Schlagwort: datenschutzbeauftragter

Wie finde ich den richtigen Datenschutzbeauftragten für den Mittelstand?

Ein Datenschutzbeauftragter muss juristische, technische und organisatorische Kompetenzen haben. Der Volljurist mit abgeschlossenem Informatikstudium ist aber eher selten zu finden. Mittelständler müssen sich somit überlegen, welchen Schwerpunkt ihr Datenschutzbeauftragter haben soll.

Als technisch ausgerichtete Datenschutzbeauftragte haben wir unsere Stärken im technischen Schutz der Daten mit entsprechendem juristischem Grundwissen. Jedoch dürfen nur Rechtsanwälte eine  juristische Beratung vornehmen. Wir können nur juristische Hinweise geben, die eine juristische Beratung nicht ersetzen kann. Alles andere wäre grob fahrlässig von uns.

Was viele nicht wissen, ist, dass Hausjuristen auch nur intern ihr eigenes Unternehmen beraten dürfen. Nur Rechtsanwälte dürfen auf dem Markt eine juristische Beratung anbieten.

Juristen haben den Vorteil, dass sie eine qualifizierte, juristische Beratung anbieten können, allerdings haben sie ein Problem mit der technischen Beratung.

Ein Mittelständler muss überlegen, was der Datenschutzbeauftragte in erster Linie machen soll. Soll er die Daten eher technisch schützen oder liegt der Schwerpunkt seiner Tätigkeit in der Abwehr von juristischen Ansprüchen.

Wir empfehlen erst mal den technischen Ansatz und erstellen schlank und somit mittelstandsgeeignet

  • ein Datenschutzkonzept mit technischen und organisatorischen Maßnahmen,
  • IT-Sicherheitsleitlinien,
  • Daten- und IT-Sicherheitsschulungen,
  • Verfahrensbeschreibungen mit technischen und organisatorischen Maßnahmen,
  • Notfallvorsorgekonzepte und
  • Verträge mit externen Dienstleistern mit technischen und organisatorischen Maßnahmen.

Besonders beim letzten Punkt ist es sinnvoll, wenn die Verträge noch einmal von einem Rechtsanwalt juristisch geprüft werden. Wir empfehlen hier die Rechtsanwälte der Trinity-Metropol UG, die im Datenschutzrecht, gewerblichen Rechtsschutz und IT-Recht spezialisiert sind.

Beitrag öffnen »

Smartphones und soziale Medien

Das Amtsgericht Bad Hersfeld hat am 15.05.2017 einer Mutter auferlegt, von sämtlichen  Kontakten auf dem Smartphone ihrer Kinder eine schriftliche Einverständniserklärung über die Weiterleitung ihrer Telefonnummer an WhatsApp vorzulegen. Ferner hat sie monatlich zu prüfen, ob dort neue Kontakte sind, von denen ebenfalls eine derartige Einwilligung einholen muss.

Willkommen in der Welt von gestern. Vor 5 Jahren wäre das ein akzeptables Urteil. Heute sieht die Welt anders aus. Heute kann niemand mehr erwarten, dass seine Mobilfunknummer vertraulich bleibt, wenn man sie jemanden gegeben hat. Heute ist üblich, dass man Mobiltelefone nutzt, dass man dort die Mobilfunknummern seiner Kontakte einträgt, und dass man WhatsApp nutzt. Es ist eher unüblich, dass man kein Mobiltelefon mit WhatsApp hat.

Wer jemandem seine Mobilfunknummer gibt, muss damit rechnen, dass der diese in sein Mobiltelefon einträgt und sie so über WhatsApp verbreitet wird. Da dies üblich ist, hat er mit seiner Übergabe der Mobilfunknummer dem (konkludent) zugestimmt. Eine ausdrückliche oder sogar schriftliche Einwilligung ist dagegen absolut unüblich. Das kann niemand erwarten.

Das Urteil des Amtsgerichtes Bad Hersfeld scheint somit aus heutiger Sicht nicht mehr zeitgemäß und somit nicht richtig zu sein.

Hinzu kommt, dass Mobiltelefone nicht sicher sein können. Es gibt viele Apps, die mehr mit den Daten machen, als für die Apps eigentlich erforderlich ist, sodass man auch ohne WhatsApp mit der Verteilung der Daten rechnen muss. Insofern ist das Urteil des Amtsgerichtes Hersfeld in letzter Konsequenz gar nicht umfassend.

