Mitgliederbereich

Melden Sie sich hier für den Mitgliederbereich an, um Fachinformationen und exklusive Inhalte des vdw Sachsen einzusehen. Noch kein Konto? Hier registrieren.

Registrieren

Update 21.04.2022

2023?

Die Berichterstattung über die Pressekonferenz von Ursula von der Leyen und Joe Biden und die Pressekonferenz vom 25.03.2022 selbst waren und sind nicht valide. Tatsächlich gibt es noch keinen Abschluss eines Abkommens und er wird auch nicht zeitnah erfolgen (anders aber die Suggestion vom 25.03.2022).

Executive Orders (Verwaltungsvorschriften des US-Präsidenten Joe Biden) sollen die bisherige Rechtslage (unangemessenes Datenschutzniveau in den USA) ändern. Erst danach kann die EU-Kommission eine Angemessenheitsprüfung des Datenschutzniveaus in den USA durchführen. Es gibt derzeit noch keinen Entwurf für einen Angemessenheitsbeschluss. Die Erklärung zum Trans-Atlantic Privacy Framework ist derzeit „nur“ als Absichtserklärung zu bewerten (siehe Factsheet der Europäischen Kommission aus dem März 2022 Trans-Atlantic_Data_Privacy_Framework.pdf).  Anfang 2023 erscheint aus optimistischer Sicht als wahrscheinlicher Zeitraum für einen Angemessenheitsbeschluss der EU – Kommission.

Die Rechtslage für den Datentransfer in die USA bleibt daher doch noch eine Weile angespannt.

Lösungen sind derzeit:

 

************************************************************************

Update 29.03.2022

Neues Datenschutzabkommen „Trans-Atlantic Data Privacy Framework„(TADPF) zwischen der EU und USA im Grundsatz „vereinbart“

Nachdem der EuGH im Juli 2020 den „Privacy Shield“ mit der Begründung gekippt hatte, dass kein angemessenes Datenschutzniveau in den USA für Verbraucher aus der EU existiere, ist nun wieder alles anders.

Ursula von der Leyen (Präsidentin der EU-Kommission) und Joe Biden (Präsident der USA) haben am 25.03.2022 in einer Pressekonferenz in Brüssel bekanntgegeben, dass sie sich im Grundsatz auf einen

Nachfolger für den Transfer personenbezogener Daten von Europa in die USA

geeinigt haben.

Neue Regeln sollen den US-Geheimdienst beschränken. Dennoch betroffene Europäer sollen Rechtsschutz in den USA ersuchen können.

Es gibt noch keinen konkreten Entwurf für dieses Abkommen.

Am 28.03.2022 wurde bekannt, dass das

europäische Cloudprojekt Gaia-X keine weitere Förderung vom Bund

mehr erhalten wird (keine Mittel mehr im Bundeshaushalt vorgesehen).

********************************************************************

(31.08.2020)

Der Datentransfer in die USA ist schwierig und wird schwieriger.

Das

EuGH-Urteil „Schrems II“

ist in der Welt.

Die Bundesregierung trifft zudem

Maßnahmen zur Schaffung von Alternativen zu US-Cloudinfrastrukturen und Officeanwendungen

aus Angst vor einer zu großen Abhängigkeit von US-Tech-Unternehmen.

Als erste Datenschutzaufsichtsbehörde hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI-BW) mit einer

Orientierungshilfe zur Schrems II -Entscheidung

an die Unternehmen am 25.08.2020 mit einem konstruktiven Ansatz gewandt (LfDI-BW-Orientierungshilfe-zu-Schrems-II).

Auf zehn Seiten stellt er kurz die Kernaussagen des EuGH – Urteils dar:

Beispielhaft benennt der LfDI-BW dann noch Handelsbeziehungen, Cloudlösungen (Achtung auch Telefonanlagen beachten) und Videokonferenzsysteme als betroffene Anwendungsfälle.

Als Handlungsempfehlung gibt er den Unternehmen an die Hand:

  1. eine Übermittlung auf der Grundlage von Standardvertragsklauseln wird nur in seltenen Fällen erfüllbar sein.
  2. es sind zusätzliche Garantien zu vereinbaren (Unternehmen EU – Unternehmen – USA) die einen Zugriff durch US-amerikanische Geheimdienste verhindern und die Rechte Betroffener schützen.
      • Verschlüsselung (Schlüssel nur bei Datenexporteur)
      • Anonymisierung
      • Pseudonymisierung
  3. Checkliste
      • Bestandsaufnahme Datenexport
      • Kontaktaufnahme mit Dienstleister und über EuGH-Entscheidung und Konsequenzen informieren
      • Rechtslage im Drittland eruieren (USA negativ)
      • Nutzung Standardvertragklauseln möglich (USA grds. negativ)
      • zusätzliche Garantien (Verschlüsselung, Vereinbarung, dass die Daten innerhalb des
        Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) plus Standardvertragsklauseln
      • Abänderung der Standardvertragsklauseln Anhang Klausel 4f, Klausel 5d i, Ergänzung der Klausel 5 d, Abänderung der Klausel 7 Abs. 1, nur Aufnahme von b), Aufnahme der in Anhang 2 genannten Entschädigungsklausel (LfDI-BW-Orientierungshilfe-zu-Schrems-II ,dort auf den Seiten 8 bis 9 nachlesbar)
      • wenn dann Datenübermittlung immer noch nicht zulässig Ausnahmevorschrift des Art. 49 DS-GVO prüfen (bspw. Einwilligung der betroffenen Person,…)
  4. zumutbare Alternativangebote ohne Transferproblematik prüfen.

