Ohne Ansteckungsgefahr

Web-Konferenz

Eine Möglichkeit sich ohne Ansteckungsgefahr austauschen zu können, besteht in der Durchführung von Videokonferenzen. Ab sofort biete ich die Möglichkeit, Besprechungen, Beratungsgespräche etc. per Videokonferenz über Webex abzuhalten.

Alles, was Sie dazu benötigen ist ein Tablet, ein Smartphone oder ein PC mit Mikrofon, Lautsprechern und Kamera (optional) sowie ein Internetzugang.

Wenn Sie Interesse an einer Online-Besprechung haben, kontaktieren Sie mich bitte.

Ransomware

Dem BSI (Bundesamt für Sicherheit in der Informationstechnik) zufolge, war 2018/2019 ein alter Bekannter wieder besonders aktiv – die Schadsoftware Emotet, welche 2010 erstmals in Erscheinung trat.

Seit November 2018 ist vermehrt die Verteilung dieses Schadcodes mit immer ausgefeilteren Features zu beobachten. Emotet verfügt nun über eine Funktion, den Mailverlauf des infizierten Computers zu analysieren („Outlook Harvesting“), damit der Angreifer anschließend gefälschte E-Mails an sein Opfer schicken kann, bei denen das Opfer so gut wie keinen Verdacht auf Fälschung schöpft – denn der Inhalt der gefälschten E-Mail passt zur Erwartungshaltung des Opfers. In der gefälschten E-Mail wird zum Beispiel eine existierende E-Mailanfrage beantwortet. Gekoppelt mit Verschlüsselung und Erpressung werden so ganze Unternehmen oder Behörden lahmgelegt, denn der Zugriff auf die verschlüsselten Daten ohne passenden Schlüssel ist nicht möglich.

Ziel der Angreifer ist es, das Opfer mit Hilfe der Ransomware zu einer bestimmten Handlung oder zur Zahlung eines Lösegelds zu bringen. Die Vergangenheit zeigte, dass die Zahlung eines Lösegelds den Opfern in einer Vielzahl der Fälle nichts brachte, da die Angreifer nicht in der Lage waren, die Daten wieder zu entschlüsseln, keine Möglichkeit zur Entschlüsselung anboten oder einfach weitere Forderungen stellten.

Wie hoch darf‘s denn sein?

In meinen Seminaren zum betrieblichen Datenschutzbeauftragten taucht immer wieder die Frage auf, ob die österreichische Datenschutzbehörde überhaupt so hohe Geldbußen (Strafen) wie in der DSGVO vorgesehen – bis zu € 20 Millionen oder 4 % des weltweiten Konzernjahresumsatzes (je nachdem was höher ist!) – verhängen darf.

Um dies beantworten zu können, muss überprüft werden, ob die notwendigen verfahrensrechtlichen und grundrechtlichen Garantien gegeben sind. Im Zusammenspiel mit dem Bankwesengesetz (BWG) – konkret § 99d BWG – hat sich der Verfassungsgerichtshof (VfGH) mit dieser Problematik auseinandergesetzt.

Der VfGH führt in seinem Erkenntnis G408/2016 ua an, dass durch die Schaffung der Verwaltungsgerichtsbarkeit erster Instanz BGBl. I 51/2012 (Verwaltungsgerichtsbarkeits-Novelle 2012) die notwendigen Verfahrensgarantien gegeben sind. Die Verwaltungsgerichte der Länder und das Bundesverwaltungsgericht genießen die verfassungsrechtlichen Garantien:

  • richterliche Unabhängigkeit
  • richterliche Unabsetzbarkeit
  • richterliche Unversehrtheit

Weiters wurden die von Art. 6 Europäische Menschenrechtskonvention (EMRK) geforderten Verfahrensgarantien für Strafverfahren wie

  • Unschuldsvermutung
  • Verteidigungsrechte
  • Recht auf Verfahrenshilfe
  • Gebot der Waffengleichheit

durch die Einrichtung der Verwaltungsgerichte berücksichtigt und abgesichert.

Gemäß § 19 Datenschutzgesetz (DSG) handelt es sich bei der österreichischen Datenschutzbehörde um eine unabhängige Behörde. Der VfGH erachtete die Weisungsfreiheit der Behörde als entscheidend.

Ausgehend vom genannten Erkenntnis wird dies wohl bedeuten, dass keine verfassungsrechtlichen Bedenken gegen die Verhängung solch hoher Strafen durch die Datenschutzbehörde im Verwaltungsstrafverfahren – wie in der DSGVO vorgesehen – bestehen.

Anonymisierung als Löschung?

Zum Schutz der Privatsphäre und zur Kontrolle seiner personenbezogenen Daten stehen jedem Betroffenen – das ist derjenige, dessen Daten verarbeitet werden – verschiedene Betroffenenrechte zu. Darunter findet sich auch das Recht auf „Löschung“ oder besser bekannt als das Recht auf „Vergessenwerden“.

Eine Definition des Begriffs „Löschen“ findet sich in der gesamten DSGVO weder im verbindlichen Teil noch in den Erwägungsgründen. Die Datenschutzbehörde führt dazu in der Entscheidung DSB-D123.270/0009-DSB/2018 vom 5.12.2018 wie folgt aus: „Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person … nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die Löschung durch Unkenntlichmachung nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig …“

Das bedeutet, dass eine Anonymisierung personenbezogener Daten – dabei wird der Personenbezug der Daten mit aktuellen Mitteln unumkehrbar entfernt – einer Löschung gleichkommt.

Daher ist bei einem Ansuchen auf Löschung personenbezogener Daten wohl eine Anonymisierung zulässig.

Welche Sprache nehm‘ ich denn?

In ihrer Entscheidung GZ: DSB-D130.092/0002-DSB/2018 hat die österreichische Datenschutzbehörde beschieden, dass Anbringen an die Behörde grundsätzlich in deutscher und nicht – wie im vorgelegenen Fall – in englischer Sprache zu formulieren seien.

Grundlage für die Entscheidung war Art. 8 B-VG (Bundes-Verfassungsgesetz), wonach Deutsch – unbeschadet der den sprachlichen Minderheiten bundesgesetzlich eingeräumten Rechte – die Staatssprache der Republik ist.

Gemäß Art. 77 DSGVO (Datenschutz-Grundverordnung) hat jede betroffene Person grundsätzlich das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Meinung ist, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoße. Die Verordnung sieht vor, dass diese Beschwerde insbesondere im Mitgliedsstaat des Aufenthaltsorts, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes erfolgen kann. Da es sich in der Verordnung um eine beispielhafte Aufzählung handelt, ist ein Anbringen an jede Aufsichtsbehörde für Datenschutz in der Europäischen Union möglich. Allerdings dürfen Beschwerden gegen ein und denselben mutmaßlichen Verstoß von der betroffenen Person nicht bei mehreren Aufsichtsbehörden anhängig gemacht werden. (Siehe Erwägungsgrund 141 Satz 1)

Für die Praxis bedeutet dies wohl, dass Anbringen an die (gewählte) Aufsichtsbehörde in der jeweiligen Amtssprache zu stellen seien.