Außerdem ist bekannt, dass soziale Medien mit den Daten mehr machen, als für die Nutzung erforderlich ist. Das gilt nicht nur für Facebook, WhatsApp und Google, sondern eigentlich für die meisten sozialen Medien und auch andere Anwendungen. So werden zum Beispiel bei eBay und Amazon umfassende Profile von den Nutzern erstellt, die auch verkauft werden. Wenn man das erste Mal bei Amazon eine Seite mit einem Artikel ansieht, wird schon ein Profil erstellt und man bekommt einen Hinweis, dass 70 % der Nutzer, die den Artikel gut fanden, auch einen anderen Artikel gut fanden.

Wie geht man jetzt mit Mobiltelefonen und sozialen Medien datenschutzkonform um?

Das ergibt sich aus der Unsicherheit. Da Mobiltelefone und soziale Medien unsicher sind, gibt man dort nur Daten ein, die nicht vertraulich sind und die ruhig jeder wissen kann. Berücksichtigt man dies, so muss man sich um die Vertraulichkeit und die Sicherheit nicht mehr so viel Sorgen machen.

Bekommt man Mobilfunknummern von anderen, so kann man die ruhig in die Kontakte des Mobiltelefons eintragen, da der Inhaber der Mobilfunknummer sowieso mit der Verbreitung der Mobilfunknummer rechnen muss. Alles andere ist lebensfremd.

Übrigens: Telefonnummern wurden schon immer massenhaft verteilt und das auch ins Ausland. Wenn man früher bei der Deutschen Bundespost einen Telefonanschluss beantragt hat, wurde die Telefonnummer ins Telefonbuch eingetragen, das in die ganze Welt verteilt wurde. Unternehmen wie Klicktel oder D-Info haben diese abgeschrieben, auf CDs gebrannt und diese CDs verkauft.

Wie erhält man jetzt eine Geheimnummer? Gar nicht.

Möchte man nur von ein paar Personen angerufen werden können, so ordnet man diesen Personen in seinen Kontakten einen bestimmten Klingelton zu und anderen keinen. Auf diese Weise bemerkt man nur Anrufe von den paar Personen. Die anderen Personen können ein zwar anrufen, man wird aber nicht gestört und kann sich diese Rufnummern später in der Anrufliste ansehen.

Anmerkung: Aus dem Inhalt ergibt sich schon, dass wir für die Richtigkeit keine Haftung übernehmen, da Gerichte wie oben dargestellt zumindest teilweise anderer Auffassung sind.

Beitrag öffnen »

Datenvernichtung

In jedem Unternehmen fallen Unterlagen an, die fachgerecht entsorgt werden müssen. Ganz gleich ob Rechnungen, Belege, ganze Akten, usw. bis hin zu Festplatten bzw. Datenträgern. Auch eine Auslagerung von Akten zur Wahrung der Aufbewahrungsfristen kann aus Platzgründen sehr hilfreich sein.

Nach dem Bundesdatenschutzgesetz muss eine ordnungsgemäße Datenvernichtung bzw. eine ordnungsgemäße Auslagerung von Akten zur Wahrung der Aufbewahrungsfristen erfolgen. Ihr Datenschutzbeauftragter sollte dafür sorgen, dass es bei Audits keine bösen Überraschungen gibt.

Bei der Datenvernichtung werden Papiere entweder sofort geschreddert oder in abschließbaren Sicherheitscontainern gesammelt und von geschulten Fachkräften entsorgt, damit unbefugte Personen keinen Zugriff auf die Dokumente erhalten können. Der ganze aufwendige Prozess muss genauestens protokolliert werden.

Neben Dokumenten in Papierform wächst natürlich auch der Bedarf einer fachgerechten Entsorgung von Festplatten, CDs, DVDs, USB-Sticks, Magnetbändern, usw.. Auch hier ist ein sicheres Entsorgen mit Hilfe von Fachfirmen möglich, die auch den rechtlichen Vorgaben des Bundesdatenschutzgesetzes genügen.

In regelmäßigen Abständen werden solche Unternehmen von uns geprüft und ganz genau unter die Lupe genommen. Hierzu zählen zum einen die Sichtung und Prüfung der Verträge mit ihren Technischen und Organisatorischen Maßnahmen und zum anderen die Sichtung der Umsetzung und der Durchführung der Entsorgung bzw. der Aktenauslagerung selber.

Wenn Sie Hilfe benötigen oder einfach nicht wissen, welchen Entsorgungsbetrieben Sie voll und ganz vertrauen können, dann melden Sie sich bei uns, wir helfen Ihnen gerne weiter.

