Blog

ePrivacy-Verordnung – Was kommt da Neues?

Die ePrivacy-Verordnung soll den Datenschutz im Internet regeln. Eigentlich sollte sie schon zum 25.05.2018 mit der Datenschutz-Grundverordnung (DSGVO) erscheinen, aber das verzögert sich noch bis ins Jahr 2019. Was kommt da denn Neues auf uns zu?

Nach Informationen aus Datenschutzkreisen bringt die ePrivacy-Verordnung keine grundsätzlichen Erneuerungen, sondern konkretisiert die Grundsätze aus der DSGVO für das Internet. Was das bedeutet, haben die Landesbeauftragten für den Datenschutz schon am 26.04.2018 angedeutet.

Danach sind Tools wie Cookies, Skripte, usw… durchaus auf den Internetseiten ohne Einwilligung eingesetzt werden. In der Datenschutzerklärung muss lediglich beschrieben werden, was diese Tools mit den Daten machen. Dabei sind die Grundsätze des Datenschutzes natürlich einzuhalten.

Eine Einwilligung wird erst erforderlich, wenn die gesammelten Daten an andere Unternehmen weitergeleitet werden und diese daraus ein Profil erstellen. Dabei muss die Einwilligung vorab, informiert und durch aktives Tun (Opt-In-Verfahren) erfolgen. Die Einwilligung muss widerrufbar sein.

Das ist für Unternehmen wie Google und Facebook sehr schwierig. Holt man zum Beispiel für Google Analytics eine Einwilligung vorab durch aktives Tun ein, stimmen dem meistens keine 20 % der Nutzer zu. Diese unterscheiden sich auch von den 80 %, sodass die Aussagen bei einem datenschutzkonformen Einsatz nicht mehr repräsentativ sind. Google und Facebook begründen die Nutzung mit einem berechtigten Interesse und halten eine Einwilligung per Opt-Out-Verfahren für ausreichend.

Da treffen unterschiedliche Standpunkte und Interessen aufeinander. Datenschutz trifft auf wirtschaftliche Interessen. Die Wahrheit wird wohl in der Mitte liegen. Wo die Mitte liegt, weiß keiner. Ein Weiter so wird es nicht geben. Wahrscheinlich werden Google und Facebook ihre Produkte anpassen und die ePrivacy-Verordnung wird ihnen entgegenkommen. Dabei dürfen die Interessen der kleineren Akteure im Markt nicht vergessen werden.

Der Kompromiss ist schwierig, da es für alle Seiten um viel geht. Das ist wohl auch der Grund, warum die ePrivacy-Verordnung auf sich warten lässt. Zurzeit rechnet man mit der ePrivacy-Verordnung Ende 2019, die dann wieder eine Übergangszeit von 1-2 Jahren hat.  Die Rechtsunsicherheit ist wohl auch der Grund, warum Abmahnungen schwierig sind und die befürchtete Abmahnwelle unterblieben ist.

 

Beitrag öffnen »

Wie finde ich den richtigen Datenschutzbeauftragten für den Mittelstand?

Ein Datenschutzbeauftragter muss juristische, technische und organisatorische Kompetenzen haben. Der Volljurist mit abgeschlossenem Informatikstudium ist aber eher selten zu finden. Mittelständler müssen sich somit überlegen, welchen Schwerpunkt ihr Datenschutzbeauftragter haben soll.

Als technisch ausgerichtete Datenschutzbeauftragte haben wir unsere Stärken im technischen Schutz der Daten mit entsprechendem juristischem Grundwissen. Jedoch dürfen nur Rechtsanwälte eine  juristische Beratung vornehmen. Wir können nur juristische Hinweise geben, die eine juristische Beratung nicht ersetzen kann. Alles andere wäre grob fahrlässig von uns.

Was viele nicht wissen, ist, dass Hausjuristen auch nur intern ihr eigenes Unternehmen beraten dürfen. Nur Rechtsanwälte dürfen auf dem Markt eine juristische Beratung anbieten.

