Dienstag, 19. September 2017

Wenn der Lautsprecher zuhört

Ein modernes Webradio in der Teeküche sorgt nicht nur für schöne Musik und aktuelle Wetterdaten, es kann auch zu einem echten Datenrisiko werden. Denn in immer mehr Geräten stecken Assistenten wie Alexa, die dauerhaft lauschen. 


Schlaue Radios mit Nebenwirkung


Gute Musik hebt die Stimmung, aktuelle Wetterinformationen helfen bei der Planung von Dienstreisen und Events. Da macht ein Webradio im Büro oder in der Teeküche schon Sinn. Dank Online-Verbindung bieten die Internetradios zahlreiche Radiosender, ob national oder international.

Datenrisiko - Lauscht Alexa heimlich?
Datenrisiko - Lauscht Alexa heimlich?

Doch die neuen Webradios können mehr: ...

Montag, 18. September 2017

Optimierung des Fahrverhaltens – oder Kündigung!

Ein Arbeitgeber möchte das Fahrverhalten seiner Berufskraftfahrer optimieren. Deshalb installiert er in den Fahrzeugen ein System namens RIBAS. Ein altgedienter Fahrer hält das alles für Unfug und aktiviert das System nicht. Sage und schreibe drei Mal mahnt ihn der Arbeitgeber ab. Auch das hilft nicht. Da kündigt ihm der Arbeitgeber. Wird die Kündigung vor den Gerichten Bestand haben?

Es geht um Geld und um Fahrkomfort


Ein Nahverkehrsunternehmen will den Fahrkomfort für die Fahrgäste verbessern und außerdem Sprit sparen. Deshalb lässt es in seinen Bussen ein System mit Namen RIBAS installieren. Es ist inzwischen in ganz Deutschland weit verbreitet.

yourIT Datenschutz - Die Überwachung des Fahrverhaltens von Arbeitnehmern kann zulässig sein
yourIT Datenschutz - Die Überwachung des Fahrverhaltens von Arbeitnehmern kann zulässig sein


Mittwoch, 9. August 2017

Urteil des BAG: Überwachung von Mitarbeitern mittels Keylogger ist unzulässig

Ein aktuelles Urteil des Bundesarbeitsgerichts (BAG) vom 27.07.2017 sorgt derzeit für Wirbel im Datenschutz-Universum. Mit diesem Urteil (Az. 2 AZR 681/16) hat das BAG entschieden, dass der Einsatz von Keylogger-Software durch einen Arbeitgeber zur Überwachung seiner Arbeitnehmer unzulässig bzw. nur unter strengen Auflagen möglich ist.


Überwachung von Mitarbeitern mittels Keylogger ist unzulässig
yourIT meldet: Überwachung von Mitarbeitern mittels Keylogger ist unzulässig

Definition "Keylogger"


Als "Keylogger" wird eine Software bezeichnet, welche dazu verwendet wird, Eingaben eines Benutzers an der Tastatur eines Computers zu protokollieren und damit zu überwachen oder zu rekonstruieren.

Was war passiert?


Im vorliegenden Fall hatte der Arbeitgeber in seinem Unternehmen einen sogenannten Keylogger installiert. Einen Grund hierfür konnte der Arbeitgeber in der Verhandlung nicht nachweisen. Nur durch die fragliche Nutzung dieser Tastenprotokollierungs-Software konnte der Arbeitgeber aufdecken, dass einer seiner Mitarbeiter den Dienst-PC während der Arbeit auch privat genutzt hatte. Der Arbeitgeber kündigte dem Arbeitnehmer daraufhin fristlos.

Der gekündigte Mitarbeiter erhob daraufhin Kündigungsschutzklage - mit Erfolg. Denn das BAG hielt die Kündigung für unrechtmäßig und gab dem Mitarbeiter in letzter Instanz Recht..

Begründung: Der Arbeitgeber hatte durch den Einsatz des Keyloggers das allgemeine Persönlichkeitsrecht des Arbeitnehmers verletzt. Die dauerhafte Protokollierung aller Tastatur-Aktivitäten der Mitarbeiter wurde als "unverhältnismäßig" eingeschätzt.

Ausnahmen zum Einsatz-Verbot von Keyloggern


Konkret ist der Einsatz von Keyloggern dann und nur dann zulässig, wenn konkret nachweisbare Tatsachen und eben nicht nur Vermutungen z.B. den Verdacht einer Straftat oder einer schwerwiegenden Pflichtverletzung nachweislich belegen. Dies war hier eben nicht der Fall. Die grundlose Überwachung aller Mitarbeiter wurde vom BAG als Verstoß gegen das "Recht aus informationelle Selbstbestimmung" erachtet. Erkenntnisse aus unerlaubter Überwachung dürfen regelmäßig nicht als Beweismittel in gerichtlichen Verfahren verwendet werden.

