Gegen ‘Zoombombing’: Meeting-Tool Zoom aktiviert Passwörter und Warteräume

Webinare

Liebe Leser! In den letzten Tagen gab es immer mal wieder mehr oder minder große Kritik an Zoom.us – man nimmt diese offnbar ernst und kümmert sich um die Unzulänglichkeiten. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Gegen ‘Zoombombing’: Meeting-Tool Zoom aktiviert Passwörter und Warteräume

Gegen ‘Zoombombing’: Meeting-Tool Zoom aktiviert Passwörter und Warteräume

Die Videokonferenz-Software Zoom erhält ab sofort Passwortschutz für Meetings. Teilnehmer müssen außerdem im virtuellen Warteraum Platz nehmen.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Gegen ‘Zoombombing’: Meeting-Tool Zoom aktiviert Passwörter und Warteräume.

Sie arbeiten gerade im Home-Office? Unerlaubte Offenlegung: Wann muss ein Datenschutzvorfall gemeldet werden?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Wann muss ein Datenschutzvorfall gemeldet werden?

Wann muss ein Datenschutzvorfall gemeldet werden?

Seit Inkrafttreten der DSGVO ist die Zahl der gemeldeten Datenschutzvorfälle immens gestiegen. Alleine im Jahr 2019 gab es europaweit mehr als 40.000 Datenpannen, wovon die meisten in Deutschland registriert wurden. Was die Auslöser von Datenschutzvorfällen und die gesetzlichen Anforderungen bei der Meldung sind, lesen Sie hier.

Auslöser eines Vorfalls

Die Pflicht zur Meldung von Datenschutzvorfällen ist in Art. 33 DSGVO geregelt

Demnach ist vonseiten eines Verantwortlichen eine Meldung bei der zuständigen Aufsichtsbehörde durchzuführen, falls eine Verletzung des Schutzes personenbezogener Daten eintritt. Doch was bedeutet eine Verletzung des Schutzes personenbezogener Daten? Hierzu hilft der Definitionskatalog in Art.4 Nr. 12 DSGVO. Eine solche liegt demnach vor bei einer Verletzung der Sicherheit, die zur

  • Vernichtung,
  • Verlust,
  • Veränderung,
  • unbefugten Offenlegung oder
  • zum unbefugten Zugang

von/zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Wann liegt eine Vernichtung und ein Verlust vor?

Nun eine Vernichtung ist anzunehmen, wenn die personenbezogenen Daten der Betroffenen faktisch nicht mehr oder nicht mehr in irgendeiner bekannten Form existieren, die für den Verantwortlichen von Nutzen sind. Ursache dessen kann z.B. das Zerstören einer Festplatte sein.

Beim Verlust von personenbezogenen Daten handelt es sich oftmals um die nicht mehr vorhandene Zugriffsmöglichkeit, beispielsweise ein gestohlener Laptop. Denn faktisch sind die personenbezogenen Daten auf dem Gerät, jedoch besteht keine Zugriffsmöglichkeit mehr für den Mitarbeiter bzw. dem Verantwortlichen.

Eine Verletzung besteht auch dann, wenn der Zustand nicht dauerhaft ist. Beide Begriffe verleiten dazu, dass sie endgültig verstanden werden. An dieser Stelle sollte klar darauf hingewiesen werden, dass die Verletzung auch bei vorübergehenden Einwirkungen besteht. Ein Verlust, sogar in besonderen Fällen eine Vernichtung, kann nämlich auch nur temporär sein.

Veränderung personenbezogener Daten

Diese liegt vor, wenn der Inhalt personenbezogener Daten umgestaltet wird. Ein in der Praxis häufig angewandte Methode ist die SQL-Injection. Dabei erfolgt ein Angriff über eine Web-Anwendung, um auf eine Datenbank zuzugreifen. Damit können Bankkonten, Adressen oder sonstige personenbezogene Daten entwendet werden.

In der EU wurde bislang noch kein bußgeldbewehrter Fall öffentlich – in den USA gibt es bereits Beispielfälle.

Unbefugte Offenlegung

Eine Offenlegung liegt meist vor, wenn Dritten die Möglichkeit zur Kenntnisnahme ermöglicht wird. Ein unbefugter Zugang zu personenbezogenen Daten ist anzunehmen, wenn eine hierzu nicht-autorisierte Person Kenntnis oder den Besitz an einem Gerät, auf dem diese personenbezogenen Daten verarbeitet werden, erlangt hat.

Hierbei wirkt der Dritte immer als Außenstehender bzw. verantwortliche fremde Person. Allerdings kann ebenfalls ein Mitarbeiter innerhalb eines Unternehmen als unbefugte Person qualifiziert werden und personenbezogene Daten offenlegen, indem ihm keine Zugriffsrechte eingeräumt wurden oder keine Autorisierung erfolgte.

In der Praxis wurde ein Großteil der Bußgelder aufgrund der unbefugten Offenlegung erlassen. Prominente Fälle waren Marriot, British Airways und auch deutsche Unternehmen Knuddels.

Rolle der Aufsichtsbehörde

Beim Melden eines Datenschutzvorfalls an die Aufsichtsbehörde nach Art.33 Abs. 1 DSGVO erhält die jeweilige Aufsichtsbehörde eine Doppelstellung. Sie können nämlich sowohl beratend als auch kontrollierend tätig werden.

Sollten in komplexen Situationen sowohl der Verantwortliche als auch der zuständige Datenschutzbeauftragte den potentiellen Datenschutzverstoß nicht einschätzen können, so können sie Beratung der Aufsichtsbehörde einholen. Dazu legitimiert Art. 57 Abs. 1 lit. c DSGVO die Aufsichtsbehörde. Eine Beratung kommt ebenfalls in Betracht, wenn es um die Auswahl und Umsetzung von Abhilfemaßnahmen einer Schutzzielverletzung oder zu Abmilderung der Folgen geht.

In der Regel erfolgt ein Kontrollverfahren der Aufsichtsbehörden nicht unmittelbar nach der Meldung eines Datenschutzvorfalls. Das Kontrollverfahren wird meist erst dann eingeleitet, wenn sich Anhaltspunkte dazu ergeben, dass der Verletzung unzureichende Schutzmaßnahmen nach Art.33 DSGVO zugrunde liegen. Beispielhaft dafür sind unzureichende Abhilfemaßnahmen, eine unzureichende Beschreibung der technisch-organisatorischen Maßnahmen oder das Überschreiten der Meldefrist der Auslöser eines Kontrollverfahrens sein.

Den Überblick behalten

Wichtig ist, dass Sie einen Prozess zur Reaktion auf einen Datenschutzvorfall innerhalb ihres Unternehmens implementiert haben. Dies ist insofern relevant, um die 72-Stunden-Frist einzuhalten. Dafür ist es entscheidend, dass die Mitarbeiter sensibilisiert sind und einen Datenschutzvorfall erkennen. Über eine genaue Beschreibung des Prozesses haben wir bereits in Vergangenheit berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Wann muss ein Datenschutzvorfall gemeldet werden?.

Jetzt patchen! Über 350.000 Microsoft Exchange Server immer noch attackierbar

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Jetzt patchen! Über 350.000 Microsoft Exchange Server immer noch attackierbar

Jetzt patchen! Über 350.000 Microsoft Exchange Server immer noch attackierbar

Auch wenn Angreifer schon seit Ende Februar Ausschau nach verwundbaren Exchange Servern halten, haben viele Admins offensichtlich noch nicht gepatcht.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Jetzt patchen! Über 350.000 Microsoft Exchange Server immer noch attackierbar.

Schweigepflicht: Umfang, Berufsgruppen & Besonderheiten des § 203 StGB

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier:

Schweigepflicht: Umfang, Berufsgruppen & Besonderheiten des § 203 StGB

Einige besondere Berufsgruppen wie z.B. Berufsgeheimnisträger, Amtsinhaber oder sonstige bei diesen mitwirkenden Personen haben im Rahmen ihrer Tätigkeit beim Umgang mit Informationen und Daten die gesetzliche Schweigepflicht des § 203 StGB zu beachten. Dieser schützt vor der Offenbarung von Privatgeheimnissen. Die Norm geht weiter als das Datenschutzrecht und kann daher grundsätzlich auch bei datenschutzkonformen Verarbeitungen einschlägig sein. Deshalb schauen wir sie uns in diesem Beitrag genauer an.