Übrigens, auf dem Bild ist eine nicht fachgerechte aber durchaus übliche Entsorgung von vertraulichen Unterlagen dargestellt.

Beitrag öffnen »

Safe Harbor

Der Gerichtshof der Europäischen Union (EuGH) hat das bisherige Safe-Harbor-Abkommen, das die Übermittlung von personenbezogenen Daten in die USA regelte, mit Urteil vom 6. Oktober 2015 für ungültig erklärt.

Dieses hat zur Folge, dass die Bremer Landesbeauftragte für Datenschutz und Informationsfreiheit Firmen anschreibt, um zu erfahren, ob diese gewerblich Facebook, Microsoft Office 365 oder aber auch Google Analytics nutzen, da diese Anwendungen Daten in die Cloud in die USA übertragen.

Aufgrund des Urteils sind die Unternehmen seit Februar 2016 in der Pflicht Maßnahmen zu ergreifen, die einen Datenexport in die USA und andere unsichere Drittstaaten verhindern. Das massive und auch die wahllose Überwachung durch die Geheimdienste der USA widerspricht dem Europäischen Datenschutzstandard und soll unterbunden werden.

Angeschriebene Unternehmen müssen Auskunft darüber geben,

  1. ob ihr Unternehmen personenbezogene Daten in die USA übermittelt und wenn ja, auf welcher Rechtsgrundlage dieses beruht,
  2. wie die detaillierte Umsetzung der technischen und organisatorischen Maßnahmen bei der Übermittlung von personenbezogenen Daten in die USA erfolgt,
  3. sowie die Angabe, ob ihr Unternehmen über einen Datenschutzbeauftragten verfügt.

Bei Nichteinhaltung dieser Vorgaben können Vollstreckungsmaßnahmen und Bußgelder gegen Unternehmen verhängt werden, die weiterhin Daten in unsicheren Drittstaaten speichern.

Wenn Sie Facebook, Office 365 oder Google Analytics gewerblich nutzen, wenden Sie sich vertrauensvoll an die Daten(be)schützer der Best Carrier GmbH. Wir helfen schnell und gut.

Beitrag öffnen »

EU-Datenschutzgrundverordnung (EU-DSGVO)

Dietmar Niehaus referiert am 25.02.2016 bei einem Treffen der Datenschutzbeauftragten der Melitta-Gruppe in Minden über die neue EU-Datenschutzgrundverordnung (EU-DSGVO). Dabei zeigt er, was sich ändert und wie sich das auf die tägliche Arbeit der Datenschutzbeauftragten auswirkt.

Die Auswirkungen sind erheblich, allerdings nicht für die deutschen Datenschutzbeauftragten, da viel aus dem Bundesdatenschutzgesetz übernommen wurde. Folgende Änderungen gibt es:

Das Recht auf Vergessen führt dazu, dass man nicht mehr Daten automatisch verarbeiten darf, nur weil jemand seine Daten öffentlich gemacht hat. Diese gesetzliche Grundlage gem. § 28 I 3 BDSG fällt somit weg. Dies ist besonders für die Eintragungen in soziale Medien wie Facebook & Co. gedacht. Wie sich das aber auf Daten auswirkt, die man mal aus dem Telefonbuch oder von Telefon-CDs kopiert hat, bleibt abzuwarten.

Mit der Folgenabschätzung sollen die Folgen für die Betroffenen für eine unbeabsichtigte Veröffentlichung von Daten betrachtet werden. Wie dies genau geschehen soll, muss von den Aufsichtsbehörden noch festgelegt werden. In Rahmen der Verfahrensprüfung können die Datenarten aber schon mal entsprechend klassifiziert werden. Außerdem müssen die Begründungen für ein Verfahren etwas genauer sein. Der Aufwand hält sich aber in Grenzen.

Bei den besonderen Arten von personenbezogenen Daten, wie Angaben über:

• die rassische und ethnische Herkunft
• politische Meinungen
• religiöse oder philosophische Überzeugungen
• Gewerkschaftszugehörigkeit
• Gesundheit
• Sexualleben

 kommen die 3 Arten

 • Genetische Daten, ererbte, genetische Merkmale
• Biometrische Daten
• Profiling

 dazu.

Bei den Auswirkungen ist zu berücksichtigen, dass wesentlich höhere Bußgelder möglich sind. Diese können bis zu 4 % vom weltweiten Konzernumsatz sein. Dies zielt wohl auf die Praktiken der sozialen Medien aus der USA, die man doch besser kontrollieren möchte.