Zudem sollten sich Arbeitgeber überlegen, ob eine fristlose Kündigung bei möglichen Pflichtverletzungen im Zusammenhang mit einer unzulässigen Nutzung betrieblicher Arbeitsmittel immer das richtige Mittel darstellen. Zumindest bei geringem Umfang der unzulässigen Nutzung sollte besser eine Abmahnung als milderes Mittel ausgesprochen werden.

Keylogger im Hinblick auf die kommende EU-DSGVO


Erst vor kurzem hat der Zusammenschluss der europäischen Datenschutzbehörden in einer Stellungnahme zum Datenschutz am Arbeitsplatz den Einsatz von Keyloggern und anderer Überwachungssoftware als regelmäßig unzulässig beurteilt. Diese Haltung wird sich auch nach dem 25.05.2018 durchsetzen, wenn die EU-Datenschutzgrundverordnung (EU-DSGVO) und das neue BDSG gelten werden.

Ist Ihr Unternehmen bereit für die EU-DSGVO? jetzt Fördermittel nutzen!


Als Berater in Sachen Datenschutz & Informationssicherheit und mit der Erfahrung als ISO-27001-zertifiziertes Systemhaus analysieren wir gemeinsam mit Ihnen den Reifegrad Ihre Datenschutzkonzeptes im Hinblick auf die EU-DSGVO.

Das erfolgreiche yourIT Beratungskonzept Datenschutz in 4 Phasen
Als Ergebnis erhalten Sie einen ausführlichen Beratungsbericht, in dem wir alle gefundenen Schwachstellen in Ihrem Unternehmen in Bezug auf Datenschutz & Informationssicherheit aufführen, diese bewerten, Belegen, weshalb es sich um eine Schwachstelle handelt, wo wir diese entdeckt haben. Wir nennen diesen Datenschutz-Beratungsbericht auch das "Datenschutz-Pflichtenheft", weil wir Ihnen zu jeder Schwachstelle zudem Handlungsempfehlungen geben, wie Sie diese beheben.

Und jetzt das Beste: Für mittelständische Unternehmen wurde unsere Beratungsleistung in Sachen Datenschutz & Informationssicherheit als förderungswürdig eingestuft. Wenn Ihr Unternehmen die Förderbedingungen einhält, haben Sie Anspruch auf 1.500 EUR Fördermittel.

Gerne prüfen wir mit Ihnen, ob auch Ihrem Unternehmen Fördermittel zustehen. das dauert nur wenige Minuten.

Ich freue mich auf Ihre Anfragen.

Ihr Thomas Ströbele

Thomas Ströbele


Fragen / Anregungen

Haben Sie Fragen oder Anregungen zu diesem Beitrag? Dann senden Sie uns diese hier und jetzt:
Name

E-Mail (Pflichtangabe)

Nachricht (Pflichtangabe)




Montag, 31. Juli 2017

Orientwatz goes Datenschutz - herzlich willkommen bei yourIT

"Datenschutz in Social Media & Co. - Erfahre Tipps und Tricks, die Dich sicher durch die sozialen Medien bringen." So lautete der Eintrag im Sommerprogramm des Ratzgiwatz Jugendprogramms 2017. Interessanterweise hat dies dennoch nicht gereicht, alle Jugendlichen von einem Besuch des Kurses im Hause yourIT abzuhalten...


9 bis 12 Uhr am ersten Tag des Ferienprogramms. Ich wusste was das heißt - immerhin hatte ich bereits Erfahrung aus dem Ratzgiwatz-Programm 2015. 3 Stunden mit wissbegierigen Kids - das will gut vorbereitet sein. Insgesamt 61 (!!!) Folien hatte ich für meinen Vortrag vorbereitet. Rhetorisch ausgefeilt, raffiniert zusammengestellt - ich war selbst total begeistert!

Orientwatz goes Datenschutz - herzlich willkommen bei yourIT

Und dann das: Die Kids hatten so viele Fragen, dass ich nicht eine einzige meiner Folien gebraucht habe. Die 3 Stunden vergingen so schnell - Ich hatte gar keine Chance, den vorbereiteten Rechner samt Beamer zu starten.

Das Ratzgiwatz-Jugendprogramm 2017

Nächstes Jahr kann ich mir die aufwändige nächtelange Vorbereitung wohl sparen...

An die Eltern der lieben Kleinen: Eure Kids haben Fragen zum Umgang mit Social Media. Legt mal bitte Euer Smartphone beiseite und hört Euren Kindern zu. Die Antworten sind gar nicht so schwierig zu finden. Ich schafft das schon!

Auch den Betreuern konnte ich noch den einen oder anderen Tipp mitgeben. Und unser Hacker und das Script-Kid Marc haben denen 'nen ganz schönen Schrecken eingejagt. Künftig werden die ihre Passwörter wohl sorgsamer wählen. Erfolg auf der ganzen Linie!

