Wenn Sie sich die 10 Schritte ansehen, die die niederländische Datenschutzbehörde ausgearbeitet hat, um Organisationen bei der Vorbereitung auf die DSGVO zu unterstützen, ist die Bewusstseinsbildung der erste Schritt. Das ist verständlich, denn es ist entscheidend, das Bewusstsein der Mitarbeiter zu schärfen, wenn man das Thema als Organisation im Griff behalten will. Nicht nur von dem, was das Thema umfasst, sondern auch von dem, was es für die Organisation bedeutet. Wie Sie mit einer solchen internen "Sensibilisierungskampagne" umgehen können, erfahren Sie in diesem Blog!

Jetzt, über ein Jahr nach dem 25. Mai 2018, sehen wir, dass viele Unternehmen immer noch darum kämpfen, das Thema Datenschutz innerhalb des Unternehmens am Leben zu erhalten. Meiner Meinung nach hat dies zwei Hauptursachen:

1.      Es ist schwierig, genau zu definieren, was Datenschutz bedeutet. Das liegt zum Teil daran, dass Datenschutz für jeden etwas anderes bedeutet. Der eine hat "nichts zu verbergen", der andere hat Schwierigkeiten damit, dem Datenhunger von Unternehmen zu akzeptieren. Das bedeutet auch, dass die Mitarbeiter innerhalb einer Organisation das Thema verschieden betrachten und dass dies wahrscheinlich auch den Umgang mit datenschutzrelevanten Informationen innerhalb der Organisation beeinflusst. Von der Wichtigkeit, den Computer zu sperren, wenn der Arbeitsplatz verlassen ist, bis hin zur Durchführung einer DSFA für eine riskante Verarbeitungstätigkeit, wird es immer Mitarbeiter geben, die finden, dass dies nur "Aufwand" ist. Die Herausforderung besteht daher darin, ein Bewusstsein zu schaffen, das wirklich jeden Mitarbeiter anspricht.

2.      Das Unternehmen berücksichtigt nicht ausreichend die Tatsache, dass der Datenschutz - wie auch jeder andere Teil des Unternehmens - Teil des Geschäftsbetriebs sein muss. Die Organisation unterschätzt die Auswirkungen der Umsetzung der DSGVO und die Anforderungen an die gesamte Organisation. Im Anlauf zum 25. Mai 2018 wurde die Umsetzung der DSGVO oft als etwas angesehen, dass schnell erledigt werden musste, so dass nur einige Mitarbeiter dafür zur Verfügung gestellt wurden. Nach dem 25. Mai hat es aber eigentlich erst richtig angefangen, denn jetzt stehen Unternehmen vor der Herausforderung, dauerhaft datenschutzkonform sein zu müssen, und das erfordert Zeit und Mühe von fast jedem Mitarbeiter innerhalb des Unternehmens.

Wie stellt man also sicher, dass man dieses dauerhafte Bewusstsein ganzheitlich angeht? Die Datenschutzbehörde macht einen wichtigen ersten Schritt, indem sie relevante Personen in der Organisation über die neuen Datenschutzbestimmungen informiert. Die oben verlinkten 10 Schritte wurde natürlich im Anlauf zum 25. Mai geschrieben, aber das ändert nichts daran, dass dies sehr wichtig ist. Sicherlich für diejenigen Organisationen, die in dem Datenschutz in der Organisation noch nicht wirklich investiert haben, aber auch für Organisationen, die dies bereits getan haben, wäre es eine gute Idee, ein Jahr später noch einmal zu prüfen, ob die aktuelle Arbeitsmethode den Bedürfnissen der Organisation entspricht. Hat der aktuelle Ansatz das gewünschte Ergebnis erbracht?

Zusammenstellung eines Teams und Zuweisung von Rollen und Verantwortlichkeit

Schaffen Sie Führungsrollen innerhalb der Organisation. Richten Sie z.B. Privacy Champions oder designierte Ansprechpartner so ein, dass dadurch eine solide Grundlage geschaffen wird. Diese solide Grundlage funktioniert am besten, wenn das Datenschutzteam gemischt zusammengesetzt ist. Stellen Sie sicher, dass Mitarbeiter aus allen Abteilungen des Unternehmens einbezogen werden. Schließlich sind sie die Menschen, die wissen, wie die Praxis aussieht. Involvieren Sie die Rechtsabteilung, soweit die Organisation Juristen anstellt. Stellen Sie sicher, dass die Kommunikationsabteilung einbezogen wird, denn sie weiß, wie der Ton bei der Kommunikation mit Kunden, aber auch mit internen Mitarbeitern, ist. Und stellen Sie sicher, dass das Management involviert ist. Wenn das Management der Organisation den Datenschutz hauptsächlich als Kostenfaktor betrachtet, dann wird es ein schwieriges Projekt werden. Auf der anderen Seite funktioniert die Einbindung des Managements dann besonders gut, wenn es eine eigene Motivation hat, den Datenschutz richtig zu gestalten, sehr gut. Es hilft dem Unternehmen, wirklich datenschutzfreundliche Lösungen zu entwickeln. Für den Datenschutzbeauftragten – oder den Verantwortlichen für den Datenschutz – ist dies ein willkommener Nebeneffekt, denn der Mangel an Kapazität und Engagement ist eine wesentliche Ursache für den Kampf um die Einhaltung der DSGVO-Richtlinien.

Diese Verantwortung auf nur eine Person zu übertragen, ist ebenfalls eine schwierige Wahl. Das übt nicht nur großen Druck auf diese eine Person aus, sondern erreicht dadurch auch nicht den Sensibilisierungsgrad, den die Datenschutzbehörde gerne sehen möchte. Es ist auch wichtig einzuschätzen, wie viel Zeit und Bemühungen das Datenschutzteam braucht, um Datenschutz in die Organisation zu integrieren. Stellen Sie also auch sicher, dass diese Personen frei sind, um diese Aufgabe richtig auszuführen. Wenn dies nicht geschieht, werden Sie sehen, dass das Bewusstsein und die Notwendigkeit des Themas bald zurückfallen werden.

Sensibilisierung über die Auswirkungen und Folgen der DSGVO

Also, das wäre geklärt - das DSGVO-Projektteam ist gesichert. Der erste Sensibilisierungsgrad ist erreicht. Nun zu der nächsten Herausforderung: Wie stellen Sie sicher, dass alle Personen in der Organisation, einschließlich des Projektteams, wissen, was Datenschutz bedeutet und was die DSGVO vorgibt?

Es ist wichtig, zuerst die Vision des Unternehmens festzulegen; was sollen die Mitarbeiter Ihrer Meinung nach beitragen? Wie wichtig ist dem Unternehmen das Thema? Was können die Mitarbeiter von dem Unternehmen erwarten? Und, nicht unwichtig: was erwartet die Organisation von den Mitarbeitern? Wie bereits erwähnt, gehen Sie davon aus, dass die Mitarbeiter – aus persönlicher Sicht – das Thema "Datenschutz" individuell anders betrachten. Wählen Sie eine Art der Kommunikation, die den Mitarbeiter anspricht. Normalerweise funktioniert es gut, dem Mitarbeiter eine bestimmte, für das Unternehmen wichtige Situation zu vermitteln – wie z.B. den sorgfältigen Umgang mit sensiblen Informationen von Kunden – so, dass die Bedeutung aus der eigenen Perspektive des Mitarbeiters verstanden wird. Handelt es sich beispielsweise um die Kopien eines Reisepasses, so kann die Bedeutung einer sorgfältigen Behandlung dieser Daten hervorgehoben werden. Auf diese Weise können Sie dem Mitarbeiter aufzeigen, welche Folgen – auch für ihn persönlich – ein Missbrauch dieser Informationen hat, z.B. im Falle von Identitätsdiebstahl.

Darüber hinaus ist es wichtig, sorgfältig darüber nachzudenken, welches Medium verwendet wird, oder besser noch: welche verschiedenen Medien verwendet werden. Ein guter Ausgangspunkt könnte eine E-Mail der Geschäftsleitung sein, in der auf das Thema aufmerksam gemacht wird. Leider führt die Fortsetzung der Kommunikation per E-Mail oft nicht zum gewünschten Ergebnis, da wir ja bereits so viele davon lesen müssen. Ein Poster mit den Highlights der DSGVO ist daher eine gute Idee. Vielleicht hat die Organisation im ganzen Gebäude Bildschirme, auf denen interessant aufbereitere Infos zum Thema Privatsphäre gezeigt werden können? Oder haben Sie einen "Mailbox-Nachmittag", an dem die Mitarbeiter die Zeit haben, ihre Mailboxen richtig zu säubern? Es gibt noch viele andere unterhaltsame und dennoch informative Möglichkeiten, das Datenschutzbewusstsein Ihrer Mitarbeiter zu schärfen.

Und vergessen Sie nicht, die Bemühungen zur Bewusstseinsbildung in der Zwischenzeit in einem Aktionsplan zu dokumentieren! Nachvollziehbare Verantwortlichkeit und Rechenschaftspflicht ist einer der Schlüsselbegriffe der DSGVO. Und wenn es jetzt darum geht, wie man nachweislich das Bewusstsein der Mitarbeiter schärfen kann und wie sehr dies eine Speerspitze ist, dann eignet sich E-Learning sehr gut dafür. So wird beispielsweise durch ein spezielles datenschutzbezogenes E-Learning sofort erfasst, ob der Mitarbeiter das E-Learning verfolgt hat oder nicht. Auf diese Weise können Sie auch nachweisen, dass Sie dem Thema Aufmerksamkeit schenken. Natürlich können Sie auch Trainingstage organisieren oder Sensibilisierungssitzungen durchführen. Diese Sensibilisierungssitzungen könnten beispielsweise von den SPOCs der Abteilungen, die Teil des Datenschutzteams sind, durchgeführt werden. Schließlich sind sie die ersten Ansprechpartner in der Organisation, wenn es um private Angelegenheiten innerhalb ihrer Abteilung geht, und sie sind auch diejenigen, die das Thema am besten in das Geschehen innerhalb der Abteilung übersetzen können.

Datenschutz als integraler Bestandteil des Geschäftsbetriebs

Zusammenfassend lässt sich sagen, dass der Kern die Wiederholung ist! Datenschutz ist etwas, das ein natürlicher Teil des Unternehmens sein sollte. Es ist relativ einfach, alle Datenschutzrichtlinien in Ordnung zu bringen. Die eigentliche Herausforderung besteht darin, das Verhalten der Organisation und ihrer Mitarbeiter zu ändern. Verhaltensänderungen brauchen Zeit und erfordern Anstrengung und Engagement. Das ist nicht unmöglich oder unrealistisch, denn wenn man die richtigen Personen mit einbezieht, können sie zusammen miteinander und mit ihrer Begeisterung für das Thema dafür sorgen, dass sich die Organisation ständig der Bedeutung des Datenschutzes bewusst ist und dass die Organisation auf diese Weise leicht den Datenschutz im Griff behalten kann.

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit hat Privacy Company die Datenschutzrisiken von Microsoft Windows 10 Enterprise, Office 365 ProPlus und Office Online zusätzlich zu den mobilen Office-Anwendungen untersucht. Mit Genehmigung des Ministeriums veröffentlichen wir zwei Blogbeiträge über unsere Ergebnisse, diesen langen und einen kurzen Blogbeitrag. Für Fragen zur Forschung wenden Sie sich bitte an SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), das über den Pressesprecher des Justizministeriums unter +31 (0)70 370 73 45 erreicht werden kann.

Ergebnisse der Verhandlungen zwischen der niederländischen Zentralregierung und Microsoft

Anfang Mai 2019 hat SLM Rijk mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart. Dies sind die Enterprise-Versionen von Office und die Windows 10-Software, die von den Ministerien, der Steuer- und Zollverwaltung, der Polizei, der Justiz und unabhängigen Verwaltungsbehörden verwendet werden. Drei neue DSFAs (Datenschutz-Folgenabschätzungen, auf Englisch, mit Zusammenfassungen auf Niederländisch), die Privacy Company für die Zentralregierung durchgeführt hat, zeigen, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat. Lesen Sie hier den vorherigen Blog über diese Risiken. In einem Schreiben (nur auf Niederländisch), was vor kurzem an das niederländische Parlament gerichtet wurde, sind die Ergebnisse der Verhandlungen, die SLM Rijk mit Microsoft geführt hat, aufgeführt: Microsoft fungiert nur als Auftragsverarbeiter für alle seine Online-Dienste, verarbeitet die personenbezogenen Daten für nur drei Zwecke, verarbeitet die Nutzerdaten nicht für Profiling, Datenanalyse, Marktuntersuchungen oder Werbung, und gewährt der Zentralregierung wirksame Auditrechte.

Die neuen vertraglich festgelegten Datenschutzbestimmungen für die niederländische Zentralregierung gelten jedoch noch nicht für die Verarbeitung über Windows 10 Enterprise oder für die mobilen Office-Apps. Darüber hinaus sind bestimmte technische Verbesserungen, die Microsoft in Office 365 ProPlus implementiert hat, in Office Online (noch) nicht verfügbar. Von mindestens drei der iOS Apps geht der Traffic über die Nutzung der Apps an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling spezialisiert hat. Die Regierung wird jedoch weiterhin mit Microsoft verhandeln, um Windows und die mobilen Apps in den Anwendungsbereich der neuen Datenschutzbestimmungen zu bringen, und die gleichen technischen Verbesserungen für Office Online zu implementieren.

SLM Rijk rät daher staatlichen Institutionen, Office Online und die mobilen Office-Apps vorerst nicht zu nutzen und sich für eine möglichst geringe Datenerfassung unter Windows 10 zu entscheiden, nämlich: Security (Sicherheit).

Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung können selbst eine Reihe von Maßnahmen ergreifen (siehe die Liste unten in diesem Blog), aber nur Microsoft ist in der Lage, die hohen Datenschutzrisiken zu beseitigen. Aus diesem Grund sollten diese Organisationen über Datenschutzgarantien verhandeln, die denen der niederländischen Regierung ähnlich sind, vorzugsweise über einen Dachverband oder eine Gewerkschaft. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus können Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen und die Restrisiken der Datenschutz Aufsichtsbehörde gemäß Artikel 36 DSGVO melden.

Datenerfassung über die Software und auf Microsofts eigene Server

Microsoft Office kann auf drei Arten genutzt werden: installiert auf den Computern und Laptops der Benutzer (Office 365 ProPlus), installiert auf Smartphones und Tablets (mobile Office-Apps für iOS und Android) und in Form von Online-Apps, die im Browser ausgeführt werden (Office Online). Von allen drei Arten von Office aus haben die Benutzer Zugriff auf Online-Mikroservices wie die Rechtschreibprüfung, das Übersetzungsmodul oder die Möglichkeit, Bilder aus dem Internet einzufügen. Dies sind die sogenannten Connected Experiences.