Von der Schweigepflicht geschütztes Rechtsgut

Von der Schweigepflicht des § 203 StGB geschützt sind zunächst Informationen, die den persönlichen Lebens- und Geheimnisbereich einer Person betreffen. Es handelt sich dabei um einen Ausfluss des allgemeinen Persönlichkeitsrechts sowie des Rechts auf informationelle Selbstbestimmung. Im Ergebnis soll der Einzelne selbst entscheiden, wann, wem und in welchem Maße er Geheimnisse offenbart.

Ein Privatgeheimnis gem. § 203 Abs.1 und 2 StGB liegt vor bei:

  • Tatsachen, die sich auf vergangene oder bestehende persönliche Lebensverhältnisse der betroffenen Person beziehen
  • Werturteilen und Meinungen, die die betroffene Person über andere hat
  • Identifikationsmerkmalen über die betroffene Person, die diese zu einem bestimmten Geschehen zuordenbar machen
  • Einem nach außen tretenden Geheimhaltungswille der betroffenen Person in Bezug auf die Tatsache (dieser Wille ist auch konkludent möglich)
  • Schutzwürdigkeit des Geheimhaltungswillens. Dieser ergibt sich aus dem Standpunkt und der persönlichen Lage der betroffenen Person (unabhängig davon, ob die Tatsache rechtlich oder sittlich billigenswert ist)
  • Auch wenn einzelne Dritte die Tatsache schon kennen, kann diese noch geheim sein
  • Tatsachen über Dritte, die ein Mitglied der Berufsgruppe (s.u.) in direktem untrennbaren Zusammenhang mit der Ausübung der berufsgruppenspezifischen Tätigkeit erfährt

Kein Geheimnis sind offenkundige Tatsachen und Daten, die jedem Verständigen bekannt oder leicht feststellbar sind. Ein Geheimnis liegt vor, wenn dies dem Inhalt, Form und Umfang nach Dritten nicht bekannt ist.

Im Bereich der öffentlichen Verwaltung sind einem Geheimnis gem. § 203 Abs. 2 S. 2 StGB Einzelangaben über persönliche oder sachliche Verhältnisse anderer Personen gleichgestellt, die für die Aufgaben der öffentlichen Verwaltung erfasst sind.

Zu beachten ist, dass nicht nur die Individualgeheimnisse einer natürlichen Person, sondern auch die von juristischen Personen und Personenverbänden von der Schweigepflicht geschützt sind. Somit fallen auch Betriebs- und Geschäftsgeheimnisse unter den Anwendungsbereich des § 203 StGB.

Nur besondere Berufsgruppen sind mögliche Täter

Da es sich bei § 203 StGB um ein Sonderdelikt handelt, kommen als Täter nur besondere Berufsgruppen in Betracht.

  • Berufsständisch der Schweigepflicht unterliegende Personengruppen gem. § 203 Abs. 1 Nr. 1-7 StGB, wie z.B. Ärzte, Rechtsanwälte oder Angehörige eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung oder einer privatärztlichen, steuerberaterlichen oder anwaltlichen Verrechnungsstelle.
  • Personen mit speziellen Funktionen, die in der öffentlichen Verwaltung tätig sind gem. § 203 Abs. 2 Nr. 1-6 StGB, wie z.B. Amtsträger, für den öffentlichen Dienst besonders verpflichteten Personen oder Personen, die zur gewissenhaften Erfüllung ihrer Geheimhaltungspflichten bei der Durchführung wissenschaftlicher Forschungsvorhaben aufgrund Gesetz förmlich verpflichtet wurden.
  • Sonstige mitwirkende Personen nach § 203 Abs. 3 StGB. Also solche, die an der beruflichen oder dienstlichen Tätigkeit der unter § 203 Abs. 1 und 2 Genannten erforderlich mitwirken und keine berufsmäßigen Gehilfen (z.B. Sekretärin) oder zur Vorbereitung auf den Beruf tätigen Personen (z.B. Referendare) sind.
  • Der Datenschutzbeauftragter der Personengruppen aus § 203 Abs. 1 und 2 StGB.

Berufsmäßige Gehilfen oder zur Vorbereitung auf den Beruf tätigen Personen

Bei den berufsmäßigen Gehilfen handelt es sich um befugte Mitwisser, sodass ihnen gegenüber kein Bruch der Schweigepflicht erfolgen kann und damit auch die Strafbarkeit entfällt. Dafür muss der berufsmäßige Gehilfe aber organisatorisch ein- und weisungsgebunden und mit der Teilhabe an dem Geheimnis berufsmäßig befasst sein. Nicht notwendig ist es hingegen, dass der berufsmäßige Gehilfe seine Tätigkeit erwerbsmäßig ausübt. Vielmehr kann dies auch nur gelegentlich, innerhalb der Familie oder ehrenamtlich erfolgen. Zur Vorbereitung auf den Beruf tätige Personen müssen nicht unbedingt an der konkreten Berufsausübung der o.a. Berufsgruppen mitwirken.

Externe Personen, d.h. Dienstleister, scheiden daher als Gehilfen immer aus, so dass die Offenlegung eines Geheimnisses oder die Zugänglichmachung dazu eine Strafbarkeit nach § 203 StGB begründet. Aufgrund dieses Umstandes wurde nach langem Hinwirken der betroffenen Berufsgruppen der § 203 StGB im Jahr 2017 neugeregelt.

Sonstige mitwirkende Personen

Der dabei geschaffene § 203 Abs. 3 S. 2 2. HS StGB begründet die mögliche Legitimation im Rahmen einer arbeitsteiligen Organisation – wie dies heute üblich ist – Daten an sonstige mitwirkende Personen weiterzugeben, die die o.a. Berufsgruppen bei deren Aufgabenerfüllung gegenüber dem Geheimnisberechtigten erforderlich unterstützen. Mit andern Worten dürfen IT-Dienstleister, Serverbetreiber und andere in einer arbeitsteiligen Gesellschaft notwendigerweise zur Erfüllung der übernommenen Aufgaben eingesetzte Dienstleister, sofern sie mit Bedacht ausgewählt und zur Vertraulichkeit verpflichtet wurden, nunmehr von den oben angeführten Berufsgruppen beauftragt werden, ohne dass Letztere Gefahr laufen, sich wegen eines Bruchs der Schweigepflicht strafbar zu machen. § 203 Abs. 3 StGB stellt klar, dass diese mitwirkenden Personen, wenn diese in Ausübung ihrer beauftragten Tätigkeit oder bei Gelegenheit Kenntnis von dem Privatgeheimnis erlangen, keine Strafbarkeit bei demjenigen begründen, der diese für seine Berufs- oder Dienstausübung nach § 203 Abs. 1 und 2 StGB einsetzt.

Diese sonstige mitwirkende Person, darf sogar selbst auch wieder weitere, mitwirkende Personen für die eigene Aufgabenerfüllung, die ursprünglich von einem Träger der Berufsgruppe nach § 203 Abs. 1 und 2 StGB übernommen wurde, beauftragen, wenn dies zur übernommenen Aufgabenerfüllung erforderlich ist. Damit auch diese nachgelagerte Beauftragung straffrei bleibt, muss die erste mitwirkende Person ihrerseits, dafür Sorge tragen, dass die nachgelagerte mitwirkende Person von ihr zur Geheimhaltung verpflichtet wurde, es sei denn, die mitwirkende Person ist selber Mitglied einer Personengruppe nach § 203 Abs. 1 und 2 StGB.

Alle anderen Personen (Dritte)

Alle anderen Personen, also auch Gehilfen, die nicht berufsmäßig für die o.a. Berufsgruppen tätig sind, sind Dritte. Dritter kann auch ein Mitglied einer der o.a. Berufsgruppe sein, wenn dieser nicht befugt ist und die Mitteilung an diesen auch nicht in Ausübung des Berufes des Geheimnisträgers (Täters) geboten war bzw. dies nicht mit Einverständnis des Geheimnisberechtigten erfolgt. In diesem Fall begründet die Offenlegung des Geheimnisses eine Strafbarkeit nach § 203 StGB.

