Microsoft 365 / Office 365 weiter mit datenschutzrechtlichen Schwierigkeiten

Die Konferenz der Aufsichtsbehörden (DSK) hat sich am 24.11.2022 zum aktuellen Stand der datenschutzrechtlichen Probleme bei Microsoft 365 geäußert. Die Aufsichtsbehörden stellen weiter fest, dass die nutzenden Unternehmen mit Schwierigkeiten zu rechnen haben, wenn diese die Produkte aus dem Kontext von Microsoft 365 nutzen.

Je höher das Schutzniveau in einer Organisation ist, desto eher sind Zusatzmaßnahmen wie die Verschlüsselung der Daten auch in ruhendem Zustand zu treffen. Durch die Stellungnahme bleibt die Lage für die Verantwortlichen, die Daten mittels Microsoft 365 verarbeiten, weiterhin schwierig. Eine umfassende oder abschließende rechtliche Prüfung durch die Aufsichtsbehörden steht weiterhin aus.

Zensus 2022 – Übermittlung von Daten in die USA unter Zwang

Beim Zensus 2022 erfolgt eine Datenübermittlung in die USA.

In vielen Projekten und Belangen gewinnen wir den Eindruck, dass im Datenschutz mit zweierlei Maß gemessen wird. Einerseits werden unsere Mandant:innen auf ein Höchstmaß an Sorgsamkeit verpflichtet. Andererseits sieht man es auf Seiten der Jugend- und Sozialämter, der Landschaftsverbände und weiteren öffentlichen Kostenträger nicht so genau. Da werden intimste Daten per E-Mail versendet oder angefordert. Verschlüsselungsmaßnahmen oder sichere Download-Links werden teilweise rigoros abgelehnt. Dieses würde gegen die Sicherheitseinstellungen der dortigen IT verstoßen.

Neuestes Beispiel für das Hinterhängen der öffentlichen Hand ist die Datenerhebung im Rahmen des Zensus 2022. Ein Teil der Daten wird in die USA übermittelt. Konkret geht es hier um die Erhebung der Daten von gut 10 Millionen Menschen in Deutschland. Diese Menschen sind zur Teilnahme am Verfahren gesetzlich gezwungen.

Die Datenschutzerklärung der Website ist unterirdirsch und alles andere als transparent. Das Bundesamt für Statistik nutzt den US-Dienst Cloudfare. Dieses erfolgt jedoch nicht auf Basis einer Einwilligung der Teilnehmer:innen, sondern unter staatlichem Zwang. 

Das Argument für die Eindung eines unsicheren Dienstes ist bezeichnend: es gäbe kein Angebot aus der EU.

Weitere Infos hat der Webdienst heise.de bereits zusammengestellt:

https://www.heise.de/news/Zensus-20222-Sonntag-ist-Stichtag-7092244.html

BSI empfiehlt Produkte von Kaspersky zu deinstallieren

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat am 15.03.2022 in einer Pressemitteilung vor dem Einsatz von Sicherheitsprodukten des russischen Hersteller Kaspersky gewarnt:

https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

Das sicherheitstechnische Problem bei diesen Programmen ist, dass Sie meist mit den höchsten Rechten im IT-System ausgestattet sind und ändernd auf alle Ressoucen, Daten und Systemeinstellungen zugreifen können.

Das BSI zeigt an, dass der Hersteller Kaspersky auf Grund nationaler russischer Gesetzgebung gezwungen werden kann an Cyberangriffen auf Institutionen und Unternehmen teilzunehmen, bzw. diese zu unterstützen.

Auf Grund der BSI-Warnung sollten betroffene Unternehmen möglichst rasch einen Wechsel der Sicherheitssoftware durchführen.

Aktuelle Mail-Attacken im Kontext des Ukrainie-Krieges

Angreifer:innen reagieren stets auf aktuelle Ereignisse. Hier sehen Sie ein Beispiel einer Phishing-Mail, die zum Klick auf einen Link animieren soll.

Diese E-Mail erreichte uns am 07.03.2022.

Dieses Beispiel zeigt, wie wichtig es ist die Mitarbeiter:innen im Umgang mit E-Mails sicherheitstechnisch zu schulen. In dieser E-Mail wäre der Klick auf “Letzte Aktivität prüfen” brandgefährlich gewesen und hätte eine Malware ins System geladen.