Gleichzeitig erklärten die EU-Kommission und das US-Department of Commerce seit dem 10.08.2020 eine

Neuregelung für die Datenübermittlung in die USA zu diskutieren.

Diese soll das Urteil des EuGH berücksichtigen. Die USA signalisieren derzeit keine Verhandlungsbereitschaft, auf den staatlichen Zugriff auf Daten von EU-Bürgern zu verzichten. Konkrete Verhandlungen gibt es tatsächlich nicht.

US-Konzerne ändern Ihre Datenschutzerklärungen ab und berufen sich auf die Standardvertragsklauseln.

Max Schrems lässt durch die non profit Organisation

„non of your business“ (noyb) 101 Beschwerden bei Aufsichtsbehörden in der EU für die Nutzung von „Facebook Connect“ und „Google Analytics“ aussprechen und fordert die Aussetzung der Datenübermittlung.

Er sieht in deren Berufung von US-Konzernen auf die Standardvertragsklauseln einen Widerspruch zum EuGH-Urteil, welches das Datenschutzniveau der USA als unangemessen im Verhältnis zur DS-GVO erklärt habe. Konkret spricht er Google und Facebook an.

In Deutschland bekannte „angemahnte“ Unternehmen sind die Funke Digital GmbH, die Handelsblatt GmbH, TV Spielfilm Verlag GmbH, DuMont.next GmbH & Co. KG und die Chefkoch GmbH (vollständige Liste aller Unternehmen abrufbar unter https://noyb.eu/en/eu-us-transfers-complaint-overview).

Der zweite Hebel, welcher derzeit an Kraft gewinnt, ist die Auffassung, dass

Deutschland zu abhängig von IT-Dienstleistern aus den USA

sei. Es gibt Beispiele aus Venezuela für Adobes Creativcloud (Beinaheembargo) und für Huawei in China (Exportstopp für Intel-Chips und Google-Software).

Der vdw Sachsen hatte schon von

Dataport und dem deutschen Projekt Phoenix als Alternative zu Officeanwendungen

berichtet.

Hinzugesellt sich ein deutsch-französisches Projekt mit dem Namen

Gaia-X,

welches eine sicherer Cloudinfrastruktur in Europa schaffen soll.

Die Bundesregierung wünscht sich mehr digitale Souveränität. Sie hat zum 01.06.2020 eine neue Abteilung für „digitale Souveränität“ geschaffen und 13 Stellen hierfür eingeplant. Von dieser Kampagne sind nicht nur staatliche Stellen betroffen, sondern auch Bürger und Unternehmen. Eine Marktanalyse von PwC aus dem Jahr 2019 hatte die

Abhängigkeit der Bundesverwaltung von Microsoft

ausdrücklich benannt.

Bspw. würden Telemetriedaten selbst bei lokaler Datenverarbeitung von Windows und Office an Microsoft übermittelt und könnten mit einem Durchsuchungsbeschluss von US-Behörden -auch auf einem von Microsoft in Deutschland betriebenen Server- abgegriffen werden. Weiterhin endet der Support von Microsoft für Office 2019 und Exchange Server 2019 im Oktober 2025.

Ergebnis:

Wenn Alternativen zu amerikanischen Produkten und Dienstleistungen bestehen, wird die Datenschutzaufsicht auf diese verweisen, zudem wenn datenschutzrechtliche Bedenken gegen den Umgang mit personenbezogenen Daten von EU-Bürgern in den USA bestehen (bspw. wegen US-Cloud-Act, Schrems II).

Der LfDI-BW benennt dies in seiner Checkliste für Unternehmen bereits als

„zumutbare Alternativangebote ohne Transferproblematik“.

Wenn sich ein Unternehmen von einem Alternativangebot aus Europa nicht angesprochen fühlt, müsste dies begründet werden können (Funktionalität, Dokumentation).

Es ist so, dass ohne zusätzliche Garantien oder Maßnahmen eine Übermittlung aufgrund der Standardvertragsklauseln von personenbezogenen Daten in die USA durch die Aufsichtsbehörden untersagt wird werden müssen.

Der

sicherste Weg ist die Einstellung der Übermittlung personenbezogener Daten in die USA.

Die Berliner Beauftragte für Datenschutz und Informationssicherheit hat dies bereits von Verantwortlichen in ihrem Zuständigkeitsbereich am 17.07.2020 gefordert 20200717-PM-Nach_SchremsII_Digitale_Eigenstaendigkeit).

