SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

Betriebliche Nutzung von WhatsApp ist illegal

von: Nicholas Vollmer, (Kommentare: 0)

Der US-amerikanische Messanger WhatsApp ist ein sehr beliebtes Mittel, um mit anderen Personen über das Smartphone in Kontakt zu bleiben.

Doch es gibt datenschutzrechtliche Probleme, weil WhatsApp in aller Regel die gespeicherten "Kontakte" zwangsläufig ausliest und an die US-amerikanische Firma sendet. Kritisch ist dies in Bezug auf jene Personen in den "Kontakten", die selbst keine WhatsApp-Nutzer sind und mit dem Konzern vielleicht bewusst nichts zu tun haben wollen. Ja, solche Menschen soll es geben!

Diese Problematik wurde spätestens am 15.05.2017 klar, wo eine Mutter verklagt wurde (AG Bad Hersfeld, 15.05.2017 - F 120/17 EASO).

Gut ein Jahr später hat nun die Landesdatenschutz-Aufsichtsbehörde in Niedersachsen im Juli 2018 ganz ausführlich Stellung genommen und begründet, warum die betriebliche WhatsApp-Nutzung gegen Artikel 25 (1) DS-GVO verstößt:

http://www.lfd.niedersachsen.de/download/132861/Merkblatt_fuer_die_Nutzung_von_WhatsApp_in_Unternehmen.pdf

Dieser Verstoß kann gemäß Artikel 83 (4a) DS-GVO ein Bußgeld nach sich ziehen. Interessanterweise weist die Aufsichtsbehörde nicht auf diese Tatsache hin.

Schlussendlich muss man die "typische" betriebliche Nutzung von WhatsApp wohl als illegal einstufen. Weil das Auslesen der Smartphone-Kontakte wiederholt stattfindet, stellt jede weitergehende Nutzung wohl einen fortlaufenden Datenschutzverstoß dar.

Analog zu den Facebook-Fanpages kann man wohl auch hier bei WhatsApp eine "gemeinsame Verantwortlichkeit" im Sinne des Artikel 26 sehen, denn jeder einzelne WhatsApp-Nutzer kann selbst bestimmen, ob er den Zugriff auf die "Kontakte" seines Smartphones erlaubt. Insofern kann die Aufsichtsbehörde auch in dieser Hinsicht gegen jeden einzelnen Nutzer vorgehen. (Auch auf diesen Aspekt hat die Aufsichtsbehörde nicht hingewiesen.)

Es wird wohl nicht lange dauern, bis die Aufsichtsbehörden offiziell mit Bußgeldern drohen. In der Zwischenzeit wäre es auch denkbar, dass Anwälte gezielt Abmahnungen schreiben, weil sich ein Unternehmen einen Wettbewerbsvorteil verschafft, indem es gegen Datenschutzbestimmungen verstößt.

Was kann man tun?

  1. WhatsApp deinstallieren. Auf einen anderen Messanger ausweichen (Signal, Threema, ...).

  2. Alle Personen, die in den "Kontakten" des Smartphones gespeichert sind um Einwilligung bitten. Dabei sind die hohen Anforderungen des Artikel 7 DS-GVO zu erfüllen sind. Wenn auch nur eine einzige Person dies verweigert oder widerruft, dann steht man wieder am Anfang.

  3. Ein separates Smartphone verwenden, wo nur jene Personen in den "Kontakten" gespeichert werden, die selbst auch WhatsApp-Nutzer sind. Das ist natürlich sehr umständlich. Außerdem ist fraglich, wie man reagieren soll, wenn jene Personen die Nutzung beendet haben und dies nicht vorab per WhatsApp mitteilen (damit alle anderen den Eintrag in den "Kontakten" löschen können).

  4. Neu im September 2018: WhatsApp den Zugriff auf die Kontakte pauschal verweigern. Dann kann man aber keine anderen Personen zum Chat einladen, sondern muss von denen eingeladen werden. Gruppen-Chats kann man generell nicht starten. Das größte Manko aber ist: Die Namen der Chat-Teilnehmer werden nicht angezeigt. Daher sieht man immer nur die Telefonnummern und die (sich ständig ändernden) Profilbilder. Das kann schnell unübersichtlich werden.