Fast alle niederländischen Regierungsorganisationen nutzen die Office-Software in Kombination mit Windows 10 als Betriebssystem. Viele Regierungsorganisationen nutzen auch die Cloud-Services von Microsoft: SharePoint Online und OneDrive for Business, und manchmal auch den Online Mailserver Exchange Online. Die Verwendung des Azure Active Directory-Dienstes ist obligatorisch (für die Authentifizierung der beruflichen Nutzerkonten).

Microsoft erhebt und speichert über seine Software und sein Betriebssystem in großem Umfang personenbezogene Daten über das Verhalten der Nutzer, sogenannte diagnostische Daten. Microsoft sammelt diese Daten auf verschiedene Weise: über systemseitig generierte Ereignisprotokolle auf eigenen Servern, und über den sogenannten Telemetrie-Client in Windows 10, in Office 365 ProPlus und in den mobilen Office-Apps. Diese Telemetrie-Clients sammeln systematisch diagnostische Daten auf dem Gerät des Benutzers, und senden diese Informationen regelmäßig Microsofts Server in den Vereinigten Staaten.

Die DSFAs befassen sich mit den Risiken für die betroffenen Personen bei der Verarbeitung dieser diagnostischen Daten, und somit nicht mit den Inhaltsdaten, die die Nutzer von Microsoft verarbeitet werden lassen, wie Texte, Fotos und Videos. Auch die diagnostischen Daten unterscheiden sich von den Funktionsdaten, die Microsoft (vorübergehend) verarbeiten muss, damit die Nutzer die Online-Dienste von Microsoft über das Internet nutzen können.

Neue Datenschutzbestimmungen für die niederländische Zentralregierung

SLM Rijk hat mit Microsoft vertragliche Datenschutzgarantien für alle Online Services und für Office 365 ProPlus ausgehandelt. In der neuen Vereinbarung mit der niederländischen Zentralregierung ist festgelegt, dass Microsoft nur als Auftragsverarbeiter für die Daten, die es über die Nutzung von Office 365 ProPlus, die meisten Connected Experiences und die Cloud-Dienste erhält, fungieren darf, und dass es sich bei diesen Daten um personenbezogene Daten handelt. Microsoft darf die Daten nur für drei legitime Zwecke und auch nur dann verarbeiten, wenn dies verhältnismäßig ist. Dies sind die folgenden Ziele: (1) die Bereitstellung und technische Verbesserung des Dienstes, (2) die Aktualisierung des Dienstes und (3) Sicherheit. Bisher hat Microsoft die Daten für acht Zwecke verarbeitet, und zusätzlich für alle Zwecke, die es für kompatibel mit den übrigen Zwecken hielt.

Diese strenge Zweckbindung gilt sowohl für die Inhaltsdaten (Kundendaten) als auch für alle Arten von diagnostischen Daten, einschließlich der vom System generierten Ereignisprotokolle auf den eigenen Servern von Microsoft. Microsoft hat auch zugesichert, dass es niemals eine der beiden Arten von Daten für Profiling, Datenanalyse, Marktforschung oder Werbung verwenden wird, es sei denn, der Kunde wünscht dies ausdrücklich. Dazu gehört insbesondere ein Verbot in der Vereinbarung über die Verwendung von diagnostischen Daten zur Darstellung von "Empfehlungen" zu Microsoft-Produkten, die der Kunde nicht gekauft oder verwendet hat.

Die niederländische Regierung hat wirksame Prüfungsrechte ausgehandelt und sich auch verpflichtet, jährlich ein unabhängiges Audit durchführen zu lassen, um die Einhaltung dieser Maßnahmen und Vereinbarungen zu überprüfen. SLM Rijk wird hierzu eine Zusammenfassung der Ergebnisse veröffentlichen.

Ergriffene Maßnahmen Microsoft Office 365 ProPlus

Nach der Veröffentlichung der ersten DSFA zu Office 365 ProPlus hat Microsoft in den letzten sechs Monaten eine Vielzahl technischer und organisatorischer Maßnahmen ergriffen, um die für Office 365 ProPlus identifizierten Datenschutzrisiken weltweit zu reduzieren.

Seit Mai 2019 veröffentlicht Microsoft umfassende Dokumentation zu den diagnostischen Daten im Zusammenhang mit dem Einsatz von Office ProPlus. Microsoft hat sein bestehendes Data Viewer Tool für Windows 10 angepasst, um auch die Telemetrie-Daten von Office 365 ProPlus anzuzeigen. Auf diese Weise können die betroffenen Personen die Office ProPlus-Daten anzeigen, die Microsoft von ihrem Gerät sammelt.

Seit Mai 2019 bietet Microsoft eine Vielzahl von häufig genutzten und unverzichtbaren Connected Experiences wie die Rechtschreibprüfung, das Übersetzungsmodul und die Office-Hilfe als Auftragsverarbeiter und nicht mehr als Verantwortlicher an. Es gibt 14 Connected Experiences, für die Microsoft Verantwortlicher bleibt (die zusätzlichen Connected Experiences), aber Microsoft ermöglicht es Systemadministratoren von Office ProPlus, die Nutzung dieser Controller Connected Experiences zentral auszuschalten. Durch die zentrale Deaktivierung dieser Dienste wird das Risiko vermieden, dass Microsoft die Mitarbeiter als Endnutzer um ihre Einwilligung bittet, Daten über die Nutzung dieser Dienste sammeln zu dürfen, während die Einwilligung aber keine gültige rechtliche Grundlage für diese Verarbeitung darstellt.

Seit Office 365 ProPlus Version 1904, die von Microsoft seit dem 29. April 2019 zur Verfügung gestellt wird, hat Microsoft auch eine Option für Systemadministratoren eingebaut, um das Telemetrie-Niveau zu minimieren. Microsoft bietet drei Optionen an: Required (erforderlich), Optional (optional) und Neither (weder noch).

Die technischen Untersuchungen für diese DSFA, die sich auf die Niveaus ‘Required‘ und ‘Neither‘ beschränkt, zeigt, dass Microsoft eine begrenzte Anzahl von Telemetrie-Meldungen über die Verwendung der (neuen Versionen von) Office ProPlus-Software sammelt. Sowohl auf dem Niveau ‘Required‘ als auch auf dem Niveau ‘Neither‘ enthalten die Daten keinen Inhalt aus Dateien, E-Mails oder Konversationen, und keine direkt identifizierenden Informationen wie Benutzernamen oder E-Mail-Adressen. Die Nachrichten, die sich auf die Processor (Auftragsverarbeiter) Connected Experiences wie die Rechtschreibprüfung und das Übersetzungsmodul beziehen, enthalten ebenfalls keine Fragmente des Inhalts.

Einige Nachrichten auf dem ‘Required‘-Niveau enthalten sensiblere Informationen, wie z.B. die genaue Anzahl der Seiten, Absätze, Zeilen, Wörter, Zeichen, Leerzeichen, Bilder und Anführungszeichen in einer Word-Datei.

Es scheint kaum einen Unterschied zwischen den beiden Telemetrie-Niveaus zu geben, trotz der Erklärung von Microsoft, dass, wenn keine der beiden gewählt wird, keine Diagnosedaten über die Verwendung der installierten Software an Microsoft gesendet werden.

Als Reaktion auf die Ergebnisse wies Microsoft darauf hin, dass es neben der Telemetrie-Wahl immer zwei weitere Arten von diagnostischen Daten über Office ProPlus sammelt, nämlich Daten über die Nutzung der Connected Experiences und Daten über das, was Microsoft Essential Services nennt (wie Authentifizierung und Lizenzverifizierung). Es fehlt an Informationen über diese Verarbeitungen.

Der Bericht kommt zu dem Schluss: wenn die Systemadministratoren der niederländischen Regierungsorganisationen den Empfehlungen dieser DSFA folgen, dann gibt es dank der technischen und vertraglichen Maßnahmen keine bekannten hohen Datenschutzrisiken für die betroffenen Personen bei der Erhebung von Daten über die Nutzung von Microsoft Office 365 ProPlus mehr.

Ergebnisse der DSFA zu Office Online und die mobilen Office Apps

Microsoft hat diese Verbesserungen in Office Online und den mobilen Office-Apps noch nicht umgesetzt, und die Maßnahmen gelten (noch) nicht für die mobilen Office-Apps.

Microsoft hat noch keine technische Opt-Out-Möglichkeit geschaffen, um die Nutzung der Controller Connected Experiences in Office Online und der Mobile Office Apps zu verbieten. Microsoft hat auch keine Informationen über die diagnostischen Daten aus den mobilen Office-Apps oder Office Online veröffentlicht, und bietet den Administratoren in diesen Softwareversionen keine Möglichkeit, den Datenfluss zu minimieren.

Microsoft qualifiziert sich als Verantwortlicher für die mobilen Office-Apps. Dies bedeutet, dass die vertraglichen Verbesserungen, die SLM Rijk mit Microsoft ausgehandelt hat, nicht gelten, obwohl Microsoft versichert hat, dass alle Datenschutzbestimmungen effektiv für alle Daten gelten, die es über Benutzer, die mit ihrem Azure Active Directory-Konto angemeldet sind, verarbeitet.

Obwohl die technische Analyse des Datenverkehrs von Office Online und den mobilen Apps zeigt, dass Microsoft nicht viele diagnostische Daten und keine aussagekräftigen Daten aus dem Inhalt von Dateien, E-Mails oder Chats sammelt, sendet Microsoft diagnostische Daten über mindestens drei der iOS-Apps (Word, Excel und PowerPoint) an ein Marketingunternehmen in den USA. Diese Verarbeitung erfolgt ohne das Wissen der Benutzer, und ohne Informationen über das Vorhandensein oder den Zweck dieser Verarbeitung. Obwohl die Daten, die zeigen, dass ein Mitarbeiter zu einem bestimmten Zeitpunkt mit einer bestimmten App gearbeitet hat, nicht an sich selbst sensibel sind, werden sie an ein Unternehmen in den Vereinigten Staaten übertragen, das nicht an die mit Microsofts verhandelten Datenschutzbestimmungen gebunden ist. Das Unternehmen spezialisiert sich auf predictive profiling von Einzelpersonen für kommerzielle Zwecke.

Der Bericht kommt zu dem Schluss: Derzeit birgt die Verarbeitung von diagnostischen Daten über die Nutzung der mobilen Office-Apps und der Controller Connected Experiences fünf hohe Datenschutzrisiken. Nur Microsoft kann diese Risiken effektiv beseitigen. SLM Rijk empfiehlt den niederländischen Regierungsorganisationen, interne Richtlinien für Mitarbeiter auszuarbeiten, die Office Online und die mobilen Office-Anwendungen vorübergehend nicht zu nutzen. SLM Rijk wird seine Verhandlungen mit Microsoft fortsetzen, um sicherzustellen, dass Microsoft die ausgehandelten Verbesserungen für alle in dem Office 365-Lizenz enthaltenen Dienste weiter umsetzt.

Ergebnisse der DSFA zu Windows 10 Enterprise

Microsoft stuft sich (wie bei den mobilen Office-Apps) als (unabhängiger) Verantwortlicher für die Verarbeitung über Windows 10 Enterprise ein. Infolgedessen fällt die Verarbeitung von diagnostischen Daten über die Nutzung des Betriebssystems nicht unter die neuen Datenschutzgarantien für die niederländische Regierung.

Microsoft erwähnt in seiner technischen Dokumentation spezifische Zwecke für die Verarbeitung von diagnostischen Daten über die individuelle Nutzung der Windows 10-Software. Diese Informationen sind jedoch nicht rechtsverbindlich. Im Rahmen der Vereinbarung mit den Kunden kann Microsoft die Diagnosedaten für fast alle, sehr breit definierten, Zwecke verarbeiten, die in seinen allgemeinen Datenschutzbestimmungen festgelegt sind. Zu den 16 relevanten Zwecken gehört die Verwendung personenbezogener Daten für personalisierte Werbung in Windows 10 und in Apps, für kommerzielle Angebote und die Nutzung von Kontaktinformationen von Kunden für Rekrutierungszwecke, per E-Mail, SMS, Post und Telefon.

Die Verarbeitung von diagnostischen Daten für so viele weit gefasste und undefinierte Zwecke steht im Widerspruch zum Prinzip der Zweckbindung aus der DSGVO. Darüber hinaus gibt es in den meisten Fällen keine rechtliche Grundlage für die Verarbeitung der diagnostischen Daten für diese Zwecke. Als (einzelner oder gemeinsamer) Verantwortlicher kann Microsoft sich nicht erfolgreich auf die Einwilligung der Mitarbeiter stützen, da diese aufgrund der abhängigen Stellung im Beschäftigungsverhältnis keine freiwillige Zustimmung geben können. Gleichzeitig ist nach §11.7a niederländisches Telekommunikationsgesetz eine Einwilligung erforderlich, um Daten über das Internet via einer eingebauten Software einzusammeln, wenn eine solche Verarbeitung nicht unbedingt notwendig ist.

Unternehmen können das Risiko einer rechtswidrigen Verarbeitung ausschließen, indem sie das Security Telemetrie-Niveau wählen. Die technische Analyse des Telemetrie-Datenverkehrs zeigt, dass Microsoft sehr wenig personenbezogene Daten verarbeitet, wenn die Telemetrie auf diesem niedrigsten Niveau eingestellt ist, und es keine sensiblen personenbezogenen Daten verarbeitet. Der Bericht kommt zu dem Schluss, dass, wenn die Telemetrie auf Security eingestellt ist (oder der Telemetrie-Verkehr blockiert ist), und wenn die Administratoren die Verwendung der Cloud-Synchronisierungsfunktionalität über die Windows-Timeline zentral verbieten, keine hohen Datenschutzrisiken bestehen.

SLM Rijk liefert Microsoft einen wesentlichen Input für die Entwicklung einer Strukturellen Lösung für Windows 10 Enterprise-Kunden ab Version 1809. Microsoft weist darauf hin, dass diese Lösung es Regierungsorganisationen ermöglichen wird, die DSGVO einfacher einzuhalten, wenn sie grundlegende und höhere Telemetrie-Niveaus verwenden. An dieser Lösung wird derzeit gearbeitet. Microsoft erwartet, diese noch in diesem Jahr zu veröffentlichen.