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit fordert daher sämtliche ihrer Aufsicht unterliegenden Verantwortlichen auf, die Entscheidung des EuGH zu beachten.
Verantwortliche, die – insbesondere bei der Nutzung von Cloud-Diensten – personenbezogene Daten in die USA übermitteln, sind nun angehalten, umgehend zu Dienstleistern in der Europäischen Union oder in einem Land mit angemessenem Datenschutzniveau zu wechseln.

Maja Smoltczyk:
„Der EuGH hat in erfreulicher Deutlichkeit ausgeführt, dass es bei Datenexporten nicht nur um die Wirtschaft gehen kann, sondern die Grundrechte der Menschen im Vordergrund stehen müssen. Die Zeiten, in denen personenbezogene Daten aus Bequemlichkeit oder wegen
Kostenersparnissen in die USA übermittelt werden konnten, sind nach diesem Urteil vorbei.
Jetzt ist die Stunde der digitalen Eigenständigkeit Europas gekommen.
Die Herausforderung, dass der EuGH die Aufsichtsbehörden ausdrücklich verpflichtet, unzulässige Datenübermittlungen zu verbieten, nehmen wir an. Das betrifft natürlich nicht nur
Datenübermittlungen in die USA, für die der EuGH die Unzulässigkeit bereits selbst festgestellt hat. Auch bei der Übermittlung von Daten in andere Staaten wie etwa China, Russland oder Indien wird zu prüfen sein, ob dort nicht ähnliche oder gar größere Probleme bestehen.“ 

Die Sächsische Datenschutzaufsicht verweist auf seiner Seite auf eine gemeinsame Pressemitteilung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vom 28.07.2020 (PM_6_2020_EuGH_Urteil_SchremsII_mit_Link_dt_Fassung).

Darin wird auf die Positionierung des Europäischen Datenschutzausschuss (EDSA) Bezug genommen. Dieser erklärte am 23.07.2020 zunächst, dass zusätzliche Maßnahmen und Garantien zu treffen sind und sieht die Zuständigkeit für die Prüfung bei den Verantwortlichen (edpb_faqs_schrems_ii_202007_adopted_de).

„Falls Sie zu dem Schluss kommen, dass unter Berücksichtigung der Umstände der Übermittlung und etwaiger zusätzlicher Maßnahmen keine angemessenen Garantien gewährleistet sind, sind Sie verpflichtet, die Übermittlung personenbezogener Daten auszusetzen oder zu beenden. Beabsichtigen Sie dagegen, die Daten trotz dieser Schlussfolgerung weiterhin zu übermitteln, müssen Sie dies Ihrer zuständigen Aufsichtsbehörde mitteilen.“

Es werden weitere Erklärungen zu den konkret erforderlichen Maßnahmen für die Verantwortlichen durch den EDSA in der Zukunft angekündigt.

Der EDSA prüft derzeit das Urteil des Gerichtshofs, mit dem ermittelt werden soll, welche rechtlichen, technischen oder organisatorischen Maßnahmen zusätzlich zu Standardvertragsklauseln oder BCR ergriffen werden könnten, um Daten in Drittländer zu übermitteln, in denen Standardvertragsklauseln oder BCR allein nicht das ausreichende Maß an Garantien bieten.
Der EDSA prüft gegenwärtig, worin diese zusätzlichen Maßnahmen bestehen könnten, und wird weitere Orientierungshilfen geben.“

Die Erklärung des EDSA ist sehr allgemein und nichtssagend.

Die Hoffnung darauf, dass die zuständige Aufsicht, bspw. der SächsDSB, nicht eingreift, und das Ignorieren der Ungültigkeit des „Privacy Shields“ führt zu einer vorsätzlichen rechtswidrigen Rechtsverletzung.

Die Aufsicht kann die

Beendigung der Datenübermittlung anordnen

und

eine Geldbuße verhängen.

Der

Wechsel zu den Standardvertragsklauseln

ist sicherlich der erste richtige Schritt, um Zeit zu gewinnen und als geringeres Übel weiterhin Daten in die USA übermitteln zu können.

Wenn jedoch die Aufsichtsbehörde eingreift und die Übermittlung auch bei der Verwendung von Standardvertragsklauseln untersagt, ist es auch damit vorbei.

Der

konstruktivste Weg ist es,

die Standardvertragsklauseln zu vereinbaren und -wie es der LfDI-BW in seiner oben genannten Checkliste vorgeschlagen hat- mit gelebten Garantien (Verschlüsselung; Vereinbarung, dass die Daten innerhalb des
Geltungsbereichs der DS-GVO gehostet werden oder dass keine Datenübertragung in die USA vorgenommen wird) zu kombinieren.

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Update 15.03.2022 zum TTDSG

Ab dem 01.12.2021 gilt das neue Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG).

Die

Anbieter von Telemedien

sind im neuen § 2 Abs. 2 Nr. 1 TTDSG definiert. Darunter fallen Onlineangebote mit unmittelbarer Bestellmöglichkeit (Shops, Dienstleistungsseiten), Webseitenbetreiber, App-Anbieter, Video-on-Demand (VoD), Suchmaschinen und Social-Media.