Verstoß gegen Schweigepflicht durch unbefugte Offenbarung

Das Geheimnis oder die Einzelangabe muss der Berufsgruppe nach § 203 Abs. 1 und 2 StGB berufs- und funktionsbezogen anvertraut oder sonst wie bekannt geworden sein. Entscheidend ist, dass dies kraft Berufsausübung erfolgt. In Abgrenzung zur Privatsphäre der oben angeführten Berufsgruppen kann man darauf abstellen, ob die Tätigkeit im Rahmen einer Honorarforderung beglichen wird.

Wie oben dargelegt, kann ein Offenbaren, d.h. ein irgendwie geartetes Mitteilen, nicht gegenüber berufsmäßigen Gehilfen bzw. den zur Vorbereitung auf den Beruf tätigen Personen erfolgen, da diese zu dem organisatorischen internen Bereich eines Mitgliedes der Berufsgruppen nach § 203 Abs. 1 und 2 StGB gehören. Im Übrigen ist der Anvertrauende nicht zwingend der Geheimnisinhaber.

Ein Offenbaren gegenüber einer sonstigen mitwirkenden Person s.o., liegt dann vor, wenn deren Mitwirken nicht für die Berufs- oder Dienstausübung erforderlich ist bzw. die mitwirkende Person nicht zur Geheimhaltung verpflichtet wurde, gleichwohl aber bei der Erbringung der vereinbarten Dienstleistung mit dem Geheimnis in Berührung kommt bzw. hiervon Kenntnis erlangt. Dies gilt nicht, wenn die sonstige mitwirkende Person ebenfalls ein Mitglied der Berufsgruppe nach § 230 Abs. 1 und 2 StGB ist und mit dem Vorgang kraft Berufsausübung befasst ist. Entsprechendes gilt für die nachgelagerte Mitwirkung der Personen bzw. Dienstleister, die von der sonstigen mitwirkenden Person zur Erfüllung der eigens übernommenen Dienstleistung beauftragt wurden.

Der Offenbarende darf nicht befugt sein, das Geheimnis zu offenbaren, d.h. es darf keine Einwilligung der Person gegeben sein, die über das Geheimnis verfügen darf, das kann auch eine Dritte Person sein. Es dürfen zudem keine gesetzlichen Offenbarungspflichten bestehen oder ein rechtfertigender Notstand nach § 34 StGB vorliegen. Eine grobe Leitlinie für den Umgang mit den Erlaubnistatbeständen hatten wir anhand eines Beispiels im Beitrag Mord im Krankenhaus – Gilt die Schweigepflicht? erörtert.

Der Täter muss zumindest bedingt vorsätzlich gehandelt haben, d.h. er muss sich dessen bewusst sein, dass es sich um ein Geheimnis oder eine Einzelangabe handelt, die ihm im Rahmen seiner Berufsausübung anvertraut wurde und dass der Anvertrauende die Geheimhaltung will und billigend in Kauf nehmen, dass er das Geheimnis offenbart.

Besonderheiten der Schweigepflicht in Bezug auf den Datenschutzbeauftragten

Der persönliche Anwendungsbereich der Schweigepflicht des § 203 StGB und die damit verbundene Strafbarkeit, grenzt sich in Bezug auf den Datenschutzbeauftragten wie folgt ein:

Soweit der Datenschutzbeauftragte bei Erfüllung seiner Aufgaben, für die er von Mitgliedern der Berufsgruppen nach § 203 Abs. 1 und 2 StGB beauftragt wurde oder bei Gelegenheit im Rahmen dieser Aufgabenerfüllung, Kenntnis von einem Geheimnis erlangt hat, z.B. in Folge von Zugriffs- oder Zutrittsrechten, macht er sich strafbar, wenn er dieses Geheimnis unbefugt Dritten offenbart.

Im Rahmen seiner Funktion als Datenschutzbeauftragter bei den Mitgliedern der o.a. Berufsgruppen, erstreckt sich seine Kontrolle auch auf persönliche Geheimnisse, die dem Berufs- oder Amtsgeheimnis unterliegen würden. Soweit diesen Berufsgruppen ein Zeugnisverweigerungsrecht oder ein Beschlagnahmeverbot zusteht, gilt dies auch für Datenschutzbeauftragte, wenn diese nicht selbst unter die Berufsgruppen des § 203 Abs. 1 und 2 StGB fallen, weil sie selbst Rechtsanwälte sind.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original:

.

Microsoft Employee Safety 365 und der Datenschutz – Mitarbeiterbindung durch die zeitliche Beschränkung von Xing oder Linkedin!?!

Liebe Leser! Microsoft Office 365 ist gang und gebe – aber haben Sie sich schon einmal Gedanken darüber gemacht, was an Nutzungsdaten bei Microsoft landet? Dieser Artikel ist für Sie ein Muss!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Microsoft Employee Safety 365 und der Datenschutz

Microsoft Employee Safety 365 und der Datenschutz

Office 365 soll in Zukunft Microsoft 365 heißen. Mit dem Umbau wurden auch Zusatzfeatures der Office-Suite angekündigt: Employee Safety 365 ist eine Erweiterung der Kollaborationssoftware Teams, die wir datenschutzrechtlich genauer betrachtet haben.

Microsoft Office 365 – Bestandsaufnahme

Microsoft war auf unserem Blog schon des Öfteren ein Thema. Leider stand es bei einer datenschutzrechtlichen Beleuchtung nicht immer im besten Licht. Beispielsweise werden bei der Nutzung von Office 365 über 25.000 Events Diagnosedaten an Microsoft übermittelt. Wer einmal die Online-Service-Terms und das Data-Processing-Addendum von Microsoft gelesen hat, dem machen Plusquamperfekt und Futur 2 keine Angst mehr.

Da die Mitarbeiter von Unternehmen eigentlich den ganzen Tag nur noch mit dieser Office-Suite arbeiten, ist auch die Leistungs- und Verhaltenskontrolle mit Workplace Analytics und MS Graph treffsicherer geworden. Um Sicherheit und Produktivität weiter zu verbessern, hat Microsoft Employee Safety 365 vorgestellt.

Funktionsumfang von Employee Safety 365

Unternehmen können nun endlich die Computer-, Smartphone- und Internet-Nutzung der Mitarbeiter kontrollieren und steuern. Dazu zählen auch Auswertungen der Bildschirmzeit auf Windows- und Android-Geräten, sowie der Xbox. Nachdem ein Unternehmen über diese Funktionen überhaupt einmal ermittelt hat, wie lange Mitarbeiter während der Arbeitszeit Netflix schauen, können mittels Employee Safety 365 die Nutzungszeiten für Apps und Anwendungen reguliert werden. Dies gilt auch für Social-Media- und Messenger-Programme. Erste Unternehmen verzeichneten im Test erhebliche Erfolge in der Mitarbeiterbindung, seitdem sie die Nutzungsdauer für das Unternehmer- und Jobsuche-Portal Xing auf zwei Stunden am Tag reduzierten.

Employee Safety 365 soll jedoch nicht nur die Produktivität erhöhen, sondern die Arbeitnehmer auch schützen. Einige Features erhöhen sogar die Sicherheit der Arbeitnehmer noch vor dem Betreten der Büroräume. Mittels Location Tracker und Geofencing kann der Arbeitgeber die Arbeitswege und Geschwindigkeiten seiner Arbeitnehmer kontrollieren. Mittels Geofencing können morgendliche Abstecher vom normalen Arbeitsweg direkt mit einer E-Mail-Warnung verknüpft werden. Auch eine Fahrstilanalyse ist im Softwarepaket mit inbegriffen. So können Mitarbeiter, die auf dem Weg zur Arbeit schneller fahren als auf dem Heimweg, identifiziert und explizit gefördert werden. All diese Informationen werden bequem in automatisch erstellten Profilen gespeichert und ausgewertet.

Zulässig nach DSGVO?

Seit der Einführung der Datenschutz-Grundverordnung ist eine solche Überwachung natürlich nicht ohne weiteres möglich. Unter den Testunternehmen waren beispielsweise kollegiale Wettkämpfe sehr beliebt wie „höchste Geschwindigkeit beim Heimweg“ oder „längster Heimweg nach der Betriebsfeier“.

