Der Hamburger Datenschutzbeauftragte meint Zoom sei nicht Datenschutzkonform

Das Videokonferenz-Tool Zoom seht wieder mal auf dem Prüfstand der Behörden. Der amtierende Hamburger Beauftragte für Datenschutz und Informationsfreiheit hat die Bundesregierung aufgefordert, die Nutzung der „on-demand“-Version der beliebten Plattform zu vermeiden.

Es wird behauptet, dass Zoom die europäische Datenschutz-Grundverordnung (DSGVO) nicht einhalte, eine wichtige Gesetzgebung zum Schutz der Privatsphäre der Benutzer und des Umgangs von Unternehmen mit Benutzerdaten.

Die Behörde aus Hamburg teilte mit, dass die On-Demand-Version von Zoom Benutzerdaten in die USA sendet und nicht den Anforderungen der Datenschutz-Grundverordnung zum Senden von Daten außerhalb der Gerichtsbarkeit der Europäischen Union entspricht. „Der Europäische Datenschutzausschuss hat Anforderungen formuliert, um personenbezogene Daten in Übereinstimmung mit der Datenschutz-Grundverordnung in ein Drittland wie die Vereinigten Staaten von Amerika übermitteln zu können“

HmbBfDI basiert auf diesem Standard in Wirtschaft und öffentlicher Verwaltung. Von der Senatskanzlei vorgelegte Unterlagen zur Nutzung von Zoom zeigen, dass diese Standards nicht eingehalten werden. Auch andere Rechtsgrundlagen wie die Zustimmung aller Beteiligten sind hier nicht relevant.“

“Öffentliche Stellen sind in besonderer Weise zur Einhaltung der Gesetze verpflichtet. Es ist sehr bedauerlich, dass ein solcher formaler Schritt erfolgen muss”, sagte Ulrich Kohn, amtierender Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. Der Kommissar stellte fest, dass die Regierung über kompatible Systeme verfügt, die sie verwenden kann, und dass Zoom aus rechtlicher Sicht “extrem problematisch” ist.

Das beliebte Videokonferenz-Tool hat Millionen von Benutzern angesammelt, nachdem die Pandemie in verschiedenen Ländern zu Sperren geführt hatte. Zu dieser Zeit hatte Zoom Probleme mit Regierungen, Aufsichtsbehörden und anderen, die der Plattform keine Sicherheit boten. Das Unternehmen wiederum kündigte Pläne an, sich speziell auf die Sicherheit zu konzentrieren, und sagte, es habe sich einen solchen Boom nicht vorgestellt und sei daher nicht bereit. Zoom wird die Ankündigung von Korrekturen für mehrere bekannte Probleme zugeschrieben, obwohl die Plattform von vielen Regierungen, einschließlich Indien, immer noch nicht bevorzugt wird.

Nach unsere Einschätzung ist jedoch die normale Nutzung von Zoom ohne On-Demand-Version weiterhin nutzbar.

EIN BEST-PRACTICE-BEISPIEL IN ZEITEN DER PANDEMIE

22. Februar 2021

Dieser Praxisbericht über die Erfüllung datenschutzrechtlicher Vorgaben im Homeoffice beruht auf einem datenschutzrechtlichen Prüfvorgang aus dem Herbst 2020.

Aufgrund einer anonymen Anzeige ersuchte die zuständige Datenschutzbehörde Rheinland-Pfalz eine Abrechnungsstelle für Ärzte um Auskunft, wie diese die Verarbeitung von Patientendaten im pandemiebedingten „Homeoffice“ gestaltet hat und wie dort die Einhaltung der Regelungen zum Datenschutz bei der Verarbeitung besonderer Kategorien von Daten sichergestellt werden. Als Ergebnis der Auskunft konnte die Datenschutzaufsichtsbehörde im Konzept der verantwortlichen Stelle keinen Datenschutzverstoß erkennen.