Bei den

Telekommunikationsanbietern

sind nun auch rein internetgestützte von Nummern unabhängige Dienste erfasst (§ 3 TTDSG). Dies sind auch Onlineservices wie bspw. Videokonferenzen (bspw. Zoom), Messengerdienste oder Webmailservices.

Diese sogenannten Over-The-Top-Dienste fallen nun auch unter das Fernmelde- und Kommunikationsgeheimnis aus § 3 TTDSG.

Private Arbeitnehmerkommunikation

fällt auch weiterhin bei der Gestattung oder Duldung der privaten Nutzung durch den

Arbeitgeber

unter das Fernmelde- und Kommunikationsgeheimnis. Aus unserer Sicht gibt es für den Arbeitgeber nur die Alternativen „Verbot der Privatnutzung“ oder „Einwilligung der Arbeitnehmer“ für den Zugriff auf die private Kommunikation, bspw. zum  Zwecke der Gewährung eines sicheren IT-Betriebs durch Kontrollen der Kommunikation (Abwehr von Cyberangriffen), um das für ihn bestehende Spannungsverhältnis zwischen der IT-Sicherheit und dem Fernmeldegeheimnis zu lösen.

Unter

das Fernmeldegeheimnis

fallen die Kommunikationsdaten, wie der Inhalt, aber auch die Metadaten (wer, wann, welches Gerät, Standort, wie „Textnachricht“). Es ist vom Schutzumfang weiter als der Datenschutz, schützt auch Geschäftsgeheimnisse.

Bei einem Verstoß gegen das Fernmeldegeheimnis kommt eine

Strafbarkeit

nach § 206 StGB (Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe) in Betracht. Rechtswidrig erlangte Kommunikationsdaten können bei einer Weiterverarbeitung zu einem weiteren Bußgeld nach der DS-GVO führen, soweit (in Regel) Personenbezug vorliegt.

Neu eingefügt wurde, dass einem

Anspruch der Erben (bspw. auf Auskunft)

nicht das Fernmelde- und Kommunikationsgeheimnis entgegensteht.

Cookies und ähnliche Informationen speichernde Tools

(technologieneutral, bspw. Browserfingerprints, IoT-Produkte) bedürfen unabhängig vom Personenbezug einer Einwilligung (§ 25 TTDSG). Ausnahmen gibt es für die Kommunikation erforderliche Speicherungen oder wenn der Zugriff auf die gespeicherte Information für den gewünschten Telemediendienst unbedingt erforderlich ist (Sessioncookies, Warenkorbfunktion, Cookiewallfunktion von Verlagen, Identifier bspw. für Sprach- und Bildschirmeinstellungen). Damit ist das TTDSG entgegen des Referentenentwurfs enger gefasst worden (siehe unten). Einwilligungsbedürftig sind damit Webanalyse-, Reichweiten- und Trackingcookies.

Bei Verstößen gegen das TTDSG sind Bußgelder bis 300.000 EUR möglich.

_________________________________________________

Während die ePrivacy Verordnung auf der EU-Ebene weiterhin noch in der Diskussionsphase ist, hat das Bundeskabinett einen

Referentenentwurf des Wirtschaftsministeriums zum Thema

„Bestandsdatenauskunft und Cookies“

auf dem Tisch.

Der geleakte Entwurf soll die Onlinekommunikation einheitlich regulieren und in einem „Telekommunikations-Telemedien-Datenschutz-Gesetz“ (TTDSG) die verstreuten Regelungen im Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) DS-GVO-konform und cookierichtlinienkonform zusammenführen.

Dies ist tatsächlich überfällig, da zuletzt der Bundesgerichtshof (BGH) geurteilt hatte, dass die Verarbeitung personenbezogener Daten nur bei technisch erforderlichen Cookies ohne Einwilligung erfolgen könne und damit die anderslautende Vorschrift des § 15 Abs. 3 TMG (opt-out für Werbung) entgegen dem Wortlaut auszulegen sei (opt-in für Werbung, BGH, Urteil vom 28.05.2020, Az. I ZR 7/16). Zuvor hatte der Europäische Gerichtshof (EuGH) auf Vorlage des BGH festgestellt, dass es nicht ausreiche, wenn die Einwilligung durch ein voreingestellten Haken im Kästchen (opt-out) abgewählt werden könne (EuGH Planet49, Urteil vom 01.10.2019, Az. C-673/17). Das Bundesverfassungsgericht hatte die Bestandsdatenauskunftspflichten aus dem § 113 TKG für Anschlussinhaberauskünfte oder zugewiesene dynamische IP-Adressen für Vertragskunden der Provider für verfassungswidrig erklärt (Beschluss vom 27.05.2020, Az. 1 BvR 1873/13 sowie 1 BvR 2618/13).

