des Verkäufers mit Angabe der Kontoverbindung in Kopf- und Fußzeile. Im Anschluss erhielt der Käufer eine Email von der Emailadresse des Verkäufers mit einer Rechnung. Diese wies jedoch nur in der Fußzeile eine Kontoverbindung auf mit einem Empfänger „P.D.“ . Weiterhin enthielt die Email auffällige sprachliche Fehler und es wurde die SIe-Form verwendet, wobei Käufer und Verkäufer per „Du“ waren. Trotz dieser Hinweise überwies der Käufer auf die zweite Rechnung hin auf das falsche Bankkonto. Als der Verkäufer seinen Kaufpreis geltend machte, verweigerte er die erneute Zahlung. 

Im Klageverfahren, weches der Verkäufer einleitete, behauptete der Käufer, der Verkäufer habe keine ausreichenden Sicherheitsvorkehrungen getroffen. Die erste Instanz gab dem Beklagten Recht, das OLG Karlsruhe sieht dies anderes und entschied zugunsten des Verkäufers (Klägers).

Im Einzelnen führt es zu den Sicherheitsanforderungen im Email-Verkehr Folgendes aus:

• Das Email-Konto des Verkäufers war nur zwei Personen zugänglich und durch ein Passwort geschützt, dass regelmäßig geändert wurde.
• Die Transportverschlüsselung nach dem „Transport Layer Security“ (TLS) existiert nur zwischen bestimmten E-Mail-Anbieter:innen. Da der vom Verkäufer genutzte Anbieter zwar dazu gehört, der vom Käufer betriebene Server jedoch nicht, konnte dem Verkäufer das Scheitern der Transportverschlüsselung nicht zur Last gelegt werden.
• Der Käufer legte die Ansicht dar, dass der Verkäufer dazu verpflichtet war, das Sender Policy Framework (SPF) einzusetzen. Dieses Verfahren prüft, ob der sendende E-Mail-Server berechtigt ist, E-Mails im Namen einer bestimmten Domäne zu versenden. Das Gericht stellt jedoch klar, dass Endnutzer:innen wie der Verkäufer, die selbst keinen eigenen E-Mail-Server betreiben, keinerlei Einfluss auf die Implementierung dieses Verfahrens haben. Daher kann seitens des Käufers auch keine begründete Sicherheitserwartung bezüglich SPF geltend gemacht werden.
• Auch eine Ende-zu-Ende-Verschlüsselung wird nach Ansicht des OLG Karlsruhe im geschäftlichen Umfeld nicht erwartet. Trotz der Empfehlung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ist dem Gericht bewusst, dass diese Form der Verschlüsselung nur äußerst selten zur Anwendung kommt. Diese Tatsache steht im Widerspruch zu einer allgemeinen Sicherheitserwartung.

Fazit: Betrugs-Emails werden optisch immer besser. Deswegen ist besondere Umsicht geboten, um Fake-Emails zu erkennen. Zu den zu überprüfenden Punkten gehören die hinterlegte Emailadresse, Satzbau und Sprachfehler, Kontodaten und Empfängername. Anhänge oder Links sollten niemals geöffnet werden, bevor nicht sicher ist, dass die Email wirklich von der bzw. dem bekannten Absender:in stammt.

3. Das schreiben die Anderen zum Datenschutz

• Notwendigkeit einer Datenschutz-Folgenabschätzung bei…
• Aufsichtsbehörde im CC: Wirksame Betroffenenbeschwerde?

Haben Sie Fragen oder Anmerkungen? Nehmen Sie gerne Kontakt mit uns auf.