Nachweispflicht gem. §20a Infektionsschutzgesetz (IfSG)

Zusammenfassung / Stand: 10.01.2022

Viele Einrichtungen im Gesundheits- und Sozialbereich sind verpflichtet worden Nachweise zum Impf- oder Genesungsstatus, bzw. zur Kontra-Indikation Ihrer Beschäftigten, ehrenamtlichen Mitarbeiter:innen, Praktikant:innen, Schüler:innen usw. zu verlangen, zu prüfen und die Prüfung zu dokumentieren. Diese Personen müssen die Nachweise spätestens zum 15.03.2021 erbringen.

Der Verarbeitung erfolgt u.a. im Rahmen des jeweiligen Beschäftigungsverhältnisses auf Grundlage von §20a IfSG. Eine gesonderte Einwilligung der betreffenden Personen ist nicht notwendig. Es besteht eine Nachweispflicht seitens der betreffenden Personen.

Die Regelung ist aktuell bis zum 31.12.2022 befristet.

Mustervorlage Erhebung Nachweispflicht gem. §20a IfSG

Name, VornameGeimpft
Geimpft am, Nachweis durch:
Immunisiert
Immunisierungsdatum, Nachweis durch:
Kontra-Indikation
Datum Kontra-Indikation, Nachweis durch
Müller, Mia15.12.2021
Digitales Zertifikat Corona App
Schmitz, Kai10.10.2021
Bestätigung Dr. Meiermann, 10.10.2021
Muster08.01.2022
Bestätigung Dr. Meiermann, 08.01.2022
Beispiel für eine mögliche Erhebung der Daten

Datenschutzrechtlicher Hintergrund

Zum 15.03.2022 wird für viele Einrichtungen im Gesundheits- und Sozialbereich eine Impfpflicht für alle Beschäftigten eingeführt. Datenschutzrechtlich erfüllen die Vorgaben gem. §20a IfSG die Anforderungen an eine Rechtsgrundlage zur Verarbeitung der Daten. 

Dabei ist nach wie vor die Speicherung der Nachweise und Zertifikate unzulässig. 

Wir empfehlen Ihnen bei Zweifeln an der Echtheit, bzw. Gültigkeit von Zertifikaten (Fälschungen) dennoch eine Dokumentation anzufertigen, um etwaige rechtliche Schritte einleiten zu können.

Eine Einwilligung der Beschäftigten in die Datenverarbeitung ist nicht erforderlich. Die bestehenden Datenschutzinformationen müssen nicht angepasst werden.

Welche Einrichtungen sind betroffen?

Diese sind in §20a IfSG aufgeführt:

  • Gesundheitsbereich (Leistungen gem. SGB V),
  • Einrichtungen zur Betreuung und Unterbringung älterer, behinderter oder sonstwie pflegebedürftiger Menschen und
  • ambulante Dienste zur Betreuung und Unterbringung älterer, behinderter oder sonstwie pflegebedürftiger Menschen.

Bitte schauen Sie sich die genaue Aufstellung gem. §20a IfSG an. Bei Fragen hierzu sprechen Sie uns einfach an. Wir unterstützen Sie gerne bei der Zuordnung.

Personen, die der Nachweispflicht unterliegen

Die Nachweisdaten folgender Personen sind zu erheben:

  • Arbeitnehmer:innen,
  • ehrenamtliche Mitarbeiter:innen,
  • Mitarbeiter:innen aus der Arbeitnehmer:innenüberlassung, bzw. Zeitarbeiter,
  • Schüler:innen, Praktikant:innen, 
  • Leistende der Freiwilligendienste,
  • Auszubildende usw.

aller Bereiche der jeweiligen Unternehmen. 

Es findet keine Beschränkung auf die Behandlung, Pflege oder Betreuung statt. Es sind auch die Leitungen, die Verwaltung und unterstützende Leistungen miterfasst.

Personen, die nicht der Nachweispflicht unterlegen

Ausgenommen von der Impfpflicht sind alle Personen, in als Empfänger:innen der Leistungen der Einrichtungen angesehen werden (z.B. Bewohner:innen, betreute Personen usw.).