Die Abrechnungsstelle sah sich im März 2020 gezwungen, in Folge der Maßnahmen zur Bekämpfung der Corona-Pandemie allen ihren Mitarbeitern kurzfristig ein „unechtes“ Homeoffice zu ermöglichen. Mit „unecht“ wollte sie während der Corona-Pandemie vorübergehend die Verlagerung des Arbeitsplatzes in die Privatwohnung der Arbeitnehmer ermöglichen. Nicht beabsichtigt war dagegen die dauerhafte Einrichtung eines Telearbeitsplatzes im Sinne der Arbeitsstättenverordnung oder ein dauerhaftes „mobiles Arbeiten“ im Sinne von „Remote Work“.

Aufgrund einer anonymen Beschwerde stellte die Datenschutzaufsichtsbehörde ein Informationsersuchen gem. Art. 58 I lit. a DSGVO an die verantwortliche Stelle. Die Datenschutzaufsichtsbehörde bezog sich dabei auf einen Hinweis, dass eine Vertraulichkeit der Gesundheitsdaten (und damit besonders sensiblen personenbezogenen Daten im Sinne des Art. 9 DSGVO) durch die Abrechnungsstelle im Rahmen des „Homeoffice“ nicht gewährleistet würde. Schon die von den Mitarbeitern genutzten privaten Räumlichkeiten seien nicht oder nur unzureichend für die Arbeit mit besonders schutzbedürftigen personenbezogenen Daten geeignet, die Voraussetzungen der Art. 24, 25 DSGVO nicht erfüllt.

Nachdem die Abrechnungsstelle ihr Konzept zur datenschutzkonformen Arbeit für die Homeoffices darlegte und die entsprechende Dokumentation vorlegte, erfolgte eine Überprüfung durch die Datenschutzaufsichtsbehörde. Das Konzept konnte diese schließlich überzeugen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz bestätigte zum Abschluss des Verfahrens, dass die datenschutzrechtlichen Anforderungen erfüllt wären. Insbesondere ließen sich – entgegen der an die Behörde herangetragenen Behauptung – keine datenschutzrechtlichen Defizite beim Umgang mit sensiblen personenbezogenen Daten erkennen.

Das Konzept der Abrechnungsstelle ist wie folgt gestaltet:

Die gesamte Verarbeitung von Patientendaten findet durch die Mitarbeiter auch im Normalbetrieb am Arbeitsplatz im Unternehmen an UD2 Thin Clients statt. Das Betriebssystem ist IGEL OS. Dies bedeutet, dass jeder Mitarbeiter am Arbeitsplatz einen Computer zur Verfügung hat, welcher über das firmeninterne Netzwerk mit einem Terminalserver verbunden ist und dessen zentral verwaltete Ressourcen nutzt. Die Benutzung privater Computer, Telefone oder sonstiger Ein- und Ausgabegeräte ist den Mitarbeitern dagegen nicht gestattet.

Diese UD2 Thin Clients, einschließlich Tastatur, Monitor usw. konnten im „Pandemiebetrieb“ von den Mitarbeitern leicht abgebaut und nach Hause mitgenommen werden. Dort können sie mithilfe eines vom Unternehmen den Mitarbeitern mitgelieferten und voreingestellten Routers über das Internet mit dem Rechenzentrum des Arbeitgebers verbunden werden. Die Verbindung zur Firma wird mittels eines verschlüsselten VPN hergestellt. Die Verbindung ist durch Zertifikat, Benutzernamen und Kennwort geschützt, welche dem Mitarbeiter selbst nicht bekannt sind. Jeder der von der IT des Verantwortlichen zentral administrierten Router hat eigene Zertifikate, sodass er ggfs. individuell gesperrt werden kann.

Die UD2 Thin Clients sind auch im Homeoffice damit allein über diese verschlüsselte und gesicherte Verbindung mit dem Unternehmen einsetzbar. Der Zugriff auf die Anwendungen der Abrechnungsstelle erfolgt über den Terminalserver im firmeneigenen Rechenzentrum. Für einen Zugriff auf die Daten sind die persönlichen Anmeldedaten eines Mitarbeiters erforderlich. Die Dokumentation und Kontrolle der Zugriffe erfolgt in gleichem Ausmaß, als wenn das Terminal am Arbeitsplatz im Unternehmen aufgestellt wäre.