Aus datenschutzrechtlicher Sicht ist dies aber nicht unproblematisch. Der grundlegende Einsatz von Employee Safety 365 ist unkompliziert nach § 26 Abs. 1 S. 1 BDSG erforderlich für die Durchführung des Beschäftigungsverhältnisses. In der modernen Welt müssen Unternehmen ihr wichtigstes Kapital fördern, beschützen und nutzen. Da sich darum aber mittlerweile Banken kümmern, konzentrieren sich Unternehmen verstärkt auf ihr Personal.

Da Employee Safety 365 jedoch auch Daten außerhalb des Beschäftigungsverhältnisses verarbeitet, greift die Rechtsgrundlage nicht für alle Verarbeitungsvorgänge. Microsoft hat deshalb angekündigt, dass Employee Safety 365 mit einer voreingestellten Einwilligung für alle weiteren Verarbeitungen installiert wird. Administratoren können darüber hinaus das Ändern der Einstellungen durch die Mitarbeiter mittels entsprechender Policies verhindern.

Unternehmen sind eine Familie

Employee Safety 365 ist das neue Tool mit denen Unternehmen und Mitarbeiter zu einer Familie zusammenwachsen können. Denn nur ohne Geheimnisse oder vorgetäuschte Privatsphäre können die Mitarbeiter offen und ehrlich miteinander kommunizieren. Als wäre das Tool für Familien und nicht für Unternehmen entworfen, stellt es alle bisherigen Überlegungen zum Arbeitnehmerdatenschutz in Frage… oder hieß das Tool doch „Family Safety“ – das spielt an dem heutigen Tag ja aber keine Rolle.

Froher 1. April von Dr. Datenschutz.


Gefällt Ihnen der Beitrag?

Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING

Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Microsoft Employee Safety 365 und der Datenschutz.

Homeoffice, Klausuren und Videoüberwachung – Datenschutz: 0 Punkte

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Homeoffice, Klausuren und Videoüberwachung – Datenschutz: 0 Punkte

Homeoffice, Klausuren und Videoüberwachung – Datenschutz: 0 Punkte

Um das derzeit Corona-bedingt stillgelegte öffentliche Leben in den eigenen vier Wänden nachzuholen, sind kreative Lösungen gefragt. Das dachte sich wohl auch die Bucerius Law School, die juristische Klausuren im Homeoffice unter Videobeobachtung schreiben ließ – dem Internetneuland sei Dank. Gute Idee? Datenschutzrechtlich wohl eher nicht.

Wer anderen eine Grube gräbt,…

…fällt selbst hinein. Im Homeoffice Klausuren schreiben? Genial, dachte sich so mancher Student, wer soll uns da schon beim Spicken erwischen?

Tja, nachdem ein paar gewiefte Studierende meinten, die Bucerius Law School (BLS) an der Nase herum führen zu können, drehte die private Hochschule für Rechtswissenschaft in Hamburg den Spieß um. Nun sind die Klausurschreibenden die Gelackmeierten…

Wait, what? Von Anfang an:

Corona verursacht derzeit Chaos. Es herrschen Verwirrung, Angst – und allem Anschein nach chronischer Klopapiermangel. Nicht nur Biergärten haben geschlossen, nein, auch Bildungsstätten wie Schulen oder Universitäten. Damit die Studenten ihre Klausuren dennoch schreiben können, zeigt die BLS den Viren die kalte Schulter: Egal! Dann eben im Homeoffice.

Ungefähr zwei Wochen ist es her, da durften sich die Studierenden erstmals zuhause einer echten Prüfung stellen. Noch während der Bearbeitungszeit verbreitete sich eine Lösungsskizze der Strafrechtsklausur im Internet. Die Hochschule zögerte nicht lange und wertete den Vorfall als Täuschungsversuch – blöd gelaufen! Keine der Klausuren wurde bewertet.

Und wie ging es weiter? Gemäß einer der Legal Tribune Online vorliegenden, von Seiten der Hochschule bestätigten, internen Rundmail werden die Prüflinge nun zuhause beim Verfassen der Klausuren überwacht. Während der Bearbeitungszeit sollen sich die Klausurschreibenden per Webcam oder Smartphone filmen und die Aufnahmen mittels eines Videokonferenz-Tools übertragen. Ob sich der Prüfling verzweifelt am Kopf kratzt oder tonnenweise Studentenfutter in sich rein kippt – der Prof sieht alles!

Gar nicht old school

Es dürfte wohl der Traum aller vom Studium Gequälten sein, Klausuren ohne die prüfenden Blicke irgendwelcher Aufsichtspersonen zu verfassen. Aber ist es überhaupt zulässig, juristische Uni-Prüfungen im Homeoffice zu schreiben?

Hierzu Herr Meinhard Weizmann, Geschäftsführer der Bucerius Law School:

„Das Landesjustizprüfungsamt Hamburg hat uns gestattet, unseren Studenten dieses Angebot zu machen.“

Dass sich eine Prüfungsbehörde so fortschrittlich zeigt, ist – nun ja – ungewöhnlich. Also woran hat es gelegen? Laut Herrn Weizmann hauptsächlich an der etablierten Prüfungssoftware Wiseflow. Diese Software aus Dänemark werde schon lange weltweit in verschiedenen Fachbereichen genutzt, um online Klausuren stellen zu können. Das Landesjustizprüfungsamt fackelte daher nicht lange.

Ob sich das Landesjustizprüfungsamt nur zum Schreiben der Klausur in den eigenen vier Wänden geäußert hat oder ob es auch die Videoüberwachung in seine Entscheidung einfließen ließ, wird im zitierten LTO-Artikel nicht genau genug beleuchtet. Es ist aber wohl davon auszugehen, dass sich die Behörde eher nicht so weit aus dem Fenster lehnen würde, auch die Videoüberwachung zu gestatten.

Datenschutz stand nicht auf dem Lehrplan

Den Datenschutzkundigen dürften schon beim Lesen der Überschrift die Haare zu Berge stehen. Wer sich dann auf die Suche nach einer Rechtsgrundlage macht, wird enttäuscht:

Wirksame Einwilligung?

Wäre es möglich, die Videoüberwachung während einer im Homeoffice verfassten Klausur auf die Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a DSGVO zu stützen? Wenn die Studierenden nichts dagegen haben, wo ist das Problem?

Ganz klar: Eine wirksame Einwilligung setzt Freiwilligkeit voraus. Wer sich gezwungen fühlt, zuzustimmen, kann nicht wirksam weitreichende Ermächtigungen aussprechen. Was passiert denn nun, wenn ein Prüfling entscheidet, nicht videoüberwacht werden zu wollen?

Herr Weizmann betont, dass die Bucerius Law School das Opt Out ermögliche:

„Wem es nicht behagt, sich bei der Klausur zu filmen – und das können wir gut nachvollziehen –, der kann die Klausuren nach der Wiedereröffnung der Hochschule vor Ort nachholen.“

Diese Möglichkeit hätten im Rahmen einer Klausur im Öffentlichen Recht nur acht von 98 Teilnehmern genutzt. Heißt das, 90 Teilnehmer haben wirksam eingewilligt, bei jedem Stirnrunzeln und planlosen Blättern im Gesetzestext gefilmt zu werden? Das ist zu bezweifeln: Zwar kann man über die Motive, weshalb sie zugestimmt haben, nur mutmaßen, wirklich frei von sämtlichen Sorgen und Ängsten scheint die Entscheidung aber nicht gefallen zu sein.

Überlegen Sie mal selbst: Man stellt sie vor die Wahl, eine Klausur, für die Sie womöglich lange gelernt haben, sofort unter Videobeobachtung zu schreiben oder erst irgendwann zu einem nicht näher bestimmten Zeitpunkt, dabei jedoch ohne Kamera. Würden Sie das Gelernte bis zum Sankt-Nimmerleins-Tag wiederholen wollen? Oder wären Sie nicht einfach froh, wenn Sie die Prüfung bald hinter sich haben könnten?

Diese Gedankengänge scheint der Geschäftsführer der BLS zu teilen:

„Die Möglichkeit, Klausuren von zuhause zu schreiben, kann den Studierenden Zeit sparen. Denn aktuell wissen wir nicht, wann Hochschulen wieder öffnen können.“

Zudem: Wenn man die Videoüberwachung ablehnt, macht man sich dann nicht verdächtig, einen Täuschungsversuch begehen zu wollen? Diese Angst könnte ausschlaggebend für die Entscheidung vieler Prüflinge pro Videoüberwachung gewesen sein. Freiwilligkeit sieht anders aus.

