Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht

Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

angesichts der Herausforderungen, die die Corona-Pandemie derzeit an Unternehmen stellt, hat der Europäische Datenschutzausschuss in einer Erklärung vom 19.03.2020 darauf hingewiesen, dass das Datenschutzrecht Maßnahmen zur Eindämmung des Corona-Virus nicht verhindern soll, dass gleichzeitig aber auch unter diesen außergewöhnlichen Umständen der Schutz personenbezogener Daten beachtet werden müsse. Das Datenschutzrecht gilt in der aktuellen Situation weiterhin. Wir möchten Sie in diesem Monat in unserem Schwerpunktthema deshalb über die Verarbeitung personenbezogener Daten im Zusammenhang mit der Corona-Pandemie informieren und Ihnen damit eine datenschutzrechtliche Orientierungshilfe für die Umsetzung von Schutzmaßnahmen zur Verfügung stellen.

Zudem berichten wir wie gewohnt über aktuelle Vorfälle und Aktivitäten der Aufsichtsbehörden, beispielsweise bezüglich einer Überprüfung der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) von Zeitarbeitsunternehmen.

Wir hoffen, Sie angesichts der aktuellen Situation mit unserem Newsletter in datenschutzrechtlicher Hinsicht unterstützen zu können und wünschen Ihnen alles Gute und Gesundheit für die kommende Zeit.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage.

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Datenschutzrecht im Zusammenhang mit der Corona-Pandemie

Die Ausbreitung des Corona-Virus stellt Arbeitgeber und deren Beschäftigte derzeit vor große Herausforderungen. Als effektive Maßnahme zur Eindämmung des Virus kommt unter anderem ein verstärkter Einsatz von IT-Technologien, beispielsweise bei der Tätigkeit im Home Office oder der Organisation von Online-Besprechungen, in Betracht. In diesem Kontext stellen sich Unternehmen deshalb regelmäßig zahlreiche datenschutzrechtliche Fragen.

Da der Schutz personenbezogener Daten auch in der aktuellen Situation durch Verantwortliche und Auftragsverarbeiter sichergestellt werden muss, möchten wir im Folgenden das Thema näher beleuchten und Antworten auf einige häufig gestellte Fragen hinsichtlich zu treffender Schutzmaßnahmen zur Eindämmung des Virus geben.

Zum vollständigen Schwerpunktthema

Datenschutzvorfall bei Corona-Soforthilfe

Die Internetseite der Investitionsbank Berlin (IBB), über die staatliche Soforthilfen für freiberufliche Personen und Kleinbetriebe beantragt werden können, wies am 27.03.2020 einen schwerwiegenden Programmierfehler auf, der zu einem Datenschutzvorfall führte. Über diesen Vorfall informierte die Berliner Beauftragte für Datenschutz und Informationsfreiheit in einer Pressemitteilung. Personen, die am 27.03.2020 in der Zeit von ungefähr 15:30 Uhr bis 16:15 Uhr über die Internetseite einen Antrag gestellt haben, erhielten nach Angaben der Aufsichtsbehörde jeweils die Antragsbestätigung einer anderen Person. Es seien dabei Angaben zum Unternehmen sowie Ausweis-, Steuer- und Bankdaten an Dritte übermittelt worden. Die IBB gehe derzeit von bis zu 390 Betroffenen aus.

Nach Angaben der Berliner Datenschutz-Aufsichtsbehörde hat die IBB ihr den Vorfall am 30.03.2020 fristgerecht gemäß Art. 33 DSGVO gemeldet. Nach Bekanntwerden des Vorfalls habe die Bank das Antragsverfahren außerdem umgehend ausgesetzt und erst nach der Behebung des Programmierfehlers wieder in Betrieb genommen. Die betroffenen Antragsteller würden derzeit ermittelt und von der IBB informiert. Die Berliner Datenschutzbeauftragte wird diesen Prozess nach eigener Aussage aufsichtsrechtlich begleiten.

Sie fordert außerdem alle Antragsteller, die im Rahmen des Vorfalls unrechtmäßig Zugang zu den Daten anderer Personen erhalten haben, dazu auf, diese unverzüglich datenschutzgerecht zu löschen und auch etwaige Ausdrucke der Daten zu vernichten. Die Informationen dürften nicht dauerhaft gespeichert oder auf andere Weise weiterverarbeitet werden.

LDI NRW: Änderungen bei der Meldung von Datenvorfällen

Die Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW) informiert auf ihrer Internetseite über eine Änderung bei der Meldung von Datenschutzvorfällen. Für die Meldung von Verletzungen des Schutzes personenbezogener Daten an die LDI NRW steht nun ein Onlineformular zur Verfügung. Dieses ersetzt nach Angaben der Aufsichtsbehörde die bisher zur Verfügung gestellten Formulare „Meldung einer Verletzung des Schutzes personenbezogener Daten (Art. 33 DS-GVO)" und „Information über die Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 33 Abs. 3 lit. d, Art. 34 DS-GVO)".

