Nun ist es Zeit geworden, Abschied zu nehmen für das Jahr 2023. In unserem Jahresrückblick Teil 4 geben wir einen Überblick über die wichtigsten Themen unseres Blogs in den Monaten Oktober bis Dezember 2023. Auch diese Monate hatten es „in sich“, wobei der Dezember vergleichsweise angenehm ablief.
Der Inhalt im Überblick
Oktober – „Ja ist denn heut´ schon Weihnachten?“
Über Videoüberwachung auf dem Weihnachtsmarkt und eine „schöne“ Bescherung für die Anwender von MS 365.
„Es ist wieder mal soweit – na klar, es ist doch Weihnachtszeit“. (Zitat aus dem Song: Ich will mit Dir Schlitten fahr´n, Olaf Malolepski). Dachte sich wahrscheinlich auch das Verwaltungsgericht Hannover. Dieses musste bereits am 10. Oktober zu einer Feststellungsklage eines Betroffenen betreffend die Videoüberwachung auf einem Weihnachtsmarkt entscheiden. Das wohl schon vorweihnachtlich gesinnte Verwaltungsgericht sah sich gegenüber der Polizeidirektion Hannover gnädig. Es entschied, dass die angegriffene Videoüberwachung in dem Fall gerechtfertigt gewesen sei (Rechtsgrundlage § 32 Abs. 3 S.1 Nr. 2 und S.3 NPOG). Mehr dazu und zu der Verfassungsmäßigkeit dieser Rechtsgrundlage in unserer Urteilszusammenfassung zu der Videoüberwachung auf dem Weihnachtsmarkt.
Nicht ganz so viel Vorfreude machte die Handreichung einiger Aufsichtsbehörden zum Thema vertragliche Umsetzungshinweise betreffend das Auftragsverarbeitungsverhältnis zu MS 365. Das als Hilfestellung verpackte Dokument versucht die Verantwortung für eine rechtskonforme Gestaltung von MS 365 auf den Bereich der vertraglichen Ausgestaltung des Auftragsverarbeitungsvertrags zu verlagern. Die sieben an der Handreichung beteiligten Behörden (u.a. BayLfD, HBDI, LfD Niedersachsen und LDI NRW) schlagen vor, dass eine Zusatzvereinbarung zum DPA getroffen werden soll. Sie geben schwer zu befolgende Handlungshinweise, die für mehr Rechtskonformität im Auftragsverhältnis sorgen sollen. Letztendlich geht es darum, dass die Aufsichtsbehörden meinen, dass die verantwortlichen Anwender von Microsoft alle ihnen zur Verfügung stehenden Möglichkeiten nutzen sollen, um auf eine datenschutzkonforme Vereinbarung mit Microsoft hinzuwirken.
Auch keine festliche Stimmung kam bei einem von einem Schufa-Fehleintrag betroffenen Kläger auf. Er war wegen einem (in seinen Augen zu niedrigen) Schadensersatzanspruch vor das OLG Dresden gezogen. Das OLG Dresden hat das von ihm angegriffene Urteil des LG Leipzig bestätigt. Das war für den Kläger, der einen höheren Schadenersatzanspruch haben wollte, wohl kaum ein Grund zur Freude. Es blieb bei 1.500 EUR Schadensersatz für den Schufa-Fehleintrag. Der Kläger hatte sich deutlich mehr vorgestellt. Hintergrund waren die vom Kläger behaupteten Nachteile, die dieser aufgrund eines fehlerhaften Schufa-Eintrags geltend machen wollte. Da auch in diesem Zusammenhang die Einstufung als personenbezogenes Datum möglich ist, kann bei einer rechtswidrigen Datenverarbeitung Schadensersatz gem. Art. 82 Abs. 1 DSGVO verlangt werden. Der OLG Dresden hat in seinem Beschluss aber bestätigt, dass auch im Kontext von Nachteilen durch eine Schufa-Auskunft pauschale Verweise auf empfundene Beeinträchtigungen keinen ausreichend substantiierten Vortrag ausmachen.
Einen Blick ganz nach oben wirft unser Beitrag über die BSI-Richtlinie für Weltraumsysteme und thematisiert neben den Maßstäben für eine Satelliten-Risikoanalyse den Ausblick rund um die Möglichkeiten zur Absicherung von Weltraumsystemen nach der Technischen Richtlinie (TR) 03184 des BSI.