Erforderlich zur Erfüllung eines Vertrags?

Diskutieren ließe es sich, das Vorgehen auf Art. 6 Abs. 1 S. 1 lit. b DSGVO zu stützen. Danach ist die Datenverarbeitung rechtmäßig, wenn sie für die Erfüllung eines Vertrags erforderlich ist.

Ist es nicht Teil des zwischen Studenten und Hochschule bestehenden Vertrags, den Studierenden das Ablegen der Prüfungen zu ermöglichen? Natürlich, Corona hin oder her. Dennoch: Wenn es unproblematisch möglich ist, die Klausuren zu einem späteren Zeitpunkt vor Ort nachzuholen, weshalb sollte es dann erforderlich sein, die Prüfungen zuhause unter Videobeobachtung abzuhalten? Die Klausuren lassen sich auch ohne Videoüberwachung schreiben – nur eben erst dann, wenn die Hochschule wieder öffnet. Die Parteien haben sich darauf geeinigt, Klausurleistungen anzubieten und abzulegen. Hierzu reicht es, wenn die Hochschule Ersatztermine verbindlich in Aussicht stellt.

Im öffentlichen Interesse?

Die Videoüberwachung während einer Klausur könnte auf Art. 6 Abs. 1 S. 1 lit. e DSGVO basieren, wenn die Datenverarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt. Die Gewährleistung eines ordnungsgemäßen Hochschulbetriebs ist eine solche Aufgabe.

Um den Fortbestand der im öffentlichen Interesse liegenden Bildung zu sichern, ist es jedoch nicht erforderlich, Klausuren im Homeoffice auf Biegen und Brechen unter Videoüberwachung anfertigen zu lassen – vor allem dann nicht, wenn man sie problemlos nachholen kann.

Berechtigtes Interesse?

Zuletzt käme als Rechtsgrundlage noch Art. 6 Abs. 1 S. 1 lit. f DSGVO in Betracht. Dazu müsste die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein, sofern nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen.

Das berechtigte Interesse der BLS liegt wohl darin, für alle Prüflinge dieselben Prüfungsvoraussetzungen zu schaffen: Täuschungen bei Klausuren im Homeoffice darf es nicht geben!

Diese Begründung weist jedoch Schwächen auf. Laut anonymen Klausurteilnehmern werde nur geprüft, ob der Student vor dem Rechner sitze. Was auf dem Bildschirm stehe, werde nicht beobachtet. Das würde auch erklären, weshalb just bei der ersten videoüberwachten Homeoffice-Klausur der Bucerius Law School wieder eine Lösungsskizze während der Bearbeitungszeit online ging. Das führt das Argument der Hochschule doch ad absurdum!

Hierzu Herr Weizmann:

„Uns ist bewusst, dass dabei keine hundertprozentige Kontrolle möglich sein kann.“

Wenn die Videoüberwachung nicht vor Täuschungen schützt, weshalb wird sie dann eingesetzt? Und noch viel wichtiger: Inwiefern überwiegt das Interesse, vielleicht, aber wirklich nur vielleicht Täuschungen verhindern zu können, das Interesse der Prüflinge, in ihrem eigenen Zuhause nicht gefilmt zu werden? Insbesondere, da ein Nachholen der Klausuren möglich ist?

Datenschutzrechtlicher Dilettantismus

Nun könnte man annehmen, die Bucerius Law School sei einfach ein Sonderfall, weil es sich um eine private Jura-Hochschule handele. Staatliche Universitäten und Hochschulen kämen gar nicht auf so eine Idee, oder? Doch. Ein Professor an der Universität Rostock filmte Prüflinge während einer Klausur und projizierte die Bilder an die Leinwand des Hörsaals – um Täuschungen zu verhindern, sowie aus Bequemlichkeit. Okay, dieser Vorfall ereignete sich vor über acht Jahren. Also kein Grund zur Sorge?

Probleme mit dem Datenschutz an Universitäten gibt es immer wieder – kein Wunder, denn Hochschulen sind aufgrund ihrer Forschungen attraktive Angriffsziele für Cyberattacken. Gleichzeitig aber mangelt es ihnen häufig an einer ausreichenden Absicherung ihrer Netze. Datensicherheit, ein Fremdwort?

So wiesen beispielsweise die Hochschulinformationssysteme zahlreicher deutscher Universitäten jahrelang einen Konfigurationsfehler auf, wodurch personenbezogene Daten hunderttausender Studierender öffentlich zugänglich waren. Am 9. März 2020 stellte die HIS Hochschul-Informations-System eG den Universitäten ein Sicherheitsupdate zur Verfügung. Ihrer Verantwortung bewusst, haben das die Hochschulen sicher ganz schnell eingespielt, oder? Jein. Die Universitäten in Bonn, Düsseldorf, Hildesheim und dem Saarland wurden erst am 12. März tätig. Nicht von sich aus – die c’t hatte sie erst auf die Sicherheitslücke hinweisen müssen. Wieso sich auch beeilen? Betraf ja nur über 600.000 ehemalige und derzeitige Studierende der genannten Universitäten… nur die Ruhe!

Wer einen Blick über den großen Teich wirft, gewinnt teils erschreckende Erkenntnisse über die digitale Zukunft unserer Hochschulen. Von im Auftrag der Saint Louis University installierten Amazon Alexa-Geräten in Studentenwohnheimen bis zu durch Bluetooth und einer App getrackten Vorlesungsbesuchern, um die Anzahl der Schwänzenden zu verringern – ein Studentenleben im Überwachungsstaat?

Hochschulen hierzulande stecken in digitaler Hinsicht zwar noch in den Kinderschuhen, der Dilettantismus bei datenschutzrelevanten Fragestellungen greift jedoch schon heute um sich. Videoüberwachte Prüfungen im Homeoffice sind da erst der Anfang (vom Ende).


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Homeoffice, Klausuren und Videoüberwachung – Datenschutz: 0 Punkte.

Tätigkeitsbericht des ULD – Digitalisierung, Datenpannen und Corona

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Tätigkeitsbericht des ULD – Digitalisierung, Datenpannen und Corona

Tätigkeitsbericht des ULD – Digitalisierung, Datenpannen und Corona

In der vergangenen Woche hat Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, ihren Tätigkeitsbericht für das Jahr 2019 vorgelegt. Eine entsprechende Pressemitteilung durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist am Freitag erfolgt. Der Bericht beleuchtet die wichtigsten Themen zum Datenschutz und zur Informationsfreiheit auf knapp 150 Seiten. Auch wir haben uns den Bericht einmal angeschaut.

Die nackten Zahlen im Überblick

Die Tätigkeitsberichte der einzelnen Datenschutzbehörden, welche nun nach und nach weiter eintrudeln dürften (Bremen und Saarland liegen seit kurzem auch schon vor), sind insoweit mit Spannung zu erwarten, da die Berichte erstmalig ein ganzes Jahr nach Anwendbarkeit der DSGVO in den Fokus nehmen. Zumindest der Bericht des ULD macht deutlich, dass das Bewusstsein für datenschutzrechtliche Themen bei Unternehmen und in der Bevölkerung offenbar gestiegen ist. Gleichzeitig ist aber auch die Zahl der gemeldeten Datenschutzvorfälle in die Höhe geschnellt.

Das ULD hat auf Basis von Beschwerden betroffener Personen 915 Verfahren eingeleitet. Dabei lag der Anteil der Beschwerden gegen öffentliche Stellen bei ca. 25 Prozent, bei nichtöffentlichen Stellen dementsprechend ca. 75 Prozent. Zudem lässt das ULD mitteilen, dass im vergangenen Jahr insgesamt 349 Datenschutzvorfälle gemeldet worden sind. Damit habe sich der monatliche Durchschnitt der gemeldeten Datenpannen von 18 auf 29 erhöht. Dies entspricht einem Anstieg von ca. 61 Prozent.

