Bevor nun alle Mandanten, Mitarbeiter, Partner und Kollegen das Weihnachtsfest und den Jahreswechsel genießen und feiern, möchten wir ein paar letzte Worte übermitteln!

Wir beginnen mit unseren wahrscheinlich letzten Neuigkeiten in diesem Jahr aus der Welt des Datenschutzes. Zusammengenommen könnten diese zukünftig eine hohe Durchschlagskraft für den Datenschutz auf Webseiten und darüber hinaus entfalten.

Wer vor den Weihnachtstagen nicht mehr so viele Worte aufnehmen möchte, dem sei zumindest unsere Zusammenfassung ans Herz gelegt.

Sollten Sie bereits komplett im Weihnachtsmodus sein, dann würden wir uns freuen, wenn Sie wenigstens noch unsere „Schluss- und Dankesworte“ lesen.

Die aktuellen Mitteilungen!

Kommunalebene

In den letzten Wochen und Monaten gab es ein Dauerthema: Kommunale Einrichtungen wurden gehackt und mit Ransomware zur Strecke gebracht. Immer wieder wurde dabei deutlich, dass die Digitalisierung in den Amtsstuben und Verwaltungen noch Nachholbedarf im Bereich IT-Sicherheit (technische und organisatorische Maßnahmen nach Art. 32 DSGVO) (und auch darüber hinaus) hat. Nicht zuletzt der Angriff auf die Südwestfalen-IT und die dazu kursierenden Meldungen sollten 3 Dinge deutlich machen:

Öffentliche Verwaltungen sollten unserer Meinung nach nicht von den Regelungen der NIS2-Richtlinie ausgenommen werden!

„Admin123456“ ist kein sicheres Passwort! Aber dies sollte unseren Mandanten ohnehin bereits bekannt sein. In unseren Schulungen und in unseren Richtlinien im Datenschutzhandbuch weisen wir immer wieder darauf hin!

Auch im kommenden Jahr wird es neue Angriffe geben. Die bestehenden Maßnahmen sollten daher regelmäßig hinterfragt und ggf. angepasst werden. Dies gilt sowohl für die eigenen Maßnahmen als auch für die Maßnahmen bei Dienstleistern und Zulieferern. Wir stehen gerne als Gesprächspartner zur Verfügung und heben mit Ihnen zusammen die IT-Sicherheit Ihres Unternehmens auf das nächste Level!

Landesebene

Aus unserem Netzwerk (unser Dank geht an Stefan Hessel) haben wir erfahren, dass der Thüringer Landesdatenschutzbeauftragte Lutz Hasse auch weiterhin an einem Verbot von Microsoft 365 in Schulen festhält.

Auch weiterhin wird die Kritik nicht kleiner, dass die Rechenschaftspflichten mit den von Microsoft bereitgestellten Dokumenten und Zusicherungen nicht eingehalten werden kann. Aus datenschutzrechtlicher Sicht wäre der Einsatz daher nicht zulässig.

Leider werden durch den Landesdatenschutzbeauftragten wohl keine weiteren Informationen oder Details bereitgestellt. Auch eine direkte Anfrage an die Behörde blieb unbeantwortet und es wurde auf die kommende Datenschutzkonferenz im Mai 2024 verwiesen. Damit wird ein weiteres halbes Jahr Rechtsunsicherheit erzeugt!

Und nun? Unsere Empfehlung: Maßnahmen umsetzen, abwarten und Ruhe bewahren!

Auch bei anderen Cloud-Diensten erfährt man nicht bis ins letzte Detail, wie mit den personenbezogenen Daten beim Dienstleister umgegangen wird. Und trotzdem flammt diese Diskussion vor allem in Bezug auf Microsoft immer wieder auf.

Aus unserer Sicht ist ein Betrieb der Lösungen von Microsoft möglich. Nicht uneingeschränkt, aber mit angemessener Organisation durch Dokumentation, Risikobewertung und Richtlinien und technischen Maßnahmen (Rechteverwaltung, techn. Richtlinien und Konfigurationen) möglich.

Viele Informationen zu dem Thema stellen wir unseren Mandanten bereits heute zur Verfügung und diese sind in unserem Dokumenten-Pool abrufbar.

Bundesebene

Auf Bundesebene hat der BfDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) nochmals darauf hingewiesen, dass die Einbindung von Videoinhalten auf den Webseiten (öffentlicher Stellen) unzulässig ist, wenn dazu Drittanbieter notwendig sind.

