Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

am 23. März 2018 ist der Cloud-Anbieter Dropbox Inc. erfolgreich an der Börse in New York gestartet. Das 2007 in San Francisco gegründete Unternehmen verfügt weltweit über 500 Mio. registrierte Nutzer. Neben den privaten Nutzern kommt Dropbox auch bei vielen deutschen Unternehmen für geschäftliche Zwecke zum Einsatz. Die datenschutzrechtlichen Problemfelder bei der Verwendung von Dropbox werden dabei allerdings oftmals übersehen. In diesem Monat setzen wir uns schwerpunktmäßig mit dem Einsatz von Dropbox in Unternehmen und den damit einhergehenden datenschutzrechtlichen Fragestellungen auseinander. Zudem berichten wir Ihnen wie gewohnt von Aktivitäten der Aufsichtsbehörden sowie anderen Neuigkeiten aus der Welt des Datenschutzes.

Noch ein Hinweis in eigener Sache: Bereits in unseren letzten Newslettern haben wir Ihnen unser Mandantenseminar zum Datenschutz am 27. April 2018 in Bielefeld angekündigt. Über unsere Homepage können Sie sich nun über das Programm informieren und sich für die Veranstaltung anmelden.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: Einsatz von Dropbox in Unternehmen

Durch die Verwendung von Cloud-Diensten können Nutzer ihre Daten in einem zentralen Datenraum speichern und von jedem Ort über das Internet auf diese zugegriffen. Im Vergleich zu einer teuren eigenen Speicher-Lösungen haben Cloud-Anbieter den Vorteil, dass sie Datenräume zu relativ geringen Kosten zur Verfügung stellen. Zugleich ergreifen die Cloud-Anbieter regelmäßig umfangreiche Maßnahmen zur Einhaltung der Datensicherheit der auf ihren Servern gespeicherten Daten. Entsprechend beliebt sind die verschiedenen Cloud-Dienste bei Unternehmen unterschiedlicher Größen.

Einer der bekanntesten Cloud-Anbieter ist Dropbox Inc. mit dem Cloud-Dienst „Dropbox“. Über die Dropbox können Nutzer ihre Daten über mehrere Geräte hinweg synchronisieren und die in der Dropbox gespeicherten Daten mit anderen Personen teilen. Der Einsatz des Systems ist durch die Installation einer Dropbox-Software auf einem Rechner bzw. den Download einer Dropbox-Applikation auf mobilen Endgeräten vergleichsweise einfach möglich. Soweit ein Unternehmen personenbezogene Daten in die Dropbox hochlädt, stellen sich allerdings Fragen nach der datenschutzrechtlichen Zulässigkeit des Einsatzes von Dropbox.

Auf unserer Internetseite finden Sie in gewohnter Weise ausführliche Hinweise und Erläuterungen zu unserem Schwerpunktthema, insbesondere auch ausführliche Informationen und Empfehlungen zur rechtskonformen Verwendung von Dropbox in Unternehmen.  

Facebook in der Kritik

Das US-Unternehmen Facebook ist in der Kritik, der Datenanalyse-Firma Cambridge Analytica einen strukturierten Zugriff auf die Nutzerdaten von über 50 Mio. Facebook-Nutzern gewährt zu haben. Die Daten seien 2013 durch eine Facebook-Applikation mit dem Namen „thisisyourdigitallife“ erhoben worden, mit der Nutzer einen Persönlichkeitstest absolvieren und ihre Daten für wissenschaftliche Zwecke zur Verfügung stellen konnten. Neben den Daten der Testteilnehmer seien auch die Daten der Facebook-Freunde der Testteilnehmer von der Applikation erhoben worden, wodurch sich die insgesamt hohe Anzahl der Betroffenen erklärt. Dieses Vorgehen sei seinerzeit in Übereinstimmung mit den Datenschutzbestimmungen von Facebook erfolgt. Die Daten seien danach im Jahr 2015 entgegen den (zwischenzeitlich geänderten) Datenschutzbestimmungen von Facebook an Cambridge Analytica weitergegeben worden. Als dies kurze Zeit darauf noch im Jahr 2015 für Facebook bekannt wurde, habe Facebook sowohl den Hersteller der Applikation als auch Cambridge Analytica aufgefordert, das Löschen der Facebook-Daten schriftlich zu bestätigen. Entsprechende Bestätigungen der Löschungen seien wahrheitswidrig erteilt worden.

Neben den öffentlich einsehbaren Daten der Facebook-Nutzer habe Cambridge Analytica auch solche Informationen über Nutzer erhalten, die eigentlich nicht öffentlich einsehbar sind. Die Daten seien über einen außenstehenden Forscher an Cambridge Analytica gelangt, der seinerzeit gegenüber Facebook angab, die Daten lediglich zu Forschungszwecken zu erheben.