Übrigens: Herzlichen Dank auch an "Lafer, Licht & Co." für die spontane Einladung zum Mittagessen. Die Pasta-Party habt Ihr gerockt. Like!

Euer Thomas

Mittwoch, 12. Juli 2017

(Noch) mehr Videoüberwachung?

„Videoüberwachungsverbesserungsgesetz“ – eine solche Bezeichnung kann wohl nur die deutsche Verwaltung erfinden. Es geht jedoch um eine ernste Sache, nämlich um den Schutz vor Terror und Gewalt. Das neue Gesetz ändert im Alltag einiges, ob bei der Busfahrt zur Arbeit oder beim Shoppen im Einkaufszentrum. 


Bisher eher wenige Kameras üblich


Wer schon einmal in London war, weiß davon zu berichten: Videokameras hängen buchstäblich an jeder Ecke, ob im Einkaufszentrum oder im Sportstadion. In Deutschland ist das anders. Natürlich gibt es auch hier Überwachungskameras. Aber längst nicht in dieser Zahl. Das liegt zunächst einmal an unterschiedlichen gesetzlichen Regelungen.

yourIT zu Videoüberwachungsgesetz & Datenschutz
yourIT zu "Videoüberwachungsgesetz & Datenschutz"

Aber in Deutschland legen die Aufsichtsbehörden für den Datenschutz die Regelungen außerdem besonders eng aus. So sieht es jedenfalls die Bundesregierung. Deshalb hat sie wenige Tage vor Weihnachten gehandelt: Ein neues Gesetz soll dafür sorgen, dass Videoüberwachung leichter möglich ist als bisher.


Neuregelung für Orte mit vielen Menschen


Von der neuen Regelung betroffen sind ausschließlich Örtlichkeiten, an denen erfahrungsgemäß viele Menschen zusammenkommen. Gedacht ist an Einkaufszentren, große Sportanlagen, Vergnügungsstätten und Parkplätze.

Außerdem geht es um Verkehrseinrichtungen wie Bahnhöfe und Haltestellen, aber auch um Fahrzeuge des öffentlichen Personenverkehrs (Busse, S- und U-Bahnen).

Vorbeugender Schutz


Der Schutz von Personen, die sich dort aufhalten, gilt künftig als „besonders wichtiges Interesse“. Das bedeutet: Dieser Schutz rechtfertigt es in der Regel, dass solche Örtlichkeiten per Video überwacht werden. Verwundert mag sich nun mancher fragen: War das bisher anders?

Die Antwort lautet schlicht: Ja! Die Regelungen für die Videoüberwachung wurden meistens sehr eng ausgelegt. Eher abstrakte Gefahren hielt die Datenschutzaufsicht nicht für ausreichend, um eine solche Überwachung zu rechtfertigen. Die bloße Möglichkeit, dass es zu üblen Vorfällen kommen könnte (und da und dort auch kam!), genügte nicht.

Hintergrund: Terroranschläge


Das wird sich durch die neuen Regelungen ändern. Der Grund liegt auf der Hand: Terroranschläge wie im Münchner Olympia-Einkaufszentrum oder auf dem Weihnachts-markt neben der Berliner Gedächtniskirche haben zu einem anderen Rechtsempfinden geführt.

Daneben will man aber auch der zunehmenden Gewalt in U-Bahnhöfen und an ähnlichen Orten nicht mehr länger zuschauen. Wunder erwartet sich dabei niemand. Denn mancher Täter wird sich von Kameras abschrecken lassen, mancher Täter nicht.

Keine Änderungen in Unternehmen


Keine Änderungen gibt es übrigens für die Videoüberwachung in den Produktionsbereichen von Unternehmen. Dort bleibt alles bei den bisherigen Regelungen. Sie haben sich bewährt. Und auch an der Supermarktkasse ändert sich nichts. Auf dem Parkplatz vor dem Supermarkt dagegen schon. Hier dürften bald neue Kameras zu sehen sein.

Gerne übernehmen wir auch in Ihrem Unternehmen den Aufbau und die Betreuung des Datenschutz-Managements und stellen den Externen Datenschutzbeauftragten. Vereinbaren Sie jetzt einen kostenloses Vorstellungsgespräch.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Montag, 10. Juli 2017

Künstliche Intelligenz: Was die schlaue IT über uns wissen könnte

Was früher als Science Fiction galt, wird langsam in der IT Realität: Maschinen, die selbst lernen und immer intelligenter werden. Das bleibt natürlich nicht ohne Folgen für den Menschen.


Natürliche Angst vor Künstlicher Intelligenz


In Kinofilmen gibt es sie schon lange: Maschinen, die ohne Kommando eines Menschen aktiv werden, scheinbar selbst entscheiden, was sie tun, und letztlich zur Gefahr für den Menschen werden. Hollywood zeigt uns in den Filmen Roboter, die sich gegen ihre Erbauer richten und die Weltherrschaft anstreben.