Juristen haben den Vorteil, dass sie eine qualifizierte, juristische Beratung anbieten können, allerdings haben sie ein Problem mit der technischen Beratung.

Ein Mittelständler muss überlegen, was der Datenschutzbeauftragte in erster Linie machen soll. Soll er die Daten eher technisch schützen oder liegt der Schwerpunkt seiner Tätigkeit in der Abwehr von juristischen Ansprüchen.

Wir empfehlen erst mal den technischen Ansatz und erstellen schlank und somit mittelstandsgeeignet

  • ein Datenschutzkonzept mit technischen und organisatorischen Maßnahmen,
  • IT-Sicherheitsleitlinien,
  • Daten- und IT-Sicherheitsschulungen,
  • Verfahrensbeschreibungen mit technischen und organisatorischen Maßnahmen,
  • Notfallvorsorgekonzepte und
  • Verträge mit externen Dienstleistern mit technischen und organisatorischen Maßnahmen.

Besonders beim letzten Punkt ist es sinnvoll, wenn die Verträge noch einmal von einem Rechtsanwalt juristisch geprüft werden. Wir empfehlen hier die Rechtsanwälte der Trinity-Metropol UG, die im Datenschutzrecht, gewerblichen Rechtsschutz und IT-Recht spezialisiert sind.

Beitrag öffnen »

Smartphones und soziale Medien

Das Amtsgericht Bad Hersfeld hat am 15.05.2017 einer Mutter auferlegt, von sämtlichen  Kontakten auf dem Smartphone ihrer Kinder eine schriftliche Einverständniserklärung über die Weiterleitung ihrer Telefonnummer an WhatsApp vorzulegen. Ferner hat sie monatlich zu prüfen, ob dort neue Kontakte sind, von denen ebenfalls eine derartige Einwilligung einholen muss.

Willkommen in der Welt von gestern. Vor 5 Jahren wäre das ein akzeptables Urteil. Heute sieht die Welt anders aus. Heute kann niemand mehr erwarten, dass seine Mobilfunknummer vertraulich bleibt, wenn man sie jemanden gegeben hat. Heute ist üblich, dass man Mobiltelefone nutzt, dass man dort die Mobilfunknummern seiner Kontakte einträgt, und dass man WhatsApp nutzt. Es ist eher unüblich, dass man kein Mobiltelefon mit WhatsApp hat.

Wer jemandem seine Mobilfunknummer gibt, muss damit rechnen, dass der diese in sein Mobiltelefon einträgt und sie so über WhatsApp verbreitet wird. Da dies üblich ist, hat er mit seiner Übergabe der Mobilfunknummer dem (konkludent) zugestimmt. Eine ausdrückliche oder sogar schriftliche Einwilligung ist dagegen absolut unüblich. Das kann niemand erwarten.

Das Urteil des Amtsgerichtes Bad Hersfeld scheint somit aus heutiger Sicht nicht mehr zeitgemäß und somit nicht richtig zu sein.

Hinzu kommt, dass Mobiltelefone nicht sicher sein können. Es gibt viele Apps, die mehr mit den Daten machen, als für die Apps eigentlich erforderlich ist, sodass man auch ohne WhatsApp mit der Verteilung der Daten rechnen muss. Insofern ist das Urteil des Amtsgerichtes Hersfeld in letzter Konsequenz gar nicht umfassend.

Außerdem ist bekannt, dass soziale Medien mit den Daten mehr machen, als für die Nutzung erforderlich ist. Das gilt nicht nur für Facebook, WhatsApp und Google, sondern eigentlich für die meisten sozialen Medien und auch andere Anwendungen. So werden zum Beispiel bei eBay und Amazon umfassende Profile von den Nutzern erstellt, die auch verkauft werden. Wenn man das erste Mal bei Amazon eine Seite mit einem Artikel ansieht, wird schon ein Profil erstellt und man bekommt einen Hinweis, dass 70 % der Nutzer, die den Artikel gut fanden, auch einen anderen Artikel gut fanden.