Ganz auf gewohntem, irdischem Terrain spielte sich dann unser Beitrag rund um das Thema Rabatte gegen Daten ab, der umfangreich beleuchtet, wie KFZ-Versicherer mit günstigen Telematik-Tarifen Verbraucher zur Datenpreisgabe beeinflussen wollen.
November – „Ich will mit Dir Schlitten fahr´n“
Ein wilder Rutsch unter dunklen Wolken am Himmel von digitalen Gesundheitsanwendungen und der Horror um Hacking bei Herzschrittmachern.
Auch im November ging es hoch hinaus. Besprochen wurde ein Positionspapier der DSK zu cloudbasierte Gesundheitsanwendungen. Geklärt werden soll in dem Dokument unter anderem die datenschutzrechtliche Verantwortlichkeit in Abhängigkeit zu der konkreten Ausgestaltung der Gesundheitsanwendung. An dieser Stelle wird betont, was bereits bekannt sein dürfte, nämlich, dass sich die Rolle des Verantwortlichen auch aus der konkreten Tätigkeit bzw. dem konkreten Datenverarbeitungsvorgang ergibt. Die dahinterstehenden Organisationsstruktur bzw. Vertragsgestaltung ist dabei nicht ausschlagebend. Dass die DSK so gar kein Fan von Cloud-Anwendungen ist, wird unter den Stichpunkten „Privacy by Design und Privacy by Default“ (Art. 25 Abs.1 DSGVO) deutlich. Hier wird klargestellt, dass Cloudfunktionen standartmäßig deaktiviert sein sollen.
Mögliche Hintergründe dafür, dass die DSK bzgl. Cloudfunktionen im Bereich Gesundheitsanwendungen eine zögerliche Herangehensweise pflegt, bietet unser Fachbeitrag zu den potenziellen Cybersecurity-Gefahren im Gesundheitswesen. Der Beitrag beleuchtet die Risiken, die sich beim Einsatz von vernetzten medizinischen Geräten oder auch Internet of Medical Things (IoMT) ergeben. 2011 wurde erstmals gezeigt, dass drahtlose Insulinpumpen mithilfe eines Hacks ferngesteuert werden können, was potentiell den Tod eines Patienten verursacht. Es wird noch schauriger, wenn unser Beitrag darüber berichtet, dass es unter dem Begriff MedJack (kurz für medical device hijack also medizinische Geräteentführung) bereits eine technische Spezialisierungen gibt. Diese Spezialisierung ist eigens für den Angriff medizinischer Geräte konzipiert worden. Von einem Angriff betroffen sein können unter anderem Röntgengeräte, Blutgasanalysatoren und CT-Scanner. Doch es wird auch Beruhigung geboten, denn unser Beitrag ordnet die Angriffsrichtung ein. Es wird klargestellt, dass das Ziel der Angriffe nur höchst selten der betroffene Patient ist. Meistens ist geplant, über die kompromittierten Geräte in das Krankenhausnetzwerk zu gelangen. So oder so, Sicherheitslücken in vernetzten medizinischen Geräten weisen ein hohes Schadenspotential auf, welchem durch ein angemessenes Niveau an Cyber-Sicherheitsvorkehrungen begegnet werden muss.
NIS2 kann hierzu eine Perspektive bieten. Auf das vom Cyber-Sicherheitsrat Deutschland e.V. veröffentlichte Positionspapier zur NIS2-Richtlinie, in dem der Cyber-Sicherheitsrat u.a. eine Koordinierung bestehender und geplanter Regulierungen im Zusammenhang mit NIS-2 fordert, gehen wir ebenfalls in einem Fachbeitrag ein.
Ein nicht ganz so hohes Schädigungspotential hat das Thema Einschulungsfotos. Doch ganz getreu dem Motto einer aufregenden Schlittenfahrt, gibt es auch hier erfahrungsgemäß viel Ärger und Aufregung. Es stellt sich die Frage, wie mit Einschulungsfotos von Schulkindern unter der DSGVO umgegangen werden soll. Unser Blogbeitrag bietet praktische Antworten rund um die Einholung der notwendigen Einwilligung. Er spricht sich dabei gegen ein generelles Fotoverbot bei der Einschulung aus.
Für viele ein weiteres Aufregungs- oder Gruselthema, dürfte der Einsatz von KI-gestützten intelligenten tutoriellen Systemen an Schulen sein. Einen Blick auf die Umsetzung in anderen Ländern und die Situation bzw. die rechtlichen Herausforderungen einer Implementierung solcher Systeme in Deutschland bietet unser Fachbeitrag. Wir zeigen dabei auch auf, was genau unter intelligente tutorielle Systeme gefasst wird.