㤠9 Abs. 1 TTDSG-RefE

Das Speichern von Informationen auf Endeinrichtungen des Endnutzers oder der Zugriff auf Informationen, die bereits in seinen Endeinrichtungen des Endnutzers gespeichert sind, ist nur erlaubt, wenn der Endnutzer darüber gemäß der Verordnung (EU) 2016/679 informiert wurde und er eingewilligt hat.“

Der Grundsatz der informierten Einwilligung wird sodann im Referentenentwurf wieder „ausgefranst“ und mit Ausnahmen für „technisch erforderliche gewünschte Cookies“, eine „ausdrückliche vertragliche Vereinbarung“ oder „gesetzliche Auflagen“.

㤠9 Abs. 2 TTDSG-RefE

Absatz 1 gilt nicht, wenn die Speicherung von Informationen auf Endeinrichtungen oder der Zugriff auf Informationen, die bereits in Endeinrichtungen gespeichert sind,

1. technisch erforderlich ist, um eine Kommunikation über ein elektronisches Kommunikationsnetz zu übermitteln oder um Telemedien bereitzustellen, deren Inanspruchnahme vom Endnutzer gewünscht wird,

2. vertraglich ausdrücklich mit dem Endnutzer vereinbart wurde, um bestimmte Dienstleistungen zu erbringen, oder

3. zur Erfüllung gesetzlicher Verpflichtungen erforderlich ist.“

Browsereinstellungen sollen die Einwilligung ermöglichen.

㤠9 Abs. 4 TTDSG-RefE

Der Endnutzer kann die Einwilligung auch erklären, in dem er eine dafür vorgesehene Einstellung seines Browsers oder eine andere Anwendung auswählt.“

Der EuGH und der BGH haben jedenfalls die Kreativität des Bundeswirtschaftsministeriums zur „Vermeidung von Cookie-Klickarien“ beflügelt und die Diskussion um Cookies und die Rechtsgrundlage Einwilligung wird nach 20 Jahren Gesetzgebung und Rechtsprechung weitergeführt.

Standortdaten für Werbung

zu nutzen, soll ohne Einwilligung nicht mehr möglich sein (§ 14 TTDSG-RefE). Geodaten sind zu anonymisieren. App-Entwickler würden dies sicherlich bedauern, da die Push-Mitteilungen dann nicht mehr personalisiert ohne Einwilligung erfolgen dürften.

Der Ball liegt nun beim Bundeskabinett.

 

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser

Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Sie nutzen Webanwendungen, betreiben selbst einen Server oder nutzen einen Clouddienst?

Dann macht es Sinn, dass Sie Ihren IT-Admin oder Ihren IT-Dienstleister auf die kritische Schwachstelle Log4Shell in der sehr weit verbreiteten Java-Bibliothek Log4J ansprechen und nach dem letzten Patch fragen.

Eine sehr gute Beschreibung und Zusammenfassung des Sicherheitsproblems finden sie hier verlinkt bei SOPHOS.

Das BSI beschreibt die Schwachstelle als leicht ausnutzbar und erfolgreiche Kompromittierungen seien bereits bekannt.

Erste Maßnahmen werden in der hier verlinkten Warnung des BSI beschrieben [Kritische Schwachstelle in log4j
veröffentlicht (CVE-2021-44228)
Seite 3 ff.]
.

Privatnutzer wie Unternehmen sind betroffen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Seit dem Schrems II – Urteil des EuGH vom 16.07.2020 haben Nutzer von Officeanwendungen in der der Cloud aus den USA, bspw. Microsoft 365, das Problem des nicht angemessenen Schutzniveaus (bspw. Forderungen von US-Behörden auf Herausgabe von Anwenderdaten, kein Rechtsschutz für Nichtamerikaner). Zumutbare Alternativangebote zur US-Cloudinfrastrukturen und Anwendungen sind in Europa noch nicht in Sicht.

Nun gibt es ein Angebot von T-Systems technisch den Zugriff von US-Behörden auf Microsoft 365 zu unterbinden. Der „Cloud Privacy Service“ nutze hierfür einen verschlüsselten Gateway und kostet 3,99 EUR mehr je Nutzer und Monat (unter 250 Mitarbeiter) gegenüber dem üblichen Preis für Microsoft 365 und einmalige Einrichtungskosten von 4.999 EUR sind fällig. Die Webanwendungen von Office, Exchange, OneDrive werden dann in Rechenzentren von T-Systems betrieben. Microsoft erhält keine Klarnamen, da die Anmeldung über T-Systems pseudonymisiert erfolgt.

Der Gateway verschlüssele (AES 256) Daten, welche die T-Systems-Rechenzentren in Richtung Microsoft Server verlassen und entschlüsselt in umgekehrter Richtung, wenn bspw. ein anderer berechtigter Nutzer auf die Daten zugreifen möchte. Auf den T-Systems-Servern liegen weiterhin die unverschlüsselten Daten in der EU. US-Behörden haben „nur“ Zugriff auf verschlüsselte bzw. chiffrierte Inhalte auf den Microsoftservern. Sie haben gegen T-Systems keinen Durchgriff.

