Nina Lehmann, Autor auf IT-Sicherheit-und-Recht.de

Kein Datenstau nach Brexit

Die Datenschutzkonferenz (DSK) spielt die verschiedenen Brexit-Szenarien durch und weist darauf hin, wie man trotz Brexit den Datenfluss nach UK aufrecht erhalten kann. Beim geregelten Austritt („Deal-Brexit“) gilt die DSGVO mindestens bis Ende 2020 weiter, es bleibt dann erst einmal alles, wie es ist. Beim No-Deal-Brexit wird UK sofort zum Drittland. Als Datenexporteur muss man dann prüfen, wie man die personenbezogenen Daten an einen sicheren Ort bringt. Dazu muss vom Verantwortlichen ein geeignetes Instrument bestimmt und rechtzeitig – d. h. je nach Entwicklung bis 30.03. oder 13.04.2019 – an den Start gebracht werden. Die meisten werden sich für die EU Standardvertragsklauseln (SCC) entscheiden, um ein ausreichendes Datenschutzniveau zu gewährleisten. Das reicht aber noch nicht: Die internen Dokumentationen (z. B. Verarbeitungsverzeichnisse) sind anzupassen und alle Datenschutzinformationen ebenfalls (z. B. auf der Website). Zum Abschluss droht die DSK ansonsten wenig charmant mit der Aussetzung von Datenübermittlungen per Anordnung und mit Geldbußen.

HK2 und der Stand der Technik – europaweit

HK2 und der Stand der Technik – europaweit Wo die Technik das Recht trifft, hat es die Gesetzgebung nicht leicht. So haben wir es täglich mit handwerklich schlechten Gesetzen zu tun. Bei den Gesetzen zur IT-Sicherheit ist aber jedenfalls eines mehr als richtig gemacht wurden: die Einführung des „Stands der Technik“ als gesetzlicher Maßstab hat sich als der Hebel zur Erhöhung der IT-Sicherheit in den Unternehmen und Behörden erwiesen. Die anfängliche Kritik am Begriff und unscharfen Anforderungen weicht zusehends einem klaren Definitionsverständnis und handhabbaren Methoden zur Auswahl und Dokumentation der technischen und organisatorischen Maßnahmen. Wir haben viel dazu geschrieben. Es freut mich persönlich aber ganz besonders, dass HK2 hier noch mehr bewirkt hat. Wir haben im Bundesverband IT-Sicherheit e. V. (TeleTrusT) die Handreichung zum Stand der Technik mit erarbeitet, die nun von der ENISA, der Europäischen Agentur für Netz- und Informationssicherheit, in englischer Sprache unionsweit ausgesteuert wurde: Guideline „State of the art“. Für uns ein Ritterschlag. Für die Anwender ein Zugewinn an Rechtssicherheit. Karsten U. Bartels LL.M.

Keine Einwilligung für die Nutzung betrieblicher E-Mail-Adressen notwendig

In der Business-2-Business Kommunikation ist keine Einwilligung nach Art. 6 Abs. 1 S. 1 a) DSGVO notwendig, wenn Mitarbeiter per E-Mail kontaktiert werden. Diese Meinung vertritt nicht zuletzt die britische Datenschutzaufsichtsbehörde ICO. Die DSGVO gilt auch für personenbezogene Daten von Personen, die als Einzelunternehmer, Mitarbeiter, Partner und Geschäftsführer tätig sind, wenn diese individuell identifizierbar sind. Ein Name und eine Firmen-E-Mail-Adresse beziehen sich beispielsweise eindeutig auf eine bestimmte Person und sind daher personenbezogene Daten. Dennoch dürfen Firmen-E-Mails ohne Einwilligung verschickt und entsprechende Adressen gespeichert und angeschrieben werden, wenn dies im Geschäftsverkehrerforderlich und daher zulässig ist. Dabei kann sich das Unternehmen, welches die E-Mail-Adresse im Einzelfall verarbeitet, auf sein berechtigtes Interesse gemäß Art. 6 Abs. 1 S. 1 f) DSGVO als Rechtsgrundlage stützen.