Solche Filme mögen ein Grund dafür sein, dass viele Menschen ein Unwohlsein verspüren, wenn sie an schlaue Maschinen, an sogenannte Künstliche Intelligenz (KI) oder Artificial Intelligence (AI) denken. Denn Intelligente Maschinen scheinen sich nicht von uns Menschen beherrschen zu lassen.

Andere Sorgen gelten zum Beispiel den Arbeitsplätzen: Schlaue IT-Systeme werden Arbeitsplätze kosten. Auch wenn sie an anderer Stelle Arbeitsplätze schaffen, werden bestimmte Arbeiten den Menschen ab- und damit weggenommen. Doch was hat das mit dem Datenschutz zu tun? Eine ganze Menge!

yourIT: Künstliche Intelligenz und Datenschutz
yourIT: Künstliche Intelligenz und Datenschutz

Maschinen lernen von uns Menschen


Basis der Künstlichen Intelligenz und damit schlauer IT-Systeme wie der digitalen Assistenten Alexa, Siri & Co. ist das maschinelle Lernen. Die IT lernt genau wie wir Menschen, indem sie Erfahrungen macht und ihre Regeln auf dieser Basis anpasst.

Dabei spielen wir Menschen die entscheidende Rolle: Programmierer machen die Regeln, nach denen die Maschinen dann lernen. Außerdem soll die schlaue IT vielfach uns Menschen nachahmen. Dazu sammeln solche Systeme dann Informationen über die Nutzer und über andere Personen, die mit ihren Aufgaben zu tun haben.

Wenn also eine Künstliche Intelligenz dem Menschen etwas vorschlägt und dieser es als falsch ablehnt, lernt die Maschine. Sie lernt aber auch etwas über den Menschen: was er für richtig oder falsch hält, wie er das IT-System nutzt, wann er es nutzt, wozu er es nutzt, wo er es nutzt, abhängig davon, welche Sensoren der Maschine zur Verfügung stehen, um diese Daten zu messen.

Maschinen werden so intelligenter und passen sich uns Menschen besser an, auch indem sie Profile der Nutzer erstellen. Damit ist der Datenschutz betroffen.


Künstliche Intelligenz braucht Schranken


Bei IT-Systemen mit Künstlicher Intelligenz besteht die Gefahr, dass sie immer mehr Daten sammeln und auswerten (Big Data) und dass auf der Basis der Datenanalyse dann Entscheidungen vorbereitet oder sogar getroffen werden, die uns als Menschen betreffen. Der einzelne Mensch ist umso mehr betroffen, je persönlicher die Datenanalysen sind.

Der Schlüssel liegt also im Datenschutz. Künstliche Intelligenz, die bald in immer mehr Geräte Einzug hält, gleich ob Auto, Radio oder Kühlschrank, darf nicht unbegrenzt personenbezogene Daten auswerten, um den einzelnen Nutzer möglichst passgenau unterstützen zu können.

Datenschutz hat somit in der Zukunft eine weiterhin große Bedeutung und sorgt mit dafür, dass intelligente Maschinen den Menschen helfen, ohne ihn dafür komplett zu durchleuchten.

Auch wenn die Intelligenz und der Komfort der Maschinen dadurch scheinbar sinken sollten: Die Beschränkung des Zugriffs auf personenbezogene Daten darf bei Maschinen nicht aufgegeben werden, nur um sie so intelligent wie möglich zu machen!


Wie schätzen Sie die Gefahren durch Künstliche Intelligenz (KI) ein?


Frage 1: Maschinen sind dumm, sie können nur das, was man ihnen als Programm mitgibt. Stimmt das?
  • a: Ja, woher sollten Maschinen auch mehr wissen und können?
  • b: Nein, die Entwicklung hin zur Künstlichen Intelligenz (KI) bedeutet, dass Maschinen selbstlernend werden.
Lösung zu Frage 1: Die Antwort b. ist richtig. Für den Datenschutz bedeutet das, dass die IT-Systeme von den Menschen lernen und dazu möglichst viele Daten sammeln und auswerten sollen. Hier muss Privacy by Design oberstes Gebot sein.

Frage 2: Digitale Assistenten wie Alexa sind Beispiele für die Entwicklung hin zu KI-Systemen. Was sie lernen, bleibt wie beim menschlichen Gehirn innerhalb des Systems. Stimmt das?
  • a: Nein, solche Systeme sind mit dem Internet verbunden und speichern vieles in einer Cloud.
  • b: Ja, die Daten sind immer innerhalb des Systems geschützt.
Lösung zu Frage 2: Die Antwort a ist richtig. Intelligente Geräte haben ihre KI-Fähigkeiten meist nicht lokal, sondern nutzen Rechenleistungen aus dem Internet und speichern Daten in der Cloud.