Statt des Workarounds wären europäische Lösungen auf der ersten Ebene der Cloudinfrastruktur zielführender, aber das Angebot von T-Systems ist aus datenschutzrechtlicher Sicht besser, als Microsoft 365 direkt zu nutzen und sich Bußgeld- und Haftungsrisiken auszusetzen.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Nach Informationen von Microsoft gibt es eine Sicherheitslücke „PrintNightmare“ die über den Print-Spooler von Windows zu Angriffen und Ausführung von Schadcode auf Computern mit Systemrechten ermöglicht und bereits aktiv genutzt wird.

Bedroht sind alle Windowssysteme (Windows 7 SP1 bis Windows 10 21h1 und Windows Server 2019).

Weiterführende Informationen zur Sicherheitslücke CVE-2021-34527 finden Sie unter https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-3452.

Da die Domain-Controller von der Lücke betroffen sind, rät Microsoft den Domain-Admins zur Deaktivierung des Print-Spooler-Service  (Workarounds werden von Microsoft konkret beschrieben). Microsoft empfiehlt die Sicherheitsupdates vom 08.06.2021 zu installieren, auch wenn diese nicht die neue Schwachstelle schließen. Es gibt ein außerplanmäßiges Sicherheitsupdate vom 06.07.2021 (KB5004945).

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Das

Bundesamt für Sicherheit in der Informationstechnik (BSI)

hat für

Windows 10 eine Konfigurationsempfehlung zur Protokollierung

erstellt, um bspw. Hackerangriffe und unerwünschte Aktionen frühzeitig detektieren zu können (https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Studien/SiSyPHuS_Win10/AP10/SiSyPHuS_AP10_node.html).

Die Umsetzung der Konfigurationsempfehlung stellt eine Schutzmaßnahme im Sinne der IT-Sicherheit und des Datenschutzes dar, da sie der Vertraulichkeit, Verfügbarkeit und Integrität dient.

Die

Konfigurationsempfehlung

beruht auf Security Best Practices aus dem Projekt SiSyPHuS Win 10 und richtet sich an

fortgeschrittene Anwender und Administratoren zur direkten Umsetzung.

Die Gruppenrichtliniendateien werden durch eine Anleitung des BSI flankiert. In der Anleitung wird nicht nur die Umsetzung selbst beschrieben, sondern auch der Import der Dateien selbst.

Windows 10 ist aufgrund seiner Verbreitung bei Angreifern sehr beliebt. Das BSI gibt konkrete Hinweise zur Konfiguration für die

Einsatzszenarien Büroarbeit,

administrative Tätigkeiten

und

Verarbeitung schutzbedürftiger Informationen

u.a. mithilfe von windowseigenen Hilfsmitteln.

Das BSI stellt weiter auf seiner Webseite

BSI für Bürger“ niedrigschwellige Hinweise zu Risiken und Sicherheitsempfehlungen zur Verfügung.

Diese Informationen gehen von „Basistipps zur IT-Sicherheit“ bis zur „Sicheren Onlinekommunikation“ und sind leicht umsetzbar. Sie können sehr einfach für eine

Sensibilisierung der Mitarbeiter im Bereich der Informationssicherheit

genutzt werden (bspw. 3 Punkte Sicherheitsscheck für mehr E-Mail Sicherheit mit einem 2 Minutenvideo).

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Wir hatten im Juli 2020 über den neuen Entwurf des

IT-Sicherheitsgesetzes

berichtet. Es wurde nun am

23.04.2021 vom Bundestag verabschiedet und hat den Bundesrat passiert.

ES schreibt das IT Sicherheitsgesetz von 2015 fort.

Die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden ausgedehnt.

Das BSI wird 799 neue Stellen erhalten und bspw. proaktiv im Netz nach Sicherheitslücken suchen (Botnetze, Internet-of-Things-Geräte, Verbreiter von Schadsoftware) und Köder für Cyberkriminelle auslegen. Konkret wurden mögliche Portscans durch das BSI in öffentlichen Netzen benannt. Überwacht werden soll dies durch die Bundesdatenschutzbehörde.

Das BSI kann gegenüber Telekommunikationsdiensteanbietern mit mehr als 100.000 Nutzern „technische Befehle zur Bereinigung von einem konkreten benannten Schadprogramm“ anordnen, wenn dies zur Abwehr konkreter erheblicher Gefahren erforderlich ist.

Der Verbraucherschutz im digitalen Bereich soll von nun an zum Aufgabenbereich des BSI gehören. Zertifikate im Sinne von IT-Sicherheitskennzeichen (§ 9c IT-SiG) sollen Verbrauchern helfen. Das BSI ist für die Beschwerden der Verbraucher zuständig.

Eine strengere Handhabung ist bei dem

Einsatz von sicherheitsrelevanten Komponenten durch mögliche Verbote des Bundesinnenministeriums

geregelt, bspw. wenn der Hersteller von der Regierung eines anderen Landes kontrolliert wird oder gefährliche Handlungen begangen haben soll. Dies führt zu einer Erweiterung der unternehmerischen Kontrollpflichten (Zertifizierungspflicht, Garantieerklärung Hersteller, Huawei-Passus).