Wie geht man jetzt mit Mobiltelefonen und sozialen Medien datenschutzkonform um?

Das ergibt sich aus der Unsicherheit. Da Mobiltelefone und soziale Medien unsicher sind, gibt man dort nur Daten ein, die nicht vertraulich sind und die ruhig jeder wissen kann. Berücksichtigt man dies, so muss man sich um die Vertraulichkeit und die Sicherheit nicht mehr so viel Sorgen machen.

Bekommt man Mobilfunknummern von anderen, so kann man die ruhig in die Kontakte des Mobiltelefons eintragen, da der Inhaber der Mobilfunknummer sowieso mit der Verbreitung der Mobilfunknummer rechnen muss. Alles andere ist lebensfremd.

Übrigens: Telefonnummern wurden schon immer massenhaft verteilt und das auch ins Ausland. Wenn man früher bei der Deutschen Bundespost einen Telefonanschluss beantragt hat, wurde die Telefonnummer ins Telefonbuch eingetragen, das in die ganze Welt verteilt wurde. Unternehmen wie Klicktel oder D-Info haben diese abgeschrieben, auf CDs gebrannt und diese CDs verkauft.

Wie erhält man jetzt eine Geheimnummer? Gar nicht.

Möchte man nur von ein paar Personen angerufen werden können, so ordnet man diesen Personen in seinen Kontakten einen bestimmten Klingelton zu und anderen keinen. Auf diese Weise bemerkt man nur Anrufe von den paar Personen. Die anderen Personen können ein zwar anrufen, man wird aber nicht gestört und kann sich diese Rufnummern später in der Anrufliste ansehen.

Anmerkung: Aus dem Inhalt ergibt sich schon, dass wir für die Richtigkeit keine Haftung übernehmen, da Gerichte wie oben dargestellt zumindest teilweise anderer Auffassung sind.

Beitrag öffnen »

Datenvernichtung

In jedem Unternehmen fallen Unterlagen an, die fachgerecht entsorgt werden müssen. Ganz gleich ob Rechnungen, Belege, ganze Akten, usw. bis hin zu Festplatten bzw. Datenträgern. Auch eine Auslagerung von Akten zur Wahrung der Aufbewahrungsfristen kann aus Platzgründen sehr hilfreich sein.

Nach dem Bundesdatenschutzgesetz muss eine ordnungsgemäße Datenvernichtung bzw. eine ordnungsgemäße Auslagerung von Akten zur Wahrung der Aufbewahrungsfristen erfolgen. Ihr Datenschutzbeauftragter sollte dafür sorgen, dass es bei Audits keine bösen Überraschungen gibt.

Bei der Datenvernichtung werden Papiere entweder sofort geschreddert oder in abschließbaren Sicherheitscontainern gesammelt und von geschulten Fachkräften entsorgt, damit unbefugte Personen keinen Zugriff auf die Dokumente erhalten können. Der ganze aufwendige Prozess muss genauestens protokolliert werden.

Neben Dokumenten in Papierform wächst natürlich auch der Bedarf einer fachgerechten Entsorgung von Festplatten, CDs, DVDs, USB-Sticks, Magnetbändern, usw.. Auch hier ist ein sicheres Entsorgen mit Hilfe von Fachfirmen möglich, die auch den rechtlichen Vorgaben des Bundesdatenschutzgesetzes genügen.

In regelmäßigen Abständen werden solche Unternehmen von uns geprüft und ganz genau unter die Lupe genommen. Hierzu zählen zum einen die Sichtung und Prüfung der Verträge mit ihren Technischen und Organisatorischen Maßnahmen und zum anderen die Sichtung der Umsetzung und der Durchführung der Entsorgung bzw. der Aktenauslagerung selber.

