Für den Informationsdienst „AK Anwalt und Kanzlei“, Ausgabe 02/2023, S. 29 ff aus dem Haus IWW Institut durfte ich den Beitrag „Praktische Lösungen für aktuelle Probleme mit Google Fonts, Facebook und Co.“ verfassen.

Praktische Lösungen für aktuelle Probleme mit Google Fonts, Facebook und Co.

| Feierabend oder Pause gemacht und auf dem Schreibtisch sensible Mandantendaten liegen gelassen bzw. den Computer nicht gesperrt? Solche Situationen betreffen die IT-Sicherheit und den Datenschutz in der Anwaltskanzlei. Der AK-Leitfaden mit insgesamt fünf Teilen beantwortet deshalb die wichtigsten IT- und Datenschutz-Fragen und erläutert, welche technischen und organisatorischen Maßnahmen die Kanzlei unbedingt beachten muss. Teil 1 gibt Ihnen praktische Tipps bei typischen, aktuellen Problemen u. a. mit Google Fonts, einem Datenleck bei Facebook und der Anwendung von Microsoft Office 365. |

1. Deshalb sind auch Kanzleien betroffen

In den letzten Wochen ist im Bereich IT-Sicherheit und Datenschutz viel passiert. Das betraf vor allem die Nutzung von Google-Schriften auf Websites oder den Einsatz von Microsoft Office 365. Denken Sie jetzt etwa: „Betrifft mich nicht“? Das ist leider nicht korrekt! Denn häufig werden Google Fonts oder Inhalte von Drittanbietern (z. B. wenn die Kanzleiadresse mit Google Maps angezeigt wird) auch auf vielen Kanzleiwebsites falsch eingebunden. Oder Sie betreiben über facebook eine Fanpage und die dort angegebene Handynummer ist „geleakt“ worden. In diesen Fällen haben auch Sie ein DS-GVO-Problem!

2. Darauf sollten Sie beim Einsatz von Google Fonts achten

In den letzten Monaten wurden systematisch Websites im sog. Seitenquelltext nach den Links fonts.gstatic oder fonts.googleapis.com durchsucht. Bei Treffern wurden die Websitebetreiber abgemahnt ‒ verbunden mit der Aufforderung, zwischen 150 bis 270 EUR zu zahlen. Hintergrund ist: Das LG München bejaht einen Schadenersatzanspruch wegen Verstoßes gegen die DS-GVO, wenn die IP-Adresse auf einer Website rechtswidrig in die USA übermittelt wird (20.1.22, 3 O 17493/20; vgl. zur unzulässigen Übertragung personenbezogener Daten in die USA auch: EuGH 16.7.20, Rechtssache C-311/18, Schrems II). Über Google Fonts können Schriften auf einer Website frei genutzt werden, ohne sie auf den eigenen Server laden zu müssen. Allerdings werden die Schriften bei einem Aufruf der Webseite über einen externen Google-Server nachgeladen und dabei werden Daten an Google übermittelt.

PRAXISTIPP | Wenn Sie Google-Schriften einbinden, dann bitte nur statisch auf Ihrem Server! Kontrollieren Sie deshalb die Schriften auf Ihrer Website: Unter iww.de/s7407 können Sie dazu Ihre URL eingeben. Hier erhalten Sie in wenigen Sekunden angezeigt, ob Ihre Website abmahngefährdet ist. Achtung: Damit wird zwar nicht die komplette Website überprüft, sondern nur einige Seiten. Diese Prüfung gibt aber schon einen guten Überblick!

3. Diese anderen Schauplätze könnten akut werden

Nach den oben geschilderten Erfahrungen ist leider zu befürchten, dass sich die Protagonisten „neue“ Ziele suchen werden. Dieses könnten z. B. Inhalte auf Ihrer Website sein, die Sie von dritten Servern einbinden. Neben Google Fonts geht es z. B. auch um:

 

  • JavaScript-Dateien
  • Bilder
  • Videos
  • Like-Buttons
  • Google Maps
  • Recaptcha
  • Eingebettete Newsletter-Anmeldeformulare

PRAXISTIPP | Auch wenn die Abmahnwelle zu Google Fonts gerade gebrochen ist (siehe auch: AG Charlottenburg 20.12.22, 217 C 64/22), sollten Sie Ihre Website auf den Einsatz von Drittanbietern überprüfen. Befragen Sie dazu Ihren Webtechniker, Webdesigner bzw. Ihre Internetagentur, wenn Sie dafür technisches Know-how brauchen. Es kommt unterm Strich nur darauf an, dass Sie die Drittinhalte lokal einbinden!

4. Datenleck bei Facebook hat Millionen Kunden geschädigt

In den vergangenen Wochen war in sozialen Medien die Rede von einem angeblichen Datenleck bei WhatsApp. Ein Hacker soll Nutzerdaten im Netz zum Verkauf für 2.000 EUR angeboten haben ‒ darunter seien auch rund sechs Millionen deutsche Nummern. An dieser Version gibt es nun Zweifel. „Es gibt kein WhatsApp-Datenleck!“ sagte jüngst RA Christian Solmecke von der Kölner Medienrechtskanzlei WBS.LEGAL. Sein Team war an den Hacker herangetreten, der ein Sample von hunderten Datensätzen zur Überprüfung bereitstellte. Dabei kam heraus, dass die Reihenfolge der Betroffenen komplett identisch mit der der Opfer des Facebook-Datenlecks aus dem vergangenen Jahr gewesen ist. Es fehlten lediglich einige Namen.

