Praktische Lösungen für aktuelle Probleme mit Google Fonts, Facebook und Co.

| Feierabend oder Pause gemacht und auf dem Schreibtisch sensible Mandantendaten liegen gelassen bzw. den Computer nicht gesperrt? Solche Situationen betreffen die IT-Sicherheit und den Datenschutz in der Anwaltskanzlei. Der AK-Leitfaden mit insgesamt fünf Teilen beantwortet deshalb die wichtigsten IT- und Datenschutz-Fragen und erläutert, welche technischen und organisatorischen Maßnahmen die Kanzlei unbedingt beachten muss. Teil 1 gibt Ihnen praktische Tipps bei typischen, aktuellen Problemen u. a. mit Google Fonts, einem Datenleck bei Facebook und der Anwendung von Microsoft Office 365. |

1. Deshalb sind auch Kanzleien betroffen

In den letzten Wochen ist im Bereich IT-Sicherheit und Datenschutz viel passiert. Das betraf vor allem die Nutzung von Google-Schriften auf Websites oder den Einsatz von Microsoft Office 365. Denken Sie jetzt etwa: „Betrifft mich nicht“? Das ist leider nicht korrekt! Denn häufig werden Google Fonts oder Inhalte von Drittanbietern (z. B. wenn die Kanzleiadresse mit Google Maps angezeigt wird) auch auf vielen Kanzleiwebsites falsch eingebunden. Oder Sie betreiben über facebook eine Fanpage und die dort angegebene Handynummer ist „geleakt“ worden. In diesen Fällen haben auch Sie ein DS-GVO-Problem!

2. Darauf sollten Sie beim Einsatz von Google Fonts achten

In den letzten Monaten wurden systematisch Websites im sog. Seitenquelltext nach den Links fonts.gstatic oder fonts.googleapis.com durchsucht. Bei Treffern wurden die Websitebetreiber abgemahnt ‒ verbunden mit der Aufforderung, zwischen 150 bis 270 EUR zu zahlen. Hintergrund ist: Das LG München bejaht einen Schadenersatzanspruch wegen Verstoßes gegen die DS-GVO, wenn die IP-Adresse auf einer Website rechtswidrig in die USA übermittelt wird (20.1.22, 3 O 17493/20; vgl. zur unzulässigen Übertragung personenbezogener Daten in die USA auch: EuGH 16.7.20, Rechtssache C-311/18, Schrems II). Über Google Fonts können Schriften auf einer Website frei genutzt werden, ohne sie auf den eigenen Server laden zu müssen. Allerdings werden die Schriften bei einem Aufruf der Webseite über einen externen Google-Server nachgeladen und dabei werden Daten an Google übermittelt.

3. Diese anderen Schauplätze könnten akut werden

Nach den oben geschilderten Erfahrungen ist leider zu befürchten, dass sich die Protagonisten „neue“ Ziele suchen werden. Dieses könnten z. B. Inhalte auf Ihrer Website sein, die Sie von dritten Servern einbinden. Neben Google Fonts geht es z. B. auch um:

• JavaScript-Dateien

• Bilder

• Videos

• Like-Buttons

• Google Maps

• Recaptcha

• Eingebettete Newsletter-Anmeldeformulare

4. Datenleck bei Facebook hat Millionen Kunden geschädigt

In den vergangenen Wochen war in sozialen Medien die Rede von einem angeblichen Datenleck bei WhatsApp. Ein Hacker soll Nutzerdaten im Netz zum Verkauf für 2.000 EUR angeboten haben ‒ darunter seien auch rund sechs Millionen deutsche Nummern. An dieser Version gibt es nun Zweifel. „Es gibt kein WhatsApp-Datenleck!“ sagte jüngst RA Christian Solmecke von der Kölner Medienrechtskanzlei WBS.LEGAL. Sein Team war an den Hacker herangetreten, der ein Sample von hunderten Datensätzen zur Überprüfung bereitstellte. Dabei kam heraus, dass die Reihenfolge der Betroffenen komplett identisch mit der der Opfer des Facebook-Datenlecks aus dem vergangenen Jahr gewesen ist. Es fehlten lediglich einige Namen.

Demgegenüber gab es das Facebook-Datenleck tatsächlich. Ende November 2022 verhängte die irische Datenschutzbehörde gegen den Meta-Konzern ein Bußgeld in Höhe von 265 Mio. EUR. Die Aufsichtsbehörde sah es als erwiesen an, dass Facebook nicht sorgsam mit den Daten seiner Kunden umgegangen ist. Facebook hätte das sog. Scraping (= Extrahieren, Kopieren, Speichern und Verwenden fremder Inhalte online) und den Abruf von Millionen Kundendaten und Handynummern verhindern können.

5. Auch Microsoft (Office) 365 birgt Datenschutz-Gefahren

Ende November 2022 veröffentlichte die extra für Microsoft-Onlinedienste eingesetzte Arbeitsgruppe der Datenschutzkonferenz (DSK) ihre Ergebnisse zu Untersuchungen beim Einsatz des Cloud-Dienstes Microsoft Office 365 (jetzt: Microsoft 365). In 14 mehrstündigen Terminen zwischen der DSK-Arbeitsgruppe und Microsoft-Vertretern waren ausschließlich die Vertragsinhalte der Microsoft-Terms (speziell das Microsoft Products and Services Data Protection Addendum [DPA], vgl. iww.de/s7408) geprüft worden. Die DSK stellte „unter Bezugnahme auf die Zusammenfassung des Berichts fest, dass der Nachweis von Verantwortlichen, Microsoft 365 datenschutzrechtskonform zu betreiben, auf der Grundlage des von Microsoft bereitgestellten ‚Datenschutznachtrags vom 15. September 2022‘ nicht geführt werden kann. Solange insbesondere die notwendige Transparenz über die Verarbeitung personenbezogener Daten aus der Auftragsverarbeitung für Microsofts eigene Zwecke nicht hergestellt und deren Rechtmäßigkeit nicht belegt wird, kann dieser Nachweis nicht erbracht werden.“

Zeitgleich veröffentlichte Microsoft unter dem Titel „Microsoft erfüllt und übertrifft europäische Datenschutzgesetze“ eine Gegendarstellung. Damit liegen jetzt zwei unterschiedliche Sichtweisen zum datenschutzkonformen Einsatz von Microsoft 365 auf dem Tisch.

Bisher gibt es kaum Kontrollen der Aufsichtsbehörden in Bezug auf Microsoft 365. Auch in der Bußgeld-Datenbank (vgl. unter iww.de/s7410) wird bezüglich Microsoft 365 kein Treffer angezeigt. Aber die ersten Aufsichtsbehörden rühren sich. Laut Mitteilung des LfDI Baden-Württemberg soll ein neuer Fokus auf besonders sensible Daten im öffentlichen Dienst sowie auf die Sozialverwaltung gelegt werden. Und die Aufsichtsbehörde in Thüringen plant eine Untersuchung dazu, wie stark Microsoft 365 in der Unternehmerschaft verbreitet ist. Letztlich muss abgewartet werden, wie sich die Aufsichtsbehörden positionieren.