Das LG Dresden hat sich in seinem Urteil (Az. 1a O 1582/18) mit dem Einsatz von Google Analytics ohne aktivierte IP-Anonymisierung beschäftigt. Auch wenn der Fall noch nicht in den Anwendungsbereich der DSGVO fiel, greift das Urteil die von Aufsichtsbehörden angesehene Pflicht zur Aktivierung der IP-Anonymisierung auf und bestätigt dieses als etablierte Best-Practice.

Internetnutzer müssen aktiv der Verwendung sogenannter Cookies zustimmen. Der Europäische Gerichtshof in Luxemburg stellte klar, dass eine automatische voreingestellte Zustimmung nicht genügt. Im konkreten Fall ging es um einen deutschen Gewinnspielanbieter. In der Rechtssache C-673/17 urteilte der EuGH, dass eine voreingestellte Zustimmung zum Speichern von Daten auf dem Rechner des Nutzers unzulässig sei. Laut dem Urteil macht es auch keinen Unterschied, ob es sich bei den gespeicherten Nutzer-Informationen um personenbezogene Daten handelt oder nicht. Das EU-Recht solle den Nutzer „vor jedem Eingriff in seine Privatsphäre“ schützen. Dies betrifft in der Konsequenz auch die Nutzung von Tracking-Systemen, wie z. B. Google Analytics, da auch hier ein Cookie gesetzt wird.

Durch die Änderungen, die sich durch das Zweite Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (2. DSAnpUG-EU) im Datenschutzrecht ergeben, haben wir in letzter Zeit häufiger zum Thema zu beraten, ob ein Datenschutzbeauftragter (DSB) überhaupt noch notwendig ist.

Leider gehen mit der Gesetztesänderung auch ein paar Mythen einher, mit denen wir regelmäßig konfrontiert sind, z. B.:

„Wir haben ja nur 12 Mitarbeiter, dann brauche ich ja keinen DSB mehr.“
Das ist möglich, aber die Anzahl der Mitarbeiter*innen ist nur ein Faktor für eine etwaige Bestellpflicht. Eine Orientierungshilfe haben wir hier als Checkliste bereit gestellt.

„Wenn ich keinen DSB brauche, dann muss ich ja nichts weiter machen, weil der DSB ja alles dokumentiert.“
Leider ist diese Annahme in mehrfacher Hinsicht falsch! Denn die Benennungspflicht eines DSB hat leider gar nicht mit den Dokumentations- und Rechenschaftspflichten des Verantwortlichen zu tun. Der DSB ist in seiner Stellung im Unternehmen ohnehin Berater und nicht Umsetzer und Entscheider. Ein Unternehmen das also keinen DSB hat, hat dennoch die selben Pflichten zu erfüllen, wie mit DSB – entscheidender Unterschied: Das Unternehmen hat leider auch keinen Datenschutz-Fachmann der ordentlich beraten kann.

Zum Patchday hat Microsoft eine kritische Lücke im Remote-Desktop-Protokoll (RDP) geschlossen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht die Gefahr von Malware-Angriffen durch Würmer wie WannaCry.

Betroffen sind alle Windows-Client- und Windows-Server-Versionen bis einschließlich Windows 7 und Windows-Server 2008. Die Versionen Windows 8 und 10 sind nicht betroffen.

Microsoft bestätigte heute die Einschätzung des BSI mit einem eigenen Sicherheitshinweis. Die Sicherheitslücke sei tatsächlich „wormable“.

Es müssen daher dringend in den betroffenen Windows-Systemen die aktuellen Microsoft-Patches eingespielt werden. Ebenfalls in dieser Woche wurde ein WhatsApp-Hack bekannt. Facebook empfiehlt daher allen WhatsApp-Nutzern dringend, sowohl App als auch Betriebssystem auf den aktuellsten Stand zu bringen. Betroffen sind sowohl Android als auch iOS. Die Sicherheitslücke erlaubt Unbefugten Fernzugriff auf das betroffene Gerät. Angreifer können über einen WhatsApp-Anruf Spyware in das Gerät einschleusen, auch wenn der Angerufene gar nicht abhebt.