Selbst Maßnahmen zur Verbesserung des Datenschutzes ergreifen

Alle Administratoren der Office- und Windows-Software können eine Reihe konkreter Maßnahmen ergreifen, um die Datenschutzrisiken für Mitarbeiter und andere Interessengruppen zu reduzieren:

• Aktualisieren Sie auf Version 1905 oder höher von Office 365 ProPlus und stellen Sie die Telemetrie auf das Niveau "Neither" ein.
• Nutzen Sie die technische Möglichkeit, die Nutzung der Controller Connected Experiences in Office 365 ProPlus zu verbieten (zusätzliche Connected Experiences deaktivieren).
• Deaktivieren Sie das Customer Experience Improvement Program (CEIP) in Office ProPlus.
• Deaktivieren Sie die LinkedIn-Integration für Microsoft-Mitarbeiterkonten in Office ProPlus.
• Richten Sie Richtlinien ein, um die Mitarbeiter vor der Verwendung der mobilen Office-Apps und der Controller Connected Experiences in Office Online zu warnen, bis die fünf hohen Risiken gemildert sind.
• Wählen Sie so schnell wie möglich die niedrigste und minimalste Stufe der Erfassung von diagnostischen Daten in Office Online und den mobilen Apps.
• Aktualisieren Sie Ihre interne Datenschutzrichtlinie für den Umgang mit personenbezogenen Daten der Mitarbeiter mit spezifischen Informationen für welche Zwecke und unter welchen Umständen das Unternehmen verschiedene Arten von diagnostischen Daten aus den verschiedenen Diensten und Produkten von Microsoft anschauen kann.
• Führen Sie DSFAs durch, bevor Sie Workplace Analytics und Activity Reports im Microsoft 365 Admin Center verwenden und bevor Mitarbeiter MyAnalytics und Delve nutzen können.
• Erwägen Sie die Verwendung von Customer Lockbox und Customer Key, abhängig von der Empfindlichkeit der Inhaltsdaten.
• Aktualisieren Sie auf die Version 1903 von Windows 10 Enterprise, um Intune mit Security-Telemetrie zu verwenden.
• Stellen Sie das Telemetrie-Niveau in Windows 10 Enterprise auf Security oder blockieren Sie den Telemetrieverkehr und erlauben Sie es Benutzern nicht, ihre Aktivitäten über die Timeline-Funktionalität zu synchronisieren.
• Berücksichtigen Sie mögliche Änderungen für die Validität von Datentransfermechanismen (wie das EU-US Privacy Shield) aufgrund der künftigen Rechtsprechung des Europäischen Gerichtshofs. Es liegt an dem Europäischen Gerichtshof, die Risiken der massenhaften Überwachung in den Vereinigten Staaten zu bewerten, und an dem europäischen Gesetzgeber, die verbleibenden Risiken der Übermittlung von diagnostischen Daten aus der EU in die USA zu verringern.

Das Wie und Warum dieser Empfehlungen wird in den drei separaten DSFAs für SLM Rijk erläutert. Siehe auch die ausführlichen niederländischen Zusammenfassungen der Berichte zu Office 365 ProPlus, Office Online und den mobilen Apps, und Windows 10 Enterprise.

Privacy Company veröffentlicht auch einen kurzen Blog mit den Highlights dieser drei Berichte.

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit hat Privacy Company die Datenschutzrisiken von Microsoft Windows 10 Enterprise, Office 365 ProPlus und Office Online zusätzlich zu den mobilen Office-Anwendungen untersucht. Mit Genehmigung des Ministeriums veröffentlichen wir zwei Blogbeiträge über unsere Ergebnisse, diesen kurzen und einen langen Blogbeitrag. Für Fragen zur Forschung wenden Sie sich bitte an SLM Rijk (Strategisch Leveranciersmanagement Microsoft Rijk), das über den Pressesprecher des Justizministeriums unter +31 (0)70 370 73 45 erreicht werden kann.

Neue Datenschutzbestimmungen für die niederländische Zentralregierung

Anfang Mai 2019 hat SLM Rijk mit Microsoft neue Datenschutzbestimmungen für die 300.000 digitalen Arbeitsplätze der Zentralregierung vertraglich vereinbart. Dies sind die Enterprise-Versionen von Office und die Windows 10-Software, die von den Ministerien, der Steuer- und Zollverwaltung, der Polizei, der Justiz und unabhängigen Verwaltungsbehörden verwendet werden. Drei neue DSFAs (Datenschutz-Folgenabschätzungen, auf Englisch, mit Zusammenfassungen auf Niederländisch), die Privacy Company für die Zentralregierung durchgeführt hat, zeigen, dass Microsoft die acht zuvor identifizierten Datenschutzrisiken für Office 365 ProPlus durch eine Kombination aus technischen, organisatorischen und vertraglichen Maßnahmen gelöst hat. Lesen Sie hier den vorherigen Blog über diese Risiken. In einem Schreiben (nur auf Niederländisch), was vor kurzem an das niederländische Parlament gerichtet wurde, sind die Ergebnisse der Verhandlungen, die SLM Rijk mit Microsoft geführt hat, aufgeführt: Microsoft fungiert nur als Auftragsverarbeiter für alle seine Online-Dienste, verarbeitet die personenbezogenen Daten für nur drei Zwecke, verarbeitet die Nutzerdaten nicht für Profiling, Datenanalyse, Marktuntersuchungen oder Werbung, und gewährt der Zentralregierung wirksame Auditrechte.

Ergriffene Maßnahmen für Microsoft Office 365 ProPlus

Darüber hinaus hat Microsoft in den letzten Monaten weltweit eine Vielzahl von technischen und organisatorischen Verbesserungen in Office 365 ProPlus umgesetzt. Seit Mai 2019 veröffentlicht Microsoft eine umfangreiche Dokumentation zu den diagnostischen Daten im Zusammenhang mit dem Einsatz von Office ProPlus. Microsoft hat sein bestehendes Data Viewer Tool für Windows 10 angepasst, um auch die Telemetriedaten von Office 365 ProPlus anzuzeigen. Auf diese Weise können die betroffenen Personen sich die Office ProPlus-Daten, die Microsoft von ihren Geräten einsammelt, anschauen.

Seit Mai 2019 bietet Microsoft eine Vielzahl häufig genutzter Connected Experiences wie die Rechtschreibprüfung, das Übersetzungsmodul und die Office-Hilfe als Auftragsverarbeiter und nicht mehr als Verantwortlicher an. Es gibt 14 Connected Experiences, für die Microsoft Verantwortlicher bleibt (die zusätzlichen Connected Experiences), aber Microsoft ermöglicht es Systemadministratoren von Office ProPlus, die Verwendung dieser Controller Connected Experiences zentral zu deaktivieren. Durch die zentrale Deaktivierung dieser Dienste wird das Risiko vermieden, dass Microsoft die Mitarbeiter als Endnutzer um ihre Einwilligung bittet, Daten über die Nutzung dieser Dienste sammeln zu dürfen, während die Einwilligung aber keine gültige rechtliche Grundlage für diese Verarbeitung darstellt.

Ab der Office 365 ProPlus Version 1904, die von Microsoft seit dem 29. April 2019 zur Verfügung gestellt wird, hat Microsoft auch eine Option für Systemadministratoren eingebaut, um das Telemetrie-Niveau zu minimieren. Microsoft bietet drei Optionen an: Required (erforderlich), Optional (optional) und Neither (weder noch).

Keine Verbesserungen für Windows 10 Enterprise, Office Online und die mobilen Apps

Microsoft hat diese Verbesserungen noch nicht in Office Online und den mobilen Office-Apps implementiert. Die neuen vertraglich festgelegten Datenschutzbestimmungen der niederländischen Regierung gelten (noch) nicht für die Verarbeitung über Windows 10 Enterprise oder für die mobilen Office-Apps. Es ist nicht möglich, den Datenverkehr in Office Online zu minimieren. Von mindestens drei der iOS Apps geht der Traffic über die Nutzung der Apps an eine US-Amerikanische Marketingfirma, die sich auf predictive profiling spezialisiert hat. Dies erfolgt ohne Angaben über den Zweck dieser Verarbeitung, und ohne die Möglichkeit für Benutzer oder Administratoren, diese Verarbeitung zu verhindern.

SLM Rijk rät daher Regierungsbehörden, Office Online und die mobilen Office-Apps vorerst nicht zu verwenden und eine möglichst geringe Datenerfassung unter Windows 10, unter der Option Security, zu wählen. Wenn die Systemadministratoren der staatlichen Institutionen auch den anderen Empfehlungen in den Berichten folgen, sind keine hohen Datenschutzrisiken für die staatlichen Institutionen mehr bekannt.

SLM Rijk wird jedoch weiterhin mit Microsoft verhandeln, um Windows und die mobilen Apps in den Anwendungsbereich der neuen Datenschutzbestimmungen zu bringen und die gleichen technischen Verbesserungen für Office Online umzusetzen.

Was können Organisationen, die nicht zu der niederländischen Zentralregierung gehören, tun?

Unternehmen und Organisationen außerhalb der niederländischen Zentralregierung müssen bei der Nutzung von Office 365 ProPlus, Office Online, den mobilen Office-Apps und Windows 10 Enterprise hohe Datenschutzrisiken berücksichtigen. Sie können selbst eine Reihe von Maßnahmen ergreifen, aber um die hohen Risiken wirklich zu beseitigen, sollten sie sich – vorzugsweise über einen Dachverband oder Gewerkschaft – an Microsoft wenden, um ähnliche Datenschutzgarantien wie die der nationalen Regierung auszuhandeln. Es würde nicht schaden, auf die laufende Untersuchung des Europäischen Datenschutzbeauftragten über die Vertragsbedingungen, die Microsoft den europäischen Institutionen anbietet, hinzuweisen. Darüber hinaus könnten Unternehmen auch ihre eigene DSFA auf der Grundlage der Berichte der niederländischen Regierung durchführen, und die Restrisiken den Datenschutzbehörden melden, wie in Artikel 36 DSGVO festgelegt.

Die Maßnahmen, die von den Organisationen selbst ergriffen werden können, sind folgende:

• Aktualisieren Sie auf Version 1905 oder höher von Office 365 ProPlus und stellen Sie die Telemetrie auf das Niveau "Neither" (weder noch) ein.
• Nutzen Sie die technische Möglichkeit, die Nutzung der Controller Connected Experiences in Office 365 ProPlus zu verbieten (zusätzliche Connected Experiences deaktivieren).
• Deaktivieren Sie das Customer Experience Improvement Program (CEIP) in Office ProPlus.
• Deaktivieren Sie die LinkedIn-Integration für Microsoft-Mitarbeiterkonten in Office ProPlus.
• Erstellen Sie interne Richtlinien, um die Mitarbeiter vor der Verwendung der mobilen Office-Apps und der Controller Connected Experiences in Office Online zu warnen, bis die fünf verbleibenden hohen Risiken gemildert sind.
• Wählen Sie so schnell wie möglich die niedrigste und minimalste Stufe der Erfassung von diagnostischen Daten in Office Online und den mobilen Apps.
• Aktualisieren Sie die interne Datenschutzrichtlinie für den Umgang mit personenbezogenen Daten der Mitarbeiter mit spezifischen Informationen für welche Zwecke und unter welchen Umständen das Unternehmen verschiedene Arten von diagnostischen Daten aus den verschiedenen Diensten und Produkten von Microsoft anschauen kann.
• Führen Sie DSFAs durch, bevor Sie Workplace Analytics und Activity Reports im Microsoft 365 Admin Center verwenden und bevor Mitarbeiter MyAnalytics und Delve nutzen können.
• Erwägen Sie die Verwendung von Customer Lockbox und Customer Key, abhängig von der Empfindlichkeit der Inhaltsdaten.
• Aktualisieren Sie auf die Version 1903 von Windows 10 Enterprise, um Intune mit Security Telemetrie zu verwenden.
• Stellen Sie das Telemetrie-Niveau in Windows 10 Enterprise auf Security oder blockieren Sie den Telemetrieverkehr und erlauben Sie es Benutzern nicht, ihre Aktivitäten über die Timeline-Funktionalität zu synchronisieren;
• Berücksichtigen Sie mögliche Änderungen für die Validität von Datentransfermechanismen (wie das EU-US Privacy Shield) aufgrund der künftigen Rechtsprechung des Europäischen Gerichtshofs. Es liegt an dem Europäischen Gerichtshof, die Risiken der massenhaften Überwachung in den Vereinigten Staaten zu bewerten, und an dem europäischen Gesetzgeber, die verbleibenden Risiken der Übermittlung von diagnostischen Daten aus der EU in die USA zu verringern.

Das Wie und Warum dieser Empfehlungen wird in den drei separaten DSFAs für SLM Rijk erläutert. Siehe auch die ausführlichen niederländischen Zusammenfassungen der Berichte zu Office 365 ProPlus, Office Online und den mobilen Apps, und Windows 10 Enterprise.

Privacy Company veröffentlicht auch einen langen Blog mit den Highlights dieser drei Berichte.

Bei Privacy Company sehen wir seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) einen Wandel in der Art von Arbeit, die unsere Kunden anfordern. Unternehmen haben oft die DSGVO-Verpflichtungen innerhalb des Unternehmens umgesetzt und unternehmen nun mehr Anstrengungen, um das erreichte Datenschutzniveau zu halten. Dazu gehört die Einrichtung eines "Plan-Do-Check-Act-Zyklus" für Datenschutz und Datensicherheit oder die Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für ein neues System oder Verarbeitungstätigkeit (Artikel 35 DSGVO). Dieser Blog befasst sich mit der letztgenannten Verpflichtung, insbesondere mit der Veröffentlichung einer durchgeführten DSFA. Wir werden Ihnen über die Gründe für die Veröffentlichung einer DSFA berichten und Ihnen einige Tipps geben, wie Sie dies am besten tun können!

Was ist eine DSFA?

Die DSFA ist eine Möglichkeit, eine Verarbeitung zu analysieren, die ein hohes Risiko für die betroffene Person darstellen kann. Das gilt zum Beispiel Systeme, die die betroffene Person überwachen könnten oder die die Person dann automatisch analysieren ("Profiling"). Ihr Zweck ist es, den Schutz personenbezogener Daten bei der Entwicklung einer neuen Dienstleistung oder eines neuen Produkts in den Überlegungsprozess einzubeziehen. Dies ist eine Möglichkeit, die Anforderungen der DSGVO an Datenschutz durch Technikgestaltung bzw. "Privacy by Design" zu erfüllen. Die DSFA ist somit ein Mittel zur Verbesserung der Einhaltung der Datenschutzbestimmungen.