Facebook hat sich zwischenzeitlich für den Vorfall entschuldigt und Maßnahmen zur Verbesserung des Datenschutzes angekündigt. Noch ist unklar, ob Facebook lediglich vorgeworfen werden kann, seine Vertragspartner nicht ausreichend überprüft zu haben oder ob das Unternehmen Kenntnis von der weiteren Verwendung der Daten durch den Applikationshersteller und den außenstehenden Forscher hatte. Allein im Laufe der ersten Woche nach Bekanntwerden des Vorfalls ist der Unternehmenswert von Facebook an der Börse zwischenzeitlich um 50 Milliarden Dollar gesunken. 

Im Fall von Facebook zeigt sich, dass auch das datenschutzwidrige Verhalten eines Vertragspartners dazu führen kann, dass das für die Verarbeitung verantwortliche Unternehmen einen beträchtlichen Schaden erleidet. Unternehmen sollten diesen Fall zum Anlass nehmen, die Datenweitergabe an Vertragspartner datenschutzrechtlich zu überprüfen.

LfDI Baden-Württemberg: Datenschutzfolgenabschätzung für Twitter-Nutzung durch Behörden

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat Informationen über den Einsatz von Twitter durch seine Behörde veröffentlicht. Im Rahmen der datenschutzrechtlichen Prüfung des eigenen LfDI-Accounts bei Twitter (@lfdi_bw) hat die Aufsichtsbehörde unter anderem eine vierseitige Datenschutzfolgenabschätzung bereitgestellt, in der die Risiken für Betroffene analysiert und bewertet werden. Anlass für die Durchführung der Datenschutzfolgenabschätzung ist die „Richtlinie zur Nutzung Sozialer Medien“, mit der die Aufsichtsbehörde sich selbst und alle ihrer Zuständigkeit unterstehenden Behörden zur Abschätzung der Folgen von Verarbeitungsvorgängen bei der Nutzung sozialer Medien verpflichtet hat.

Nicht-öffentliche Stellen, also Unternehmen, unterliegen der „Richtlinie zur Nutzung Sozialer Medien“ nicht. Es ist daher nach den allgemeinen Regelungen zu prüfen, ob eine Datenschutzfolgenabschätzung für den Einsatz von Twitter erfolgen muss. Dies wäre aber nur dann der Fall, wenn aufgrund von Art und Umfang der Datenverarbeitung mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlich Personen zu rechnen wäre (Art. 35 Abs. 1 DSGVO). Dennoch kann es für Unternehmen sinnvoll sein, sich genauer mit der von der Aufsichtsbehörde exemplarisch vorgenommene Datenschutzfolgenabschätzung zu befassen. Über das Dokument hinaus gibt es bisher kaum praxisbezogenen Beispiele für eine durch die Aufsichtsbehörden vorgenommene Datenschutzfolgenabschätzung.

Für weitere Informationen zur Datenschutzfolgenabschätzung  verweisen wir auf unser Schwerpunktthema im November 2017; der entsprechende Beitrag ist auf unserer Homepage noch verfügbar.

Telekom Austria: Telekommunikationsdaten der Kunden rechtswidrig nicht gelöscht

Der österreichische Netzbetreiber A1 (Telekom Austria) ist über mehrere Jahre seiner Pflicht zur Löschung von personenbezogenen Kundendaten nicht nachgekommen. Bei den rechtswidrig nicht gelöschten Daten handelt es sich um Telekommunikationsdaten wie beispielsweise Gesprächsdauer, -zeitpunkt und -partner bei Telefonanrufen und SMS sowie Standortdaten und die über das A1-Netz aufgerufenen Internetseiten der Kunden. Die Summe der Daten dürfte dazu geeignet sein, ein Persönlichkeitsprofil der über 14.000 betroffenen Kunden herzustellen.

Alle österreichischen Telekommunikationsunternehmen haben sämtliche nicht für die Abrechnung benötigten Verkehrsdaten sofort nach der Erbringung der Dienste zu löschen, wie sich aus § 99 des österreichischen TKG (2003) ergibt. Die Daten, die für die Abrechnung benötigt werden, sind  innerhalb von drei Monaten nach der Rechnungslegung zu löschen, soweit die Rechnung bezahlt wurde.

Das österreichische Verwaltungsrecht sieht für den von der A1 begangenen Verstoß nur geringe Bußgelder vor, vgl. § 10 des österreichischen Verwaltungsstrafgesetzes. Ab dem Mai 2018 können unter der DSGVO auch in Österreich deutliche höhere Bußgelder von bis zu 20 Mio. Euro bzw. bis zu 4 % des weltweiten Jahresumsatzes festgelegt werden.

Allen Unternehmen innerhalb der EU ist zu empfehlen, dass sie sich ihre datenschutzrechtlichen Löschpflichten erneut bewusst machen und diese präzise einhalten. Bei der Ausgestaltung eines Archivierungs- und Löschungskonzepts in Unternehmen unterstützt regelmäßig der Datenschutzbeauftragte.