Verfahren zur Verarbeitung der personenbezogenen Daten

Dabei gibt das Infektionsschutzgesetz folgenden Verfahren zur Verarbeitung der personenbezogenen Daten vor:

  • Person legt Nachweis vor
    • Impfnachweis
    • Immunisierungsnachweis
    • Ärztl. Attest Kontra-Indikation
  • Einrichtung prüft den Nachweis auf Gültigkeit
  • Einrichtung dokumentiert die Prüfung und die Daten der Person
    • Name, Vorname, Geburtsdatum, weitere Daten zur Identifikation (z.B. Arbeitsbereich, Personalnummer usw.)
    • Dokumentation Impfdatum, Immunisierungsdaten usw.
  • Im Fallen des Nichtnachweises der betroffenen Person / eines ungültigen oder gefälschten Nachweises muss die Einrichtung die oben genannten Daten der betroffenen Person und zudem die Privatadresse an die zuständige Aufsichtsbehörde (z.B. Gesundheitsamt) übermitteln.

Speicherung / Kopieren der Nachweisdokumente

Aus datenschutzrechtlicher Sicht ist eine Speicherung / das Anfertigen von Kopien der Nachweisdokumente durch die Arbeitgeber:innen unzulässig.

Erhebung von Beschäftigtendaten im Rahmen der Pandemie / 3G-Abfrage (Stand 22.11.2021)

Zusammenfassung

Grundsätzlich ist für alle Arbeitgeber:innen die Verarbeitung von Beschäftigtendaten zu 3G (Geimpft, Genesen, Getestet) verpflichtend. Dieses umfasst auch die Dokumentation des 3G-Status der Beschäftigten.

Die Daten dürfen zur Eindämmung der Pandemie verarbeitet und aufbewahrt werden. Die Verarbeitung zu weiteren Zwecken ist nicht zulässig.

Welche Daten der Beschäftigten dürfen verarbeitet werden?

  • Status des Beschäftigten
    • Getestet (Ergebnis und Testdatum),
    • Geimpft (Datum der vollständigen Immunisierung),
    • Genesen (Datum der vollständigen Immunisierung).

Die Arbeitgeber:innen dürfen dabei die notwendigen Nachweise prüfen und diese dokumentieren. Die Beschäftigten müssen hierzu Angaben machen und auch Nachweise vorbringen. Auch Daten zu Impf- und Testangeboten dürfen die Arbeitgeber:innen speichern.

Beispiel für eine Erhebungsliste

Die folgende Liste zeigt Ihnen ein Bespiel für eine mögliche Erhebung nach dem Prinzip 3G bei Beschäftigten auf:

Zoom mal wieder verboten: wir haben die Lösung!

Zoom verboten? So nutzen Sie rechtssicher die Meeting-Software

Videokonferenzen via Zoom & Co. haben es während der Corona-Pandemie gerade im Gesundheits- und Sozialbereich überhaupt ermöglicht, den Geschäftsbetrieb aufrechtzuerhalten. Die Datenschutzaufsicht in Berlin hat nun Alarm geschlagen. Denn Zoom nutzt verschiedene Daten zu eigenen Zwecken und präsentiert sich erneut als wenig transparent. Zwar werden die Inhalte Ihrer Meetings nicht ausgewertet, doch ist es höchste Zeit, zu handeln. Wir zeigen Ihnen nicht nur die datenschutzrechtlichen Herausforderungen auf, sondern auch, wie Sie die beliebte Meeting-Software in Zukunft rechtssicher nutzen.

Sicherheitslücken bei Zoom sind kein neues Thema

Immer wieder geriet Zoom in der Vergangenheit rund um das Thema Datensicherheit in die Schlagzeilen. Sicherheitsexperten hatten 2020 ermittelt, dass Zoom personenbezogene Daten an Dritte weitergibt. Daten landeten unter anderem bei Facebook – selbst dann, wenn sich bei Apple iOS nicht via Facebook-Account bei dem Dienst eingeloggt wurde. Aufgedeckt wurden außerdem weitere Sicherheitslücken. Fremde konnten sich in laufende Konferenzen einloggen oder hatten die Möglichkeit, ein Meeting mit Werbung zu fluten. An den Admin der Konferenz erfolgte zudem eine Weiterleitung der Daten der Nutzer. Unter anderem IP-Adresse, Standort und Information über verwendete Geräte. Um die Privatsphäre zu wahren, mussten User dieses Feature manuell deaktivieren. Ein heißes Eisen war auch die Verschlüsselung. Die Transportverschlüsselung erfolgte nur mit TLS. Das heißt: Inhalte waren bei der Übertragung geschützt, Zoom kann allerdings darauf zurückgreifen.