BaFin ist nicht zuständig für cryptocurency und soll sich raushalten

Bitcoins sind nach Ansicht des Kammergerichts keine Rechnungseinheit im Sinne des § 1 Abs. 11 Satz 1 KWG. Merkmal einer Rechnungseinheit sei, dass sie einen Wert verkörpere mit dem aufgrund allgemeiner Anerkennung Waren und Dienstleistungen verglichen werden könnten. Bitcoins dagegen schwankten zu sehr, ihr Wert werde von den Nutzern ad hoc zugewiesen. Auch könne der Gesetzgeber mit der Vorschrift von 1997 die 20 Jahre jüngeren Bitcoins nicht gemeint haben. Die BaFin überspanne den ihr zugewiesenen Aufgabenbereich, indem sie Strafnormen umdefiniere. Bitcoin sei auch kein E-Geld, § 1a Abs. 3 ZAG, denn es gebe keinen Emittenten. Das Urteil zeigt vor allem, das selbst fundamentale Fragen von E-Geld und Cryptocurrencies trotz eingehender Regulierungsversuche unbeantwortet sind.

Facebook darf Daten nicht mit WhatsApp und Instagram teilen

Facebook darf Daten nicht mit WhatsApp und Instagram teilen Dies hat kürzlich das Bundeskartellamt entschieden und war mit seiner Entscheidung wesentlich schneller als die Datenschutzaufsichtsbehörden. Zuständig war das Bundesamt aufgrund der marktbeherrschenden Stellung von Facebook. Eine Mitgliedschaft im sozialen Netzwerk Facebook setzt voraus, dass Facebook Daten über User aus konzerneigenen Diensten, aber auch solche, die auf Drittwebseiten gesammelt worden sind, zusammenführen darf. Dieser Praxis hat das Bundesamt nun einen Riegel vorgeschoben. Nach Ansicht des Bundesamtes verstoßen die Nutzungsbedingungen und die Art und der Umfang der Sammlung und Verwertung der Daten durch Facebook zu Lasten der Nutzer gegen europäische Datenschutzvorschriften. Bei Vorliegen einer Rechtsgrundlage – z. B. eines Vertrages oder einer Einwilligung – ist die Erhebung personenbezogener Daten durch Facebook, WhatsApp & Co zwar weiterhin zulässig. Ein Austausch dieser Daten zwischen den einzelnen Netzwerken soll jedoch nur noch mit ausdrücklicher Einwilligung der User erlaubt sein. Gleiches gilt für eine Sammlung und Zuordnung von personenbezogenen Daten durch Facebook, die auf Drittwebsites erhoben werden. Merlin Backer LL.M.

Selbst bei veraltetem CMS: Einstweilen keine Verantwortlichkeit für gehackte Seite

Ein Fotograf entdeckte eines seiner Fotos auf einer Webseite und wollte, nachdem der Betreiber das Foto innerhalb weniger Stunden entfernt hatte, das noch einmal im Eilverfahren kostenpflichtig von einem Gericht untersagt wissen. Gibt’s nicht, meint das Landgericht Hamburg. Denn es war nicht auszuschließen, dass das Content Management System (CMS) gehackt worden ist. Die drei Administratoren haben sämtlich versichert, dass sie das Foto nicht eingestellt haben. Layout, Texte und Sprache waren anders, als auf dem Rest der Seite. Und mit Tapeten in Südafrika hatte die Beklagte auch nichts zu tun. Solange dann der Fotograf nicht nachweist, dass ein aktuelles CMS – das letzte Update war ca. 1 Jahr her – nicht gehackt worden wäre, muss der Webseitenbetreiber nur zügig löschen.

Verträge zur gemeinsamen Verantwortlichkeit

Wer kooperativ mit anderen Unternehmen Daten mit Personenbezug verarbeitet, geht meist davon aus, es liege eine Auftragsverarbeitung (AV) nach Art. 28 DSGVO vor. Die Auftragsverarbeitung ist tatsächlich die hergebrachte Lösung für vielerlei Konstellationen, wie z. B. für die Nutzung eines SaaS-Angebotes oder einer Cloud-Leistung. Folge: Es ist eine Auftragsverarbeitungs-Vereinbarung zu schließen. Die DSGVO sieht neben der AV aber ein weiteres Modell vor, nämlich die sogenannte gemeinsame Verantwortlichkeit (Joint Controllership bzw. Joint Controllers). Geregelt in Art. 26 DSGVO. Joint Controllership (JC) liegt vor, wenn die Unternehmen die Mittel und Zwecke der Datenverarbeitung gemeinsam festlegen. Dazu kommt es schneller als man denkt – z. B. bei gemeinsam genutzter IT oder jeweils eigenen Verarbeitungszwecken bei den Beteiligten. Folge auch hier: Es ist ein JC-Vertrag zu schließen. Wir helfen Ihnen bei Auswahlentscheidung und Vertragsgestaltung!