Wenn Sie Hilfe benötigen oder einfach nicht wissen, welchen Entsorgungsbetrieben Sie voll und ganz vertrauen können, dann melden Sie sich bei uns, wir helfen Ihnen gerne weiter.

Übrigens, auf dem Bild ist eine nicht fachgerechte aber durchaus übliche Entsorgung von vertraulichen Unterlagen dargestellt.

Beitrag öffnen »

Safe Harbor

Der Gerichtshof der Europäischen Union (EuGH) hat das bisherige Safe-Harbor-Abkommen, das die Übermittlung von personenbezogenen Daten in die USA regelte, mit Urteil vom 6. Oktober 2015 für ungültig erklärt.

Dieses hat zur Folge, dass die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit Firmen anschreibt, um zu erfahren, ob diese gewerblich Facebook, Microsoft Office 365 oder aber auch Google Analytics nutzen, da diese Anwendungen Daten in die Cloud in die USA übertragen.

Aufgrund des Urteils sind die Unternehmen seit Februar 2016 in der Pflicht Maßnahmen zu ergreifen, die einen Datenexport in die USA und andere unsichere Drittstaaten verhindern. Das massive und auch die wahllose Überwachung durch die Geheimdienste der USA widerspricht dem Europäischen Datenschutzstandard und soll unterbunden werden.

Angeschriebene Unternehmen müssen Auskunft darüber geben,

  1. ob ihr Unternehmen personenbezogene Daten in die USA übermittelt und wenn ja, auf welcher Rechtsgrundlage dieses beruht,
  2. wie die detaillierte Umsetzung der technischen und organisatorischen Maßnahmen bei der Übermittlung von personenbezogenen Daten in die USA erfolgt,
  3. sowie die Angabe, ob ihr Unternehmen über einen Datenschutzbeauftragten verfügt.

Bei Nichteinhaltung dieser Vorgaben können Vollstreckungsmaßnahmen und Bußgelder gegen Unternehmen verhängt werden, die weiterhin Daten in unsicheren Drittstaaten speichern.

Wenn Sie Facebook, Office 365 oder Google Analytics gewerblich nutzen, wenden Sie sich vertrauensvoll an die Daten(be)schützer der Best Carrier GmbH. Wir helfen schnell und gut.

Beitrag öffnen »

EU-Datenschutzgrundverordnung (EU-DSGVO)

Dietmar Niehaus referiert am 25.02.2016 bei einem Treffen der Datenschutzbeauftragten der Melitta-Gruppe in Minden über die neue EU-Datenschutzgrundverordnung (EU-DSGVO). Dabei zeigt er, was sich ändert und wie sich das auf die tägliche Arbeit der Datenschutzbeauftragten auswirkt.

Die Auswirkungen sind erheblich, allerdings nicht für die deutschen Datenschutzbeauftragten, da viel aus dem Bundesdatenschutzgesetz übernommen wurde. Folgende Änderungen gibt es:

Das Recht auf Vergessen führt dazu, dass man nicht mehr Daten automatisch verarbeiten darf, nur weil jemand seine Daten öffentlich gemacht hat. Diese gesetzliche Grundlage gem. § 28 I 3 BDSG fällt somit weg. Dies ist besonders für die Eintragungen in soziale Medien wie Facebook & Co. gedacht. Wie sich das aber auf Daten auswirkt, die man mal aus dem Telefonbuch oder von Telefon-CDs kopiert hat, bleibt abzuwarten.

Mit der Folgenabschätzung sollen die Folgen für die Betroffenen für eine unbeabsichtigte Veröffentlichung von Daten betrachtet werden. Wie dies genau geschehen soll, muss von den Aufsichtsbehörden noch festgelegt werden. In Rahmen der Verfahrensprüfung können die Datenarten aber schon mal entsprechend klassifiziert werden. Außerdem müssen die Begründungen für ein Verfahren etwas genauer sein. Der Aufwand hält sich aber in Grenzen.