  5. Kontakte im verschlüsselten Container isolieren. Nicht wenige Unternehmen setzen ein "mobile device management" (MDM) ein, um die betrieblichen und privaten Daten voneinander zu trennen. Siehe Kapitel 11.5.5 im Praxishandbuch TOM-Guide®. Beispiele hierfür sind MS-Intune, SecurePIM, Android for work, Samsung Knox und viele mehr. Bei korrekter Konfiguration wäre dann gewährleistet, dass WhatsApp keine Kontaktdaten von unbeteiligten Dritten ausliest und nutzt. [Diese Option wurde am 06.07.2018 hinzugefügt.]

  6. Neu im September 2018: Die Android-App Whatsbox kapselt WhatsApp ab und schützt vor dem pauschalen Zugriff auf die Kontakt-Informationen. Nach der Installation kann man auswählen, auf welche Kontakte WhatsApp zugreift. Das funktioniert sehr gut. Allerdings muss man das eventuell bereits installierte WhatsApp deinstallieren; seitens WhatsBox wird dies dann wieder innerhalb des Containers installiert und bestehende Chats wiederhergestellt. Die App kostet 5,99 € und ist derzeit wohl nur für Android verfügbar.

  7. Neu im Juni 2019: (Zumindest) bei Android-Smartphones kann man einen neuen Benutzer einrichten, der dann auf einen eigenen Speicherbereich zugreift. In diesem neuen Benutzerprofil gibt es (noch) keine Kontakte, auf die WhatsApp zugreifen könnte. Hier kann man nun WhatsApp installieren und ganz normal nutzen. Natürlich muss man alle relevanten Kontakte hier nochmals einpflegen.
    Diese Lösung hat aber auch Nachteile: (a) Man muss immer wieder den Benutzer wechseln, wenn man per WhatsApp kommunizieren will... das ist zeitaufwändig und lästig. (b) Man muss die Kontakte in beiden Benutzerprofilen parallel führen.

  8. Die Rechtslage ignorieren und hoffen, dass WhatsApp möglichst schnell nachbessert und den pauschalen Zugriffs-Zwang auf die "Kontakte" abschaltet. Programmiertechnisch wäre dies ein Leichtes. Die Frage ist wohl nur, ob sich WhatsApp rechtskonform verhalten möchte. Dem Aktienkurs sollte eine solche Maßnahme eigentlich zuträglich sein.

 

[Nachtrag m 06.08.2018: Alternativen zu WhatsApp werden hier verglichen.]

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Neuer Vertrag mit Google Analytics

von: Nicholas Vollmer, (Kommentare: 0)

Viele Unternehmen analysieren die Nutzung ihrer Website mittels spezieller Programme.

Eines davon ist Google Analytics.

Die Fachzeitschrift "Datenschutz PRAXIS" berichtet in der Ausgabe 07/2018 über den datenschutzkonformen Einsatz von Google Analytics. Mittlerweile bietet google einen neuen Vertrag an, den alle Kunden wohl zeitnah "unterschreiben" sollten.

Und das geht so:

  1. Loggen Sie sich in Ihr Benutzerkonto ein
  2. Klicken Sie auf "Verwaltung"
  3. Klicken Sie auf "Kontoeinstellungen"
  4. Scrollen Sie bis "Zusatz zur Datenverarbeitung"
    - Klicken Sie auf "Zusatz anzeigen"
    - Es öffnet sich ein Fenster; lesen Sie den Inhalt; klicken Sie auf "Fertig"
    - Klicken Sie auf "Details zum Zusatz verwalten"
    - Geben Sie die Details zu Ihrem Unternehmen und Ihren Kontaktpersonen an.
    - Klicken Sie auf "Speichern"

Damit ist der neue Vertrag abgeschlossen. Wie das Endergebnis aussieht, können wir an dieser Stelle nicht sagen, weil wir keinen Google Analytics Account haben.

Außerdem hat Google Analytics auch eine neue Einstellung hinsichtlich der Löschung der Daten: Unter "Verwaltung / Tracking Informationen / Datenaufbewahrung" können Sie die Daten z.B. nach 14 Monaten löschen lassen.

Übrigens: Das Thema "Nutzungsstatistiken" ist seit April 2018 besonders schwierig, weil die deutschen Aufsichtsbehörden ein sehr "interessantes" Positionspapier veröffentlicht hatten.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im Mai 2018

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im Mai 2018 an 56 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 416 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2018_mai.htm

In 2 Wochen wird die EU-Datenschutz-Grundverordnung wirksam! Der 25. Mai 2018 rückt näher

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

7-zip benötigt dringendes Update

von: Nicholas Vollmer, (Kommentare: 0)

Der heise-Verlag weist auf die Notwendigkeit des Updates von 7-zip hin

Dies ist ein sehr beliebtes Zip-Programm, mit dem man unter anderem Dateien verschlüsseln kann, bevor man sie per E-Mail versendet.