Vereinfacht dargestellt, geht es beispielsweise bei YouTube-Einblendungen darum, dass Google eigene Zwecke an den Verarbeitungen geltend macht. So werden die Aufrufe im Rahmen der Videoeinbindungen analysiert. Einerseits zur Analyse der Zielgruppeninteraktionen und andererseits zur Verbesserung der Qualität der Dienste.

Beide Zwecke sind jedoch nicht mit den Zwecken des Verantwortlichen vereinbar, dem es nur darum geht, dass die Videos angezeigt werden. Die Verarbeitung der Daten und insgesamt die Datenübermittlung an Google ist daher nicht zwingend notwendig.

Die Empfehlung des BfDI: Die Videos sollten im eigenen Webspace bereitgestellt werden und direkt in die Webseite integriert werden. Dank html5 reicht dazu meist bereits ein „<video>“-Tag im Quellcode.

Prinzipiell befürworten wir diese Empfehlung! Bandbreite und Traffic spielen bei der Buchung von Webspace bei einem Webhoster mittlerweile eine untergeordnete Rolle, in der Regel wird der Traffic als Flatrate eingerechnet und verursacht keine weiteren Kosten.

Allerdings sieht der BfDI auch die Nutzung einer 2-Klick-Lösung kritisch, während wir diese Option durchaus als Notlösung in Betracht ziehen würden. Nach Ansicht des BfDI stellt die 2-Klick-Lösung keine wirksame Einwilligung durch den Betroffenen dar, denn es fehlt die tatsächliche freie Entscheidung, denn eine wirkliche Alternative bestünde nicht.

Unserer Meinung nach muss hier der Gesamtkontext betrachtet werden. Wenn die Webseite alle Informationen auch in Textform bereitstellt, ist das Video nur eine vereinfachte Bereitstellungsform. Daher hat der Betroffene sehr wohl eine Wahl: Er kann die bereitgestellten Texte lesen, oder freiwillig die Videos zur Unterstützung abrufen. Dies setzt voraus, dass die Informationen nicht nur über das Video erhältlich sind!

EU-Ebene

Zuletzt haben wir auch noch ZWEI Neuigkeiten auf EU-Ebene.

Cyberangriffe und der Schadensersatz

Der EuGH hat am 14.12.2023 zwei Urteile zum Schadensersatz veröffentlicht. Einerseits kann bereits die Angst vor einem Datenmissbrauch einen immateriellen Schaden auslösen. Zudem gibt es bei einem (immateriellen) Schaden keine Bagatellgrenze.

Dies bedeutet, dass es zukünftig gängige Praxis werden könnte, dass sich Unternehmen bei einem Cyberangriff (z.B. einer Ransomware-Attacke) zusätzlich auch auf Schadensersatzforderungen der Betroffenen einstellen können.

Einmal mehr geht es also darum, dass Unternehmen die IT-Sicherheit regelmäßig auf den Prüfstand stellen sollten, um mögliche Angriffe nach Möglichkeit effektiv zu verhindern!

Gemeinsame Verantwortlichkeit und vertragliche Regelungen

Die zweite Neuigkeit: Der EuGH hat festgestellt, dass es für eine gemeinsame Verantwortlichkeit im Datenschutz nicht darauf ankommt, ob die Unternehmen dies im Rahmen der eigenen Zusammenarbeit so definiert haben und eine entsprechende Vereinbarung getroffen wurde.

Eine gemeinsame Verantwortlichkeit liege eher bereits dann vor, wenn die Parteien gemeinsame die Zwecke und Mittel der Datenverarbeitung bestimmen. Eine Mitwirkung an der Entscheidung reiche bereits aus.

Trotzdem, oder gerade deswegen: Bei einer gemeinsamen Verantwortlichkeit ist eine entsprechende Vereinbarung abzuschließen. Dies ergibt sich einerseits aus den Anforderungen von Art. 26 DSGVO andererseits sollte dies im Interesse aller beteiligten Parteien sein, denn neben den Aufgaben innerhalb der „Gruppe“ sollte auch die Haftung untereinander geregelt werden, wenn es zu Verstößen gegen den Datenschutz kommt.