Wie Zoom auf die Vorwürfe reagierte

Zoom nahm die Vorwürfe ernst und justierte entsprechend nach. Die Weitergabe der Daten an Facebook wurde beendet, wenn sich die User nicht über das soziale Netzwerk anmelden. Eine neue Passwortfunktion und eine insgesamt bessere Verschlüsselung sollten dafür sorgen, Sicherheitslücken während der Meetings zu entschärfen. Für jede Konferenz wird automatisch ein Passwort generiert, was Zoom-Bombing mit Werbung und aller Art Spam in Zukunft vermeiden sollte. So wurde für die Transportverschlüsselung auf AES 265 Bit GCM gesetzt – vorausgesetzt, Anwender haben die jeweils neueste Zoom-Version installiert. Zahlende Zoom-User können zudem den Server-Standort auswählen. Entweder in den USA oder Kanada, Australien, Europa, China, Indien, Hongkong, Japan oder Lateinamerika. Standardmäßig wurde zudem das Aufmerksamkeitstracking deaktiviert. Ende gut, alles gut bei Zoom?

Rotes Licht für Zoom aus Berlin

Offensichtlich nicht. Denn die Berliner Beauftragte für Datenschutz und ihr Team kamen im Rahmen einer Überprüfung verschiedener Anbieter von Videokonferenzdiensten zu einem ganz anderen Ergebnis. Geprüft wurde zunächst die rechtskonforme Verarbeitung der Daten. Fiel die positiv aus, kamen in einem nächsten Schritt die technischen Eigenschaften der Dienste unter die Lupe. Bewertet wurden die Ergebnisse mit einem Ampelsystem. Für Zoom gab es Dunkelrot von den Datenschützern. Das bedeutet, es liegen Mängel bei dem Dienst vor, die eine rechtskonforme Nutzung ausschließen. Im Detail wären das die Verarbeitung personenbezogener Daten zu eigenen Zwecken, verspätete oder eingeschränkte Datenlöschungen, nicht ausreichend gestaltete vertragliche Anforderung für die Einbindung von Subunternehmern und unzulässige, während der Nutzung nicht vermeidbare Datenexporte.

Gravierende Verstöße von Zoom gegen die DS-GVO

Es blieb den Prüfern beispielsweise unklar, inwieweit Zoom als Auftragsverarbeiter agiert – alleine verantwortlich oder in gemeinsamer Verantwortung mit den Kunden. Denn das “Zoom Privacy Statement” vom August 2020 erklärt sich im Falle der Auftragsverarbeitung explizit für unanwendbar. Außerdem genügt Zoom nicht den Anforderungen von Art. 28 Abs. 3 lit. a DS-GVO und präsentiert sich auch im Hinblick auf die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO als problematisch. Ein Abgleich mit der Ziffer 9.3. des Privacy Statements offenbart eine gravierende Einschränkung der Kontrollrechte seitens der Kunden, was Art. 28 Abs. 3 DS-GVO widerspricht. Zudem sind Sub-Auftragsverarbeiter nicht ausreichend benannt und ihre Zuständigkeiten für den User nicht transparent. Neue Unterauftragsverarbeiter erfordern ein aktives Handeln, was Art. 28 Abs. 2 Satz 2 DS-GVO widerspricht. Die Details machen es schwierig, gegen neue Sub-Auftragsverarbeiter Einspruch einzulegen. Die Frist beträgt hier ohnehin nur zehn Tage. Erschwerend kommt hinzu, dass die neuen Auftragsverarbeiter nicht mehr dieselben Datenschutzpflichten auferlegt werden und es muss nicht zwingend das Unionsrecht oder das der Mitgliedsstaaten angewendet werden. Auch hier liegt ein Verstoß gegen Art. 28 Abs. 4 S. 1 DS-GVO vor. Zoom behält sich zudem das einseitige Recht zu einer Vertragsänderung vor bei bestimmten Bedingungen. Aufgrund dieser gravierenden rechtlichen Mängel schaffte es Zoom gar nicht erst in die zweite Runde der technischen Überprüfung.