Die Ergebnisse der DSFA müssen vor allem einen Schwerpunkt auf die Auswahl der geeigneten Maßnahmen legen, um nachzuweisen, dass die Datenschutzbestimmungen bei der Verarbeitung personenbezogener Daten eingehalten werden. Auf diese Weise werden die hohen Risiken durch die Maßnahmen auf ein akzeptables Maß reduziert. Gelingt dies nicht und bleibt das Risiko zu hoch, muss sich eine Organisation an die Datenschutzbehörde wenden (siehe die "vorherige Konsultation" in Artikel 36 DSGVO).

Was ebenfalls über die DSFA zu sagen ist, ist, dass es sich nicht um eine statische Untersuchung handelt. Dies bedeutet, dass die DSFA geändert werden muss, wenn sich die Verarbeitung so weit ändert, dass sich auch die zuvor identifizierten Risiken ändern. Auch wenn keine nennenswerten Änderungen auftreten, ist es ratsam, regelmäßig (z.B. alle drei Jahre) zu überprüfen, ob die DSFA noch auf dem neuesten Stand ist.  

Warum eine DSFA veröffentlichen?

Viele unserer Kunden stehen vor der Frage, ob sie ihre DSFA veröffentlichen sollten. Bei der Beantwortung dieser Frage sind eine Reihe von Faktoren wichtig, die Ihnen helfen können, diese Entscheidung zu treffen.

Die Veröffentlichung Ihres DSFA-Berichts ist nach der DSGVO nicht obligatorisch. Selbstverständlich sind Sie trotzdem grundsätzlich verpflichtet, Informationen zur Verfügung zu stellen, indem Sie die betroffene Person über die Verarbeitung ihrer personenbezogenen Daten informieren (Artikel 5 Absatz 1 Buchstabe a) und Artikel 12 bis 14 DSGVO).

Dennoch kann es im Interesse der Transparenz sinnvoll sein, die DSFA - oder eine Zusammenfassung davon - zu veröffentlichen. Die Durchführung einer DSFA und die Information darüber stärkt oft das Vertrauen des Einzelnen in die Datenverarbeitung und damit in die Organisation. Dies ist ein großer Vorteil für die Organisation. Einige Organisationen legen sich daher im Rahmen von Ethikstrategien strengere Regeln auf, um die Verarbeitung personenbezogener Daten noch transparenter zu gestalten, als es die DSGVO verlangt.

Es kann auch sinnvoll sein, eine DSFA öffentlich zu machen, damit auch andere Organisationen davon profitieren können. DSFAs erfolgen oft für den Einsatz von Systemen, die natürlich von viel mehr Organisationen genutzt werden. Durch die Möglichkeit, auch DSFAs anderer Organisationen zu nutzen, muss das Rad nicht immer neu erfunden werden. Es ist auch möglich, dem Autor der ursprünglichen DSFA Feedback zu geben, damit die DSFA verbessert werden kann. Auf diese Weise kann die Veröffentlichung von DSFAs zu einer generellen Verbesserung des Datenschutzniveaus über meine eigene Organisation hinaus führen.

Häufig steckt in einer DSFA viel Arbeit, so dass es sich möglicherweise nicht richtig anfühlt, dieses Know-how frei verfügbar zu machen. Wenn Sie es vorziehen, den DSFA-Bericht nicht für andere zu veröffentlichen, aber die Ergebnisse anderen Organisationen der Branche zugänglich machen wollen, ist das auch möglich. Vereinbaren Sie z.B., dass Sie eine DSFA zu System X und eine andere Organisation zu Projekt Y durchführen, damit Sie dann das Wissen austauschen können.

Wie kann man eine DSFA öffentlich machen?

Wenn Sie sich entscheiden, eine DSFA zu veröffentlichen, ist es notwendig, eine Reihe von Maßnahmen zu ergreifen - nicht nur die im Bericht genannten Maßnahmen zur Verringerung der Risiken für die Privatsphäre, aber besonders Maßnahmen zum Schutz Ihrer vertraulichen Geschäftsinformationen.

Bevor Sie die DSFA veröffentlichen, müssen alle vertraulichen Daten herausgenommen werden. Zum Beispiel Sicherheitseinstellungen, die Sie vorgenommen haben, die ihre Funktion (teilweise) verlieren, wenn sie öffentlich bekannt werden (siehe auch "Kerckhoffs‘ Prinzip"). Oder Informationen darüber, wie Sie das System, das Ihr "Geheimrezept" für die Nutzung bestimmer Dienste offenlegt, gezielt eingerichtet haben. Denken Sie auch an die Informationen des Lieferanten, die Sie erhalten haben, für die Sie keine Berechtigung haben, sie zu veröffentlichen. Aber auch die Namen der Hersteller der DSFA, insbesondere wenn diese extern sind und es Vereinbarungen über geistiges Eigentum gibt, müssen geändert werden.

Sie können auch einen Schritt weiter gehen und eine Vorlage für die Durchführung einer DSFA auf einem bestimmten System oder Projekt erstellen. In diesem Fall werden Sie alle vertraulichen Daten extrahieren, aber Sie werden auch konkret angeben, welche Institute welche Risiken haben. Auf diese Weise kann der Benutzer der Vorlage die DSFA schnell und einfach ausführen.

Was können Sie mit einer öffentlichen DSFA anstellen?

Sie haben die DSFA öffentlich gemacht, und jetzt? Nun, die Überlegungen und Vorteile für die Veröffentlichung wurden bereits oben angesprochen. Aber wenn wir es aus der Perspektive von jemandem betrachten, der Ihre öffentliche DSFA gefunden hat, gibt es noch ein paar weitere Punkte, die man diskutieren kann.

Die Verwendung der öffentlichen DSFA, z.B. durch jemanden, der ein ähnliches System verwendet, kann sehr nützlich sein. Bitte beachten Sie die Systembeschreibung und die Verarbeitung personenbezogener Daten, da dies für die öffentliche DSFA sehr anders sein kann als für Ihre persönliche Situation. Deshalb ist es wichtig, klarzustellen, was in den Anwendungsbereich der DSFA fällt und was nicht, damit die (Wieder-)Nutzer das Wesentliche nicht übersehen. Überprüfen Sie daher sorgfältig die öffentliche DSFA, werden Sie sich über die Unterschiede klar und entscheiden Sie, ob Sie die Risikobewertung und -Maßnahmen übernehmen können oder ob Sie hier eventuell Anpassungen vornehmen müssen.

Schlussfolgerung

Ihre DSFA muss nicht veröffentlicht werden, kann aber sowohl Ihrer Organisation als auch anderen helfen, die DSGVO richtig umzusetzen. Bei der Veröffentlichung sollten Sie jedoch sehr genau auf vertrauliche Informationen achten und bei der Verwendung einer öffentlichen DSFA prüfen, ob Sie die Schlussfolgerungen so übernehmen können oder ob Sie sie noch ändern müssen. Auf diese Weise können wir alle zu einer datenschutzgerechten Welt beitragen.

„Wir sind 100% compliant", hören wir manchmal. Obwohl es sogar eine ganze Menge Arbeit ist theoretisch zu verstehen, was das bedeutet, ist es praktisch noch schwieriger, dies zu erreichen. Zu denken, dass Sie 100% compliant sind, kann eine Falle sein, denn die Einhaltung der geltenden Datenschutzgesetze und -vorschriften ist ein kontinuierlicher Prozess und kein einmaliger Vorgang.

Aber warum?

Weil sich Organisationen ständig verändern. So werden beispielsweise neue Funktionen mit angepasstem Zugriff auf verschiedene Systeme hinzugefügt, neue Marketingkampagnen gestartet oder die Lohn- und Gehaltsabrechnung nach längerer Überlegung an einen Auftragsverarbeiter ausgelagert. Die Verarbeitung personenbezogener Daten ändert sich daher ständig, wobei die Verfahren und Unterlagen entsprechend angepasst werden müssen. Überlegen Sie, die Datenschutzerklärung und das Verzeichnis der Verarbeitungstätigkeiten zu aktualisieren oder einen Verarbeitungsvertrag abzuschließen.

Nicht nur Unternehmen verändern sich, sondern auch die Welt um sie herum. Und damit meinen wir insbesondere den technologischen Fortschritt, so wie Big Data, neue Funktionen für die Website und die Vernetzung digitaler Geräte. Dies bedeutet, dass das Unternehmen die Sicherheitsmaßnahmen regelmäßig überprüfen muss, um festzustellen, ob sie noch angemessen sind.

Daher ist es wichtig, ein Bewusstsein zu schaffen, das zur Aufgabe des Mitarbeiters passt und mit der Firmenpolitik und den Sicherheitsvorkehrungen übereinstimmt. Die Einrichtung eines Sensibilisierungsprogramms kann dazu beitragen.

Für weitere Informationen zur Datenschutzsensibilisierung kontaktieren Sie uns gerne!

In enger Partnerschaft mit der weltweit größten Vereinigung von Datenschutzexperten, der International Association of Privacy Professionals (IAPP), bietet Privacy Company ab Mai 2019 deutsch- und englischsprachige Datenschutz-Schulungen an.

Privacy Company und die IAPP glauben daran, dass wir gemeinsam mit Wissen und Ressourcen zum Thema Datenschutz die personenbezogenen Daten aller Menschen besser schützen können. Daher freuen wir uns sehr, wenn wir unser Praxiswissen zu internationalem Datenschutz in einer individuell gestalteten Schulung weitergeben können.

Die Zertifizierungen Certified Information Privacy Professional/Europe (CIPP/e) und Certified Information Privacy Manager (CIPM) richten sich besonders an Mitarbeiter und Datenschutzbeauftragte international tätige Organisationen, die Wissen zur gesamteuropäischen Gesetzeslage und Best Practices für ihre Arbeit in der Datenschutzcompliance benötigen. CIPP/e und CIPM sind weltweit akkreditierte Datenschut-Zertifizierungen. Mit diesen Zertifizierungen sind Sie einzigartig gerüstet, um die DSB-Anforderungen der DSGVO zu erfüllen.

Nächste Schulungstermine in Berlin: 6.-7. Mai 2019 (CIPP/e) und 8.-9. Mai 2019 (CIPM).

Unsere zertifizierten IAPP-Trainer liefern Ihnen alle relevanten Informationen für die Rolle des Datenschutzexperten und die IAPP-Prüfungen. Unsere Trainer erklären den europäischen und nationalen Datenschutz und die Umsetzung des Datenschutzes in verständlicher Form. Wir aktualisieren ständig unsere Schulungen und Materialien, um die neuesten Entwicklungen und Best Practices beim Datenschutz und den IAPP-Zertifizierungsprüfungen zu berücksichtigen. Erfahren Sie mehr über unsere Trainer hier.

Wir bieten die folgenden Trainingspakete an:

2-tägige CIPP/E-Schulung
Die europäische Norm für Datenschutzexperten. Der Erwerb einer CIPP/E-Zertifizierung zeigt, dass Sie über das umfassende DSGVO-Wissen, die Perspektive und das Verständnis verfügen, um den Erfolg von Compliance und Datenschutz sicherzustellen.

2-tägige CIPM-Schulung
Die erste und einzige Zertifizierung im Bereich des Datenschutzmanagements. Mit der CIPM Zertifizierung zeigen Sie, dass Sie nicht nur die Datenschutzbestimmungen kennen, sondern auch wissen, wie Sie es für Ihr Unternehmen umsetzen können.

4 Tage GDPR-Ready Schulung
Kombinieren Sie die Kenntnisse aus dem CIPP/E- und CIPM-Training und lernen Sie alles, was Sie über Datenschutzmanagement und Gesetzgebung wissen müssen.

Sichern Sie sich Ihren Platz hier.

Wollen Sie mehr über alle angebotenen Zertifizierungen und Termine erfahren? Klicken Sie hier.

Privacy Company betreut seine Kunden und Partner in Europa und welweit von unseren Büros in Den Haag, Berlin und Zagreb aus.

Die Niederländische Datenschutzbehörde hat am 31. Januar ihren ersten Newsletter (Niederländisch) für Datenschutzbeauftragte (DSBs) veröffentlicht. Der Newsletter geht unter anderem kurz auf ein Missverständnis rund um die DSBs ein.

Ein sehr häufiges Missverständnis, das immer wieder diskutiert wird, ist die Annahme, dass der DSB für die Einhaltung der Datenschutzbestimmungen verantwortlich ist. Diese Verantwortung liegt aber bei dem höheren Management. Die Aufgabe der DSB besteht vielmehr darin, sicherzustellen, dass die Organisation auf dem richtigen Weg ist, und Rat und Tat zur Verfügung zu stellen, um auf eine datenschutzfreundliche Organisationskultur hinzuarbeiten. In diesem Blog werde ich auf ein weiteres Missverständnis über DSBs eingehen, nämlich die Notwendigkeit einer Zertifizierung.

Immer öfter treffen Sie im Internet auf teure Schulungen für zertifizierte DSBs oder Stellenangebote, bei denen eine der Jobanforderungen für den Kandidaten darin besteht, dass er ein zertifizierter DSB ist. Es ist allerdings eher irreführend, wenn Programme mit "zertifizierten DSBs" werben. Das liegt daran, dass es sich um eine Zertifizierung gemäß Artikel 42 der Datenschutz-Grundverordnung (DSGVO) handelt. Die Datenschutzbehörde stellt jedoch in Deutschland keinerlei Zertifikate für DSBs aus und hat keine Kriterien für die Zertifizierung von DSBs durch externe Organisationen oder Weiterbildungseinrichtungen genehmigt. Die Datenschutzbehörde kann dies ebenfalls nicht tun, da die DSGVO-Zertifizierung gemäß Artickel 42 nur für eine Verarbeitung und nicht für Einzelpersonen möglich ist. Die DSGVO stellt die folgenden Anforderungen an die Expertise von DSBs:

• Professionelle Qualifikationen;
• Expertise im Bereich der Gesetzgebung und Praxis in Bezug auf Privatsphäre und Datenschutz;
• Die Fähigkeit, die mit der Position eines DSBs verbundenen Aufgaben zu erfüllen. Zu den Aufgaben des DSBs gehören beispielsweise die Information und Beratung über die Bestimmungen der DSGVO, die Einhaltung dieser Bestimmungen sowie die Beratung und Überwachung der Durchführung einer Datenschutz-Folgenabschätzung (DSFA).