Tatsächlich tauschen solche Systeme auch Daten untereinander aus, um so weitere Rückschlüsse zu ziehen. Personenbezogene Daten bleiben deshalb in der Regel nicht in dem jeweiligen System, sondern werden übermittelt. Deshalb sind Datenschutz-Prüfungen vor dem Einsatz intelligenter Systeme so wichtig.

Die Prüfungen sind allerdings nicht leicht, denn die IT-Systeme werden immer komplexer. Aus diesem Grund muss der Zugriff auf die Daten von Beginn an begrenzt werden, nicht erst bei einer späterer Auswertung, die kaum noch nachvollzogen werden kann.

Freitag, 7. Juli 2017

EU-DSGVO - Datenschutzbeauftragte jetzt überall in der EU

In Deutschland ist man Datenschutzbeauftragte in Unternehmen seit Jahrzehnten ganz selbstverständlich gewohnt. Für andere Länder in der Europäischen Union (EU) sind sie dagegen etwas Neues. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) führt sie auch dort ein. Ergänzende nationale Vorschriften sind dabei weiterhin zulässig. Deutschland hat sie Mitte Mai 2017 eingeführt. Diese Kombination stellt sicher, dass im Ergebnis alles so bleibt, wie es sich bewährt hat.


Die bisherige Situation


Bisher - vor der EU-DSGVO - war es so: Besondere EU-Regelungen für Datenschutzbeauftragte gibt es nicht. Jeder Mitgliedstaat kann selbst entscheiden, ob er Datenschutzbeauftragte im Unternehmen vorschreibt.

Deutschland hat dies schon vor Jahrzehnten getan. Im Ergebnis müssen lediglich kleine Unternehmen mit weniger als zehn Beschäftigten keinen Datenschutzbeauftragten haben.

Datenschutz Grundverordnung, EU, yourIT
yourIT: Datenschutzbeauftragte jetzt überall in der EU


Neuerungen durch die EU-Datenschutz-Grundverordnung


Freitag, 9. Juni 2017

Eine bange Frage: Bin ich ein Innentäter?

Innentäter gelten als eines der größten Risiken für die Datensicherheit in Unternehmen. Nicht die Hacker von außen verursachen die meisten Vorfälle, sondern die sogenannten Insider. Gehören Sie auch dazu?


Insider gibt es nicht nur an der Börse


yourIT, Innentäter, Datenschutz
yourIT, Innentäter, Datenschutz
Sicherlich haben Sie in den Nachrichten schon einmal den Begriff "Insider-Handel" gehört. Bei diesem Vergehen geht es darum, dass jemand sein internes Wissen dazu missbraucht, um Vorteile beim Kauf oder Verkauf von Wertpapieren zu erzielen. Auch im Datenschutz gibt es Insider-Wissen, im Prinzip hat dies jede Mitarbeiterin und jeder Mitarbeiter, der mit personenbezogenen Daten umgeht, also zum Beispiel mit Kundendaten.

Zusätzlich haben Insider Berechtigungen, Daten zu lesen, zu ändern oder zu löschen. Werden diese Berechtigungen missbraucht, spricht man von einer Insider-Attacke.

Keine Sorge, niemand will Ihnen nachsagen, dass Sie eine Insider-Attacke planen oder so etwas jemals getan hätten. Doch vielleicht sind Sie trotzdem ein Innentäter, ohne es zu wissen oder zu ahnen.


Freitag, 26. Mai 2017

EU-DSGVO-Halbzeit! Nur noch 365 Tage

In genau 365 Tagen ist es soweit: Ab dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Auch wenn viele das nicht mitbekommen haben: Bereits vor einem Jahr ist diese wichtige Änderung zum BDSG in Kraft getreten. Die Hälfte der 2-jährigen Übergangsfrist ist nun schon vorbei. Trotzdem verharrt eine Vielzahl mittelständischer Unternehmen und Konzerne noch immer in Untätigkeit. Die Datenschutz-Experten von yourIT empfehlen: Es gibt viel zu tun. Packen Sie's an!



yourIT: Halbzeit auf dem Weg zur EU-DSGVO
yourIT: Halbzeit auf dem Weg zur EU-DSGVO

Wer wie wir von yourIT an IT-Umstellungs-Projekten mitarbeitet, weiß, dass es wichtig ist, frühestmöglich zu starten und dann koordiniert zu arbeiten, um ein von extern festgelegtes Enddatum einhalten zu können.

Betrachten wir die Einführung der EU-DSGVO (manchmal auch als GDPR bezeichnet, die Kurzform für General Data Protection Regulation) einmal als ein solches IT-Umstellungs-Projekt, ergeben sich folgende externe Vorgaben:

Montag, 22. Mai 2017

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!