Vom Unternehmen werden zwei örtlich getrennte Server betrieben. Die Standorte besitzen jeweils eigene Internetleitungen mit 1 Gigabit symmetrischer Anbindung. Beide Server sind vermittels gesicherter VPN-Tunnel über eine Standleitung (Mietleitung) verbunden.

Datentechnisch wird mithilfe des VPN-Routers, den Thin Clients und der Terminalsoftware in Anbindung an eines der Rechenzentren somit das gleiche Datenschutzniveau gewährleistet wie bei der Nutzung der Programme an dem betrieblichen Arbeitsplatz. Die gesamte IT-Infrastruktur bleibt auch außerhalb der Betriebsstätte zentral administriert und ist von der IT und dem betrieblichen Datenschutzbeauftragten uneingeschränkt kontrollierbar. Ausschließlich über die gleiche gesicherte technische Infrastruktur erfolgt auch die Verarbeitung von im Unternehmen eingescannter Post, elektronisch verarbeiteter Faxe und Festnetz-Telefonie unter den identischen Rufnummern, wie sie auch im Unternehmen den Mitarbeitenden zugeordnet sind.

Eine lokale Datensicherung, etwa über externe Datenspeicher, kann an den passwortgeschützten Rechnern im „Homeoffice“ nicht vorgenommen werden, da die USB-Ports und andere Anschlüsse an den Thin Clients gesperrt sind. Lokal werden auch sonst dauerhaft keine Daten gespeichert. Somit ist selbst bei Diebstahl solcher Geräte zu Hause sichergestellt, dass sich auf dem Endgerät keine sensiblen Daten befinden können. Eine Speicherung von Daten und der Ausdruck von Dokumenten oder die Organisation des postalischen Versands wird durch die technische Infrastruktur nur in der Betriebsstätte ermöglicht, ansonsten unterbunden. Die Zugänge und Programme bleiben auch im „Homeoffice“ entsprechend den Passwortrichtlinien personenbezogen geschützt, entsprechende Begrenzungen durch den Zugriff bleiben wie im Betrieb über Rollenkonzepte hinterlegt, und die Bildschirme sperren sich nach kurzer Zeit ohne Eingabe von selbst.

Papierunterlagen, wie Abrechnungen aus Patientenakten, welche von den Ärzten der Abrechnungsstelle zur Verfügung gestellt werden, aber auch Korrespondenz oder Ausdrucke von Daten, unterliegen ebenfalls einem hohen Schutzniveau: Die vom ärztlichen Kunden der Abrechnungsstelle übergebenen Papierunterlagen werden nach Eingang in der Verrechnungsstelle zunächst unter Quarantäne gestellt, damit durch den Kontakt zu den Unterlagen keine Gesundheitsgefahr für die Mitarbeiter ausgeht.

Solange sich ein Mitarbeiter im „Homeoffice“ befindet, wird der gesicherte Transport durch die Mitarbeiter persönlich oder einen firmeneigenen Transportfahrer, der die Akten in mit Schlössern gesicherten Kisten zu den Homeoffice-Plätzen des Mitarbeiters an- und abfährt, gewährleistet. Mitarbeiter transportieren/erhalten Papierunterlagen und auch Ausdrucke ausschließlich in den verschlossenen Kisten und müssen die Unterlagen auch bis zu dem Abtransport in diesen Kisten verschlossen lagern. Im Falle einer Quarantäne einzelner oder mehrere Mitarbeiter ist im Notfallplan vorgesehen, dass der Austausch der verschlossenen Kisten entsprechend den Hygieneregeln ohne persönlichen Kontakt vor der Wohnungstür erfolgt.