In den

Anwendungsbereich fallen nicht nur Unternehmen der KRITIS-Sektoren,

wie bspw. Wasserversorger oder Energieversorger. Wie schon im Artikel vom 27.07.2020 beschrieben, wird neben den kritischen Infrastrukturen nun auch von Einrichtungen und Unternehmen mit wichtiger Bedeutung gesprochen (Unternehmen mit großer volkswirtschaftlicher Bedeutung, großes öffentliches Interesse). Die genaue Rechtsverordnung zur Konkretisierung des Anwendungsbereichs wird noch erlassen.

Die Wohnungswirtschaft wird diese Verordnung noch abwarten müssen, um Gewissheit darüber zu erhalten, ob sie in den Regulierungsbereich des neuen IT-Sicherheitsgesetzes fällt.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Die EU-Kommission hat Ihren Vorschlag zur Regulierung der künstlichen Intelligenz am 21.04.2021 veröffentlicht.

Der Gesetzesvorschlag soll die Bürgerrechte und die Innovationskraft dieser Technologie in ein Gleichgewicht bringen. Grundsätzlich soll es -wie im Datenschutz- so sein, dass ein Verbot mit Erlaubnisvorbehalt gelten soll.

Schon heute ist künstliche Intelligenz permanent im Einsatz. Google und Facebook nutzen Algorithmen, Kameras optimieren Aufnahmen während des Erstellens des Lichtbildes. Anbieter durchforsten öffentlich zugängliche Internetseiten, speichern die dort vorhanden Gesichter in Ihren Datenbanken und bieten Nutzern (Ermittlungsbehörden, Handelsketten) die Recherche bei vorhandenem Vergleichsmaterial (bspw. Clearview AI) gegen Entgelt an. Dieses Geschäftsmodell wird von diversen Datenschutzaufsichtsbehörden stark kritisiert (Hamburg, keine Rechtsgrundlage, Aufforderung zur Löschung; Kanada, illegale Massenüberwachung). Die Software kommt in Europa bereits zum Einsatz.

Die EU-Kommission beabsichtigt, den Anwendungsbereich der Verordnung und damit die Regulierung auf besonders sensible Bereiche zu beschränken. Die Kreditwürdigkeit, die Justiz, die Robotik im medizinischen Bereich, die Strafverfolgung und die Bewerbung werden benannt.

Die Gesichtserkennung auf große Entfernung soll nur in Ausnahmefällen zulässig sein. Als Beispiele werden die Suche nach einem vermissten Kind, die Vereitelung eines terroristischen Anschlag oder das Aufspüren einer schweren Straftat verdächtigen Person benannt. Gewährleistet werden soll die dann unter Auflagen zulässige Überwachung durch einen „Richtervorbehalt“. Die Zustimmung durch die Justiz soll räumlich, zeitlich und sachlich für den Zugriff auf die Datenbank erfolgen.

Nichtsensible Bereiche, wie bspw. Chatbots oder Nachrichtendienste, müssen nach dem Entwurf lediglich den Hinweis an den Nutzer erteilen, dass er sich mit einem Computer unterhält.

Wie schon aus dem Datenschutz bekannt, wird ein KI-Management und eine Überwachung durch einen Menschen (KI-B) vom Unternehmen erwartet und bei einem Verstoß gegen die Verordnung sollen die Aufsichtsbehörden Geldbußen von bis zu 6% des weltweiten Umsatzes verhängen können.

Bevor die Verordnung endgültig verabschiedet wird, werden sich noch das Parlament und der EU-Rat mit der Vorlage auseinandersetzen. Es ist denkbar, dass in einigen Monaten die Verordnung verabschiedet wird und dann nach einem Zeitraum von zwei Jahren unmittelbar Geltung erlangt.

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Der

neue Entwurf für das IT-Sicherheitsgesetz (IT-SIG 2.0 vom 07.05.2020)

erweitert die Regulierung der IT-Sicherheit. Neben der

Erweiterung der Branchen,

die nun in den Regelungsbereich des Gesetzes fallen, ist die

Ausdehnung der Bußgeldvorschriften

auffällig.

Von den ursprünglich kritischen Infrastrukturen (Kritis-Sektoren) geht der Fokus nun auch auf andere

Einrichtungen und Unternehmen mit wichtiger öffentlicher Bedeutung.

Eine große Anzahl von Unternehmen kann hierunter subsumiert werden und diese müssen ihre Unternehmensinfrastruktur, insbesondere IT-Systeme dem „Stand der Technik“ anpassen. Sicherheitsstandard ist dann der vom BSI definierte IT-Grundschutz. Diese Unternehmen werden mit neuen kostenintensiven Anforderungen an die IT konfrontiert.