US-Präsident Donald Trump war kaum im Amt, als er am 25. Januar 2017 direkt den Datenschutz für Europäer in Frage gestellt. Datenschutz-Experten aus der EU raten daher Unternehmen aus der EU, Cloud-Produkte nur noch von Europäischen Anbietern zu nutzen.


Deutsche und alle übrigen Europäer sind für den US-Präsidenten ganz offensichtlich Internetnutzer zweiter Klasse. Per Dekret vom 25. Januar erklärte er, dass Nicht-US-Bürger vom US-amerikanischen Datenschutzrecht auszuschließen oder zumindest ihre Rechte diesbezüglich einzuschränken sind, "soweit dies mit geltendem Recht vereinbar ist".

Der Datentransfer zwischen der EU und der USA auf Basis des Privacy Shield steht seither unter europäischem Beschuss. Das Privacy Shield ist als Nachfolger des Vorgängers Safe Harbor seit dem 12. Juli 2016 in Kraft und war von Anfang an umstritten. Es sollte eigentlich den EU-US-Datenaustausch für europäische Unternehmen mit US-Dienstleistern vereinfachen, die sich zu den darin notierten Prinzipien und organisatorischen Vorgaben bekennen. Ob sich damit aber tatsächlich ein "angemessenes Datenschutzniveau" sicherstellen lässt, das die Grundvoraussetzung für einen Datenaustausch mit anderen Unternehmen darstellt, gilt als unsicher.

EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!
EU-Datenschutz-Experten empfehlen: Raus aus den US-Clouds!


EU-Datenschützer befürchten nun , dass der Privacy Shield unter Trump von den USA gekündigt oder zumindest nicht ernst genommen werden könnte. Wieder einmal steht der Datenaustausch europäischer Unternehmen mit Dienstleistern aus den USA unter Kritik.

Wie die Deutsche IT-Branche von diesem Streit profitieren wird


Viele deutsche Unternehmen stehen derzeit vor der Entscheidung, ob sie die nächste Server-Generation noch im eigenen Serverraum betreiben wollen oder direkt in die Cloud wechseln. Zur Zeit-Überbrückung sollen aus dem Service laufende Server länger betrieben werden. Dies zeigen z.B. die seit November 2014 stark gestiegenen Zugriffsraten auf den Blogbeitrag zum Thema "Lebensdauer Server" des IT-Dienstleister yourIT aus Hechingen.

Zusätzlich sind deutsche Unternehmen derzeit dabei, die Vorbereitung für die EU-Datenschutzgrundverordnung zu treffen, die ab dem 25. Mai 2018 gelten wird.

Unternehmen, die künftigen Ärger mit dem Datenschutz vermeiden möchte, tun gut daran, sich jetzt ausschließlich auf europäische oder noch besser deutsche Cloud-Dienstleister einzulassen, die direkt der EU-DSGVO unterliegen. Mit diesen ist relativ einfach eine Vereinbarung zur Auftragsverarbeitung machbar. Außerdem setzt die EU-DSGVO auf eine Zertifizierung der Auftragsverarbeiter.

Für Online-Backup, Cloud-Speicher, E-Mail, Kalender, Messaging und viele andere Dienste gibt es inzwischen gute Alternativen europäischer Dienstleister zu Dropbox, Google & Co. Sprechen Sie mit den Cloud- und Datenschutz-Experten von yourIT. Wir empfehlen Ihnen gerne datenschutzkonforme Produkte deutscher und europäischer Anbieter.

Freitag, 19. Mai 2017

Google Analytics als Auftragsdatenverarbeiter - Was Unternehmen als Nutzer jetzt beachten sollten

Der Einsatz von Google Analytics durch deutsche Unternehmen befindet sich derzeit erneut im Focus des Hamburgischen Beauftragten für Datenschutz und Informationssicherheit (HmbBfDI) und anderer Landesdatenschutzbeauftragter. Das kostenlose Analyse-Produkt des amerikanischen Software-Herstellers Google findet sich massenhaft im Einsatz - auch auf den Websites und Blogs vieler deutscher Unternehmen.


Wieso ist Google Analytics im Datenschutz-Focus?


Da IP-Adressen in Deutschland als personenbezogene Daten gelten und Google beim Einsatz von Google Analytics auf den Websites und Blogs Ihres Unternehmens mit den IP-Adressen der Besucher eben dieser Seiten in Kontakt kommt und diese verarbeitet, handelt es sich hierbei um eine Auftragsdatenverarbeitung im Sinne von § 11 BDSG.

Der Hamburgische Datenschutzbeauftragte war bereits bisher federführend in Bezug auf erforderliche Regelungen bei Verwendung von Google Analytics. Dieser sah es nun als erforderlich an, sich erneut mit der Prüfung von Google Analytics zu befassen.

Als Ergebnis wurde ein neues Hinweisblatt zur Verwendung von Google Analytics erarbeitet. Dieses kann bei yourIT jetzt kostenlos bezogen werden. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics".