Das Aus für Zoom? Es gibt einen Weg!

Die Ergebnisse aus Berlin mögen wie ein Schock wirken, wenn Sie für Ihre Videokonferenzen auf die beliebte Software Zoom setzen. Die gute Nachricht: Sie müssen nicht auf einen anderen Dienst umsteigen. Wir sind in der Lage, Ihre Zoom-Konfiguration anzupassen. Das erlaubt, nicht im Einklang mit der DS-GVO stehende problematische Funktionen entweder direkt abzuschalten oder so zu konfigurieren, dass Sie auf der sicheren Seite sind.
Wir bieten Ihnen einen einzigartigen Service an: wir zeigen Ihnen direkt in den Einstellungen von Zoom, wie Sie den Dienst sicher nutzen. Nutzen Sie hierzu unsere 1:1-online Beratung persönlich und speziell für Sie.

Datenschutz geht nur gemeinsam

Immer wieder stellt sich die Frage, ob Betriebsräte auch in Zeiten der DS-GVO für die Einhaltung des Datenschutzes verantwortlich sind. Für zusätzliche Verwirrung hat der EuGH1 gesorgt, der Verantwortungsbereiche in Sachen Datenschutzrecht recht großzügig interpretiert hat. Grundsätzlich gilt: Die alleinige Verantwortung lastet nicht auf den Betriebsräten, doch sind gewissen Pflichten zu beachten. Wir bringen Licht ins Dunkle.

Das Bundesministerium für Arbeit und Soziales (BMAS) hat einen Referentenentwurf für das Betriebsverfassunggesetz (BetrVG) vorgelegt. Das betrifft auch den § 79a Datenschutz. Dazu hat die Gesellschaft für Datenschutz und Datensicherheit (GDD) e. V. Stellung genommen. Der Entwurf legt fest, dass die datenschutzrechtliche Verantwortung für personenbezogene Daten und deren Verarbeitung dem Arbeitgeber obliegt. Damit wird die Rechtslage vor Einführung der DS-GVO fortgeführt. Ein klares Plus an Rechtssicherheit, aus dem ersichtlich wird, dass der Betriebsrat institutionell nicht unabhängig agiert und eine gegenseitige Unterstützungspflicht besteht. Dadurch wird endlich das Spannungsfeld zwischen der Verantwortung des Arbeitgebers und die Selbständigkeit sowie Weisungsfreiheit des Betriebsrates innerhalb der Institution aufgehoben. Die Ergänzungen des § 79a sind auf jeden Fall als wichtiger, richtiger Schritt nach vorne zu werten.

Fragen bleiben

Trotzdem bleiben wichtige Fragen rund um Datenschutz und den Betriebsrat offen. Beispielsweise wird nicht klar, ob die in Art. 39 Abs. 1 lit. b DS-GVO festgelegte Überwachungsaufgabe des Datenschutzbeauftragten ebenfalls die Datenverarbeitung beim Betriebsrat inkludiert. Lange vor der DS-GVO hatte das BAG4 schon 1997 entschieden, dass der komplette Betriebsrat keiner Überwachung durch den Datenschutzbeauftragten unterliegt. Diese Überwachung wäre schließlich nicht mit dem Unabhängigkeitsrecht der Betriebsräte vereinbar. Allerdings ergeben sich aus der DS-GVO durchaus gute Argumente für ein solches Überwachungsrecht.

Unklar bleibt ebenfalls wie sich die Unterstützung von Arbeitgeber und Betriebsrat hinsichtlich der Einhaltung datenschutzrechtlicher Vorgaben gestalten könnte. Schließlich müssen die Verschwiegenheitspflichten bezüglich personenbezogener Informationen des Betriebsrates beachtet werden. Das gilt bereits für die Vorgabe der grundsätzlich geschützte Kontaktaufnahme mit dem Betriebsrat. Konkret heißt das, ein Auskunftsbegehren gemäß Art. 15 DS-GVO könnte dazu führen, dass der Arbeitnehmer von der Kontaktaufnahme mit dem Betriebsrat Kenntnis erhält.