Weitere Änderungen haben für die meisten Unternehmen keine wesentlichen Auswirkungen.

Beitrag öffnen »

Löschen, Sperren und Berichtigen von Daten

Im Laufe der Jahre wachsen in jedem Unternehmen eine Menge Daten an. Oftmals wird sich erst dann darüber Gedanken gemacht, wenn der Datenbestand bereits so hoch und auch alt ist, dass unverzüglich gehandelt werden muss. Denn Daten dürfen wegen des Datenschutzes nicht unbegrenzt gespeichert werden.

Die datenschutzrechtliche Regelung zur Löschung, Sperrung und Berichtigung von Daten ist im § 35 Abs. 2 BDSG verankert. Zusätzlich ist noch zu beachten, dass es nicht nur um elektronische Daten, sondern auch um personenbezogene Daten in Papierform geht.

Doch wie lange darf ich Daten aufbewahren? Oder aber auch, wie lange muss ich Daten aufbewahren?

Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist bei:

  • „rassischer oder ethnischer Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  • sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  • sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speicherung nicht erforderlich ist.“

Anders sieht es aber bei Daten aus, für die es eine gesetzliche Aufbewahrungspflicht gibt. Hierzu zählen z.B.:
• Rechnungen
• Dokumentationen
• Bilanzbuchhaltungen, etc.

Des Weiteren gibt es anstelle einer Löschung, die sogenannte Sperrung von Daten. Diese tritt dann in Kraft, wenn eine weitere Verarbeitung oder Nutzung einzuschränken ist.

Bewährt hat sich in solchen Fällen ein Löschkonzept. Wie ein solches zu erstellen ist und wie es angewendet werden kann, erfahren Sie bei uns. Wir helfen Ihnen dabei und stehen Ihnen mit Rat und Tat zur Seite.

Beitrag öffnen »

Die virtuelle Welt im digitalen Zeitalter: 3D-Drucker

Mit 3D-Druckern können jede Menge Objekte geschaffen werden. Angefangen über einzelne Verbrauchsgüter, weiter über Lebensmittel, Zahnkronen, Implantate und noch einiges mehr, sind mit diesem Verfahren umsetzbar.

Doch wer glaubt, dass in einigen Jahren sich jeder seine Verbrauchsgüter selber drucken kann, der irrt sich. Denn ohne räumliches Vorstellungsvermögen und einer entsprechenden Erfahrung, dürfte ein solches Vorhaben nur den wenigsten gelingen.

Die Technik des 3D-Drucks ist nicht neu und gibt es schon seit ca. 30 Jahren. Dass jedoch immer mehr davon die Rede ist, liegt am Fortschritt der Technologie selber. Mittlerweile kann tatsächlich jeder mit einem Smartphone das Objekt der Begierde einscannen, dieses im Netz hochladen und mit Hilfe einer Software am Rechner erstellen. Für den Druck kann man auch externe Dienstleister in Anspruch nehmen. Für die Berechnung des Modells stehen Cloud-Lösungen zur Seite.

Und natürlich sind auch hier wieder der Datenschutz und andere Schutzrechte zu beachten. Darf man Objekte einfach kopieren? Was ist, wenn z.B. der Drucker erneuert werden muss? Wie werden die Daten im Drucker, im SD-Kartenleser oder auch Scanner gespeichert? Wie gilt es diese sicher zu entfernen? Welche weiteren Dienstleister benötige ich für 3D-Drucke?

Bei diesen Fragen helfen wir gerne. Oder wir kennen jemanden, der helfen kann, bzw. darf.

Beitrag öffnen »

Die virtuelle Welt im digitalen Zeitalter

Nicht nur die Spieleindustrie, sondern auch viele gewerbliche Branchen wie z.B. Architektur, Maschinenbau, Psychologie, Medizin und noch einige mehr, haben die virtuelle Welt für sich entdeckt. Soziale Medien sind mehr als Facebook, Google+, LinkedIn, Twitter, Xing und Co..

Die virtuelle Welt ist dabei, Schritt für Schritt unser Leben zu verändern. Die Sinne werden oft so real angesprochen, dass die virtuelle Welt von der realen Welt nicht mehr zu unterscheiden ist. Angefangen über die Daten-Brille, weiter über den 3D-Drucker bis hin zum Leben in virtuellen Gemeinschaften in Verbindung einer Vernetzung mit anderen Spielern.