Die Überarbeitung bezieht sich in erster Linie auf eine Klausel im bisherigen Vertrag zur Auftragsdatenverarbeitung, die auf das Safe-Harbor-Abkommen verwies, welches bekanntlicherweise bereits am 06.10.2015 durch eine Entscheidung des EuGH außer Kraft gesetzt worden war.

Google hat sich zwischenzeitlich nach dem Privacy Shield zertifizieren lassen und seinen Vertrag zur Auftragsdatenverarbeitung entsprechend angepasst.

Auch andere Landesdatenschutzbeauftragte stellen Anforderungen zu Google Analytics


Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg
Briefkopf Der Beauftragte für den Datenschutz Baden-Württemberg


Wie wir aus sicherer Quelle wissen, stellt auch der Landesbeauftragte für den Datenschutz Baden-Württemberg derzeit Unternehmen Fragen zum Einsatz zu Google-Analytics. Wir zitieren aus einem uns vorliegenden Anschreiben:

"[...] Aus der Datenschutzerklärung geht bezüglich der Verwendung von Google Analytics nicht hervor, ob ein Vertrag mit Google nach § 11 BDSG im Sinne der Auftragsdatenverarbeitung besteht und in welcher Art und Weise die IP-Adresse übermittelt wird. Ist dies der Fall und werden die hinteren Ziffern der IP-Adresse anonymisiert? [...]"



Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics
Auszug Anschreiben Beauftragte für den Datenschutz Baden-Württemberg zu Google Analytics

Die EU-DSGVO wird vermutlich noch eins drauf setzen...


Es ist zu erwarten, dass sich bei In-Kraft-Treten der EU-Datenschutzgrundverordnung (EU-DSGVO) zum 25.05.2018 erneut Änderungen hinsichtlich der Verwendung von Google Analytics ergeben werden.

Unternehmen, die Google Analytics auf ihren Websites und Blogs einsetzen, sollten
  1. jetzt eine Vereinbarung zur Auftragsdatenverarbeitung mit Google abschließen und 
  2. die Änderungen durch die kommende EU-DSGVO im Auge behalten.
Nutzen Sie jetzt unsere Erfahrung und unser Knowhow aus 10 Jahren externer Datenschutzberatung.

Fazit: Vereinbarung zur Auftragsdatenverarbeitung mit Google Analytics jetzt!


Holen Sie sich jetzt von uns kostenlos unser Hinweisblatt zu Google Analytics. Schreiben Sie uns hierzu einfach eine kurze Nachricht mit dem Stichwort "Datenschutz Google Analytics". Sie erhalten von uns ein Hinweisblatt zur konkreten Vorgehensweise sowie die aktuelle Version des Vertrages zur Auftragsdatenverarbeitung mit Google Ireland Ltd. in Dublin.

Brief an Google mit Inhalt Vereinbarung zur Auftragsdatenverarbeitung
Sie müssen die Vereinbarung zur Auftragsdatenverarbeitung mit Google dann nur noch kurz ausfüllen, unterschreiben und ab die Post!

Achtung: Neben der Vereinbarung sind weitere Schritte zu unternehmen. Gerne unterstützen wir Sie dabei.

Wie wir von yourIT Sie als Google-Analytics-Anwender unterstützen können


Unser gefördertes Beratungspaket "Datenschutzkonzept" enthält neben einigen anderen Dingen auch die Erhebung der Liste der Auftragsdatenverarbeiter und die Überprüfung der bisherigen Vertragsstände.

yourIT Beratungspaket Datenschutzkonzept für Sie als Auftraggeber

Vorteil für mittelständische Unternehmen: Unser Beratungspaket "Datenschutzkonzept" wird gefördert mit Mitteln aus dem Europäischen Sozialfonds. Sie erhalten bis zu 1.500 EUR Fördermittel.

Worauf warten Sie noch? Vereinbaren Sie jetzt einen kostenlosen Kennenlerntermin.

Ich freue mich auf Ihre Anfragen. Fordern Sie uns! Wir beraten Sie gerne.

Ihr Thomas Ströbele, Telefon 07471/930100

Thomas Ströbele

Sie möchten bei neuen Entwicklungen im Bereich Datenschutz & IT-Sicherheit informiert werden?


Dann tragen Sie sich einfach hier in unseren Newsletter ein.

Mittwoch, 17. Mai 2017

yourIT - Nützliche Sicherheitstipps vom BSI

BSI – bisher noch nie gehört? Das ist schade! Denn das „Bundesamt für Sicherheit in der Informationstechnik“ hilft Unternehmen und Normalbürgern gleichermaßen. Von seinen Sicherheitstipps kann jeder profitieren. Machen Sie einen Versuch!