Voraussetzungen für die Praxis schaffen

Doch wie könnte das in der Praxis aussehen? Denkbar wäre, dass der Arbeitgeber Anfragende direkt an den Betriebsrat verweist. Oder es erfolgt eine Weiterleitung des Auskunftsersuchens an den Betriebsrat mit der Aufforderung die gewünschten Informationen bereitzustellen. Ähnliche Herausforderungen stellen sich übrigens im Bereich Recht auf Löschung oder Korrektur von Daten, die beim Betriebsrat gespeichert sind. Muss der Anspruch via Arbeitgeber geltend gemacht werden, könnte das dazu führen, dass als vertraulich geltende Umstände offenbart werden. Daraus ergeben sich deutlich die Pflichten, die jede Seite hat. Schnittstelle ist und bleibt der Datenschutzbeauftragte, bei dem die Fäden zusammenlaufen. Daher besteht der dringende Bedarf einer Nachjustierung.

Wir unterstützen Sie!

Der Gesetzgeber ist gefordert, das Bermudadreieck Arbeitgeber – Betriebsrat – Datenschutzbeauftragter endlich aufzulösen. Die Neutralität des Datenschutzbeauftragten muss gewahrt bleiben. Im Entwurf sollten Unabhängigkeit und Vertraulichkeitsverpflichtungen des Betriebsrates stärker herausgearbeitet werden. Die Mitwirkungspflichten und weiteren Regelungen der datenschutzrechtlichen Zusammenarbeit sollten konkretisiert werden.

Richten Sie Ihre Frage zum Thema direkt an uns. Wir freuen uns auf Ihre Nachricht. Klicken Sie hier!

1800,- € Strafe für das Abhören eines Gesprächs

Gut 1800,- € Strafe muss ein Vater zahlen, der das Gespräch seiner Tochter und deren Lehrerin belauscht und aufgezeichnet hatte. Das Urteil ist wichtig für den Umgang mit Daten bei Video-Meetings und Telefonkonferenzen.

Worum ging es im Prozess beim Amtsgericht Blankenese?


Der 68-jährige Vater hörte ein Gespräch seiner 13-jährigen Tochter mit deren Lehrerin ab und zeichnete es auf. Er leitete dazu das Bluetooth-Signal der Kopfhörer an ein Aufzeichnungsgerät weiter.
Später zitierte er wörtlich in weiteren Schreiben an die Schule und an die Presse aus diesem Gespräch.
Die Verurteilung erfolgt auf Basis §201, Abs. 1 StGB. Dieser untersagt die Erstellung und Nutzung von Aufzeichnungen aus Gespräch ohne Wissen der Teilnehmer:innen (Az.: 514 Cs 571/20).

Das Urteil hat eine große Bedeutung für Unternehmen

Sie als Geschäftsführer:innen sollten bei der Organisation von Video-Meetings und Telefon-Meetings unbedingt die notwendigen Weisungen zum Aufzeichnen direkt erteilen. Wann darf ein Meeting aufgezeichnet werden? Welche Voraussetzungen sind zu erfüllen?
Gibt es Meetings, die grundsätzlich nicht aufgezeichnet werden sollen?
Aus datenschutzrechtlicher Sicht müssen vor Beginn der jeweiligen Veranstaltung die entsprechenden Regeln festgelegt sein.

Wir bieten Ihnen hierzu gerne eine Kurz-Beratung an, um Ihre Fragen zu besprechen. Klicken Sie hier für mehr Informationen.

TikTok: Die Boom-App kurz erläutert

Ich bin Datenschützer und bei TikTok aktiv. Lassen Sie mich erklären, wie das zusammenpasst bevor Sie vor Schreck vom Stuhl fallen. Ich hatte in beruflichem Kontext mit dem Netzwerk, bei dem es in letzter Zeit immer wieder einmal hohe Strafen aufgrund von Verstößen gegen den Datenschutz gab, zu tun. Dann hörte ich, dass meine Patentochter Pferdevideos zusammen mit ihrer besten Freundin auf der App veröffentlichte und der Sohn eines Freundes begann plötzlich, auf TikTok seine Fußballkünste zu präsentieren. Keine Frage, das musste ich mir sowohl privat als auch beruflich bedingt anschauen. Was soll ich sagen? Ich bin ein Fan der App und vom Download weg begeistert. Lesen Sie hier, warum man auch als Datenschützer auf TikTok aktiv sein kann, ja, vielleicht sogar muss.