Bei den besonderen Arten von personenbezogenen Daten, wie Angaben über:

• die rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder philosophische Überzeugungen
• Gewerkschaftszugehörigkeit
• Gesundheit
• Sexualleben

 kommen die 3 Arten

 • Genetische Daten, ererbte, genetische Merkmale
• Biometrische Daten
• Profiling

 dazu.

Bei den Auswirkungen ist zu berücksichtigen, dass wesentlich höhere Bußgelder möglich sind. Diese können bis zu 4 % vom weltweiten Konzernumsatz sein. Dies zielt wohl auf die Praktiken der sozialen Medien aus der USA, die man doch besser kontrollieren möchte.

Weitere Änderungen haben für die meisten Unternehmen keine wesentlichen Auswirkungen.

Beitrag öffnen »

Löschen, Sperren und Berichtigen von Daten

Im Laufe der Jahre wachsen in jedem Unternehmen eine Menge Daten an. Oftmals wird sich erst dann darüber Gedanken gemacht, wenn der Datenbestand bereits so hoch und auch alt ist, dass unverzüglich gehandelt werden muss. Denn Daten dürfen wegen des Datenschutzes nicht unbegrenzt gespeichert werden.

Die datenschutzrechtliche Regelung zur Löschung, Sperrung und Berichtigung von Daten ist im § 35 Abs. 2 BDSG verankert. Zusätzlich ist noch zu beachten, dass es nicht nur um elektronische Daten, sondern auch um personenbezogene Daten in Papierform geht.

Doch wie lange darf ich Daten aufbewahren? Oder aber auch, wie lange muss ich Daten aufbewahren?

Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist bei:

  • „rassischer oder ethnischer Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  • sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  • sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speicherung nicht erforderlich ist.“

Anders sieht es aber bei Daten aus, für die es eine gesetzliche Aufbewahrungspflicht gibt. Hierzu zählen z.B.:
• Rechnungen
• Dokumentationen
• Bilanzbuchhaltungen, etc.

Des Weiteren gibt es anstelle einer Löschung, die sogenannte Sperrung von Daten. Diese tritt dann in Kraft, wenn eine weitere Verarbeitung oder Nutzung einzuschränken ist.

Bewährt hat sich in solchen Fällen ein Löschkonzept. Wie ein solches zu erstellen ist und wie es angewendet werden kann, erfahren Sie bei uns. Wir helfen Ihnen dabei und stehen Ihnen mit Rat und Tat zur Seite.

Beitrag öffnen »

Die virtuelle Welt im digitalen Zeitalter: 3D-Drucker

Mit 3D-Druckern können jede Menge Objekte geschaffen werden. Angefangen über einzelne Verbrauchsgüter, weiter über Lebensmittel, Zahnkronen, Implantate und noch einiges mehr, sind mit diesem Verfahren umsetzbar.

Doch wer glaubt, dass in einigen Jahren sich jeder seine Verbrauchsgüter selber drucken kann, der irrt sich. Denn ohne räumliches Vorstellungsvermögen und einer entsprechenden Erfahrung, dürfte ein solches Vorhaben nur den wenigsten gelingen.

Die Technik des 3D-Drucks ist nicht neu und gibt es schon seit ca. 30 Jahren. Dass jedoch immer mehr davon die Rede ist, liegt am Fortschritt der Technologie selber. Mittlerweile kann tatsächlich jeder mit einem Smartphone das Objekt der Begierde einscannen, dieses im Netz hochladen und mit Hilfe einer Software am Rechner erstellen. Für den Druck kann man auch externe Dienstleister in Anspruch nehmen. Für die Berechnung des Modells stehen Cloud-Lösungen zur Seite.