Mit diesen Regeln für den normalen Einsatz zu Hause oder der angeordneten Quarantäne können alle Papierunterlagen vor dem Zugriff und der Einsichtnahme durch Dritte geschützt werden, selbst wenn der Arbeitnehmer zu Hause nicht über ein separates, abschließbares Arbeitszimmer verfügt, wie es bei „echtem“ Homeoffice oftmals als Bedingung angesehen wird. Für Mitarbeiter, die über kein separates Arbeitszimmer verfügen, wurde zudem festgelegt, dass sie ihre Arbeit nur durchführen durften, wenn sichergestellt ist, dass kein Dritter eine Einsichtnahme auf die vorhandenen Akten oder den entsperrten PC erhalten konnte. Das durch die Kita- und Schulschließungen ausgelöste Betreuen und Unterrichten von Kindern zu Hause machte es daher nötig, die Arbeitszeiten der Mitarbeiter temporär in freier Gleitzeit zu flexibilisieren, um ihnen dadurch die Möglichkeit zu geben, Aufgaben der Arbeit und Kinderbetreuung zeitlich am Tag voneinander trennen zu können. Dadurch konnte ermöglicht werden, dass Arbeiten sicher und trotz der Anwesenheit von Partnern oder Kindern geleistet werden konnten.

Auch die Entsorgung von „Altpapier“ mit relevanten Gesundheitsdaten ist sichergestellt: Dieses wird durch die Mitarbeiter oder den Fahrer in geschützten Kisten transportiert und in der Firma wie sonst auch durch einen externen, zertifizierten Dienstleister entsprechend dem jeweiligen Schutzniveau entsorgt.

Darüber hinaus sind alle Mitarbeiter auf Vertraulichkeit verpflichtet und werden regelmäßig auf die Einhaltung der Regelungen des Datenschutzes und des Patientengeheimnisses sensibilisiert und geschult. Die vertraglichen Zusatzvereinbarungen für dieses „unechte“ Homeoffice enthalten auch ein Nachkontrollrecht des Arbeitgebers im Falle des Verdachts von Pflichtverletzungen vor Ort. Anders als bei „echtem“ Homeoffice in regulären Zeiten außerhalb einer Pandemie, wird jedoch bewusst auf eine Nachkontrolle vor Ort ohne konkreten, besonderen Anlass verzichtet, da einerseits schon aufgrund der ergriffenen technischen und organisatorischen Maßnahmen das Risiko ausgesprochen gering ist und zudem das insoweit überwiegende Gesundheitsrisiko kein Betreten der Wohnungen eines Mitarbeiters aus lediglich abstrakten Risikoerwägungen und/oder formalistischen Gründen rechtfertigen könnte.

Hinsichtlich der Einhaltung der Regelungen des Datenschutzes im Betrieb hatte sich die Abrechnungsstelle bereits zwei Jahre zuvor durch ein externes Prüfunternehmen auditieren lassen. Gemeinsam mit den konkreten Maßnahmen, das „Homeoffice“ in Zeiten der Pandemie sicher zu gestalten, konnte der Behörde bereits im Rahmen des Auskunftsverfahrens glaubhaft vermittelt werden, dass die Prozesse (gerade im Bereich der IT) im Unternehmen datenschutzkonform umgesetzt werden und dass das Sicherheitsniveau des „Arbeitsplatzes“ zu Hause durch die Gewährleistung von gleichwertigen technischen und organisatorischen Maßnahmen dem Sicherheitsniveau des Arbeitsplatzes im Betrieb mindestens vergleichbar ist.

Anmerkung: Um die Datenschutzrechtlichen Richtlinien im Homeoffice abzuklären setzten Sie sich bitte mit unserm Datenschutzteam in Verbindung.
Wir überprüfen im Rahmen unserer Beauftragung gerne ob Richtlinien angepasst werden müssen.

Mitgeteilt von: Jan Mönikes, Rechtsanwalt
Anmerkung von: Jörg Höschel Lowcos GmbH

Jahresabschlussprüfung 2022

Wirtschaftsprüfer sind im Rahmen der Jahresabschlussprüfung verpflichtet, auf die Gesellschaft gefährdende Risiken hinzuweisen.