Wenn ein DSB zertifiziert ist, bedeutet dies, dass der DSB einen Kurs mit dem Namen "zertifiziert" besucht hat, oder dass der DSB ein Zertifikat für einen solchen Kurs erhalten hat. Und manchmal bezieht sich die Zertifizierung auf das Bildungsinstitut, das diese Ausbildung angeboten hat. Nur der Zusatz "zertifiziert" sagt aber nichts über die Qualitäten oder Erfahrungen eines DSB aus. Dabei sind es gerade die beruflichen Anforderungen, die bei einem guten Datenschutzbeauftragten eine Rolle spielen. Dort arbeiten viele gute DSBs, die nicht im Besitz eines Zertifikats sind, aber über jahrelange Erfahrung und die erforderlichen Qualitäten verfügen.

Hier sind einige Tipps, die einen Hinweis darauf geben können, ob eine DSB für die Position oder den Beratungsauftrag geeignet ist:

• Schauen Sie sich die Anzahl der Jahre an, in denen ein DSB über umfangreiche Erfahrungen mit Datenschutz verfügt;
• Kenntnisse der Informationssicherheit sind von Vorteil, reichen aber allein nicht aus, um Kenntnisse über den Datenschutz zu erlangen;
• Fragen Sie nach Referenzprojekten, bei denen ein DSB gearbeitet hat;
• Erkundigen Sie sich bei der Firma, die den Service anbietet, um sich ein Bild von deren Kompetenz und Professionalität zu machen.

Die Verfolgung von Personen im (halb-)öffentlichen Bereich über ihr mobiles Gerät - oder die WLAN-Verfolgung - ist laut der Niederländischen Datenschutzbehörde in sehr wenigen Fällen unter strengen Bedingungen erlaubt (Niederländisch). Die MAC-Adresse eines Gerätes wird innerhalb der WLAN-Tracking-Technologie verarbeitet. Eine MAC-Adresse fällt unter persönliche Daten, wenn diese mit anderen (persönlichen) Daten kombiniert wird, die einer Person zugeordnet werden können. Diese Rückverfolgbarkeit ist über die beobachteten Standortdaten des Mobiltelefons möglich. Dabei werden personenbezogene Daten verarbeitet und es gilt die Datenschutz-Grundverordnung (DSGVO). Der vorherige Blogpost beschäftigte sich mit der Frage, welche Bedingungen die DSGVO für Organisationen für die Durchführung von WLAN-Tracking vorschreiben. Dieser Blog erklärt, wie Unternehmen Datenschutz bei der Entwicklung von Tracking-Techniken, wie z.B. WLAN-Tracking, berücksichtigen sollten, die auf dem Prinzip des "Datenschutzes durch Technikgestaltung" oder auch "Privacy by Design" basieren.

Was ist Datenschutz durch Technikgestaltung?

Die DSGVO verlangt, dass Unternehmen Datenschutz von Anfang an berücksichtigen müssen. Das bedeutet, dass Unternehmen bereits im Designprozess eines Produktes oder eineer Dienstleistung überlegen müssen, wie sie die Privatsphäre der Nutzer ihrer Dienstleistung oder ihres Produkts schützen können. So können Unternehmen beispielsweise personenbezogene Daten anonymisieren oder löschen, sobald sie nicht mehr für den vorgesehenen Zweck benötigt werden. Ein weiteres Beispiel für Privacy by Design ist die Pseudonymisierung personenbezogener Daten als Sicherheitsmaßnahme. Mit Unterstützung des SIDN-Fonds hat Privacy Company ein Framework für Datenschutz durch Technikgestaltung entwickelt. Dieses Framework besteht aus sieben Einheiten, nämlich Datenminimierung, Pseudonymisierung, Verschlüsselung, Zugangskontrolle, standardmäßiger Datenschutz, Sperr- und Aufbewahrungsfristen und Erleichterung der Rechte der betroffenen Personen.

Wie kann Datenschutz durch Technikgestaltung auf WLAN-Tracking angewendet werden?

In der Praxis müssen Organisationen zur Durchführung von WLAN-Tracking kritisch prüfen, welche personenbezogenen Daten tatsächlich für den vorgesehenen Zweck benötigt werden, wie z.B. die Erfüllung einer öffentlichen Aufgabe oder die Generierung von Geschäftsdaten. Je weniger personenbezogene Daten verarbeitet werden, desto besser: select before you collect.

Bei der Anwendung von Wi-Fi-Tracking oder ähnlichen Tracking-Techniken können verschiedene Techniken des Privacy-by-Designs verwendet werden. Welche Techniken eingesetzt werden können, hängt vom Zweck der Verarbeitung ab. Wenn das Ziel darin besteht, Personen zu verfolgen, um ihnen später z.B. aufgrund ihres Einkaufsverhaltens Werbung zu zeigen, können Unternehmen die gesammelten Daten nicht anonymisieren. Was sie als Sicherheitsmaßnahme tun können, ist aber, nur gehashte identifizierende Daten wie MAC-Adressen zu sammeln (Niederländisch).

Wenn der Zweck eingeschränkter ist, z.B. bei der Erfassung von Besucherzahlen, können die zuständigen Organisationen weitere Maßnahmen zum Schutz der Privatsphäre ergreifen. So ist es beispielsweise möglich, die gesammelten Daten nach wenigen Sekunden auf dem Sensor zu statistischen Daten zu aggregieren und diese nur zentral zu speichern. Personenbezogene Daten werden weiterhin auf diese Weise verarbeitet, aber das Risiko einer Verletzung der Privatsphäre ist erheblich eingeschränkt. Für Zwecke, die über die reine Erfassung von Besucherzahlen hinausgehen, sind komplexere Privacy-by-Design-Techniken möglich. Durch den Einsatz von Bloom-Filtern können beispielsweise Messdaten so anonymisiert werden, dass noch Statistiken über den Traffic, den Besucherfluss zwischen den Sensoren und den wiederkehrenden Besuchern möglich sind, während die Wahrscheinlichkeit einer Neuidentifizierung minimal ist (Englisch).

Eine weitere Maßnahme, die eine Organisation ergreifen kann, ist die Einspeicherung der Aufbewahrungsfrist der Daten in der Software, so dass die Daten nach einer bestimmten Zeit automatisch gelöscht werden. Um die DSGVO einzuhalten, muss die Organisation die Aufbewahrungsfrist in jedem Fall in der Privacy Policy und/oder im Auftragsverarbeitungsvertrag festhalten. Die Niederländische Datenschutzbehörde weist darauf hin, dass Organisationen personenbezogene Daten nur für einen begrenzten Zeitraum speichern dürfen, sofern dies für die Zwecke des WLAN-Trackings erforderlich ist (Niederländisch). Beispielsweise können Unternehmen die Tracking-Daten innerhalb ihrer Filialen für maximal 24 Stunden speichern.

Wenden Sie Datenschutz durch Technikgestaltung an, um WLAN-Tracking sicherer zu gestalten!

Durch den Schutz des Prinzips Datenschutz durch Technikgestaltung kann ein Trackingunternehmen Statistiken auf der Grundlage von WLAN-Signalen mit minimalen Auswirkungen auf die Privatsphäre der betroffenen Personen erstellen. Wenn eine Anonymisierung technisch nicht möglich ist, können Unternehmen auch Pseudonymisierungstechniken einsetzen, um personenbezogene Daten besser zu schützen. Wenn Sie Hilfe bei der Anwendung von Datenschutz durch Technikgestaltung benötigen, kontaktieren Sie uns gerne.

Im Dezember 2018 stellte die Niederländische Datenschutzbehörde klar, dass die Zählung von Besucherzahlen in (halb-)öffentlichen Bereichen mit Tracking-Technologien nur unter sehr strengen Bedingungen erlaubt ist (auf Niederländisch). Als Ergebnis dieses Richtlinie haben eine Reihe von Gemeinden das WLAN-Tracking im Stadtzentrum vorübergehend eingestellt. Ein Trackingunternehmen hat ebenfalls angekündigt, dass es aufhören wird, WLAN-Tracking als Service anzubieten. Anfang Januar hat eine Gemeinde, die Besucher über WLAN-Tracking verfolgt, das Tracking jedoch wieder aufgenommen.

In diesem Blog erklären wir, warum die Datenschutz-Grundverordnung (DSGVO) auch für WLAN-Tracking gilt, wie die Rollen Verantwortlicher und Auftragsverarbeiter verteilt sind und nach welchen Prinzipien Organisationen Einspruch einlegen können, wenn sie WLAN-Tracking nutzen wollen.

Was ist WLAN-Tracking und welche personenbezogenen Daten werden in der WLAN-Tracking-Technologie verarbeitet?

WLAN-Tracking bedeutet, dass mit Hilfe des Signals von mobilen Geräten Menschen verfolgt werden können. WLAN-Tracking ist "simpel", da das Telefon nicht mit einem WLAN-Netzwerk verbunden sein muss, um von einem Sensor verfolgt zu werden. Mobile Geräte übertragen kontinuierlich WLAN-Signale, um sich mit einem WLAN-Hotspot zu verbinden. Der Sensor empfängt die WLAN-Signale vom Telefon. Diese Signale enthalten die MAC-Adresse des Telefons. Dadurch ist das Telefon von anderen Geräten unterscheidbar. Der Sensor verarbeitet die MAC-Adresse in Kombination mit anderen Daten, nämlich der Signalstärke des registrierten WLAN-Signals des Gerätes, dem Standort des Telefons, dem Datum und der Uhrzeit der Messung. Basierend auf diesen Daten kann man Informationen über die Anzahl der Geräte innerhalb der Reichweite des Sensors und das Bewegungsverhalten von Personen erlangen. Auf diese Weise generieren Unternehmen wirtschaftliche Daten über das Einkaufsverhalten und die Bewegungsflüsse in bestimmten Bereichen (auf Englisch).

Eine MAC-Adresse wird in dem Moment zu personenbezogenen Daten, wenn sie mit anderen (persönlichen) Daten kombiniert wird, die auf eine Person zurückgeführt werden können. Diese Rückverfolgbarkeit ist über die beobachteten Standortdaten des Mobiltelefons möglich. Die gemeinsamen europäischen Datenschutzbehörden (ehemals Artikel 29 Arbeitsgruppe) haben diese Position in der Beratung 13/2011 zum Geolokalisierungsdienst und zu intelligenten mobilen Geräten weiter ausgearbeitet (auf Englisch).

Wer ist Verantwortlicher, wer ist Auftragsverarbeiter im Falle von WLAN-Tracking?

Der Datenverantwortliche bestimmt, zu welchem Zweck und mit welchen Mitteln die Daten verarbeitet werden. Der Auftragsverarbeiter ist derjenige, der personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet. Im Rahmen des WLAN-Tracking kann dies von Fall zu Fall unterschiedlich sein. Regierungsstellen und Unternehmen übernehmen verschiedene Rollen. Dabei sind mehrere Fallkonstellationen möglich. Der für die Verarbeitung Verantwortliche muss mit dem Auftragsverarbeiter einen Auftragsverarbeitungsvertrag abschließen, um sicherzustellen, dass die verarbeiteten personenbezogenen Daten nicht für andere Zwecke (wieder) verwendet werden. Zum Beispiel beauftragt eine Gemeinde ein Trackingunternehmen, um die Teilnehmer bei einer Veranstaltung zu verfolgen. Gemäß dem Auftragsverarbeitungsvertrag darf das Unternehmen diese Daten nur zu diesem Zweck erheben und nicht für eigene Zwecke (wieder) verwenden. In diesem Fall ist die Gemeinde die für die Verarbeitung verantwortliche Partei und das Trackingunternehmen der Auftragsverarbeiter. Es kann aber auch umgekehrt sein. Verarbeitet das Trackingunternehmen die Daten auch für eigene Zwecke, wie z.B. die Erstellung von Statistiken oder die Entwicklung anderer Dienstleistungen, so können das Unternehmen und die Kunden (z.B. die Gemeinde) gemeinsam für die Verarbeitung verantwortlich sein. Dann sind sie gemeinsam für den Schutz der Privatsphäre der Beteiligten wie Shopbesucher und Passanten verantwortlich.

Grundlage für die Verarbeitung von MAC-Adressen und Standortdaten

Im Sinne der DSGVO muss der für die Verarbeitung Verantwortliche über eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten verfügen. Dies gilt auch, wenn ein Unternehmen personenbezogene Daten mittels WLAN-Tracking verarbeitet. In Artikel 6 Absatz 1 führt die DSGVO sechs mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten auf:

1. Der Betroffene stimmt der Verarbeitung für bestimmte Zwecke zu.
2. Die Verarbeitung ist für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich.
3. Die Verarbeitung ist notwendig, um einer gesetzlichen Verpflichtung des für die Verarbeitung Verantwortlichen nachzukommen.
4. Die Verarbeitung ist nur in lebensbedrohlichen Situationen zum Schutz der lebenswichtigen Interessen der betroffenen Person erforderlich.
5. Die Datenverarbeitung ist notwendig für die Erfüllung einer Aufgabe, die im öffentlichen Interesse oder in Ausübung eines öffentlichen Amtes ausgeübt wird.
6. Die Verarbeitung der Daten ist für das berechtigte Interesse der Organisation oder des Dritten, an den die Daten weitergegeben werden, erforderlich.

Nicht jede Grundlage kann für die Verarbeitung von MAC-Adressen und Standortdaten im WLAN-Tracking gelten. Die Prinzipien unter 3 und 4 können nicht angewendet werden, da es keine gesetzliche Verpflichtung gibt, Menschen über WLAN-Tracking zu verfolgen, und weil mit WLAN-Tracking in akuten Notfällen keine Leben gerettet werden können. Die relevanten Rechtsgrundlagen werden im Folgenden näher erläutert.

Will sich die verantwortliche Stelle auf die Einwilligung (§ 6 Abs. 1 a DSGVO) berufen, muss die betroffene Person derjenigen Partei, die sie über WLAN-Signale verfolgen will, ihre vorherige Zustimmung erteilen können. Diese Einwilligung ist nur gültig, wenn die betroffene Person diese freiwillig gibt und wenn ihre Einwilligung auf spezifischen Informationen beruht, ohne dass Unklarheiten bestehen. Es ist jedoch ziemlich schwierig, einen Passanten im Voraus um Erlaubnis zu bitten. Der Tracking-Sensor macht keinen Unterschied zwischen dem Telefonbesitzer, der sich bereit erklärt hat und dem, der nicht mittels WLAN-Tracking verfolgt werden möchte. Um eine legitime Einwilligung zu erhalten, müssen das Trackingunternehmen oder der Kunde die betroffenen Personen ordnungsgemäß über die Verarbeitung der MAC-Adressen und anderer Telefondaten informieren. Aber das Aufhängen von Informationschildern reicht nicht aus. Kurz gesagt, die Grundlage "Erlaubnis der betroffenen Person einholen" bietet in der Regel keine gute Grundlage für das WLAN-Tracking, da es in der Praxis schwierig ist, vorab eine Erlaubnis von zufälligen Passanten oder Käufern einzuholen.