Und natürlich sind auch hier wieder der Datenschutz und andere Schutzrechte zu beachten. Darf man Objekte einfach kopieren? Was ist, wenn z.B. der Drucker erneuert werden muss? Wie werden die Daten im Drucker, im SD-Kartenleser oder auch Scanner gespeichert? Wie gilt es diese sicher zu entfernen? Welche weiteren Dienstleister benötige ich für 3D-Drucke?

Bei diesen Fragen helfen wir gerne. Oder wir kennen jemanden, der helfen kann, bzw. darf.

Beitrag öffnen »

Die virtuelle Welt im digitalen Zeitalter

Nicht nur die Spieleindustrie, sondern auch viele gewerbliche Branchen wie z.B. Architektur, Maschinenbau, Psychologie, Medizin und noch einige mehr, haben die virtuelle Welt für sich entdeckt. Soziale Medien sind mehr als Facebook, Google+, LinkedIn, Twitter, Xing und Co..

Die virtuelle Welt ist dabei, Schritt für Schritt unser Leben zu verändern. Die Sinne werden oft so real angesprochen, dass die virtuelle Welt von der realen Welt nicht mehr zu unterscheiden ist. Angefangen über die Daten-Brille, weiter über den 3D-Drucker bis hin zum Leben in virtuellen Gemeinschaften in Verbindung einer Vernetzung mit anderen Spielern.

Die virtuelle Welt bietet ungeahnte Möglichkeiten. Natürlich mag sich jetzt der eine oder andere fragen, wie es da mit dem Datenschutz und IT-Sicherheit aussieht. Wir von der Best Carrier GmbH setzen uns mit solchen Fragen auseinander. Wir blocken nicht gleich alles ab, sondern schauen hinter die Fassade und gehen mit dem Lauf der Zeit.

Wir zeigen Wege, wie Sie die neuen virtuellen Welten datenschutzkonform nutzen können. Wir zeigen, auf was Sie achten müssen, wenn Sie auf gewisse Features nicht verzichten möchten, den Datenschutz und die IT-Sicherheit dabei aber trotzdem nicht außer Acht lassen wollen und auch nicht sollten.

Beitrag öffnen »

Penetrationstest

Mit einem Penetrationstest werden Sicherheitslücken in einem IT-Netz oder eine einzelne Webanwendung überprüft. Hier ist Know-How gefragt.

Wenn diese schlecht oder unzureichend konfiguriert sind, können Angreifer problemlos an die Daten und Betriebsgeheimnisse des Unternehmens heran und somit die Sicherheit gefährden.

Bei einem Penetrationstest wird das Vorgehen eines potentiellen Angreifers simuliert, um einen Zugang zum Netzwerk des Unternehmens zu bekommen, z. B. mit Hilfe der Einschleusung von Schadsoftware.

Jedes Unternehmen hat Angriffspunkte, dessen Beschädigung die Integrität in Frage stellen kann, bis hin zum fatalen Imageschaden.

Meistens werden solche Tests von externen Dienstleistern durchgeführt, die ein entsprechendes Know-How mitbringen, um solche Tests auch realistisch simulieren zu können.

Geprüft werden in der Regel die installierten IT-Anwendungen (z.B. Webanwendung, Mailserver, etc.), sowie die entsprechenden Trägersysteme (Datenbank, Betriebssystem, etc.). Über Router, Switches, Gateways, Firewall, verschiedene Server, Telekommunikationsanlagen, Internetauftritt, Shopsystem, Clients, WLAN, und noch einiges mehr wird alles genau unter die Lupe genommen. Auch die Infrastruktur des Unternehmens spielt dabei eine wichtige Rolle.

Diese Tests können in unterschiedlichen Tiefen durchgeführt werden.

Als Hilfestellung hat das Bundesamt für Sicherheit in der Informationstechnologie (BSI) einen kostenlosen Leitfaden herausgegeben. Dieser beinhaltet praktische Hilfestellungen, Checklisten und Beschreibungen.

Beitrag öffnen »