Umgang Facebook-Fanpages

Betreiber von Facebook-Fanpages sind zusammen mit Facebook für die Datenverarbeitung verantwortlich. Das hat der EuGH im Juni entschieden. Die deutschen Aufsichtsbehörden haben daraufhin erklärt, dass Fanpage-Betreiber, die keinen Vertrag mit Facebook über die gemeinsame Verantwortlichkeit für die Datenverarbeitung nach Art. 26 DSGVO geschlossen haben, gegen die datenschutzrechtlichen Regelungen verstoßen würden. Facebook hat nun kürzliche eine entsprechende Vereinbarung, das sogenannte „Page Controller Addendum“, entworfen und zur Grundvoraussetzung für die Betreibung einer Fanpage gemacht. Dies Vereinbarung führt zu einer Aufteilung der datenschutzrechtlichen Pflichten, wobei Fanpage-Betreiber vor allem die Rechtsgrundlage für die Datenverarbeitung sicherzustellen, den Verantwortlichen für die Datenverarbeitung zu benennen und Kontaktaufnahmen der Aufsichtsbehörden an Facebook weiterzuleiten haben. Wir unterstützen Sie gerne bei den notwendigen Anpassungen für Ihre Fanpage. Merlin Backer LL.M.

In Bayern ist alles anders: Hinweise und Beratung haben Vorrang vor Sanktionen

Die DSGVO bleibt oft unklar. Finden sich bei einem Unternehmen Daten, findet sich daher auch ein DSGVO Verstoß. Der Gängelung durch die Aufsicht ist Tür und Tor geöffnet. Daher ist die Beschwichtigung der Datenschützer, das werde alles mit Augenmaß angegangen, wenig beruhigend. Das wird nicht gelten, wenn ein Unternehmen andere Positionen als die Aufsicht vertritt. Belastbarer erscheint da der Bayerische Weg zu einer bürgernahen und mittelstandsfreundlichen Anwendung der DSGVO durch Ministerratsbeschluss vom 5. Juni 2018: „Bei einem Erstverstoß im Dickicht der Datenschutzregeln drohen keine Bußgelder; Hinweise und Beratung haben Vorrang vor Sanktionen.“ Das ist zwar mit dem vorrangigen EU-Recht schwer unter einen Hut zu bringen, könnte aber die Behörde an die Kandare nehmen. Vorreiter waren hier die Österreicher. Aufmüpfige Unternehmen sind also gut beraten, in den Alpenländern zu residieren. Den anderen bleibt nur, ihr verzweifeltes Bemühen zu dokumentieren.

Zweites DSGVO Anpassungsgesetz

Mit einem weiteren Gesetz sollen wenige Wochen nach Geltungsbeginn der Datenschutz-Grundverordnung (DSGVO) zusätzliche Datenschutzregeln geschaffen werden. Dazu werden Öffnungsklauseln in der DSGVO bespielt und der Datenschutz im Rahmen der Strafverfolgung noch einmal angepasst. Es handelt sich um ein sog. Omnibusgesetz: In 153 Artikeln werden fast ebenso viele Gesetze geändert. Für die Wirtschaft entsteht angeblich kein neuer Erfüllungsaufwand. Im Bundesdatenschutzgesetz passiert nicht allzu viel, sieht man einmal von der Verarbeitung personenbezogener Daten für Zwecke staatlicher Auszeichnungen und Ehrungen ab. Weitreichender sind die geplanten Änderungen am BSI-Gesetz oder am Bundesmeldegesetz. Fast interessanter ist, was der Gesetzgeber alles nicht machen möchte. Datenschützer wollen Versäumnisse aus dem ersten Anpassungsgesetz nachbessern. Die Wirtschaft will Klarstellungen, insbesondere der Bereich Telekommunikation.