Die Grundlage der Verarbeitung auf der Grundlage einer Vereinbarung (Art. 6 Abs. 1 lit. b DSGVO) ist auch in diesem Zusammenhang nicht anwendbar, da Kaufleute und Kommunen keine Vereinbarungen mit zufälligen Passanten oder dem Einkaufspublikum haben.

Nur Verwaltungsbehörden können die Verarbeitung personenbezogener Daten auf die Notwendigkeit stützen, eine Aufgabe im öffentlichen Interesse oder in Ausübung eines öffentlichen Amtes zu erfüllen (Artikel 6 Absatz 1 Buchstabe DSGVO). Verwaltungsbehörden können WLAN-Tracking nutzen, wenn es wirklich notwendig ist, eine öffentliche Aufgabe zu erfüllen. Es reicht daher nicht aus, dass die Verarbeitung für die Erfüllung einer öffentlichen Aufgabe, wie z.B. die Aufrechterhaltung der öffentlichen Ordnung oder die Möglichkeit, datengesteuerte Entscheidungen über die Gestaltung von Einkaufsgebieten zu treffen, "praktisch" ist. Die Verwaltungsbehörde muss nachweisen können, dass die Verletzung der Privatsphäre notwendig ist. Dabei müssen die Verantwortlichen, wie bei der Grundlage des berechtigten Interesses, diese im Lichte der Grundsätze der Verhältnismäßigkeit und Subsidiarität bewerten. Das bedeutet, dass Sie sich fragen müssen, ob eine solche Verarbeitung wirklich notwendig ist, d.h. ob Sie nicht zu viele oder zu sensible Daten verarbeiten, und ob Sie die Daten nicht auf andere Weise erheben können, bei der Sie die Privatsphäre der betroffenen Personen nicht oder weniger schädigen.

Die Förderung des legitimen Interesses (Grund 6) der Organisation kann auch als Grundlage für die Verarbeitung von MAC-Adressen im WLAN-Tracking dienen. Diese Grundlage ist für Verwaltungsbehörden bei der Erfüllung einer öffentlichen Aufgabe nicht geeignet, jedoch für Unternehmen. So kann beispielsweise ein Vermieter von Einzelhandelsflächen ein berechtigtes Interesse daran haben, betriebswirtschaftliche Informationen über die Anzahl der Besucher pro Markt im Laufe der Zeit zu sammeln. Das Unternehmen muss dieses Interesse jedoch mit den Interessen der Shop-Besucher und Passanten abwägen. Nach Angaben der Niederländischen Datenschutzbehörde können kommerzielle Zwecke keinem berechtigten Interesse dienen, wenn es darum geht, Personen im öffentlichen Raum zu folgen (auf Niederländisch). Die Behörde schreibt (in einem öffentlichen Statement über Kameras in Werbeflächen):

"Eine privatrechtliche Person wird nicht so schnell eine Grundlage für die Verarbeitung personenbezogener Daten im öffentlichen Raum haben, die kein Privateigentum sind, ohne die Zustimmung oder den Vertrag mit einer betroffenen Person über Kameras in Werbeflächen. Denn privatrechtliche Personen haben dort grundsätzlich keine Autorität, und die Verarbeitung personenbezogener Daten im öffentlichen Raum ohne Erlaubnis und/oder Vertrag liegt in erster Linie in der Verantwortung der (gesetzgebenden) Regierung oder muss durch diese ermöglicht worden sein."

Die Frage ist, ob diese Bewertung Bestand haben wird, wenn ein Trackingunternehmen oder eine andere verantwortliche Person, die die Dienste eines Trackingunternehmens in Anspruch nimmt, rechtliche Schritte dagegen einleiten würde.

Die Artikel-29-Gruppe gibt eine klare Erklärung ab, dass Verarbeitungsvorgänge schnell den Test des berechtigten Interesses bestehen können, sofern sie nicht im Widerspruch zu Gesetzen und Vorschriften stehen (auf Englisch). Daher kann ein kommerzielles Interesse in der Tat ein berechtigtes Interesse sein. Viel wichtiger sind die folgenden beiden Teile: ob die Verarbeitung proportional ist und ob die Verarbeitung im Einzelfall bestimmten Personen nicht zu viel schadet. Im letzteren Fall müssen Sie Maßnahmen ergreifen, um dies zu verhindern.

Das Trackingunternehmen kann die negativen Folgen für die Beteiligten minimieren, indem es beispielsweise die Messdaten sofort auf dem Sensor anonymisiert. Darüber hinaus erscheint die Unterscheidung, ob es sich um einen privaten oder öffentlichen Raum handelt, eher willkürlich. So sind beispielsweise Bahnhöfe und Einkaufszentren in der Regel in Privatbesitz. Es erscheint unproportional, dass diese Parteien ein berechtigtes Interesse an der Nutzung von WLAN-Tracking haben sollten.

Kurz gesagt, die DSGVO gilt auch für WLAN-Tracking, da personenbezogene Daten (einschließlich MAC-Adressen von mobilen Geräten) verarbeitet werden. Darüber hinaus können im Rahmen des WLAN-Tracking der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter von Fall zu Fall unterschiedlich sein, da mehrere Fallkonstellationen möglich sind. Hierbei ist für die Bewertung wichtig, welche Partei die Mittel und die Verarbeitungszwecke bestimmt.

In unserem folgenden Blog erklären wir, welche Prinzipien von Datenschutz durch Technikgestaltung (Privacy by Design) für das Design einer Tracking-Technik wie WLAN-Tracking gelten können. Mit Hilfe von Datenschutz durch Technikgestaltung kann ein Trackingunternehmen Statistiken auf der Grundlage von WLAN-Signalen mit minimalen Auswirkungen auf die Privatsphäre der Beteiligten erstellen. Benötigen Sie unterstützung bei diesen oder anderen Themen, zögern Sie nicht, uns zu kontaktieren!

Während der allgemeine Eindruck in vielen Unternehmen ist, dass die DSGVO seit ihrem Inkrafttreten am 25. Mai 2018 nur schleppend angelaufen ist, scheint es, dass mehrere europäische Datenschutzbehörden im Stillen an einigen Bußgeldern gearbeitet haben: Der Tech-Riese Google wurde diese Woche mit einer Rekordstrafe von 50 Millionen Euro für Verstöße gegen die DSGVO abgestraft.

Unzureichende Zustimmungsrichtlinien

Die französische Datenschutzbehörde CNIL hat die Geldbuße am 21. Januar wegen "mangelnder Transparenz, unzureichender Informationen und mangelnder gültiger Zustimmung zur Personalisierung der Anzeigen" erlassen, wie sie in ihrem Statement sagte. Die CNIL klagt an, dass Google seinen Nutzern nicht genügend Informationen über ihre Einwilligungsrichtlinien zur Verfügung gestellt hat. Nach der DSGVO müssen die Nutzer eine spezifische, informierte und ausdrückliche Zustimmung erteilen, bevor Unternehmen ihre Daten erfassen dürfen. Dies bedeutet, dass die Zustimmung in den meisten Fällen durch ein Opt-in und nicht durch ein Opt-out-Verfahren durch den Nutzer erfolgen muss. Laut CNIL wurde der daraus resultierende DSGVO-Verstoß von Google bisher nicht behoben.

Die Geldbuße gilt als die größte Geldstrafe, die jemals für eine Verletzung der Datenschutzbestimmungen in Europa verhängt wurde. Allerdings hat CNIL Google nicht mit der laut DSGVO möglichen maximalen Geldstrafe von 4% des jährlichen weltweiten Umsatzes belegt.

Google kündigte an, die Entscheidung der CNIL vor dem Staatsrat, dem höchsten Verwaltungsgericht Frankreichs, anzufechten. Dieses Verfahren wird weitere Einblicke in die Auslegung der Zustimmung des Technologieunternehmens nach der DSGVO geben.

"Wir haben hart daran gearbeitet, einen DSGVO-Zustimmungsprozess für personalisierte Anzeigen zu schaffen, der so transparent und unkompliziert wie möglich ist, basierend auf regulatorischen Vorgaben und User Experience Tests. Wir sind auch besorgt über die Auswirkungen dieser Entscheidung auf Verlage, Autoren von Originalinhalten und Technologieunternehmen in Europa und darüber hinaus. Aus all diesen Gründen haben wir uns nun entschieden, Berufung einzulegen",

sagte ein Google-Sprecher in einem Statement an politico.eu (Englisch). Dies ist jedoch nicht die einzige Untersuchung einer Datenschutzbehörde gegen Google - sieben Verbraucherschutzorganisationen aus ganz Europa haben Klagen wegen DSGVO-Verletzungen im Zusammenhang mit Googles Praktiken zur Verfolgung von Nutzerstandorten (Englisch) gegen das Unternehmen eingereicht.

Erste Schlussfolgerungen

Trotz des anhängigen Gerichtsverfahrens, das noch eine Weile dauern kann, können wir bereits einige Lehren aus diesem Fall ziehen:

1. Zeitrahmen

Die Beschwerde wurde am 25. Mai eingereicht, als die DSGVO in Kraft trat. Aufgrund des Status von Google als eines der weltweit wichtigsten Technologieunternehmen können wir davon ausgehen, dass die Beschwerde von der CNIL priorisiert bearbeitet wurde. Dennoch verhängte die CNIL die Geldbuße erst Anfang dieser Woche - was auf eine Bearbeitungszeit von etwa 8 Monaten für hochkarätige DSGVO-Beschwerden hinweist. Dies könnte bedeuten, dass die Geldbuße gegen Google nur der Anfang ist und die Datenschutzbehörden auf viele bereits vor Monaten gemeldete DSGVO-Verletzungen mit Bußgeldern reagieren werden.

2. Art der Verletzung

Wie bereits erwähnt, wurde die Geldbuße mangels einer spezifischen, informierten und ausdrücklichen Zustimmung, wie sie nach der DSGVO erforderlich ist, verhängt. Die Einwilligung ist eines der Rechte von betroffenen Personen und, die Strafe für diese Art der DSGVO-Verletzung daher hebt die nach den Datenschutzgesetzen zu schützenden Interessen des Nutzers hervor. Die verhängte Geldbuße macht deutlich, dass eine Bewertung durch die Datenschutzbehörden davon abhängt, ob der Nutzer die Richtlinien eines Unternehmens erwartet und versteht. Unternehmen sollten die Rechte der betroffenen Personen als eines der Hauptanliegen betrachten, wenn sie über Compliance nachdenken.

3. Höhe des Bußgeldes

Obwohl bisher nur wenige DSGVO-Bußgelder in Europa verhängt wurden, beschloss die CNIL, eine Rekordstrafe von 50 Millionen Euro zu erlassen. Die Höhe der Geldbuße kann daher darauf hindeuten, dass sich die künftigen Geldbußen der Datenschutzbehörden in Europa an dieser Höhe orientieren werden.

Benötigen Sie Unterstützung bei der Einhaltung der DSGVO, möchten Sie eine Datenschutz-Folgenabschätzung durchführen oder benötigen Sie Ad-hoc-Datenschutzberatung? Kontaktieren Sie uns!

Was ist das größte Risiko von Datenschutzverletzungen am Arbeitsplatz? Der Mensch! Der Verlust von USB-Sticks, der unbefugte Zugriff von Dateien oder das Versenden einer E-Mail an die falsche Person gehören zum Alltag von Unternehmen. Glücklicherweise steht das Datenschutzbewusstsein daher ganz oben auf der Agenda der Datenschutzbeauftragten und DSBs. Leider denken die Menschen oft fälschlicherweise, dass das alles ganz einfach ist. Bei der Sensibilisierung für Datenschutz geht es darum, Verhaltensänderungen umzusetzen, und das ist eine komplexe Herausforderung. In diesem Blog finden Sie eine Erklärung, wie Sie Ihr Datenschutzbewusstsein nutzen können, um Initiativen zur Verhaltensänderung zu steuern.

Veränderung erfordert Aufmerksamkeit

Stellen Sie sich vor: Ihre interne Richtlinie schreibt vor, dass Mitarbeiter nur genehmigte Online-Tools (z.B. SharePoint, nicht Google Drive) verwenden dürfen. Dennoch stellen Sie fest, dass Google Drive häufig verwendet wird. Was können Sie tun, um das zu ändern? Oft ist die erste Reaktion: Es fehlt an Wissen darüber, welche Anwendungen erlaubt sind. Das ist nicht verwunderlich: Der Mangel an Wissen kann sicherlich das wichtigste Problem sein, das angegangen werden muss. Dies kann z.B. durch eine Nachricht über das Intranet gelöst werden. Es ist einfach nicht der einzige Aspekt des Problems, der angegangen werden kann, wenn man eine Verhaltensänderung anstrebt.

Verhalten ist schwer zu ändern. Sobald sich Menschen auf bestimmte Weise festgelegt haben, erfordert es Mühe, es anders zu machen. Wenn eine Abteilung seit Jahren mit Google Drive arbeitet, um Dokumente mit personenbezogenen Daten zu teilen, muss diese Abteilung einen Änderungsprozess durchlaufen. Oft sind die Menschen bereit, sich zu verändern, aber es ist ein Prozess, der nicht zu unterschätzen ist. Es erfordert Geduld, Kenntnis des Verhaltens und Flexibilität sowohl von der Person, die ihr Verhalten ändern will, als auch von der Umwelt.

Wissen, Wollen, Können

Eine Möglichkeit, über Verhaltensänderungen nachzudenken, ist das Verhaltensänderungsmodell von Marcel Balm. Balm beschreibt drei wichtige Aspekte zur Realisierung von Verhaltensänderungen: Wollen, Wissen, Können.

1: Wissen: Du musst wissen, was das neue Verhalten bedeutet.

Jemand muss sich der Tatsache bewusst sein, dass eine Verhaltensänderung gewünscht wird, und es muss klar sein, was diese Änderung bedeutet. Im Falle von genehmigten Online-Anwendungen bedeutet dies, dass die Mitarbeiter wissen müssen, welche Anwendungen sie nicht verwenden dürfen, und vor allem, welche Anwendungen sie verwenden sollten. Die Arbeit am Aspekt des "Wissens" bedeutet, dass man sich auf Kommunikation und Training konzentrieren muss. Beispielsweise können Sie hierfür E-Learning nutzen.