Dezember – „Ein stilles Glücksgefühl“
Wir geben Hilfestellungen zu CDP, CRM und dem technisch sicheren Einsatz von KI-Systemen generell und Microsoft 365 Copilot.
Nachdem wir schon im Oktober zu der Anwendung der DSGVO-Grundsätze in Bezug auf KI-Systeme berichtet hatten, geht es dann im Dezember ganz unaufgeregt mit dem Thema sichere Implementierung von KI im Unternehmen aus technischer Sicht weiter. Unser Beitrag orientiert sich an einem Leitfaden zur Entwicklung sicherer KI-Systeme, der von dem BSI und insgesamt 23 anderen internationalen Cybersicherheitsbehörden entwickelt wurde. Er zeigt auf, wie bei der technischen Implementierung von KI-Systemen mit neu auftretende Sicherheitslücken umgegangen werden kann. Das Thema technische Maßnahmen für einen sicheren Tool-Einsatz wird im Rahmen einer datenschutzrechtlichen Betrachtung der neuen KI-Anwendung Microsoft 365 Copilot ebenfalls aufgegriffen. Hier wird die Funktionsweise von Microsoft 365 Copilot kompetent erklärt. Neben der Darstellung der datenschutzrechtlichen Risiken und den Maßnahmen im Umgang mit diesen, wird detailliert auf die technischen, organisatorischen und rechtlichen Maßnahmen eingegangen, die den Unternehmen wärmstens empfohlen werden können.
Eine Hilfestellung für den DSGVO-konformen Einsatz einer Customer Data Platform (CDP) gibt unser Blog-Beitrag, der auf verschiedene Praxis-Lösungen zur Einholung der nach der DSGVO und TTDSG erforderlichen Einwilligung im sog. „Data Driven Marketing“ eingeht. Hierbei werden die rechtlichen Implikationen, die sich ergeben, wenn der Cookie-Consent als Einwilligung für die Datenverarbeitung in die CDP herangezogen werden soll, erläutert. Neben technischen Lösungen, die die Datenauswertung in der CDP ermöglichen sollen, werden rechtliche Lösungen in Form von gesonderten Einwilligungslösungen vorgestellt.
Praktische Hinweise rund um die im Rahmen von E-Mail-Newslettern eingesetzten Tracking-Technologien, bietet unser im Dezember aktualisierter Beitrag, der die Zusammenhänge zum TTDSG aufzeigt. Der Beitrag erklärt, wie eine wirksame Einwilligung in die Newsletter-Versendung eingeholt werden kann. Daneben wird auf die wettbewerbsrechtliche Komponente von Bußgeldern und Schadensersatz sowie die Beurteilung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von externen Dienstleistern eingegangen.
Auf das fehlende Konzernprivileg beim datenschutzkonformen Einsatz von einem globalen CRM-System und die wesentlichsten Anforderungen, die aus datenschutzrechtlicher Sicht beim Einsatz beachtet zu beachten sind, gehen wir ebenfalls ein. Hierbei sind die zu beachtenden Datenschutzprinzipien in einer praktischen Bullet-Point-Aufzählung dargestellt.
„Sag mir, wie war dein Jahr“
„Die Zeit sie geht so schnell vorbei – Und Du schaust zurück – War es schwierig oder war es schön?“ (Zitat aus dem Song „Sag mir, wie war dein Jahr“ von Olaf Malolepski)
Auch das Jahr 2023 zeigt, dass sich im Bereich Datenschutz und Informationssicherheit nach wie vor technisch sehr komplexe Themen tummeln. Mit solchen Themen wird nur Schritt für Schritt ein zufriedenstellender Umgang gefunden werden können. Neben immer mehr neuen, schwierigen und technisch herausfordernden Tools, deren DSGVO-gerechtes Handling von Behörden erst noch aufgezeigt und von Anwendern erst noch gelernt werden muss, gibt es aber auch schöne und erfreuliche Themen. Ganz im Vordergrund steht hier der neue Angemessenheitsbeschluss für das „EU-U.S. Data Privacy Framework“, der zumindest für absehbare Zeit für den Datentransfer zwischen der EU und den USA für (etwas) mehr Ruhe gesorgt hat.
Wir bedanken uns bei den Lesern, dass sie uns durch das Jahr 2023 begleitet haben. Wir freuen uns darauf, sie im neuen Jahr wieder bei Dr. Datenschutz begrüßen zu dürfen!