Höhere Sensibilität für Datenschutz

Dass nunmehr allgemein eine erhöhte Sensibilisierung im Bereich des Datenschutzes stattgefunden hat, ist definitiv zu begrüßen. Schließlich ist es nicht allzu lange her, dass Datenschutz von vielen Unternehmen eher stiefmütterlich behandelt worden ist. Von Aussagen „Das bringt doch alles nichts“ und „Das kostet uns nur unnötig Geld“ war so ziemlich alles dabei. Gerade in den Zeiten des (guten) alten BDSG hatte man in der Beraterpraxis oft das Gefühl, gegen Windmühlen ankämpfen zu müssen.

Dabei erscheint es nur folgerichtig, dass auch die Zahl der Datenpannen (offiziell) gestiegen ist. Herrschte in der Vergangenheit eher die Auffassung, einen Datenschutzverstoß aus Angst vor möglichen Konsequenzen der Aufsichtsbehörde zu verschweigen, scheint sich nun die Ansicht durchzusetzen, dass man mit Transparenz und „gelebtem Datenschutz“ mehr Vertrauen schafft. Dies gilt offensichtlich nicht nur gegenüber den Bürgern, sondern vor allem hinsichtlich der Zusammenarbeit mit der jeweiligen Aufsichtsbehörde.

Ausnahmen bestätigen die Regel

Aber wo Licht ist, ist immer auch ein Schatten. Dem Bericht zufolge gibt es immer noch einzelne Bereiche, in denen im abgelaufenen Jahr wenig bis gar keine Meldungen vorgenommen worden sind. Dies gelte für die Polizei in Schleswig-Holstein. Hier wurden offenbar überhaupt keine Datenpannen gemeldet, was nicht nur die Landesdatenschutzbeauftragte durchaus verwundert:

„Es wäre zumindest ungewöhnlich, wenn bei Tausenden von Beschäftigten, die mit personenbezogenen Daten umgehen, nie Datenschutzfehler auftreten.“

Dies lässt durchaus die Frage zu, ob hier eine ausreichende Sensibilisierung der verarbeitenden Personen tatsächlich stattgefunden hat. Zumindest sollte die weitere „Entwicklung“ aufmerksam beobachtet werden. Auch ist ein Blick auf die Art der gemeldeten Datenpannen interessant:

„[…] fehladressierte Schreiben, offene E-Mail-Verteiler, verlorene USB-Sticks, Rechner-Infektionen mit Schadsoftware oder Programmierfehler – all dies wird uns fast täglich gemeldet.“

Das sind tatsächlich die „Klassiker“, welche auch im Berateralltag immer noch häufig auftauchen. Auch hier scheint es keine ausreichende Sensibilisierung zu geben. Offensichtlich wird aber auch, dass der entscheidende Faktor Mensch, welcher bekanntlich fast immer ein Einfallstor bietet, nach wie vor nicht so einfach zu „kontrollieren“ ist…

Datenschutz in Zeiten von Corona

Wenig überraschend stellt der Tätigkeitsbericht auch einen Bezug zu dem Thema her, welches die ganze Welt seit Wochen in Atem hält. Im Zuge des Kampfes gegen das Corona-Virus ist schon mehrfach der Ruf laut geworden, mittels Standortdaten (und weiteren personenbezogenen Daten) vom Handy mögliche Infektionsketten nachzuverfolgen. Frau Hansen mahnt hier ein überlegtes Vorgehen an und rät dazu, Schnellschüsse zu vermeiden. Schließlich gehe es hier teilweise um hochsensible personenbezogene Daten, welche stets mit besonderem Augenmaß zu behandeln sind.

Diese Sichtweise ist ausdrücklich zu begrüßen. Auch wenn neben deutschen und österreichischen Mobilfunkanbietern nun offenbar weitere Unternehmen auf diesen Zug aufgesprungen sind und zumindest anonyme Handydaten zur Verfügung stellen wollen, sollte man eines nicht vergessen. Das Recht auf informationelle Selbstbestimmung ist ein Grundrecht und ausdrücklich von der Verfassung geschützt. Selbstverständlich wird hier das hehre Ziel verfolgt, möglicherweise eine Vielzahl von Menschleben zu retten. Sollten aber, vielleicht schon relativ kurzfristig, personenbezogene Daten zum Einsatz kommen, wäre zwingend sicherzustellen, dass die Datennutzung in höchstem Maße transparent erfolgt. Schließlich können personenbezogene Daten, welche zum Schutz von Menschenleben verarbeitet werden, zu einem späteren Zeitpunkt auch für ganz andere Zwecke missbraucht werden…

Digitalisierung – oder eben nicht

Auch zum Thema Digitalisierung in Deutschland hat sich Frau Hansen geäußert. Die oberste Datenschutzherrin Schleswig-Holsteins erwartet hier in Zukunft einen deutlichen Schub, auch durch die aktuelle Corona-Krise. Deutschland war in Sachen Digitalisierung bislang nicht gerade ein Vorreiter. Das ist eigentlich nicht verwunderlich. Das berühmte Zitat unserer Kanzlerin zum Internet (Stichwort „Neuland“) ist erst knapp sieben Jahre her. Im Oktober 2019 brachte eine Studie ans Licht, dass Deutschland im Bereich der Digitalisierung im internationalen Vergleich lediglich auf Platz 36 und damit weit entfernt von der Weltspitze steht.

Estland macht Schule – und zwar digital

Vor allem im Schulwesen fällt Deutschland die unausgereifte Digitalisierung in der Corona-Krise deutlich auf die Füße. Während in vielen EU-Mitgliedsstaaten – Estland sei hier als leuchtendes Vorbild genannt – nahezu problemlos Unterricht „zu Hause“ stattfinden kann, müssen sich hierzulande Schüler und Lehrer gleichermaßen erst einmal eingrooven, was zu eigentlich absurden Problemen führt. So werden derzeit Abiturprüfungen verschoben, weil auf Grund der bundesweiten Schulschließungen der Unterricht praktisch auf Eis gelegt worden ist. Allerdings ist fraglich, ob man den neuen Zeitplan tatsächlich einhalten kann. Immerhin dürfte nun deutlich geworden sein, dass im Bereich Schule dringender Nachholbedarf besteht. Es wäre zu wünschen, wenn der Digitalpakt von 2019 in Zukunft mit Volldampf umgesetzt würde.

Die Zukunft im Blick

Die Corona-Krise macht deutlich, dass wir uns mit den Themen Datenschutz und Digitalisierung mehr denn je beschäftigen müssen. Zumindest gilt dies in einer Gesellschaftsform, welche stark auf Globalisierung und Schnelllebigkeit ausgerichtet ist. Darauf nimmt der Tätigkeitsbericht des ULD vielfach Bezug. Wohin dies noch führen wird, ist auch angesichts von allgemein herrschender Verunsicherung in diesen Tagen schwer zu prognostizieren. Sicher ist aber, dass auch in Krisenzeiten der Datenschutz nicht voreilig über den Haufen geworfen werden sollte.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Tätigkeitsbericht des ULD – Digitalisierung, Datenpannen und Corona.

Digitale Sucht – sind wir alle abhängig?

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Digitale Sucht – sind wir alle abhängig?

Digitale Sucht – sind wir alle abhängig?

Tristan Harris, ehemaliger Entwickler bei Google warnt davor, wie Google, Facebook & Co. suchterzeugende Technologie nutzen, um unsere Aufmerksamkeit zu erregen. Dabei werden wir immer gläserner. Ein Thema, das nicht nur datenschutzrechtlich interessant ist. Unser ganzer Alltag wird dadurch geprägt.

Der Spielautomat in der Hosentasche

„Der Mensch hat steinzeitliche Gefühle, mittelalterliche Institutionen und eine gottgleiche Technik.“

Edward O. Wilson, Insektenkundler und Biologe

Sucht erzeugen

Ist es Ihnen schon einmal vorgekommen, dass Sie auf YouTube ein Video anschauen wollen und am Ende zwei Stunden auf der Plattform verbracht haben? Nun das ist kein Wunder, sondern liegt höchstwahrscheinlich daran, dass Googles Supercomputer und Algorithmen direkt auf Ihr Gehirn gerichtet waren, um anhand Ihrer personenbezogenen Daten vorherzusagen, welche Videos sie an der Stange halten.

Zudem setzen die Anbieter unzählige kleine Mechanismen ein, um uns immer wieder zur Interaktion zu bringen. Wer kennt es nicht, das Aufblinken oder Klingeln, wenn eine neue Nachricht eingetroffen ist. Wir sind ständig sogenannten Mikrounterbrechungen ausgesetzt. So wird es immer schwieriger, sich auf etwas zu konzentrieren.