2: Wollen: Du musst dein Verhalten ändern wollen.

Um sicherzustellen, dass Menschen motiviert sind, ihr Verhalten zu ändern, können Sie sich darauf konzentrieren, das Problem diskutierbar zu machen. Der Mitarbeiter muss verstehen, warum es dringend ist. Sie können zum Beispiel erklären, warum Google keine zuverlässige Partei für die Verarbeitung sensibler Daten ist und was die Risiken sind. Wenn die Mitarbeiter in das Gesamtbild einbezogen werden, ist die Wahrscheinlichkeit höher, dass sie von sich aus zur Veränderung motiviert sind. Um diese intrinsische Motivation effektiv zu stimulieren, ist es wichtig, nicht nur in eine Richtung zu kommunizieren, sondern auch in den Dialog zu treten. So können Sie beispielsweise regelmäßig Workshops organisieren, in denen die Diskussion im Mittelpunkt steht.

3: Kann: Du musst in der Lage sein, dein Verhalten zu ändern.

Der dritte Aspekt des Wandels ist die "Fähigkeit". Weil Menschen fehlbar sind - schließlich sind alle manchmal müde oder abgelenkt - kann man Veränderungen nicht allein aus der Perspektive des Menschen angehen. Sie müssen alles tun, um eine Umgebung so einzurichten, dass sich der Mitarbeiter leicht wie gewünscht verhalten kann. Das ist auch die Grundidee des Prinzips "Privacy by Design" bzw. Datenschutz durch Technikgestaltung: Wenn Sie Systeme und Prozesse datenschutzgerecht gestalten, wird es einfach, datenschutzgerecht zu arbeiten. Im Falle einer unerwünschten Nutzung von Google Drive ist es wichtig, dass es eine Alternative gibt, die einfach zu bedienen ist. So hat beispielsweise die UWV dieses Prinzip gut gemeistert (Niederländisch). Als sich herausstellte, dass sie regelmäßig mit Datenlecks aufgrund von Excel-Dateien auf werk.nl zu kämpfen hatten, beschlossen sie, den Versand von Excel-Dateien zu blockieren.

Lernen aus Vorfällen

Menschen sind nicht zuverlässig, so dass Sie sich immer mit Datenlecks und Sicherheitsvorfällen am Arbeitsplatz auseinandersetzen werden müssen. Vorfälle sind auch da, um daraus zu lernen. Leider ist die endgültige Schlussfolgerung einer Vorfallsanalyse oft "es war menschliches Versagen". Menschliches Versagen sollte aber der Anfang einer Analyse sein und nicht das Ende. Wenn Sie Ihr Verhalten nach einem Vorfall ändern wollen, können Sie versuchen, das problematische Verhalten zu verstehen. Auf diese Weise können Sie sehen, welcher Aspekt der Verhaltensänderung am notwendigsten ist (Wollen, Wissen und/oder Können).

Möchten Sie mehr über Privacy by Design zum Thema Datenschutz erfahren? Oder benötigen Sie Hilfe bei einer Vorfallsanalyse oder bei der Gestaltung eines Awareness-Trainings für Ihre Mitarbeiter? Nehmen Sie Kontakt mit uns auf!

Viele Websites haben Google Analytics nicht auf Datenschutzfreundlichkeit eingestellt und fragen daher nicht nach der Erlaubnis für diese Cookies. Dies zeigt sich an einer schnellen Aufklärung, die ich mit Cookies auf 11.309 niederländischen Websites durchgeführt habe. Dies zeigt, dass 3.186 Websites es Google Analytics ermöglichen, Cookies mit dem Doubleclick-Werbenetzwerk von Google zu verknüpfen. Dies ermöglicht es den Besuchern der Website, gezielte Werbung außerhalb der Website zu erhalten. Und das ist nur erlaubt, wenn die Besucher eine gesonderte Erlaubnis hierzu erteilt haben.

Keine Berechtigung für Statistiken

Es ist nicht notwendig, die Besucher um Erlaubnis zu bitten, Webseitenstatistiken zu sammeln. Der Inhaber der Website muss sicherstellen, dass die erhobenen personenbezogenen Daten nur für die eigenen Statistiken der Website verwendet werden.

Die Verfolgung von Besuchern auf mehreren Websites erfordert eine separate Genehmigung. Durch den Abschluss eines Verarbeitungsvertrages kann der Website-Inhaber jedoch vereinbaren, dass der Anbieter des Statistikpakets nur die für ihn erhobenen personenbezogenen Daten verwendet. Der Website-Besitzer kann auch sein eigenes Statistikpaket auf dem Server installieren, wie z.B. Matomo (früher Piwik).

Google Analytics Handbuch

Viele Websites verwenden Google Analytics, um die Statistiken auf dem neuesten Stand zu halten. In dieser Untersuchung habe ich 5550 Websites mit Google Analystics gesehen, das sind 49% der Websites. Die Websites können Google Analytics-Cookies auch ohne gesonderte Erlaubnis verwenden, wenn die Cookies so eingestellt sind, dass keine oder nur geringe Risiken für die Privatsphäre des Website-Besuchers bestehen.

Die niederländische Datenschutzbehörde hat ein gutes Handbuch [pdf] veröffentlicht, mit dem Google Analytics datenschutzgerecht eingerichtet werden kann. Dieses Handbuch erklärt, wie ein Website-Besitzer einen Auftragsverarbeitungsvertrag mit Google abschließen kann, welche verschiedenen Optionen zur Verbesserung der Privatsphäre aktiviert werden können und wie Website-Besucher über die Verarbeitung informiert werden können. Diese Studie zeigt, dass es immer noch viele Websites gibt, die diesem Rat nicht vollständig gefolgt sind.

Recherche durch Privacy Company

Ich habe die Recherche durchgeführt, um mir ein allgemeines Bild über den Einsatz von Online-Tracking-Techniken in den Niederlanden zu machen, und nicht, um einzelne Websites nach Verletzungen zu durchsuchen. Diese Forschung begann mit einer generischen Liste von 1 Million populärer Domainnamen. Ich habe alle (11.309) Domainnamen mit der Endung ".nl" mit einem normalen Webbrowser besucht. Der gesamte Netzwerkverkehr wird in einer Datenbank gespeichert, so dass ich effizient nach Mustern suchen kann. Natürlich habe ich die Webseiten nicht manuell besucht. Ich habe Skripte für den Besuch und die Analyse der Webseiten erstellt.

Tipps für Website-Besitzer

Verwenden Sie Google Analytics? Überprüfen Sie den Traffic Ihrer eigenen Website, um zu sehen, ob Sie versehentlich auf DoubleClick-Traffic stoßen. Möglicherweise haben Sie Google Analytics falsch eingestellt. Um einen ersten Eindruck von den Cookies zu bekommen, können Sie die URL einer Webseite im Cookie-Tool der schwedischen NGO Dataskydd eingeben.

Denken wir jedoch nicht nur an Cookies. Die Techniken zur Benutzerverfolgung verwenden zunehmend Alternativen zu Cookies wie z.B. den Fingerabdruck im Browser. Websites sind komplex und Probleme können an unerwarteten Orten oder Momenten auftreten. So kann es beispielsweise vorkommen, dass ein Cookie nur beim ersten Besuch verwendet wird und daher bei späteren Besuchen nicht mehr wahrgenommen wird.

Im Rahmen unseres Stempelkarten-Beratungspakets unterstützen wir Sie schnell, flexibel und praxisorentiert dabei, Ihre Organisation DSGVO-konform zu machen. So haben Sie einen Ansprechpartner, der jederzeit in allen Datenschutzfragen für Sie da ist - bei voller Kostenkontrolle und transparenter Abrechnung.

Am 21. November 2018 hat die Bußgeldstelle der LfDI Baden-Württemberg gegen einen Social Media Provider eine Geldbuße in Höhe von 20.000,00 EUR wegen Verletzung der in Artikel 32 DSGVO vorgeschriebenen Datensicherheit verhängt. Auch in Österreich gab es bereits erste Bußgelder (in englischer Sprache). Weitere Datenschutzbehörden haben ebenfalls Überprüfungen von Betrieben angekündigt, so zum Beispiel die Bayrische Landesdatenschutzbehörde (BayLDA) für November und Dezember: es sollen Datenschutzverletzungen bei (Unter-)Auftragsverarbeitern sowie fristgerechte Löschen personenbezogener Daten in ERP-Systemen überprüft werden. Daher kann es sich lohnen, noch zum Jahresende Ihre Datenschutzimplementierung überprüfen zu lassen.

Die Leistungen einer solchen Stempelkarte umfassen diese Themengebiete und noch mehr:

Eine Datenschutz-Folgenabschätzung professionell durchführen

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit führte Privacy Company eine Datenschutz-Folgenabschätzung für Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR) durch, bei der Privacy Company festgestellt hat, dass die Nutzung von Office 2016 ein hohes Datenschutzrisiko darstellt. Nach Ankündigungen der Datenschutzbehörden könnten solche Überprüfungen von Dienstleistern, insbesondere solche, die international agieren, stark zunehmen. Eine solche Due-Diligence-Prüfung kann insbesondere für mittlere bis große Unternehmen sowie für Unternehmen mit vielen Verarbeitungstätigkeiten wichtig sein, da diese sich besonders stark auf Auftragsverarbeiter stützen.

Lassen Sie Ihr Verzeichnis der Verarbeitungstätigkeiten überprüfen

Eine der größten Anforderungen der neuen Datenschutz-Grundverordnung (DSGVO) für Unternehmen ist es, ein vollständiges Verzeichnis aller personenbezogenen Daten zu führen, die in ihrer Organisation verarbeitet werden. Artikel 30 der EU-DSGVO enthält eine Liste aller Positionen, die für jede Verarbeitungstätigkeit erfasst werden müssen. Durch den Begriff “Verarbeitungstätigkeit” müssen Sie jedoch selbst interpretieren, wie detailliert dieses Verzeichnis sein soll. Das bedeutet, dass Organisationen selbst entscheiden können, wie genau sie bei der Aufzeichnung ihrer Verarbeitungstätigkeiten vorgehen wollen, was viele Fragen aufwirft. Diese Daten zu sammeln ist an sich schon eine schwierige Aufgabe, aber sie auf dem neuesten Stand zu halten und risikoreiche Situationen zu erkennen, ist eine noch größere Herausforderung.

Wir überprüfen zeit- und kostensparend Ihr Verzeichnis der Verarbeitungstätigkeiten.

Individuelle Fragen

Sie haben konkrete individuelle Fragen, bei denen Sie Hilfe brauchen? Wir beantworten alle Ihre Fragen rund um Datenschutz und Privatsphäre und überprüfen Ihre Datenschutz-Dokumentation.

Kosten

Die Stempelkarte ist flexibel einsetzbar und verbraucht nur dann die gebuchten Stunden, wenn Sie eine konkrete Frage haben oder Hilfestellung benötigen. Es fallen keine passiven oder versteckten Kosten an. Wir bei Privacy Company arbeiten mit voller Transparenz und Kostenkontrolle bei unseren Kunden.

Unsere Stempelkarte umfasst 20 Beratungsstunden zum Preis von € 3.000 exkl. MwSt.

Erfahren Sie mehr über die Stempelkarte oder buchen Sie direkt bei uns!

Im Auftrag des niederländischen Ministeriums für Justiz und Sicherheit führte Privacy Company eine Datenschutz-Folgenabschätzung für Microsoft Office ProPlus (Office 2016 MSI und Office 365 CTR) durch. Mit Zustimmung des Ministeriums veröffentlichen wir diesen Blog über die Ergebnisse. Für Fragen zur Recherche können Sie sich an SLM Rijk (Strategic Vendor Management for Microsoft Office innerhalb des Justizministeriums) wenden, erreichbar über die Pressestelle des Justizministeriums, +31 070 370 73 45.

Das SLM Rijk führt Verhandlungen mit Microsoft über rund 300.000 digitale Arbeitsplätze der niederländischen Regierung. Die Unternehmensversion der Office-Software wird von verschiedenen Regierungsorganisationen wie Ministerien, Justiz, Polizei und Finanzämtern eingesetzt.

Die Ergebnisse unserer Datenschutz-Folgenabschätzung (DSFA) sind alarmierend. Microsoft sammelt und speichert personenbezogene Daten über das Verhalten einzelner Personen in großem Umfang ohne jegliche öffentliche Dokumentation. Der vom Ministerium veröffentlichte DSFA-Bericht (in englischer Sprache) ist hier verfügbar.

Seit letzter Woche stellt SLM Rijk mit Hilfe von Microsoft ein Paket von Institutionen für Administratoren bei staatlichen Institutionen zur Verfügung, um die Emission von personenbezogenen Daten zu reduzieren (Zero Exhaust Settings). Microsoft hat sich bei der Umsetzung dieser DSFA verpflichtet, weitere wichtige Maßnahmen zur Risikominderung zu ergreifen.

Office 2016 und Office 365

Die meisten Regierungsorganisationen in den Niederlanden verwenden Versionen von Office 2016 und Office 365 (oder noch ältere Versionen), die auf den Computern der Regierungsmitarbeiter installiert sind. Die Organisationen speichern die Inhaltsdaten lokal in ihren eigenen Rechenzentren (vor Ort). Aber das wird sich ändern. SLM Rijk führt einen Pilotprojekt mit Datenspeicherung in der Microsoft Cloud, in SharePoint und in OneDrive durch. Es gibt auch einen Test mit der reinen Web-Version von Office 365, bei dem die Software nicht mehr auf den Endgeräten installiert ist. Auch in den aktuellen Einstellungen sammelt Microsoft Daten über die individuelle Nutzung der Software.

Groß angelegte und verdeckte Erhebung personenbezogener Daten

Microsoft sammelt systematisch und in großem Umfang Daten über die individuelle Nutzung von Word, Excel, PowerPoint und Outlook. Und das heimlich, ohne die Leute zu informieren. Microsoft bietet keine Wahl in Bezug auf die Datenmenge, die Möglichkeit, die Sammlung auszuschalten, oder die Möglichkeit, zu sehen, welche Daten gesammelt werden, da der Datenstrom verschlüsselt ist. Ähnlich wie bei Windows 10 hat Microsoft in die Office-Software eine separate Software integriert, die regelmäßig Telemetriedaten an ihre eigenen Server in den USA sendet. Microsoft sammelt beispielsweise Informationen über Ereignisse in Word, wenn Sie die Rücktaste mehrmals hintereinander verwenden, was wahrscheinlich bedeutet, dass Sie die korrekte Schreibweise nicht kennen. Aber auch der Satz vor und nach einem Wort, den Sie im Online-Rechtschreibprüfung oder Übersetzungsdienst nachschlagen. Microsoft sammelt nicht nur Nutzungsdaten über den eingebauten Telemetrie-Klienten, sondern erfasst und speichert auch die individuelle Nutzung von Connected Services. Wenn Benutzer beispielsweise über die Office-Software auf einen Connected Service wie den Übersetzungsdienst zugreifen, kann Microsoft die personenbezogenen Daten über diese Nutzung in sogenannten systemseitig generierten Ereignisprotokollen speichern.