 

Demgegenüber gab es das Facebook-Datenleck tatsächlich. Ende November 2022 verhängte die irische Datenschutzbehörde gegen den Meta-Konzern ein Bußgeld in Höhe von 265 Mio. EUR. Die Aufsichtsbehörde sah es als erwiesen an, dass Facebook nicht sorgsam mit den Daten seiner Kunden umgegangen ist. Facebook hätte das sog. Scraping (= Extrahieren, Kopieren, Speichern und Verwenden fremder Inhalte online) und den Abruf von Millionen Kundendaten und Handynummern verhindern können.

PRAXISTIPP | Wenn Sie ein Facebook-Konto haben, sollten Sie überprüfen, ob auch Sie von diesem Datenleck betroffen sind. Auf einer Website von WBS.LEGAL unter iww.de/s7406 können Sie Ihre Telefonnummer eingeben und diese überprüfen lassen.

MERKE | Die EU-Kommission hat am 13.12.22 den ersten Entwurf für einen „Angemessenheitsbeschluss“ für die USA veröffentlicht (iww.de/s7409). Dieser könnte im Laufe des Jahres 2023 in Kraft treten. Damit sollen sichere transatlantische Datenströme gefördert und die Bedenken des EuGH im „Schrems II“-Urteil ausgeräumt werden.

5. Auch Microsoft (Office) 365 birgt Datenschutz-Gefahren

Ende November 2022 veröffentlichte die extra für Microsoft-Onlinedienste eingesetzte Arbeitsgruppe der Datenschutzkonferenz (DSK) ihre Ergebnisse zu Untersuchungen beim Einsatz des Cloud-Dienstes Microsoft Office 365 (jetzt: Microsoft 365). In 14 mehrstündigen Terminen zwischen der DSK-Arbeitsgruppe und Microsoft-Vertretern waren ausschließlich die Vertragsinhalte der Microsoft-Terms (speziell das Microsoft Products and Services Data Protection Addendum [DPA], vgl. iww.de/s7408) geprüft worden. Die DSK stellte „unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚Datenschutznachtrags vom 15. September 2022‘ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

 

Zeitgleich veröffentlichte Microsoft unter dem Titel „Microsoft erfüllt und übertrifft europäische Datenschutzgesetze“ eine Gegendarstellung. Damit liegen jetzt zwei unterschiedliche Sichtweisen zum datenschutzkonformen Einsatz von Microsoft 365 auf dem Tisch.

 

Bisher gibt es kaum Kontrollen der Aufsichtsbehörden in Bezug auf Microsoft 365. Auch in der Bußgeld-Datenbank (vgl. unter iww.de/s7410) wird bezüglich Microsoft 365 kein Treffer angezeigt. Aber die ersten Aufsichtsbehörden rühren sich. Laut Mitteilung des LfDI Baden-Württemberg soll ein neuer Fokus auf besonders sensible Daten im öffentlichen Dienst sowie auf die Sozialverwaltung gelegt werden. Und die Aufsichtsbehörde in Thüringen plant eine Untersuchung dazu, wie stark Microsoft 365 in der Unternehmerschaft verbreitet ist. Letztlich muss abgewartet werden, wie sich die Aufsichtsbehörden positionieren.

PRAXISTIPP | Auch Kanzleiinhaber sollten ihre Risiken zum Gebrauch von Microsoft 365 mit der Unterstützung ihrer Datenschutzbeauftragten Anfang des Jahres 2023 analysieren. Da ein Nachweis der Datenschutzkonformität von Microsoft-365-Diensten allein mittels Microsoft-Terms laut DSK nicht erbracht werden kann, muss dieser händisch erfolgen. Es gilt, die bestehenden Risiken in einer Risikoanalyse abzuwägen. Sollte Ihnen die Aufsichtsbehörde einen Fragenkatalog zukommen lassen, sollten Sie diesen nur unter Hinzuziehung eines Datenschutzbeauftragten (DSB) oder eines Datenschutzrechtlers beantworten. Denn in der Regel sind die Fragen sehr genau aufeinander abgestimmt ‒ Fehler sind so quasi vorprogrammiert.

Veranstaltungen mit Heike Mareck

Aufbewahrungsfristen 2024

Die Tabelle mit über 200 Dokumentenarten

Welche Unterlagen dürfen im Jahr 2024 datenschutzkonform vernichtet werden? Welche müssen weiterhin aufbewahrt werden? Jedes Jahr die gleichen Fragen. Die Tabelle verschafft den Überblick für das Jahr 2024.

Videoüberwachung in Fitness-Studios

Das sagt die Rechtsprechung: Die Videoüberwachung im Bereich einer Umkleide, der Trainingsfläche und der Aufenthaltsbereiche in einem Fitnessstudio ist eine Datenschutzverletzung.

Ist die Fahrzeug-Identifizierungsnummer (FIN) ein „personenbezogenes Datum“ nach der DSGVO?

Fahrzeughersteller müssen unabhängigen Wirtschaftsakteuren Fahrzeug- Identifizierungsnummern bereitstellen. Ermöglicht diese Nummer, den Halter eines Fahrzeugs zu identifizieren, und stellt sie daher ein personenbezogenes Datum dar, ist diese Verpflichtung mit der Datenschutz-Grundverordnung (DSGVO) vereinbar.

Livestream-Unterricht in der Schule

Für Livestream-Unterricht während der Corona-Pandemie wurden Lehrer und Lehrerinnen im Land Hessen, im Gegensatz zu den Schülern, aufgrund einer nationalen Vorschrift, nicht nach ihrer Einwilligung in die Verarbeitung der personenbezogenen Daten gefragt. Hiergegen ging der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium vor dem Verwaltungsgericht vor.

Datenschutzbeauftragter untersagt Facebook-Seite der Bundesregierung

Das ist ja mal eine Nachricht: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) teilte am 22.02.2023 mit, dass er das Bundespresseamt (BPA) angewiesen habe, den Betrieb der Facebook-Seite der Bundesregierung einzustellen.