Die Version 18.5 bekommen Sie hier auf der offiziellen Seite.

(Wenn wir als Datenschutzbeauftragter extern bestellt werden, dann sind Sie auf der sicheren Seite. Wir schreiben DATENSCHUTZ groß. Als Dienstleister stehen wir an Ihrer Seite und sorgen für rechtliche, technische und organisatorische Sicherheit. Wir sind auch in der Lage die datenschutzrelevanten Aspekte WIRKLICH zu beurteilen. Nutzen Sie unseren PrivazyPlan®, um alle Pflichten der DS-GVO zu verstehen und dauerhaft erfüllen zu können.)

Das Ende von Tracking-Cookies auf Websites?

von: Nicholas Vollmer, (Kommentare: 0)

(Wir beziehen uns hier auf ein Positionspapier der Deutschen Datenschutzkonferenz vom 26.04.2018.)

In unserem Praxisleitfaden PrivazyPlan® weisen wir von Anfang an auf eine wichtige Streitfrage hin: Wird insbesondere der § 15 Abs. 3 TMG auch nach dem 25.05.2018 noch anwendbar sein? Im Kern geht es um diese Regelung

§ 15 Abs. 3 TMG: Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. [...]

Diese Frage können eigentlich nur die deutschen Datenschutz-Aufsichtsbehörden verbindlich klären. Bis zum April 2018 hat sich die Fachliteratur äußerst widersprüchlich geäußert. Es ist seit Langem klar, dass die TMG-Regelung gegen EU-Recht verstoßen könnte.

Jetzt endlich am 26.04.2018 haben die deutschen Datenschutz-Aufsichtsbehörden im Rahmen der "Datenschutzkonferenz" zu einem Konsens gefunden (4 Wochen vor Wirksamwerden der DS-GVO und an einem Freitag vor einem langen Mai-Wochenende). Am darauf folgenden Montag dem 30.04.2018 hat darüber nur die NRW-Aufsichtsbehörde informiert. Interessanterweise hat die Berliner Aufsichtsbehörde dieses Positionspapier für so nebensächlich gehalten, dass sie nicht darüber berichten wollte.

DAS ERGEBNIS: Die Datenschutzbestimmungen des Telemediengesetzes sind ab dem 25.05.2018 nicht mehr anwendbar. Es gilt allein die EU Datenschutz-Grundverordnung.

Hinsichtlich der Cookies einer Website gibt es also nun drei Möglichkeiten:

  1. Einwilligung
    Ein Cookie darf gesetzt werden, wenn die betroffene Person gemäß Artikel 6 (1a) explizit einwilligt. Die betroffene Person kann die Einwilligung aber gemäß Artikel 7 (3) jederzeit widerrufen. Es ist wohl nicht ausreichend, wenn der Verantwortliche ein Cookie-Banner anzeigt, welches über das Cookie informiert und ein "opt-out" anbietet. Vielmehr muss die betroffene Person vorab eine eindeutig bestätigende Handlung zeigen (siehe Erwägungsgrund 32). Die jeweilige Einwilligung muss gemäß Artikel 7 (1) konkret nachweisbar sein. Der 31-seitige Guideline zu Einwilligungen der Artikel-29-Datenschutzgruppe sollte beachtet werden (dort werden in englischer Sprache sehr weitgehende Forderungen gestellt).

    Das obige Positionspapier sieht (dort unter der Nummer 9) die Einwilligung ganz explizit als den einzigen Erlaubnistatbestand an, wenn es um den "Einsatz von Tracking-Mechanismen und Nutzerprofilen" geht!

  2. Erforderlich für den Vertrag mit der betroffenen Person
    Ein Cookie darf gesetzt werden, wenn es der Vertrag gemäß Artikel 6 (1b) mit der betroffenen Person erfordert. Aus einem Vertrag muss sich also die direkte Erforderlichkeit direkt ergeben. Das ist wohl nicht immer ganz leicht herzuleiten. Vermutlich wird es nicht ausreichen, wenn man in der Website-Nutzung einen Vertrag sieht und die Vertragsbedingungen in den AGBs entsprechend formuliert.

