Probleme bei der Darstellung des Newsletters? Dann klicken Sie hier für die Webansicht


Newsletter zum Datenschutz

Sehr geehrte Damen und Herren,

vor kurzem hat das Bundesministerium für Wirtschaft und Energie (BMWi) einen Leitfaden zur IT-Verschlüsselung veröffentlicht, auf den wir bereits in der März-Ausgabe unseres Newsletters hingewiesen haben. Der knapp 50-seitige Leitfaden soll insbesondere kleine und mittelständische Unternehmen bei der Einführung von Verschlüsselungstechniken zum Schutz der Kommunikation unterstützen.

In dem Schwerpunktthema dieses Monats greifen wir das Thema der E-Mail-Verschlüsselung auf und beleuchten insbesondere die datenschutzrechtlichen Aspekte des Schutzes der E-Mail-Korrespondenz. Zusätzlich berichten wir wie gewohnt über aktuelle Urteile und Ereignisse aus der Welt des Datenschutzes, insbesondere bezogen auf Fragen zur Verschlüsselung von Inhalten.

Bei Rückmeldungen zu diesem Newsletter oder Fragen im Zusammenhang mit den Themen des Newsletters können Sie sich an die E-Mail-Adresse datenschutz@brandi.net wenden. Die weiteren Kontaktdaten finden Sie auch auf unserer Homepage; wir freuen uns auf Ihr Feedback. Viel Vergnügen bei der Lektüre dieser Ausgabe!

Dr. Sebastian Meyer und das Datenschutzteam von BRANDI

Thema des Monats: E-Mail-Verschlüsselung

Die Regelungen der Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 Anwendung finden, verlangen einen umfassenden Schutz von personenbezogenen Daten. Insbesondere die Anforderungen an die Datenweitergabe und Datenübermittlung werden häufig diskutiert. Abseits von etwaigen Vereinbarungen zur Auftragsverarbeitung werden insoweit auch verschiedene Schutzmaßnahmen diskutiert, die bei der Übermittlung von Daten eingehalten werden sollen. Eine von Unternehmen in diesem Zusammenhang häufig gestellte Frage ist, ob sich aus den neuen datenschutzrechtlichen Bestimmungen der DSGVO eine Pflicht zur Verschlüsselung von E-Mail-Korrespondenz ergibt.

Wir haben einige typische datenschutzrechtliche Fragestellungen der letzten Wochen zusammenzutragen und diese datenschutzrechtlich zu bewerten. Soweit erforderlich geben wir dabei wie gewohnt konkrete Handlungsempfehlungen.

Zum Schwerpunktthema

Erste Abmahnungen wegen Datenschutz-Verstößen

Im Vorfeld gab es zahlreiche Befürchtungen von Unternehmen, wonach die verschärften Vorgaben der DSGVO zu einer neuen Abmahnwelle führen würden. Entgegen dieser Befürchtungen ist es vergleichsweise ruhig geblieben. Tatsächlich sind die Vorgaben der DSGVO auch nur bedingt für wettbewerbsrechtliche Abmahnungen geeignet. Zum einen ist nicht jeder Datenschutzverstoß überhaupt als Wettbewerbsverstoß abmahnfähig, zum anderen sind viele Rechtsfragen noch ungeklärt, so dass sich hierauf nur schwer eine Abmahnung stützen lässt.

Mittlerweile haben die ersten Unternehmen und deren Rechtsanwälte sich aber an entsprechenden Abmahnungen versucht, unter anderem bei der unverschlüsselten Übermittlung von Daten aus dem Kontaktformular der Homepage. Ein findiger Rechtsanwalt argumentiert unter Berufung auf die Haftungsregelungen gem. Art. 82 DSGVO damit, dass das Risiko der Offenlegung von Daten aufgrund der fehlenden Transportverschlüsselung zu einem Schmerzensgeldanspruch der betroffenen Person in vierstelliger Höhe führen soll. Auch wenn der Forderung eher geringe Erfolgsaussichten beizumessen sind, sollte dennoch die eigene Homepage auch unter diesem Gesichtspunkt geprüft werden.

EuGH: Betreiber von Facebook-Seiten für die Verarbeitung von Nutzerdaten mitverantwortlich

Der Europäische Gerichtshof (EuGH) hat entschieden, dass die Betreiber von Facebook-Fanseiten gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten ihrer Seitenbesucher verantwortlich sind (Urteil vom 05.06.2018, Az. C-210/16). Vorausgegangen war ein Verfahren, das die Datenschutz-Aufsichtsbehörde in Schleswig-Holstein (ULD) gegen die dortige Wirtschaftsakademie eingeleitet hat. Die Aufsichtsbehörde hat der Wirtschaftsakademie untersagt, eine entsprechende Facebook-Seite zu betreiben, weil sie den Datenschutz bei Facebook nicht ausreichend sicherstellen kann. Die Wirtschaftsakademie ist gegen die entsprechende Anordnung vorgegangen und das Bundesverwaltungsgericht hat dem EuGH die Angelegenheit zur Klärung von Streitfragen vorgelegt, insbesondere bezogen auf die Verantwortlichkeit für die Facebook-Fanseiten. Nachdem der EuGH mit seiner Entscheidung zu den vorgelegten Fragen Stellung genommen hat, muss das Bundesverwaltungsgericht nun auf dieser Basis die Untersagungsverfügung prüfen und bewerten.