Die virtuelle Welt bietet ungeahnte Möglichkeiten. Natürlich mag sich jetzt der eine oder andere fragen, wie es da mit dem Datenschutz und IT-Sicherheit aussieht. Wir von der Best Carrier GmbH setzen uns mit solchen Fragen auseinander. Wir blocken nicht gleich alles ab, sondern schauen hinter die Fassade und gehen mit dem Lauf der Zeit.

Wir zeigen Wege, wie Sie die neuen virtuellen Welten datenschutzkonform nutzen können. Wir zeigen, auf was Sie achten müssen, wenn Sie auf gewisse Features nicht verzichten möchten, den Datenschutz und die IT-Sicherheit dabei aber trotzdem nicht außer Acht lassen wollen und auch nicht sollten.

Beitrag öffnen »

Internetauftritt, soziale Medien und Datenschutz

Ein Vortrag von Dietmar Niehaus beim Rotary-Club Worpswede.

Internetauftritte werden mit Google Analytics ausgewertet. Soziale Medien wie Facebook, Google+, Twitter, LinkedIn und Xing speichern personenbezogene Daten und werten diese aus. Die meisten Datenschutzbeauftragten verdrehen dabei nur die Augen und lehnen dieses ab. Dietmar Niehaus geht da als Datenschutzbeauftragter einen anderen Weg. In seinem Vortrag beim Rotary-Club Worpswede zeigte er die grundsätzlichen Datenschutzprobleme bei Internetauftritten und dann wie man es richtig macht. Er demonstrierte an seiner eigenen Internetseite die Einbindung von sozialen Medien und die Auswertung durch Google Analytics. Außerdem zeigte er, wie man über WordPress Beiträge auf der eigenen Internetseite und seinen Fanseiten in den sozialen Medien platziert.

Es gibt mindestens 5 Gründe, warum Facebook & Co. datenschutzrechtlich nicht legal sind:

  • Facebook missachtet das Recht auf Auskunft,
  • Facebook missachtet das Recht auf Datenlöschung,
  • die Einwilligung ist nicht immer freiwillig, da Gruppendynamik die Nutzung fast erzwingt,
  • die Einwilligung ist nichtig, weil der Umfang der Einwilligung unübersichtlich dargestellt ist und
  • die Einwilligung ist nichtig, weil nicht alle Zwecke der Datenverarbeitung aufgeführt sind.

Alle diese Gründe sind immer wieder Umfang von Rechtsfällen mit unterschiedlichem Ausgang. Facebook ist da aber nicht allein. Andere Big-Data-Unternehmen wie Google, e-Bay, Amazon, Mastercard, usw. stehen vor der gleichen Problematik, stehen aber nicht immer im gleichen Umfang in der Kritik.

Anhand seiner Internetseite zeigte Dietmar Niehaus, wie man mit Anonymisierung und Transparenz Google Analytics nutzen kann. Der Besucher der Internetseite kann wählen, ob er der Analyse zustimmt oder nicht oder nur einmalig. In einem zweiten Schritt zeigte Dietmar Niehaus, welche Erkenntnisse trotz dieser Einschränkungen mit Google Analytics möglich sind.

So können Herkunft bis auf die Stadt genau, eingesetzte Betriebssysteme, Browser und Bildschirmauflösungen ermittelt werden. Der Verhaltensfluss zeigt, wie oft welche Seiten besucht wurden, woher kommen die Nutzer, wie bewegen sie sich durch die Seiten und wo steigen sie aus.

Im letzen Teil seines Vortrages zeigte Dietmar Niehaus, wie man mit WordPress Inhalte einer Internetseite relativ einfach gestalten kann. Auf seiner Internetseite www.bestcarrier.de hat er auch einen Blog, in dem er Beiträge veröffentlichen kann. Diese werden automatisch auf seinen Fan-Seiten bei Facebook und Google+ veröffentlicht. Bei Xing, LinkedIn und Twitter ist das nicht automatisch möglich. Ist der Beitrag aber erst mal erstellt, ist die meiste Arbeit auch hier getan.

Insgesamt hat Dietmar Niehaus gezeigt, dass Internet und Datenschutz sich gut ergänzen können, wenn Anonymität und Transparenz gewollt sind. Ob das Gesagte dauerhaft rechtssicher ist, werden die Zukunft und das eine oder andere Gerichtsurteil zeigen. Langfristig werden die sozialen Medien nicht alles machen können, was und wie sie es wollen. Aus dem Leben wegzudenken sind sie aber auch nicht mehr.

Beitrag öffnen »