Derartige Risiken können sich u.a. aus der mangelnden Umsetzung der seit 25. Mai 2018 anwendbaren EU-Datenschutz-Grundverordnung (DSGVO) ergeben. Diese Risiken können aufgrund der in der DSGVO vorgesehenen erheblichen Bußgelder zu hohen Rückstellungen führen, schlimmstenfalls zu einer Weigerung des Wirtschaftsprüfers zur Erteilung eines uneingeschränkten Bestätigungsvermerks

Wirtschaftsprüfer warnen Firmen, die kein Datenschutzmanagement im Unternehmen integriert haben.

Geschäftsführer und Vorstände sollten daher, soweit noch nicht geschehen, Maßnahmen zur Umsetzung der Anforderungen der DSGVO in Unternehmen ergreifen, um so sicherzustellen, dass das Unternehmen spätestens zum Zeitpunkt der Jahresabschlussprüfung DSGVO-konform ist. 

Große und mittelgroße Kapitalgesellschaften (§ 267 Abs. 2, 3 HGB) sind verpflichtet, eine Risikoberichterstattung in Form eines Lageberichtes beizufügen. Der Lagebericht soll Aufschluss darüber geben, ob und inwieweit die Gesellschaft gefährdende Entwicklungen erkannt hat. Derartige Risiken können sich u.a. aus einer fehlenden Umsetzung der Anforderungen der DSGVO im Unternehmen ergeben. 

Gesetz gegen Abmahn-Missbrauch wird endlich verabschiedet.

Im Gegensatz zu Mitbewerbern/ Anwaltskanzleien dürfen Verbände auch zukünftig weiterhin Verstöße gegen Informations- und Kennzeichnungspflichten sowie DSGVO-Verstöße bei kleinen Unternehmen bis zu 250 Mitarbeitern ungehemmt abmahnen.

Und sie dürften – aufgrund der technischen Möglichkeiten – auch bei reduzierten Vertragsstrafen von 1.000 Euro nach wie vor ein finanzielles Interesse daran haben, Bagatellverstöße im Internet in Massen abzumahnen.

Fachleute befürchten daher insbesondere im Hinblick auf die DSGVO, dass die Abmahner nur Rechtssicherheit abgewartet haben und es die befürchtete Abmahnwelle noch geben wird.

Krankenhäuser müssen mit weiteren Prüfungen rechnen.

3 Krankenhäuser in Niedersachsen mit 15 Fragen zum allgemeinen Datenschutzrecht,zu den Betroffenenrechten und zur Orientierungshilfe Krankenhausinformationssysteme (OH-KIS) abgefragt.

Es ist davon auszugehen, dass das noch nicht das Ende der Fahnenstange ist, denn es scheint bei allen zufällig gewählten Krankenhäuser noch einige Dinge schief zu laufen.
Die Landesdatenschutzbeauftragte hält es für notwendig auch ein Datenschutz-Team im Krankenhaus zu benennen um auf allen Ebenen das Natenschutzniveau zu erreichen, welches in einer Organisation wie ein Krankenhaus (aber auch eine größere Arztpraxis) zwingend erforderlich ist.

Datenschutzbeauftragter muss mehr Zeit haben:

Frau Babara Thiel erklärt das es bei der hohen Anzahl von Verarbeitungen, sei es im Patienten oder Personalbereich dringend notwendig ist mindestens einen Datenschutzbeauftragten mit genug Zeit auszustatten um auch im Fall von Betroffenenanfragen oder Datenschutzpannen sofort reagieren zu können.

Keine Rücksicht bei Datenschutzverstöße

Ausdrücklich wurde noch mal erklärt, dass die LDSB keine Rücksicht nehmen kann wenn durch eine unzureichendes Management oder weil der DSB nicht zu erreichen ist, die Frist einer Datenschutzverletzung zur Meldung nicht eingehalten werden kann.