Das ist verständlich, schließlich haben die Anbieter mit ihrem auf Werbung gestützen Geschäftsmodell ein Interesse daran, dass wir möglichst viel Zeit mit ihren Diensten verbringen. Die dafür eingesetzten Techniken sind häufig suchterzeugend. Die Liste der empfohlenen Videos funktioniert wie ein Spielautomat, bei dem man immer noch die ein Video anschauen will. Der nicht endende Newsfeed bei Facebook und Twitter ist wie ein Glas, das sich auf magische Weise immer wieder füllt.

Hilflos ausgeliefert

Tristan Harris sieht dabei als zentralen Punkt die Asymmetrie der Macht zwischen den Tech-Konzernen und den Nutzern. Diese Macht werde zwar kaschiert, indem dem Nutzer suggeriert wird, dass er Entscheidungen selbstständig trifft, aber das sei nicht der Fall. So werden z.B. 70 % der Videos auf YouTube aufgrund der Empfehlungsalgorithmen angeschaut.

Unternehmen entwickeln dabei immer raffiniertere Technologien, um unsere Aufmerksamkeit zu erregen. Dabei ist es entscheidend, immer besser vorherzusagen, wie Nutzer ticken und was sie interessiert. Dank künstlicher Intelligenz gelingt das immer besser. So können bereits anhand der Mausbewegung Aussagen zu den Charaktereigenschaften eines Nutzers gemacht werden. Facebook soll seinen Kunden sogenannte Loyalitätsvorhersagen anbieten. So können sich Unternehmen warnen lassen, wenn ein Kunde kurz davor ist, zu einer anderen Marke zu wechseln, z.B. wenn eine Mutter Anzeichen zeigt, dass sie zukünftig nicht mehr die Windeln von Pampers kauft.

Tristan Harris vergleicht die Tech-Konzerne daher mit Berufsgeheimnisträgern wie Ärzte, Rechtsanwälte oder Psychologen, denen wir vertrauliche Informationen offenbaren. Mit dem Unterschied, dass die erfassten Daten viel umfassender sind und die Konzerne ihre Erkenntnisse dann fleißig an Werbekunden verkaufen. Man stelle sich Facebook also als Seelsorger vor, der sein Geld damit macht, die Bekenntnisse seiner ca. 2 Mrd. Nutzer vorherzusagen, damit sie immer schön weitere Details über sich preisgeben, damit er diese dann an Werbekunden weiterverkaufen kann.

Gesellschaftliche Auswirkung

Auch die zunehmende Polarisierung der Gesellschaft ist nicht etwa allein in der menschlichen Natur mit Hang zur Stammesbildung begründet. Vielmehr haben die großen Tech-Konzerne in dem Wettrennen um unsere Aufmerksamkeit Interesse daran, Nutzer mit „krassen“ Inhalten auf ihren Seiten zu halten. So sagten in einer Umfrage unter White Nationalists (vergleichbar mit der Neonazi-Szene) in den USA 50 % der Befragten, dass ihnen durch Videos auf YouTube „die Augen geöffnet wurden“. In einer Studie zu Twitter hat man herausgefunden, dass Tweets mit Wörtern, die moralische Empörung ausdrücken, mit einer um 20 % erhöhten Wahrscheinlichkeit retweeted wurden.

Tristan Harris vergleicht in einem Interview vor dem US-Senat (Min. 13:45) YouTube mit einer Landkarte, in der es „Crazy Town“ gebe sowie eine ruhige Stadt. Egal wo man nun als Nutzer auf die Landkarte gesetzt wird, würden die Empfehlungsalgorithmen, die als Wegweiser fungieren, die Nutzer tendenziell Richtung Crazy Town schicken, weil polarisierende Inhalte die Nutzer länger auf der Plattform halten. So kommt es dazu, dass untergewichtigen Mädchen, Videos zur Magersucht gezeigt werden oder Nutzern bei der Suche nach Videos zur Mondlandung, Videos mit passenden Verschwörungstheorien.

Verantwortung übernehmen

Der Netscape-Mitgründer Marc Andreessen beschrieb in einem Essay „Why is software eating the world“, dass jeder Bereich unserer Gesellschaft von Software erfasst werden wird, weil Software jeden Bereich effizienter machen kann. Das Problem dabei ist, dass die Software-Unternehmen dabei aber keine Verantwortung für die gesellschaftlichen Auswirkungen übernehmen. Während jede Zeitung sich für falsche Inhalte verantworten muss, werden Plattformen wie Twitter oder YouTube, die ihren Nutzern massenhaft Inhalte mit polarisierenden Effekten empfehlen, in keiner Weise für Ihre Handlungen verantwortlich gemacht.

Mit seiner Non-Profit-Organisation Center for Humane Technology kämpft Tristan Harris für eine Zukunft, in der Technologie-Unternehmen Software zum Nutzen und zur Verbindung von Menschen entwicklen und nicht zur permanenten Ablenkung und Polarisierung der Gesellschaft. Bis es soweit ist, hilft aber wohl nur ein bewussterer Umgang oder gleich Digital Detox.

Und herzlichen Glückwunsch, wenn Sie bis hierhin gekommen sind, haben Sie wahrscheinlich schon vielen Ablenkungen widerstanden.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Digitale Sucht – sind wir alle abhängig?.

Datenhoheit und Datenschutzkonformität bei Maschinendaten

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Datenhoheit und Datenschutzkonformität bei Maschinendaten

Datenhoheit und Datenschutzkonformität bei Maschinendaten

Im Folgenden geht es darum, inwieweit dem Hersteller einer Maschine die Verpflichtung auferlegt werden kann, die Software für den Betrieb der Maschine datenschutzkonform zu gestalten und wem die Datenberechtigung für die gewonnenen Daten zusteht.

Klassifikation der Daten und Berechtigung

Maßgeblich für die Datenberechtigung ist, ob es sich um personenbezogene Produkt- bzw. Prozessdaten oder reine Maschinendaten handelt. Personenbezogene Daten liegen immer dann vor, wenn in den Produkt- oder Prozessdaten Daten verarbeitet werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, d.h. Betreiberdaten, aus denen sich u.U. Leistungsdaten ablesen lassen. Aufgrund des dem Datenschutzrecht zugrundeliegenden „Verbotes mit Erlaubnisvorbehalt“ wäre eine Verarbeitung personenbezogener Daten nach Art. 4 Nr. 1 DSGVO nur aufgrund eines vorliegenden Erlaubnistatbestandes möglich, wie er u.a. in den Rechtsgründen des Art. 6 DSGVO gegeben ist. Im Übrigen liegt die Datenberechtigung einzig und allein bei der betroffenen Person.

Soweit Daten aus dem Betrieb der Maschine gewonnen werden, die keinen Personenbezug aufweisen, handelt es sich um Maschinendaten, für deren Verarbeitung die DSGVO nicht einschlägig ist. Als Datenberechtigte kämen grundsätzlich folgende Personen in Betracht:

  • der Cloudbetreiber, der für den Maschinenbetreiber die Daten in der Cloud speichert
    Auch wenn die Maschine auf in der Cloud gespeicherte Daten zugreift und gewonnene Daten dort ablegt, ist der Cloudbetreiber nicht nutzungsberechtig. Vielmehr ist dieser i.d.R. als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO i.V.m. Art 28 DSGVO für den Betreiber der Maschine entsprechend dessen Vorgaben tätig.
  • der Hersteller einer Maschinenkomponente oder der Gesamtmaschine, die z.B. den Wartungs- oder Verschleißzustand ermittelt
    Der Hersteller hat zwar grundsätzlich ein veritables Interesse daran, die Datenhoheit und Nutzungsberechtigung über die gewonnenen Maschinendaten zu erlangen, um z.B. aus der Datenauswertung einen übermäßigen Verschleiß des Produktes zu ermitteln, um darauf basierend Produktverbesserungsmaßnahmen zu treffen. Allerdings besteht diese Nutzungsberechtigung für die Daten nur, wenn zwischen Hersteller und Betreiber ein Vertrag hierüber besteht. Das ist erforderlich, weil ein rechtlicher Rahmen zur Nutzung von Maschinendaten derzeit nicht besteht.
  • der Betreiber der Maschine
    Ihm obliegt die Herrschaftsmacht über die Sache als Eigentümer und/oder Besitzer und er betreibt alle mit der Maschine betriebenen Prozesse, daher ist er berechtigt, die hieraus gewonnenen Maschinendaten zu nutzen.

