Inhalt:

• Zu den Wurzeln
• Selbstüberlistung: Klimaschutz ohne Datenschutz

 

 

Zu den Wurzeln

Hand aufs Herz: Wer von uns kann von sich sagen, dass sein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) noch aktuell ist? Enthält es alle notwendigen Angaben? Wenn es zu einer Schutzverletzung kommt, müssen der Behörde binnen 72 Stunden zahlreiche Unterlagen vorgelegt werden. Und die Behörde kann ohnehin jederzeit die Vorlage des Verzeichnisses verlangen. Im Fall von Schutzverletzungen wird sie das auch mit Sicherheit tun. Davon abgesehen: Wer das Verzeichnis gewissenhaft erstellt, entdeckt dabei höchstwahrscheinlich auch bisher unbemerkte Sicherheitslücken und kann sie schließen, ehe sie zu Schäden führen - sozusagen eine Impfung gegen gravierende Probleme.

Hier eine verkürzte Beschreibung der sieben vorgeschriebenen Punkte, die das Verzeichnis enthalten muss:

• Name und die Kontaktdaten des Verantwortlichen der Datenverarbeitung sowie eines etwaigen Datenschutzbeauftragten;
• Zwecke der Verarbeitung;
• Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
• Beschreibung der Kategorien von Empfängern einschließlich Empfänger in Drittländern;
• allfällige Übermittlungen von personenbezogenen Daten an ein Drittland (Beachtung insbesondere von Art. 45 u. 49);
• Fristen für die Löschung der verschiedenen Datenkategorien;
• allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen (Art. 32 Absatz 1)

Seit 2018 gab es zahlreiche Entscheidungen europäischer Behörden und Gerichte zur genauen Ausgestaltung des Verarbeitungsverzeichnisses. Die Datenschutzbehörden setzen voraus, dass diese Durchführungsvorschriften eingehalten werden. Ältere Standardvorlagen der verschiedenen Berufsverbände sind daher leider nicht mehr ausreichend. Es ist deshalb dringend anzuraten, wenigstens ein Mal ausgewiesene Datenschutzexperten heranzuziehen, um mit ihnen gemeinsam auf Grundlage der individuellen Situation und der Rechtsprechung die Unterlage zu überarbeiten.

Das Verzeichnis der Anwendungen geht an die Wurzeln eines Unternehmens. Jedes Unternehmen muss ein solches Verzeichnis führen, aus dem die Eckdaten der verschiedenen IT-Prozesse ersichtlich sind. Nicht alle Unternehmen erfüllen diese Verpflichtung. Damit geht ihnen aber ein wichtiges Hilfsmittel zur Steuerung ihrer Abläufe verloren. Ideato ist gerne bei der Erstellung oder bei der Überarbeitung eines "Verzeichnis von Verarbeitungstätigkeiten" behilflich.

 

 

Selbstüberlistung: Klimaschutz ohne Datenschutz

Die Klima-Kleber lassen die Wogen der Empörung hochgehen. Zu den zahlreichen inneren Widersprüchen, die mit den Klebeaktionen verbunden sind, kommt nun noch ein veritables Datenschutzproblem: Die deutsche Zeitung "Welt am Sonntag" deckte auf, dass die persönlichen Daten der Aktivisten auf einem Google-Drive gespeichert und vorübergehend weltweit einsehbar waren. Als hätte es noch eines weiteren Beweises bedurft: Die Aktivisten der Letzten Generation haben damit wieder gezeigt, dass ihnen wichtiges KnowHow fehlt.

Welche Fehler wurden gemacht?

1. Zunächst ist schon die Wahl von Google-Drive zur Speicherung personenbezogener Daten zumindest ein grob-fahrlässiger Verstoß gegen geltendes Recht. Die Daten auf Google-Drive können nach US-amerikanischem Recht von den dortigen Geheimdiensten abgesaugt werden, ohne dass die Betroffenen dagegen ein Gericht anrufen können. Mit der Entscheidung "Schrems II" hat der EuGH daher die Verwendung solcher Datenspeicher für personenbezogene Daten untersagt.

2. Personenbezogene Daten - womöglich unverschlüsselt - auf einem Rechner zu verarbeiten, der sich nur beschränkt im eigenen Zugriffsbereich befindet, bedeutet, dass ein hohes Datenschutzrisiko billigend in Kauf genommen wird. Die Datenschutzerklärungen von Google, Amazon, Microsoft etc. sind nur bedingt verläßlich, das ist aufgrund der jahrelangen öffentlichen Diskussionen als bekannt vorauszusetzen. Politisch relevante Datensammlungen erwecken an sich bereits das Interesse von unbefugten Hackern, das ist ebenso nicht neu (s.u.).

3. Die verarbeiteten Daten betreffen Personen mit einer speziellen politischen Einstellung. Ihre Daten gelten daher als "sensible Daten" (DSGVO Art. 4 Abs. 13 ff) und unterliegen ganz besonderem Schutz. Vor der Verarbeitung solcher Daten hätte eine ausführliche Risikoanalyse erfolgen müssen, mit dem Ergebnis, dass eine andere Art der Datenspeicherung zu wählen gewesen wäre.

4. Die Folgen der Datenschutzverletzung, die die "Letzte Generation" zu verantworten hat, richten sich gegen ihre eigenen Sympathisanten, Unterstützer und Aktivisten.

Die Betroffenen können übrigens jetzt vom Verantwortlichen Schadenersatz verlangen. Das dürfte ein spannendes Match werden.

Quellen:

https://www.welt.de/politik/deutschland/plus243590167/Klima-Aktivismus-Daten-Super-GAU-bei-Letzter-Generation.html
(3.2.2023)

https://www.derstandard.at/story/2000143262695/super-gau-persoenliche-daten-von-klimaaktivisten-im-netz-aufgetaucht
(7.2.2023)

Mit dem privaten NAS gegen unsichere Clouds
https://help.orf.at/stories/3217456
(4.2.2023)