In gewisser Weise liegt hier ein Mienenfeld verborgen. Bereits seit Jahren wird eine gemeinsame Verantwortlichkeit mit Facebook angenommen, wenn ein Unternehmen eine Fanpage betreibt, weil Facebook eigene Zwecke geltend macht und die Aufrufe im Rahmen der Fanpage auswertet. Konsequent betrachtet, muss daher auch eine gemeinsame Verantwortlichkeit angenommen werden, wenn Google eigene Zwecke geltend macht, wenn entsprechende Dienste eingebunden werden. Weitere Beispiele gibt es dazu wahrscheinlich viele.

Welche schlummernden und ungeklärten gemeinsame Verantwortlichkeiten gibt es in Ihrem Unternehmen? Gibt es auch bei Ihnen Fälle, wo Sie nicht allein über die Zwecke und Mittel bei einer Datenverarbeitung entscheiden? Lassen Sie uns darüber sprechen!

Zusammenfassung der Meldungen

Nimmt man alle Meldungen zusammen, formt sich ein interessantes Bild!

Bereits die Angst vor einem Datenmissbrauch kann aus Sicht des Betroffenen ein möglicher Schaden sein, der ersetzt werden muss. Sollten ein Unternehmen oder ein Mitglied der Lieferkette gehackt werden, könnten zukünftig verstärkt auch Schadensersatzforderungen auf die Unternehmen zukommen.

Darüber hinaus kann aber auch die Einbindung von Drittanbietern in digitale Medien zwangsläufig ein Risiko sein. Als Unternehmen hat man scheinbar keine Möglichkeit hat, die Nachweispflichten des Datenschutzes zu erfüllen, sobald ein Zulieferer (auch digital) eigene Zwecke an der Bereitstellung der – meist kostenfreien – Einbindungen und Dienste geltend macht.

Bei Webseiten wird auch deswegen bereits jetzt regelmäßig die Einwilligung über den „Cookie-Banner“ eingeholt. Eine wirkliche Alternative fehlt allerdings nach Ansicht des BfDI, daher kann bereits hier über die Rechtmäßigkeit der Verarbeitung diskutiert werden.

Die zusätzlichen Zwecke führen aber auch dazu, dass gemeinsam Zwecke an der Verarbeitung festgelegt wurden. Daher dürfte oft auch eine gemeinsame Verantwortlichkeit anzunehmen sein. Jedoch fehlt es in diesen Fällen fast immer an einer entsprechenden Vereinbarung.

Als Verantwortlicher für die Datenverarbeitung haften Sie als direkter Ansprechpartner für den Betroffenen primär für die Verstöße und ohne entsprechende Vereinbarung kann die Haftung wahrscheinlich auch nicht im Innenverhältnis auf den Drittanbieter abgewälzt werden.

Wer jetzt gedanklich an „Google Fonts“ denkt, liegt wahrscheinlich gar nicht so falsch.

Zur Erinnerung: Die reihenweise erfolgten Massenabmahnungen waren nur deswegen nicht erfolgreich, weil diese rechtsmissbräuchlich waren. Der Schaden wurde vorsätzlich gesucht und provoziert, und eigentlich lag kein Schaden vor, denn ein Computerprogramm hat die Webseiten abgerufen.

Was jedoch, wenn sich tatsächlich dutzende Betroffene mit Ansprüchen an ein Unternehmen wenden? Zukünftig könnte der insgesamt zu zahlende Schadensersatz höher ausfallen als eine ggf. zu erwartende Strafe durch die Datenschutzaufsicht!

Zugegebenermaßen ist diese Zusammenfassung der einzelnen – teils gerichtlich noch nicht bestätigten – Einzelpunkte und Meinungen bisher nur Spekulation. Aber die Vermutung zeigt, wohin die Reise in den nächsten Monaten gehen könnte!

Schluss- und Dankesworte

Das Jahr neigt sich dem Ende zu und in vielen Unternehmen gehen über die Weihnachtstage und dem Jahreswechsel temporär die Lichter aus. Auch wir wollen die Zeit um Weihnachten und Neujahr zur Erholung nutzen.

Aus diesem Grund verabschieden wir uns von unseren Kunden, Mandanten und Partnern, allen Mitarbeitern, Ansprechpartnern, Anverwandten und Interessierten und wünschen allen ein frohes Weihnachtsfest und einen guten Start ins Jahr 2024!

Es war uns eine Freude in diesem Jahr mit Ihnen zusammenzuarbeiten und wir hoffen auf eine erfolgreiche Fortsetzung im kommenden Jahr.

Beste Grüße
Ihre Datenschutzbeauftragten der CompliPro GmbH

Der Beitrag Noch einmal Datenschutznews in 2023! erschien zuerst auf CompliPro GmbH.