Verpflichtung zur datenschutzkonformen Ausgestaltung von Maschinen

Häufig werden aber mit dem Betrieb der Maschine nicht nur reine Maschinendaten generiert, sondern auch Daten mit Personenbezug, so dass der Betreiber der Maschine, diese nur entsprechend der Voraussetzungen des Art. 6 DSGVO verarbeiten kann. Bleibt zu klären, ob sich aus der DSGVO für den Hersteller eine direkte Verpflichtung ergibt, die Maschinensoftware datenschutzkonform zu konstruieren, wenn diese auch personenbezogene Daten verarbeitet.

Direkte Verpflichtung aus Art. 25 DSGVO

Eine direkte Verpflichtung zur datenschutzkonformen Ausgestaltung der Maschinensoftware ergibt sich aus Art. 25 DSGVO, nur für den Hersteller, der zugleich Verantwortlicher ist, d.h. wenn er personenbezogene Daten verarbeitet, in dem er selbst die Maschine betreibt.

Tut er dies als Hersteller nicht, ist er bei der Maschinenkonstruktion nicht nach dem Grundsatz „Data Protection by Design and by Default“ gebunden. Nach diesem Grundsatz wäre der Verantwortliche bei der Gestaltung der Datenverarbeitung gehalten, die Standards der DSGVO einzuhalten, wobei sich die konkret zu treffenden Maßnahmen an den Implementierungskosten, der Art, dem Umfang und dem Zweck der Datenverarbeitung sowie dem tatsächlichen Stand der Technik orientieren.

Der Hersteller, der zugleich Verantwortlicher ist, ist daher gehalten, durch Voreinstellung nach Art. 25 Abs. 2 DSGVO an den Maschinen nur diese Daten verarbeiten zu lassen, die für den konkreten Verarbeitungszweck in Bezug auf Datenmenge, -umfang und Zweck unbedingt erforderlich sind.

Für den Hersteller, der nicht zugleich Verantwortlicher ist, ergibt sich aus ErwG 78, dass er als Hersteller ermutigt werden soll, bei der Gestaltung der Maschinen sowie deren Software inkl. deren Voreinstellungen, die datenschutzrechtlichen Grundsätze (u.a. Datenminimierung) zu berücksichtigen, eine Verpflichtung hingegen besteht nicht.

Mittelbare Mängelgewährleistung

Auch wenn sich für den Hersteller grundsätzlich keine unmittelbare Verpflichtung aus Art. 25, 32 DSGVO hinsichtlich der DSGVO-konformen Softwarekonstruktion ergibt, so kann die nicht datenschutzkonforme Maschinenkonstruktion dennoch ein Mangel i.S.v. § 434 Abs. 1 S.2 Nr. 2 BGB sein. Ein Mangel liegt dann vor, wenn bei objektiv-berechtigter Käufererwartung davon ausgegangen werden kann, dass eine datenschutzkonforme Software eingesetzt wird, weil

  • eine datenschutzfreundliche Technik bereits am Markt hierzu vorhanden ist,
  • diese Technik bereits bei anderen auf dem Markt verfügbaren und vergleichbaren Maschinen (z.B. Konkurrenzprodukte) eingesetzt wird,
  • die Maschinen in sachlicher Hinsicht substituierbar sind.

Sollte Hersteller der Maschine nicht der Verkäufer sein, kann auf ihn bei einer vertraglichen Mängelgewährleistung in folgenden Fällen mittelbar durchgegriffen werden, z.B.

  • bei Neuprodukten nach § 445a BGB für die Geltendmachung von Sekundärrechten des Verkäufers gegenüber dem Hersteller und
  • bei dem Verkauf von Verbrauchsgütern nach § 478 BGB mit seinen erweiterten Durchgriffsmöglichkeiten.

Vorausgesetzt der Mangel wurde gem. § 377 HGB gerügt.

Produzentenhaftung für den Hersteller

Produzentenhaftung nach § 823 Abs. 2 BGB

Für eine Haftung aus § 823 Abs. 2 BGB besteht nur dann Raum, wenn der Hersteller durch die nicht datenschutzkonforme Ausgestaltung ein Gesetz verletzt, dass auch dem individuellen Schutz des Geschädigten, also der betroffenen Person dient, in deren Recht auf informationelle Selbstbestimmung eingegriffen wurde.

Art. 25 Abs. 2 DSGVO ist aber kein persönliches Schutzgesetz in diesem Sinne und zudem ist der Hersteller nur dann Adressat, wenn er als Verantwortlicher agiert, d.h. selbst als Betreiber der Maschine personenbezogene Daten verarbeitet.

Das Produkthaftungsgesetz scheidet als ein persönliches Schutzgesetz i.S.v. § 823 Abs. 2 BGB aus, weil die Ausgestaltung der Software nicht unter den Regelungsbereich des Produkthaftungsgesetzes fällt.

Produzentenhaftung nach § 823 Abs. 1 BGB

Der Hersteller könnte jedoch über die Produzentenhaftung nach § 823 Abs. 1 BGB in Anspruch genommen werden. Die Haftung des Herstellers ergibt sich hier aus dem Inverkehrbringen einer Gefahrenquelle, d.h. er muss im Rahmen des Standes der Technik dafür Sorge tragen, dass bei der Benutzung der Maschine und deren Software nicht mehr als unvermeidbar in die Rechtsgüter Dritter, wie sich diese aus § 823 Abs. 1 BGB ergeben, eingegriffen wird. Eingegriffen werden könnte durch die beim Betrieb der Maschine verwendete Software in das Recht auf informationelle Selbstbestimmung, wie dieses in § 823 Abs. 1 BGB und über die Achtung des Privatlebens durch Art. 8 GRCh geschützt ist.

Für die Datenverarbeitung maßgeblich ist somit die Ausgestaltung der für den Betrieb der Maschinen erforderlichen Software, die nicht mehr als vermeidbar in das informationelle Recht auf Selbstbestimmung des an der Maschine Tätigen eingreift. Die Software müsste die Sicherheit bieten, mit der unter Berücksichtigung aller Umstände billigerweise gerechnet werden kann. Abzustellen ist hierbei auf die Fehlerkategorien Konstruktions-, Fabrikations-, Instruktions- und Produktbeobachtungsfehler, bei deren Vorliegen das Verschulden für die eingetretene Rechtsverletzung vermutet wird.

In datenschutzrechtlicher Hinsicht relevant wäre der Konstruktionsfehler, d.h. seitens des Herstellers dürften nicht alle technisch möglichen Sicherheitsmaßnahmen ergriffen worden sein, um den Sicherheitsgrad zu erzielen, der nach der herrschenden Verkehrsauffassung für diese Anwendung als erforderlich gilt. Daraus ergibt sich jedoch nicht automatisch eine Verpflichtung, die Software bereits in der Konstruktionsphase datenschutzkonform zu planen. Dies ist nur dann der Fall, wenn gebotene allgemeine Sicherheitsstandards eine datenschutzkonforme Lösung erforderlich machen und es zumindest anerkannte Regeln der Technik gibt, deren Verletzung gleichzeitig eine Verletzung einer dem Hersteller obliegenden Verkehrssicherungspflicht bedingt und somit für den Hersteller eine Verpflichtung besteht, diese Sicherheitsstandards einzuhalten.

Derzeitige Rechtslage

Art. 25 DSGVO ist somit lediglich eine Orientierungshilfe für die Produktgestaltung des Herstellers, bedingt aber nicht zwingend die Verpflichtung des Herstellers auf datenschutzkonforme Produktgestaltung.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Datenhoheit und Datenschutzkonformität bei Maschinendaten.

Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Corona Virus Ausbruch

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten

Malware-Macher missbrauchen das derzeit gesteigerte Informationsbedürfnis der Menschen. Unter anderem kursieren gefälschte Corona-Apps und -Karten.

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: heise online (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Infektionsgefahr im Netz – Corona-Malware, Teil 1: Verseuchte Apps und Karten.