Unterschied zwischen Inhalts-, Diagnose- und Funktionsdaten

Microsoft bietet Dienste über das Internet an. Aus technischer Sicht ist es unvermeidlich, dass Sie Microsoft Daten wie die Betreffzeile Ihrer E-Mail und Ihre IP-Adresse zur Verfügung stellen müssen, um die Dienste nutzen zu können. Microsoft sollte diese transienten, funktionalen Daten jedoch nicht speichern, es sei denn, die Speicherung ist unbedingt erforderlich, z.B. für Sicherheitszwecke.
In diesem DSFA-Bericht werden die von Microsoft über Office ProPlus erfassten Daten in drei Kategorien eingeteilt:

1. Inhaltsdaten: der Inhalt von Dateien und Kommunikation, die Sie in Ihrem eigenen Rechenzentrum oder auf Cloud-Computern von Microsoft speichern.
2. Funktionale Daten: Die Daten, die Sie über das Internet übertragen müssen, um sich mit den Internetdiensten von Microsoft verbinden zu können.
3. Diagnosedaten: die Daten, die Microsoft zur Analyse der Nutzung der Dienste speichert.

In dem Bericht verwendet Privacy Company diese drei Datenkategorien in Analogie zur Aufteilung der Kommunikationsdaten im ePrivacy-Gesetz in Europa. Diese Gesetzgebung unterscheidet zwischen (i) Inhalten, (ii) Verkehrs-/Ortsdaten, die bei der Nutzung der Kommunikationsdienste entstehen, und (iii) Daten, die für die Übertragung der Kommunikation unbedingt erforderlich sind, aber unmittelbar danach gelöscht oder anonymisiert werden müssen.

Microsoft betont, dass das Unternehmen diese Kategorien nicht verwendet. Microsoft verwendet unter anderem die Kategorien "Kundendaten" und "Persönliche Daten". Microsoft verwendet den Begriff "Diagnosedaten" nur für die spezifischen Telemetriedaten, die über den eingebauten Software-Client in der lokal installierten Office-Software gesammelt werden.

23.000 bis 25.000 Arten von Ereignissen

Microsoft bietet (noch) keine Möglichkeit, den Inhalt des Diagnosedatenstroms zu überprüfen. Microsoft hat erklärt, dass 23.000 bis 25.000 Arten von Ereignissen an die Server von Microsoft gesendet werden und dass 20 bis 30 Ingenieurteams mit diesen Daten arbeiten. Die Ingenieure können mit Office ProPlus von allen Computern aus dynamisch neue Ereignisse zum Datenstrom hinzufügen. Diese Datensammlung ist viel spezifischer als die in der Windows 10 Telemetrie. Wenn die Telemetrie unter Windows 10 auf "voll" eingestellt ist, handelt es sich um 1.000 bis zu 1.200 Arten von Ereignissen - und 10 Ingenieurteams. Die niederländische Datenschutzbehörde führte 2017 eine Untersuchung der Verarbeitung von Telemetriedaten in der Verbraucher- und Kleinunternehmerversion von Windows 10 (Home und Pro) durch.

Die niederländische Datenschutzbehörde kam zu dem Schluss, dass Microsoft in vielerlei Hinsicht gegen das Datenschutzrecht verstößt, unter anderem durch mangelnde Transparenz und Zweckbindung sowie das Fehlen einer Rechtsgrundlage für die Verarbeitung.

Als Reaktion auf diese Untersuchung nahm Microsoft im Frühjahr 2018 einige Anpassungen an der Software vor. Die niederländische Datenschutzbehörde kam zu dem Schluss (vor der eigentlichen Veröffentlichung der Software, Pressemitteilung nur auf Niederländisch), dass der von Microsoft vorgelegte Verbesserungsplan alle Verstöße beenden würde. Die niederländische Datenschutzbehörde hat die Datenverarbeitung über die Office-Software nicht untersucht.

Microsoft als (gemeinsamer) Controller und nicht als Auftragsverarbeiter

Microsoft bestimmt den Zweck der Verarbeitung der Diagnosedaten in der Office-Software und die Aufbewahrungsfrist der Daten (30 Tage bis zu 18 Monate, wenn Microsoft es für notwendig hält, sogar länger). Der DSFA-Bericht zeigt, dass Microsoft die Diagnosedaten für 7 Zwecke verarbeitet - sowie für alle anderen Zwecke, die Microsoft für mit diesen Zwecken vereinbar hält. Da Microsoft die Zwecke und Mittel (der Aufbewahrungsfrist) bestimmt, fungiert Microsoft als Controller und nicht als Auftragsverarbeiter.

Die 7 Ziele sind:

1. Sicherheit (Identifizierung und Minimierung von Sicherheitsbedrohungen und -risiken so schnell wie möglich durch Updates von Office ProPlus-Anwendungen und Korrektur von verbundenen Diensten)
2. Aktualität (Bereitstellung und Installation der neuesten Updates für die Office ProPlus-Anwendungen ohne Beeinträchtigung der Benutzerfreundlichkeit)
3. Richtigkeit (Identifizierung und Minimierung von Anomalien, "Bugs" und anderen Produktproblemen so schnell wie möglich durch Updates der Office ProPlus-Anwendungen und Korrektur von verbundenen Diensten).
4. Produktentwicklung (neue Funktionen hinzuzufügen)
5. Produktinnovation (Business Intelligence, Entwicklung neuer Dienstleistungen)
6. Allgemeine Schlussfolgerungen aus der Langzeitanalyse, Unterstützung des maschinellen Lernens
7. Gezielte Empfehlungen auf dem Bildschirm für den Benutzer anzeigen
8. Ziele, die Microsoft für kompatibel mit diesen 7 Zielen hält.

Die Office ProPlus Software umfasst eine Reihe von Internetdiensten. Microsoft bietet aber auch so genannte "freiwillige" Connected Services an, wie z.B. die Online-Rechtschreibprüfung und den Übersetzungsdienst. Microsoft versteht sich als Datenverantwortlicher bei der Nutzung dieser verbundenen Dienste und verarbeitet die personenbezogenen Daten über die Nutzung dieser Dienste für alle 12 Verarbeitungszwecke, die in seiner allgemeinen Datenschutzerklärung zu finden sind.

Hohe Datenschutzrisiken für die betroffenen Personen

Der DSFA-Bericht enthält eine ausführliche Beschreibung von 8 hohen Datenschutzrisiken für die betroffenen Personen. Die Regierungsorganisationen, die Office nutzen, sollten jedoch selbst bestimmen, was die spezifischen Risiken sind, basierend auf den spezifischen personenbezogenen Daten, die sie verarbeiten. Dieser DSFA-Bericht soll dabei unterstützen, kann diese Analyse jedoch nicht ersetzen.

Während der Erstellung dieses DSFA-Berichts hat Microsoft gegenüber SLM Rijk bereits Zusagen gemacht, wichtige Anpassungen vorzunehmen, um die Risiken zu senken. Microsoft hat Zero-Exhaust-Einstellungen entwickelt. Microsoft beabsichtigt auch, angemessene Informationen bereitzustellen, ein Datenanzeigetool für die Telemetriedaten von Office einzubinden und den Administratoren eine Option zur Verfügung zu stellen, um den gewünschten Grad der Telemetrie zu bestimmen. Darüber hinaus werden SLM Rijk und Microsoft Office gemeinsam an der richtigen Einstufung von Microsoft als (gemeinsamer) Controller oder Auftragsverarbeiter arbeiten.

Einige Restrisiken können gemildert werden, wenn die Regierungsorganisationen die neu entwickelten Einstellungen nutzen, um die Verarbeitung von Telemetriedaten zu minimieren. Es verbleiben jedoch 6 hohe Risiken für die betroffenen Personen:

1. Die rechtswidrige Speicherung sensibler, klassifizierter oder spezieller Datenkategorien, sowohl in Metadaten als auch z.B. in Betreffzeilen von E-Mails.
2. Die falsche Qualifikation von Microsoft als Auftragsverarbeiter und nicht als Mitverantwortlicher im Sinne von Artikel 26 der DSGVO.
3. Unzureichende Kontrolle über untergeordnete Auftragsverarbeiter und faktische Auftragsverarbeitung.
4. Die fehlende Zweckbindung, sowohl für die Verarbeitung historisch gesammelter Diagnosedaten als auch für die Möglichkeit, neue Arten von Ereignissen dynamisch hinzuzufügen.
5. Die Übermittlung von (allen Arten von) Diagnosedaten außerhalb des Europäischen Wirtschaftsraums, während die aktuelle Rechtsgrundlage für Office ProPlus das Privacy Shield ist und die Gültigkeit dieser Vereinbarung Gegenstand eines Verfahrens vor dem Europäischen Gerichtshof ist.
6. Die unbestimmte Aufbewahrungsdauer von Diagnosedaten und das Fehlen eines Tools zum Löschen historischer Diagnosedaten.

Was können Admins jetzt tun, um die Risiken zu senken?

Administratoren der Enterprise-Version von Office ProPlus können bereits eine Reihe von spezifischen Maßnahmen ergreifen, um das Datenschutzrisiko für Mitarbeiter und andere Personen in den Niederlanden zu senken.

• Übernehmen Sie die neuen Zero-Exhaust-Einstellungen.
• Untersagen Sie zentral die Nutzung von Connected Services.
• Untersagen Sie zentral die Möglichkeit für Benutzer, personenbezogene Daten an Microsoft zu senden, um "Office zu verbessern".
• Verwenden Sie SharePoint Online / OneDrive nicht.
• Verwenden Sie nicht die reine Web-Version von Office 365.
• Löschen Sie regelmäßig das Active Directory-Konto einiger VIP-Benutzer und erstellen Sie neue Konten für diese, um sicherzustellen, dass Microsoft die historischen Diagnosedaten löscht.
• Erwägen Sie die Verwendung lokaler Konten (ohne Microsoft-Konto), um mit vertraulichen/sensiblen persönlichen Daten zu arbeiten.
• Erwägen Sie, einen Pilotprojekt mit alternativer Software für bestimmte Funktionen durchzuführen, nachdem Sie eine DSFA hierfür durchgeführt haben. Dies würde im Einklang mit der Richtlinie der niederländischen Regierung stehen, offene Standards und Open-Source-Software zu fördern.

Diese Maßnahmen sind nicht in allen Fällen realistisch oder machbar. Es ist nicht möglich, dass die (Enterprise-)Kunden von Office alle Probleme selbst lösen. Was die Verträge und die Übermittlung personenbezogener Daten an die USA betrifft, so muss eine europäische Lösung gefunden werden. SLM Rijk und Microsoft werden sich in den kommenden Monaten weiterhin eng abstimmen. In der Zwischenzeit führt Privacy Company eine weitere Untersuchung des Inhalts der Telemetriedaten durch.

Benötigen auch Sie eine Datenschutz-Folgenabschätzung (DSFA) zu von Ihnen genutzten Diensten oder Anbietern, oder brauchen Sie generelle Beratung zum Thema DSGVO-Implementierung in Ihrem Unternehmen? Sprechen Sie uns an!

Jede deutsche Organisation, die ihre Dienstleistungen online anbietet, muss ein Impressum vorweisen können. Das gilt dann, wenn die Webseite ein kommerzielles Interesse verfolgt, also z.B. einen Online-Shop betreibt, aber auch, wenn Dienstleistungen oder journalistische Inhalte über die Webseite angeboten werden. Auch wenn die Webseite Werbung schaltet, ist das der Fall – also auch ein privater Blog mit Werbebannern auf der Seite muss ein Impressum führen. Denn wer über das Internet Waren oder Dienstleistungen kauft, soll die Möglichkeit haben, sich direkt an den richtigen Ansprechpartner wenden zu können.

Der richtige Ansprechpartner

Zu den verpflichtend zu nennenden Angaben gehören laut § 5 Telemediengesetz (TMG) Name, Anschrift und Kontaktform, und bei juristischen Personen auch die Rechtsform, die Registernummer und der Vertretungsberechtigte, also zum Beispiel der Geschäftsführer. Außerdem muss das Impressum von der Sub-Seite der Webseite erreichbar sein.

Doch immer wieder haben Anbieter solcher Webseiten kein Impressum auf ihrer Internetseite. Dann kann man dafür wegen eines Verstoßes gegen die Impressumspflicht abgemahnt werden, was im schlimmsten Fall sehr teuer werden kann.

Im Namen des… Verbraucherschutzes

Generell gilt zwar das Herkunftslandprinzip laut § 3 Abs. 1 TMG - das bedeutet, dass ausländische Organisationen generell nicht der Impressumspflicht unterliegen. Hier gibt es jedoch zwei Ausnahmen: Viele Organisationen übersehen, dass ein deutscher Standort – zum Beispiel reicht ein Schreibtisch in einem Co-Working-Space aus – bereits zur Impressumspflicht führt. Das gleiche gilt, wenn die ausländische Organisation sich mit seiner Webseite direkt an den deutschen Markt wendet, also um Kunden in Deutschland wirbt. Auch in diesem Fall muss die betreffende Organisation ein Impressum bereitstellen, denn die deutschen Verbraucher haben laut einem Urteil vom Landgericht Frankfurt a.M. (Urteil vom 28.03.2003, Az. 3-12 O 151/02) Interesse daran zu erfahren, welchem Recht die ausländische Organisation unterliegt, wer genau der Ansprechpartner ist und welche Vertretungsverhältnisse bestehen.

Ausländische Organisationen mit deutschen Kunden

Besonders kleine Unternehmen und Start-Ups können den Abmahnungen, die aus einem Verstoß gegen die Impressumspflicht resultieren, finanziell und rechtlich kaum etwas entgegensetzen. So können die Kosten einer solchen Abmahnung schnell zu einem Problem werden. Deswegen ist es besser, im Zweifel ein Impressum auf der Webseite anzubieten, selbst wenn man sich nicht sicher ist, ob man eines braucht.