Im 15. Tätigkeitsbericht, der am 26. März 2019 veröffentlicht wurde, nimmt der Landesbeauftragte für den Datenschutz Stellung zum Sachstand der Microsoft Cloud Dienste. Bereits im vorangegangenen Tätigkeitsbericht informierte er über seine rechtlichen Bedenken der Speicherung von Daten außerhalb der EU und möglicher Zugriffe Dritter auf diese Daten. Bereits seit 31. August 2018 werden keine neuen Kunden für die Dienste der Microsoft Cloud Deutschland (MCD) zugelassen.

In unserem Postfach ist gestern Abend eine Bewerbung von Frau B. Hollermann eingegangen. Zunächst war unsere Freude darüber groß, da wir aktuell in der Tat zwei Stellen ausgeschrieben haben, doch die Ernüchterung folgte auf dem Fuß. Es handelte sich um eine gefälschte Bewerbungen, deren einziges Ziel es war, uns eine Word-Datei mit einem Makro-Virus unterzuschieben.

In vielen Bereichen unseres täglichen Lebens haben Cloud-Dienste längst Einzug gehalten und bieten digitale Dienstleistungen als einfach nutzbaren Service an. Im heutigen Beitrag wollen wir uns der Frage widmen, welche Dienste aus Unternehmenssicht sinnvoll aus und in der „Cloud“ genutzt werden können.

Bereits am 17. Dezember 2018 wurde gegen ein deutsches Versandunternehmen durch die Aufsichtsbehörde ein Bußgeld in  Höhe von 5.000 € zzgl. 250 € Gebühren verhängt. Vorausgegangen war eine Beratungsanfrage des Unternehmens aus dem Mai 2018 bei der Aufsichtsbehörde. Das Unternehmen fragte nach, wie man verfahren sollte, wenn ein Auftragsverarbeiter, trotz mehrfacher Nachfrage einen Auftragsverarbeitungsvertrag (AV-Vertrag) übersendet.

Getroffen hat es in diesem Fall das soziale Netzwerk Knuddels.de durch einen Hacker Angriff und die Veröffentlichung von fast 2 Millionen Pseudonymen und Passwörtern von ca. 330.000 Nutzern im Internet. Durch die sehr gute Kooperation mit der Aufsichtsbehörde, ist das Bußgeld ist mit 20.000 € verhältnismäßig gering ausgefallen.

Hintergrund: Verstoßen wurde gegen Art. 32 DSGVO, personenbezogene Daten der Nutzer ausreichend zu sichern. Hierbei wurden Passwörter im Klartext, unverschlüsselt und unverfremdet vorgehalten. Dadurch konnten diese leicht gehackt werden.

Hinweis: Innerhalb von 72 Stunden müssen Datenpannen ggf. an die Aufsichtsbehörde gemeldet werden und geeignete Maßnahmen zur Behebung des Datenlecks erfolgen. Aus diesem Grund empfehlen wir ein Datenschutz-Team aufzustellen. Wir als ihre externe Datenschutzbeauftragte unterstützen Sie.

Der Messanger Dienst WhatsApp greift auf alle gespeicherten Kontakte, die auf dem Smartphone gespeichert sind zu und gleicht diese nicht nur ab, diese werden auf Servern von WhatsApp gespeichert. Auch die Kontakte, die den Messanger selbst nicht benutzen.

In den Datenschutzbestimmungen des Unternehmens heißt es in Bezug auf die Weitergabe der Daten: „WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“

Ist WhatsApp nun also im Unternehmen erlaubt? Durch Art. 6 DSGVO benötigen sie, für eine derartige oben beschriebene Weitergabe von Daten, eine Einwilligung von jedem ihrer Kontakte!

Aber nicht nur das, es wird zudem ein Vertrag zur Auftragsdatenverarbeitung zwischen Unternehmen und WhatsApp bzw. dem Mutterunternehmen Facebook.

Fazit: Nach derzeitigem Stand ist WhatsApp im geschäftlichen Kontext nicht rechtskonform und datenschutzrechtlich konform bzw. legal einsetzbar.

Was heißt das genau? Verstöße gegen die DSGVO sind durch Wettbewerber abmahnfähig, wenn es sich bei den entsprechenden Normen um „Marktverhaltensregeln“ handelt.

Eine Prüfung wird wohl stets erfolgen, ob die Verstöße einen wettbewerbsrechtlichen Bezug bzw. einen marktverhaltensregelnden Charakter haben.

Read more

Es reicht für einen Fall des berechtigten Interesses nach Art. 6 Abs. 1 f) nicht aus, sich auf einfache Werbeinteressen zu berufen. Veröffentlichen Sie bspw. Videos mit Kunden, sind sie in der Beweispflicht über die Einwilligung des Betroffenen entsprechend der DSGVO.

Werbung ist grundsätzlich als berechtigtes Interesse anerkannt, jedoch ist fraglich ob Werbung unter Verwendung von bildlichen Aufnahmen von Kunden ohne weiteres als erforderlich im Sinne dieser Vorschrift anzusehen sei.Read more

Mehrere Mandanten berichteten uns von „eiligen Fax-Mitteilungen“, die sie von der Datenschutzauskunft-Zentrale (DAZ) erhalten haben. In den Schreiben wird verbal ein Szenario aufgebaut, dass dem Empfänger suggeriert, er müsse das beigefügte Stammblatt ergänzen und zurück senden um die gesetzlichen Anforderungen „Basisdatenschutz“ zu erfüllen. Dem ist nicht so!

Read more

Einer unserer Kunden hat nun auch eine Abmahnung von Rechtsanwalt Müller erhalten. Die Abmahnung richtet sich gegen einen vermeintlichen Verstoß gegen die Datenschutz-Grundverordnung. RA Müller gibt an, die Interessen eines vermeintlichen Mitbewerbers unseres Kunden zu vertreten.

Read more