Die wesentliche Erkenntnis aus der EuGH-Entscheidung liegt darin, dass sowohl Facebook als auch der jeweilige Seitenbetreiber für die Einzelseiten bei Facebook verantwortlich sind. Facebook nimmt die grundsätzliche Datenverarbeitung auf Basis der eigenen Datenschutzrichtlinie vor, der entsprechende Seitenbetreiber ist aber ebenso verantwortlich, weil ohne seine Seite die Datenverarbeitung durch Facebook nicht möglich wäre.

Für die Praxis stellt sich nun das Problem, dass Betreiber von Facebook-Seiten möglicherweise über die Datenverarbeitung durch Facebook informieren müssen. Ob und inwieweit dies tatsächlich der Fall ist, wird aber wohl erst nach dem finalen Urteil des Bundesverwaltungsgerichts feststehen. Insbesondere ist noch offen, ob es nicht ausreicht, dass die Datenschutzrichtlinie von Facebook ohnehin bei allen Facebook-Seiten verlinkt ist und vom Nutzer jederzeit aufgerufen werden kann. Facebook selbst hat in einer Reaktion auf das Urteil angekündigt, diese Nutzungs- und Datenschutzbedingungen bezüglich der Anforderungen des EuGH zu aktualisieren.

Ohnehin stellt sich die Frage, welche weiteren Informationen über die Datenverarbeitung durch Facebook die Seitenbetreiber veröffentlichen sollen und woher diese Informationen stammen sollen. Insoweit ist auch zu berücksichtigen, dass viele Seitenbetreiber typischerweise keine Datenverarbeitung über das von Facebook beschriebene Maß hinaus vornehmen.

Letztlich gilt es in dieser Sache somit abzuwarten, wie das Bundesverwaltungsgericht auf die Vorlagefrage reagiert.

VG Bayreuth zur Nutzung Facebook Custom Audience

Facebook bietet Unternehmen die Möglichkeit, zur zielgenauen Ansprache von Nutzern auf Basis bestimmter Vorgaben Werbung für ausgewählte Nutzergruppen zu schalten, die dabei nach Kriterien wie Wohnort, Geschlecht oder Alter selektiert werden können. Weiter bietet Facebook mit dem Angebot „Facebook Custom Audience“ auch die Möglichkeit, die Facebook-Daten mit eigenen Kundendaten abzugleichen. Hierzu soll das werbende Unternehmen die E-Mail-Adressen der eigenen Kunden verschlüsseln und einen daraus abgeleiteten Hashwert an Facebook übermitteln. Facebook gleicht dann den Hashwert mit den E-Mail-Adressen im eigenen Bestand ab und kann dadurch gezielt Kunden ansprechen, wenn diese bei Facebook registriert sind. Nach Auffassung von Facebook ist das Verfahren datenschutzkonform, weil außer dem Hashwert keinerlei Daten an Facebook übermittelt werden.

Gleichwohl hat das Verwaltungsgericht Bayreuth nun der bayerischen Aufsichtsbehörden Recht gegeben und dieses Vorgehen untersagt (VG Bayreuth, Beschluss vom 08.05.2018, Az. B 1 S 18.105). Die Aufsichtsbehörde hatte gegenüber dem Anbieter eines Onlineshops eine datenschutzrechtliche Anordnung erlassen, wonach die Technik nicht weiter eingesetzt werden dürfe. Das Gericht ist dabei der Argumentation der Aufsichtsbehörde gefolgt, wonach auch die Übermittlung von gehashten Daten als Übermittlung von personenbezogenen Daten anzusehen ist, weil Facebook hieraus wieder die vollständige E-Mail-Adresse des Kunden ableiten kann. Für diese Übermittlung der Daten fehlt aber die datenschutzrechtliche Einwilligung der betroffenen Personen, da sich das Unternehmen im Rahmen der Interessenabwägung nicht auf vorrangige berechtigte Interessen berufen kann.

Ob nach der durchaus überzeugenden Entscheidung Facebook das bisherige Vorgehen ändert wird, bleibt abzuwarten. Auch wenn die Entscheidung noch nach altem Recht erging, ist die Wertung ohne Weiteres auch auf die Datenverarbeitung unter Geltung der DSGVO zu übertragen. Unternehmen sollten daher gut prüfen, ob sie dennoch weiter Facebook Custom Audience nutzen wollen.

Datenschutzvorfall bei Twitter: Passwortwechsel empfohlen

Der Kurznachrichtendienst Twitter hat seinen Nutzern eine Änderung ihrer Passwörter empfohlen, nachdem diese durch einen technischen Fehler unverschlüsselt in einer internen Protokolldatei gespeichert worden waren. Die Ermittlungen von Twitter hätten keine Anzeichen dafür ergeben, dass die Sicherheitslücke von unberechtigten Dritten ausgenutzt wurde.

Allen Unternehmen, die Twitter nutzen, ist zu empfehlen, entsprechend der Empfehlungen von Twitter ihre Passwort für den eigenen Account zu ändern. Twitter stellt in seinem Blogeintrag in englischer Sprache die hierfür notwendigen Schritte dar. Soweit vergleichbare Zugangsdaten auch für andere Dienste verwendet werden, sollten diese vorsorglich ebenfalls geändert werden.

Die Sicherheitslücke kann als Beispiel für die Risiken dienen, die sich insbesondere dann ergeben können, wenn das gleiche Passwort zum Einloggen bei mehreren (Online-)Diensten verwendet wird. In diesem Fall genügt bereits ein unberechtigtes Abfließen bei einem Dienst, damit Angreifer auch zahlreiche andere Dienste attackieren können.