Im 15. Tätigkeitsbericht, der am 26. März 2019 veröffentlicht wurde, nimmt der Landesbeauftragte für den Datenschutz Stellung zum Sachstand der Microsoft Cloud Dienste. Bereits im vorangegangenen Tätigkeitsbericht informierte er über seine rechtlichen Bedenken der Speicherung von Daten außerhalb der EU und möglicher Zugriffe Dritter auf diese Daten. Bereits seit 31. August 2018 werden keine neuen Kunden für die Dienste der Microsoft Cloud Deutschland (MCD) zugelassen.

In unserem Postfach ist gestern Abend eine Bewerbung von Frau B. Hollermann eingegangen. Zunächst war unsere Freude darüber groß, da wir aktuell in der Tat zwei Stellen ausgeschrieben haben, doch die Ernüchterung folgte auf dem Fuß. Es handelte sich um eine gefälschte Bewerbungen, deren einziges Ziel es war, uns eine Word-Datei mit einem Makro-Virus unterzuschieben.

In vielen Bereichen unseres täglichen Lebens haben Cloud-Dienste längst Einzug gehalten und bieten digitale Dienstleistungen als einfach nutzbaren Service an. Im heutigen Beitrag wollen wir uns der Frage widmen, welche Dienste aus Unternehmenssicht sinnvoll aus und in der „Cloud“ genutzt werden können.

Bereits am 17. Dezember 2018 wurde gegen ein deutsches Versandunternehmen durch die Aufsichtsbehörde ein Bußgeld in  Höhe von 5.000 € zzgl. 250 € Gebühren verhängt. Vorausgegangen war eine Beratungsanfrage des Unternehmens aus dem Mai 2018 bei der Aufsichtsbehörde. Das Unternehmen fragte nach, wie man verfahren sollte, wenn ein Auftragsverarbeiter, trotz mehrfacher Nachfrage einen Auftragsverarbeitungsvertrag (AV-Vertrag) übersendet.

Getroffen hat es in diesem Fall das soziale Netzwerk Knuddels.de durch einen Hacker Angriff und die Veröffentlichung von fast 2 Millionen Pseudonymen und Passwörtern von ca. 330.000 Nutzern im Internet. Durch die sehr gute Kooperation mit der Aufsichtsbehörde, ist das Bußgeld ist mit 20.000 € verhältnismäßig gering ausgefallen.

Hintergrund: Verstoßen wurde gegen Art. 32 DSGVO, personenbezogene Daten der Nutzer ausreichend zu sichern. Hierbei wurden Passwörter im Klartext, unverschlüsselt und unverfremdet vorgehalten. Dadurch konnten diese leicht gehackt werden.

Hinweis: Innerhalb von 72 Stunden müssen Datenpannen ggf. an die Aufsichtsbehörde gemeldet werden und geeignete Maßnahmen zur Behebung des Datenlecks erfolgen. Aus diesem Grund empfehlen wir ein Datenschutz-Team aufzustellen. Wir als ihre externe Datenschutzbeauftragte unterstützen Sie.

Der Messanger Dienst WhatsApp greift auf alle gespeicherten Kontakte, die auf dem Smartphone gespeichert sind zu und gleicht diese nicht nur ab, diese werden auf Servern von WhatsApp gespeichert. Auch die Kontakte, die den Messanger selbst nicht benutzen.

In den Datenschutzbestimmungen des Unternehmens heißt es in Bezug auf die Weitergabe der Daten: „WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können für die in dieser Datenschutzrichtlinie beschriebenen Zwecke beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“

Ist WhatsApp nun also im Unternehmen erlaubt? Durch Art. 6 DSGVO benötigen sie, für eine derartige oben beschriebene Weitergabe von Daten, eine Einwilligung von jedem ihrer Kontakte!

Aber nicht nur das, es wird zudem ein Vertrag zur Auftragsdatenverarbeitung zwischen Unternehmen und WhatsApp bzw. dem Mutterunternehmen Facebook.

Fazit: Nach derzeitigem Stand ist WhatsApp im geschäftlichen Kontext nicht rechtskonform und datenschutzrechtlich konform bzw. legal einsetzbar.