Das Formular kann online ausgefüllt und abgesendet werden. Die LDI NRW teilt mit, dass nach der Versendung der Meldung eine automatische Eingangsbestätigung mit dem Aktenzeichen der Meldung, das auch für spätere ergänzende Meldungen zu der Datenschutzverletzung genutzt werden könne, versandt wird. Die abgegebene Meldung könne zu Dokumentationszwecken außerdem als PDF-Datei exportiert werden.

Nach Art. 33 Abs. 1 S. 1 DSGVO hat ein Verantwortlicher die Verletzung des Schutzes personenbezogener Daten der zuständigen Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, zu melden. Die Meldepflicht gilt nicht in dem Fall, in dem die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

LDI NRW: Überprüfung von Zeitarbeitsunternehmen

Die LDI NRW überprüft aktuell Zeitarbeitsunternehmen im Hinblick auf die bei ihnen stattfindende Datenverarbeitung. Im Rahmen der Überprüfung wird unter anderem auch der Datenaustausch mit anderen Zeitarbeitsunternehmen thematisiert. Die Aufsichtsbehörde nutzt für die Prüfung einen Fragebogen, in dem vor allem Angaben dazu gemacht werden sollen, ob bei der Zusammenarbeit mit anderen Zeitarbeitsunternehmen Fälle der Auftragsverarbeitung oder der gemeinsamen Verantwortlichkeit vorliegen.

Zeitarbeitsunternehmen und Unternehmen, die in einem großen Umfang Beschäftigtendaten verarbeiten, ist, insbesondere angesichts der momentanen Aktivitäten der Aufsichtsbehörde, zu raten, ihre Datenverarbeitungsprozesse kritisch zu überprüfen und angemessene Maßnahmen zum Schutz der Daten zu treffen. In ähnlicher Weise sollten auch andere Aktivitäten vorsorglich datenschutzrechtlich geprüft werden, bei denen verschiedene Dienstleister sich untereinander austauschen oder eine umfangreiche gemeinsame Tätigkeit bei der Datenverarbeitung entlang einer Kette von Dienstleistern erfolgt.

Generalstaatsanwaltschaft New York: Überprüfung der Videokonferenzanwendung Zoom

Die Generalstaatsanwaltschaft New York überprüft derzeit die Videokonferenzanwendung Zoom hinsichtlich ihrer Datenschutz- und Sicherheitspraktiken. Über diese Überprüfung berichtete die New York Times am 30.03.2020.

Die Videokonferenz-App Zoom verzeichne in der letzten Zeit aufgrund der Corona-Pandemie gestiegene Anwendungszahlen. In einer Anfrage der Generalstaatsanwaltschaft befragte diese nun den Anbieter der App zu den Sicherheitsmaßnahmen, die das Unternehmen angesichts des erhöhten Datenverkehrs in seinem Netzwerk getroffen habe. Sie habe nach Angaben der New York Times um Informationen über die Kategorien von Daten, die Zoom sammelt, sowie die Zwecke und Einrichtungen, denen Zoom Verbraucherdaten zur Verfügung stellt, gebeten. Es sei in der Anfrage festgestellt worden, dass das Unternehmen in der Vergangenheit nur langsam auf Sicherheitslücken reagiert habe. Sicherheitslücken könnten es beispielsweise Dritten ermöglichen, sich unbefugten Zugang zu Webcams von Nutzern zu verschaffen.

In den letzten Wochen sei es vermehrt zu Vorfällen gekommen, bei denen etwa Internet-Trolle eine Screen-Sharing-Funktion von Zoom ausgenutzt haben, um Bildungssitzungen zu unterbrechen oder rassistische Nachrichten an die Teilnehmer einer Sitzung zu senden.

Mit der wachsenden Popularität von Zoom habe das Unternehmen bereits eine Reihe von Datenschutz- und Sicherheitsmaßnahmen ergriffen, indem etwa die Datenschutzrichtlinie aktualisiert worden sei. Außerdem hat das Unternehmen nach eigenen Angaben inzwischen die Nutzung des Facebook SDK, das unter anderem den Nutzern die Funktion „Anmelden mit Facebook“ ermöglicht hatte und durch das Daten von Nutzern mit Facebook geteilt wurden, beendet.

Dem Bericht der New York Times zufolge habe das Unternehmen erklärt, es nehme die Privatsphäre, die Sicherheit und das Vertrauen seiner Nutzer äußerst ernst und sei gerne bereit, der Generalstaatsanwaltschaft die angeforderten Informationen zur Verfügung zu stellen.

Unternehmen sollten bei der Durchführung von Videokonferenzen bedenken, dass eine Vielzahl entsprechender Techniken mit einem mehr oder weniger großen Aufwand angreifbar ist, was häufig auch von der Konfiguration der Systeme durch die Nutzer abhängt. Soweit verstärkt derartige Techniken zum Einsatz kommen sollten, ist folglich auch zu überlegen, ob die eigenen Mitarbeiter stärker geschult und sensibilisiert werden müssen.

Als unmittelbare Sofortmaßnahme hat Zoom zwischenzeitlich weitere Schutzmaßnahmen implementiert, unter anderem die standardmäßige Aktivierung eines Passwortschutzes bei angesetzten Besprechungen und die Verwaltung der Teilnehmer durch den Moderator, der die Teilnehmer explizit zulassen muss.