Ob die

Wohnungswirtschaft in den Regulierungsbereich des IT-SIG 2.0

fallen wird, ist derzeit im Entwurf nicht erkennbar. Die Definition für Unternehmen im besonderen öffentlichen Interesse ist schwammig. Hier heißt es, dass Unternehmen, welche aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere aufgrund der erbrachten Wertschöpfung von besonderem öffentlichen Interesse sind, durch eine Rechtsverordnung bestimmt werden sollen. Diese Rechtsverordnung wird für die Wohnungswirtschaft abzuwarten sein. Leider wird sie erst nach der Verabschiedung des Gesetzes erlassen werden.

Der

Bußgeldrahmen

wird analog zur Datenschutzgrundverordnung auf bis zu 20 Mio. EUR oder bis zu 4 % des weltweit erzielten Unternehmensumsatzes im vorangegangenen Geschäftsjahr festgelegt.

Das BSI soll zusätzlich Verbraucherschutzbehörde für den IT-Bereich werden.

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser

Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Still hat die Stadt München ihre Softwarestrategie von Windows wieder zu Linux geändert (Ziel 2026), um der Herstellerabhängigkeit von Microsoft zu entfliehen. Sie folgt damit einem Trend, der auch von der Datenschutzaufsicht befürwortet wird.

Open-Source-Software idealerweise „on premise“bzw. „on prem“ ist der Favorit der Datenschutzaufsicht, nicht nur bei Videokonferenzsystemen.

Für öffentlich Stellen, insbesondere Behörden, gibt es tatsächlich einen Dienstleister, der bereits Alternativen zu Office und Co. entwickelt. Hinzukommt der politische Wille aus Berlin und einzelnen Bundesländern.

Dataport mit seinen Standorten in Norddeutschland und Mitteldeutschland (Schleswig-Holstein, Bremen, Hamburg, Niedersachsen, Mecklenburg – Vorpommern, Sachsen-Anhalt) ist eine Anstalt öffentlichen Rechts und entwickelt mit dem Projekt Phoenix einen cloudbasierten Webarbeitsplatz für den öffentlichen Sektor. Auf Basis von Open Source Software soll bis zum Herbst 2020 eine Plattform reif sein, welche Anwendungen für E-Mail, Kalender, Videochats, Textverarbeitung bereitstellt.

Für kommunale Wohnungsbauunternehmen eine interessante Alternative? Für ein Fazit ist es noch zu früh, aber eine ernste Konkurrenz kann Microsoft nicht schaden.

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Das Landesarbeitsgericht Köln hat mit Urteil vom 07.02.2020 eine

fristlose Kündigung eines Arbeitgebers

gegenüber dem Arbeitgeber für wirksam erachtet, da dieser

exzessiv privat während der Arbeitszeit das dienstliche Internet nutzte (Az. 4 SA 329/19).

Die private Nutzung des dienstlichen Notebooks und des dienstlichen Internetanschlusses waren durch den Arbeitgeber untersagt. Der Programmierer soll an einem Tag 616 Webseiten für private Zwecke aufgerufen, private E-Mails empfangen und beantwortet sowie an 32 Tagen während der Arbeitszeit die Webseite seiner Mutter in einem Zeitumfang von neun Stunden bearbeitet haben.

Als erste Hürde musste das von dem Programmierer gerügte

Beweisverwertungsverbot

genommen werden, da der Arbeitgeber mithilfe von Logfiles auf dem Rechner und Arbeitsgerät des Programmierers den Beweis führen wollte. Zweifelsohne handelt es sich bei den

Logfiles, dem Cache des Browsers und den E-Mails um personenbezogene Daten.

Das LArbG Köln sah jedoch eine

Rechtsgrundlage (§ 26 BDSG)

und einen

Zweck für die Verarbeitung,

der Mißbrauchskontrolle sowie der Beweisführung (Prüfung des vereinbarten Verbots zur Durchführung des Arbeitsverhältnisses, Beweisführung zur Beendigung des Arbeitsverhältnisses), als gegeben an und verneinte bereits hiermit ein Beweisverwertungsverbot.

Die Pflicht zur Protokollierung ergibt sich bereits selbst aus der DS-GVO, da nur so die Prinzipien der Integrität, der Vertraulichkeit und der Rechenschaftspflicht erfüllt werden können.

Wenn Sie Interesse an einer Fortbildung zu diesem Thema und der

Erfüllung der Weiterbildungspflicht nach § 15b MaBV

haben, nutzen Sie sich doch unser Seminar- und Webinarangebot für die Wohnungswirtschaft .

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)

Netzwerkgeräte von Cisco können derzeit über eine Sicherheitslücke angegriffen werden.

Cisco ist ein weltweit führender Hersteller von Routern und Switches und daher weit verbreitet.

Sicherheitsupdates werden bereits von Cisco angeboten und sollten unverzüglich gepatched werden, um die Lücke zu schließen.

 

 

Thilo Zachow

Referent für Datenschutz beim vdw Sachsen

Rechtsanwalt

Fachanwalt für Informationstechnologierecht

Fachanwalt für Urheber- und Medienrecht

Datenschutzbeauftragter (TÜV zertifiziert)

Informationssicherheitsbeauftragter (bitkom zertifiziert)