Datenschutz-Couch

Das OLG Karlsruhe hat eine Entscheidung der Vergabekammer Baden-Württemberg für ungültig erklärt. Demnach dürfen Bieter, die wiederum US-Cloudanbietern einsetzen, nicht per se wegen Datenschutzzweifeln vom Verfahren ausgeschlossen werden. Wie dies mit dem SchremsII-Urteil des EuGH zusammenpasst und warum diese Entscheidung kein "Freibrief" ist, erfahrt ihr in unserem Podcast und im Blog!

Eigentlich wollten wir uns in unserem Meeting nur über die Entscheidung des Landesbeauftragten für den Datenschutz aus Baden-Württemberg, Dr. Stefan Brink, unterhalten. Nach seiner Veröffentlichung sollen Schulen zukünftig, genauer nach dem Wechsel des Schuljahres, auf datenschutzkonforme Lösungen für den Distanzunterricht setzen und Microsoft 365 den Rücken kehren. Da das Thema Microsoft 365 aber im Grunde fest mit der Thematik "Cloud" und "US-Anbieter" verknüpft ist und auch immer wieder Themen wie US-Behörden, CloudAct, FISA702 und Schrems II in diesem Zusammenhang fallen, habe ich in unserem Meeting ungeplant den Google Transparenzbericht mit eingeschoben. Denn wenn immer wieder über die weitreichenden Zugriffsrechte der US-Behörden diskutiert wird, sollte man auch folgenden Punkt betrachten: Werden diese Rechte überhaupt so übermässig ausgenutzt, oder - und dies diskutiere ich ebenfalls gerne - war das EuGH-Urteil zu Schrems II politisch motiviert? Mindestens ist das Urteil einseitig, wie der Transparenzbericht zumindest vermuten lässt. Frei nach dem Motto "wasch mir den Pelz, aber mach mich nicht nass" kann man den Transparenzbericht von Google so interpretieren: Ja, die US-Behörden haben weitreichende Ermittlungsbefugnisse, auch was Daten von Nicht-US-Bürgern betrifft, aber die Zahl der Auskunftsverfahren ist deutlich niedriger, als die Zahl der Verfahren, mit denen Google aus Deutschland konfrontiert wird. Es besteht also statistisch eine weitaus höhere Chance von eine Auskunftsersuchen der deutschen Behörden betroffen zu sein, als dies bei den US-Behörden der Fall ist. In eine ähnliche Kerbe haben wir bereits im September 2020 geschlagen, als wir im Rahmen des EuGH-Urteils zu Schrems II auf die Zugriffe der Polizei auf Corona-Listen der Gastronomie und die Funkzellenabfragen bei den Mobilfunkanbietern hingewiesen haben. Nach dem Exkurs haben wir uns dann wieder mit der Veröffentlichung aus BW befasst und festgestellt, dass diese Entscheidung auch innerhalb Deutschlands seltsam anmuten könnte. Denn während hier massiv gegen eine vielleicht nicht 100%ige aber sichere Lösung geschossen wird, bleibt ein großes Datenleck in Bayern völlig ohne Folgen (Stichwort: Buchbinder). Stand heute ist die Entscheidung von Dr. Stefan Brink durchaus rechtlich korrekt... ABER: Die EU und die USA haben bereits grundsätzlich entschieden, dass mit dem "Transatlantischen Datenschutzrahmen" eine neue Rechtsgrundlage für die Datenübermittlung in die USA geschaffen werden soll. Ok, eine Frage bleibt: WANN? Im Fazit kann man festhalten: Wir bleiben dabei, Datenschutz ist wichtig! Aber gleichzeitig kann die politisiche Entwicklung, die wenig pragmatische Auslegung des Datenschutzes und die widersprüchlichen Signale der Aufsichtsbehörden auch frustrierend wirken! Wer mehr dazu lesen will: https://www.complipro.de/2022/05/24/datenschutz-datensicherheit-und-datenpannen-quo-vadis/ https://www.complipro.de/2022/03/31/neuer-transatlantischen-datenschutzrahmen/ https://www.complipro.de/2020/09/04/unsicherheit-usa/

"E-Mails sind wie Postkarten" Denn der Inhalt einer E-Mail ist regelmäßig unverschlüsselt. René Floitgraf erklärt in stark verkürzter Form, was es mit der Verschlüsselung auf sich hat. Dabei werden folgende Punkte beleuchtet: Trotz TLS-Transportverschlüsselung sind die Inhalte einer E-Mail relativ ungeschützt. Besondere Situationen erfordern eine Inhaltsverschlüsselung, hier zählen Standards wie S/MIME oder PGP. Auch kleinere Unternehmen können heute, z.B. über Dienstleister oder IT-Systemhäuser, problemlos S/MIME und PGP einführen. Aber auch ohne S/MIME und PGP kann der Inhalt manuell verschlüsselt werden. Jedoch gibt es dabei auch Dinge zu beachten!   Quellen und Hinweise: besondere Kategorien personenbezogener Daten (Art. 9 Abs. 1 DSGVO): "Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt." Berufsgeheimnisse bzw. "Verletzung von Privatgeheimnissen": §203 StGB (Strafgesetzbuch) Einwilligung zur Reduzierung von Maßnahmen: https://www.complipro.de/2020/09/09/reduzierung-von-technischen-massnahmen-per-einwilligung/ https://www.datenschutz.rlp.de/de/themenfelder-themen/e-mail-berufsgeheimnistraeger/ Geschäftsgeheimnisse sind nach GeschGehG (§2 Abs. 1 Nr. 1 lit. b): "Im Sinne dieses Gesetzes ist … Geschäftsgeheimnis … eine Information … die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber ist …" Urteil zu Geschäftsgeheimnissen: Schleswig-Holsteinisches Oberlandesgericht (6 U 39/21) Zu finden auf openJur.de (https://openjur.de/u/2395279.html)

In unserem Meeting haben wir uns mit dem Mitbestimmungsrecht des Betriebsrates bei einer Phishing-Simulation befasst. Unsere Meinung wollten wir von einem Experten bestätigt wissen, weshalb wir den Rechtsanwalt Jan Reilbach eingeladen haben, uns hier auf den richtigen Weg zu lotsen.