TikTok – mit dem Öffnen der App beginnt die Faszination

Wenn Sie TikTok öffnen, landen Sie im Feed mit einem Mix aus Videos von Tanz über Comedy bis hin zu Gesangseinlagen. Während bei Instagram und Facebook der Ton nach Belieben ein- und ausgeschaltet werden kann, sind Sound und Musik bei TikTok ein Muss. Viele Videos funktionieren nicht, wenn die Lautstärke nicht eingeschaltet ist. TikTok ist jedoch nicht einfach ein weiteres Netzwerk, auf dem User sich Videos anschauen können. Der Reiz liegt darin, an Challenges teilzunehmen, eine eigene Variante zu Memes beizusteuern oder Snippets von populären Songs zu kommunizieren. Es besteht die ziemlich praktische Möglichkeit, wie bei Instagram Hashtags, Challenges und Sounds zu folgen. Manche Hashtags auf TikTok wurden über eine Milliarde Mal aufgerufen. Am interessantesten für viele ist vielleicht das Duett-Feature. Damit kann bei einer Challenge die eigene Version dem Original gegenübergestellt werden.

Warum boomt TikTok dermaßen?

Warum TikTok bei der jungen Generation, aber auch Erwachsenen, wie eine Bombe einschlägt, ist eine Frage, der ich ebenfalls nachgegangen bin. Da ist zum einen die intuitive Bedienbarkeit der App. Niemand muss sich lange einlesen, um Videos, Hashtags oder Sounds zu finden. Es ist keine Pflicht, Hashtags und Personen zu folgen. Das macht TikTok leicht konsumierbar, ungefähr so wie Fernsehen auf dem Handy. Attraktiv ist auch der Fokus auf Audio und außerdem hat TikTok seine eigenen Stars. Professionelle Anbieter von Inhalten finden zwar nach und nach auch auf die App, aber es ist schon sehr angenehm, es auf TikTok (noch) hauptsächlich mit ganz normalen Menschen zu tun zu haben.

TikTok und der Datenschutz

Die Nachrichten über Datenschutzlücken und -verstöße bei TikTok reißen nicht ab – hier (Link) habe ich schon einmal darüber berichtet. Ende Februar hat die Firma Bytedance, die hinter TikTok steht, einem Vergleich zugestimmt. Es geht um 92 Millionen US-Dollar. In einer Sammelklage kamen mehr als 20 Verstöße gegen die Datenschutzgesetze der USA sowie einzelner Bundesstaaten, zum Beispiel den Computer Fraud and Abuse Act oder den Video Privacy and Protection Act, vor den Richter. Angeblich soll TikTok speziell von Kindern Nutzerdaten zu Werbe- und Profitzwecken gesammelt haben. Die Kläger äußerten sogar Bedenken, diese Daten seien an die chinesische Regierung weitergegeben worden.

Datenschützer auf TikTok

Das US-Gericht muss dem Vergleich noch zustimmen. Bytedance will sich darin auch verpflichten, die Mitarbeiter in Sachen Datenschutz besser zu trainieren und insgesamt transparenter vorzugehen. Das freut mich als Datenschützer und ich begrüße auch die jüngst erfolgten Features für einen besseren Jugendschutz. Wie alle, die bei TikTok präsent sind, wurde ich in der Datenschutzerklärung informiert, welche meiner Angaben wie verarbeitet werden. Offensichtlich werden sie auch an Server in Singapur und den USA übermittelt – wie lange sie dort gespeichert werden? Dazu macht TikTok keine Angaben.

Beim Genießen Augen auf!

Ich habe mir vorgenommen, das Netzwerk zu genießen. Ich liebe das kreative Umfeld und schätze schon jetzt die Menschen, die ich dort getroffen habe. Sehr gespannt bin ich nun, was diese Plattform weiter zu bieten hat. Aber natürlich ist mein Datenschützer-Auge wachsam. Daher geht mein Blick auch und vor allem darauf, was bei TikTok nicht rund läuft. Wer informiert bleiben will, liest hier – regelmäßig werde ich zu Datenschutz und Datensicherheit bei TikTok informieren!