Anmerkung Lowcos GmbH:

Es ist sicherlich ein kluger Schachzug, sich neben der internen Regelung einen Mitarbeiter mit der Aufgabe des DSB zu betreuen einen externen Fachmann für das Datenschutzmanagement zu beauftragen.

Frankreich: Bußgeld in Höhe von 250.000 Euro gegen die SPARTOO SAS 

Der Verstoß gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung hat die Firma Spartoo SAS jede Menge Geld gekostet.

Die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) verhängte ein Bußgeld in Höhe von 250.000 Euro gegen die SPARTOO SAS, einem europaweit agierenden Versandhändler für Schuhe, wegen millionenfacher Verstöße gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung sowie weiterer Verstöße gegen geltendes Datenschutzrecht.

Bereits kurz nach Geltung der DSGVO stattete die CNIL dem französischen Unternehmen einen Besuch ab und prüfte die Umsetzung der Vorgaben aus der DSGVO sowie dem französischen Datenschutzgesetz. Dabei legte die Behörde den Fokus ihrer Prüfung auf die rechtmäßige Verarbeitung von Kunden und Interessentendaten. Als Resultat hat die Behörde Folgendes festgestellt:

Verstoß gegen den Grundsatz der Speicherbegrenzung:

Die SPARTOO SAS verfügte über keinerlei Löschroutinen, geschweige denn über ein dokumentiertes Löschkonzept. Somit sammelte sich über die Jahre eine enorme Datenmenge von Kunden an, die sich zu großen Teilen seit mehreren Jahren nicht mehr in ihr Kundenkonto eingeloggt hatten. Zudem befanden sich in der Datenbank Interessentendaten der letzten Jahre, mit denen nie ein Vertragsverhältnis zustande kam.

Verstoß gegen den Grundsatz der Datenminimierung:

Die SPARTOO SAS zeichnete jedes Telefongespräch mit ihren Kunden auf. Die Behörde billigt zwar eine Aufzeichnung zu Schulungszwecken, hält die Vielzahl der Aufzeichnungen in diesem Zusammenhang aber für zu weitreichend. Darüber hinaus wurde der Umfang der Aufzeichnung beanstandet, da darin auch Kontodaten der Kunden erfasst und gespeichert wurden. Schließlich verlangte SPARTOO zur Identitätsfeststellung eine Kopie des Personalausweises ihrer Kunden. In Italien fand zudem eine Abfrage des Gesundheitsausweises statt. Die Behörden erachteten auch das für zu weitreichend und damit unzulässig.

Weitere Verstöße

Die Behörde rügte die fehlerhaften und unvollständigen Datenschutzhinweise zur Erfüllung der Informationspflichten sowohl gegenüber Kunden als auch gegenüber den eigenen Beschäftigten. Weiterhin fehlte es an ausreichenden technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO, insbesondere im Bereich der Passwortsicherheit und der digitalen Datenhaltung.

Die SPARTOO SAS ist nun dazu angehalten, die Mängel innerhalb von drei Monaten zu beheben. Andernfalls droht ein weiteres Zwangsgeld in Höhe von 250 Euro pro Tag.

Das Problem ist nicht neu und wird sicherlich auch in naher Zukunft noch einige Firmen treffen die kein Datenschutzmanagement aufgebaut haben.

Natürlich ist eine entsprechende Formatierung und Gestaltung notwendig.

Morbi sagittis, sem quis lacinia faucibus, orci ipsum gravida tortor, vel interdum mi sapien ut justo. Nulla varius consequat magna, id molestie ipsum volutpat quis. Suspendisse consectetur fringilla suctus. Pellentesque ipsum erat, facilisis ut venenatis eu, sodales.

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Morbi sagittis, sem quis lacinia faucibus, orci ipsum gravida tortor, vel interdum mi sapien ut justo. Nulla varius consequat magna, id molestie ipsum volutpat quis. Suspendisse consectetur fringilla suctus. Pellentesque ipsum erat, facilisis ut venenatis eu, sodales vel dolor.[/vc_column_text][/vc_column][/vc_row]