    Das obige Positionspapier weist (dort unter der Nummer 8) darauf hin, dass die Erforderlichkeit zur Vertragserfüllung eine ausreichende Rechtsgrundlage darstellt. Im Falle eines Webshops können Cookies sehr wohl zur Vertragserfüllung genutzt werden (z.B. im Rahmen des elektronischen Warenkorbs).

  3. Erforderlich für berechtigte Interessen des Verantwortlichen
    Ein Cookie darf gesetzt werden, wenn der Verantwortliche gemäß Artikel 6 (1f) dafür ein berechtigtes Interesse hat. Jede betroffene Person kann gemäß Artikel 21 widersprechen (und muss dafür aber auch konkrete Gründe angeben, die auf eine "besondere Situation" schließen lassen).

    Das obige Positionspapier weist (dort unter der Nummer 8) darauf hin, dass vorab eine Interessenabwägung durchzuführen ist (um zu prüfen, ob die betroffenen Personen kein überwiegendes Gegeninteresse haben). Dies ist nicht ganz so einfach, weil es kein standardisiertes Verfahren zum Durchführen einer Interessenabwägung gibt. 

Ist dieses Positionspapier der "Todesstoß" für Tracking-Mechanismen und Nutzerprofilen? Ja, diesen Anschein macht es derzeit. Eine aktive und wirksame Einwilligung in jedem Einzelfall wird man wohl kaum einholen können (bzw. wollen).

Diese Entwicklung überrascht uns - letztlich - nicht wirklich, denn:

  • Von Anfang an haben wir in unserem Praxisleitfaden PrivazyPlan® darauf hingewiesen, dass die Frage nach der Anwendbarkeit des Telemediengesetzes (TMG) unklar war. Dies war eines der vielen "roten Bömbchen", die wir gesehen haben. Damit sehen wir uns heute bestätigt.

  • Die deutschen Aufsichtsbehörden haben schon immer bemängelt, dass die ePrivacy-Richtlinie von 2009 nicht EU-konform umgesetzt wurde.

  • Die offiziellen Stellen (wie Aufsichtsbehörden oder Artikel-29-Datenschutzgruppe) nutzten schon immer jede einzelne Chance, um Maximalforderungen zu stellen. Die Workingpaper "WP 259" und "WP 260" sind weitere gute Beispiele dafür (70 Seiten auf Englisch mit Maximalforderungen... und das 6 Wochen vor Ende der zweijährigen DS-GVO-Übergangsfrist). Das liegt vermutlich in der Natur der Sache, denn es liegt nicht im Auftrag der Aufsichtsbehörden das Schutzniveau zu verringern. So etwas können nur Gesetzgeber und Gerichte.

Jetzt wird es also kurz vor dem Wirksamwerden der DS-GVO nochmal richtig spannend... wir halten Sie auch im Rahmen unseres Praxisleitfadens PrivazyPlan® weiter auf dem Laufenden.

Was bleibt also bis zum 25.05.2018 zu tun? Alle Cookies abschalten und somit elementare Dienste (inkl. Tracking) deaktivieren? Eine Vorschaltseite gestalten, die eine wirksame Einwilligung einholt und dauerhaft personenbezogen dokumentiert? Alles ignorieren und dutzende von Abmahnung bezahlen? Wir wissen es nicht...

... die Sachlage ist noch ganz frisch. Lassen Sie uns eine Woche abwarten und sehen, was passiert.

... Leider ist bis zum 08.05.2018 fast nichts passiert. Still ruht der See. Am 08.05.2018 hat die GDD per E-Mail eine Stellungnahme veröffentlicht, die dem DSK-Kurzpapier-18 widerspricht und die berechtigten Interessen als relevant ansieht. Als Quelle wird dieser Kommentar ab Randnummer 138 genannt.

 

(Wenn wir als Datenschutzbeauftragter extern bestellt werden, dann sind Sie auf der sicheren Seite. Wir schreiben DATENSCHUTZ groß. Als Dienstleister stehen wir an Ihrer Seite und sorgen für rechtliche, technische und organisatorische Sicherheit. Wir sind auch in der Lage die datenschutzrelevanten Aspekte WIRKLICH zu beurteilen. Nutzen Sie unseren PrivazyPlan®, um alle Pflichten der DS-GVO zu verstehen und dauerhaft erfüllen zu können.)