Scheinbar sichere Internetseiten


„Ich surfe nur auf vertrauenswürdigen Seiten, darum muss ich mich nicht vor Cyber-Angriffen schützen.“

So denkt mehr als einer. Schön wär's, kann man dazu nur sagen.

Natürlich ist es vernünftig und richtig, sich von dubiosen Internetseiten von vornherein fernzuhalten. Das allein reicht aber nicht. Denn, so das BSI: „Leider können auch vertrauenswürdige Seiten hin und wieder von Schadsoftware betroffen sein.

Sie kann sich beispielsweise in Werbebannern verstecken und sich unbemerkt auf dem PC des Nutzers installieren. Sogenannte Drive-by-Downloads, bei denen Inhalte ohne Zutun des Nutzers im Hintergrund heruntergeladen werden, können auch über populäre Internet-Seiten erfolgen.“

yourIT - nützliche Sicherheitstipps vom BSI
yourIT - nützliche Sicherheitstipps vom BSI


Bequeme öffentliche WLANs


„Das Surfen in öffentlichen WLANs spart nicht nur Kosten, sondern ist auch sicher.“ 

Jedenfalls an der Ersparnis ist etwas dran. Doch sollte man auch bedenken, dass die Datenübertragung zwischen dem mobilen Gerät und dem Router, der die Internetverbindung herstellt, meist unverschlüsselt erfolgt.

Deshalb empfiehlt das BSI: „Über öffentliche WLANs sollten nie vertrauliche Daten übertragen werden, es sei denn, sie werden zuvor lokal auf dem eigenen Gerät verschlüsselt oder über ein virtuelles privates Netzwerk (VPN) übertragen. Das gilt vor allem, wenn auf das Heim- oder Firmennetzwerk zugegriffen werden soll.“

Bitte denken Sie dabei daran, die Vorschriften Ihres Unternehmens für externe Zugriffe auf das Firmennetzwerk zu beachten!

Scheinbar uninteressante Daten


„Ich habe nichts zu verbergen und keine wichtigen Daten, also bin ich doch kein Ziel für Cyber-Kriminelle und muss mich deshalb nicht schützen.“

Für Unternehmensdaten gilt das natürlich niemals. Aber vielleicht wenigstens für Ihre privaten Daten?

Das BSI sieht auch das anders: „Diese Ansicht ist grundlegend falsch. Cyber-Kriminelle können alle Daten für ihre Zwecke nutzen. Jeder, der mit einem ungeschützten Gerät im Internet surft, einkauft oder Online-Banking betreibt, hinterlässt eine Vielzahl an Daten, für die sich Cyber-Kriminelle interessieren.

Das sind nicht unbedingt die auf dem Rechner gespeicherten Urlaubsfotos, Korrespondenzen oder andere private Dokumente. Von einem ungeschützten Rechner können Kriminelle dort gespeicherte oder im Internet übertragene Zugangs-, Konto- und Kreditkartendaten leicht stehlen und missbrauchen.“

Wiegen Sie sich also nicht in falscher Sicherheit und achten Sie auch beim privaten Rechner auf einen aktuellen Virenschutz sowie auf regelmäßige Updates aller Programme!


Gelöscht und trotzdem noch vorhanden


„Wenn ich alle Daten von meinem Gerät lösche und anschließend den Papierkorb leere, sind die Daten ein für alle Mal weg.“ 

Sie sind gut mit der EDV vertraut und lächeln über so viel Naivität? Glückwunsch! Aber kennt sich Ihr Kollege genauso gut aus? Man kann über das Thema nicht oft genug sprechen: „Durch das Verschieben von Dateien in den Papierkorb bleiben die Dateien vollständig auf dem Speichermedium erhalten.

Auch nach Leeren des Papierkorbs lassen sich Daten mit wenig Aufwand wiederherstellen, da bei diesem Vorgang lediglich die Verweise auf die Daten im Index, dem Inhaltsverzeichnis der Festplatte, gelöscht werden und der Bereich zum Überschreiben freigegeben wird.“ So der Hinweis des BSI zu diesem Thema.

Ach übrigens: Auch in Scangeräten und Fotokopierern gibt es Datenträger mit großer Kapazität, die alles längerfristig festhalten. Wird das Gerät gestohlen, hat der Dieb Zugriff auf all diese Daten.

Attacke per E-Mail


„Wenn ich eine E-Mail nur anschaue, aber keinen Anhang öffne, kann nichts passieren.“

Klarer Fall: Bevor man einen Anhang öffnet, sollte man immer erst einmal überlegen, ob die Mail vertrauenswürdig ist. Aber für sich allein reicht das nicht als Schutz. Denn, so das BSI: „Viele E-Mails sind farbig, mit verschiedenen Schriften und Grafiken gestaltet.

Dort kann schädlicher Code versteckt sein, der bereits beim Öffnen der Mail ausgeführt wird, ohne dass dafür ein Anhang angeklickt werden muss.“

Empfehlung daher: „Deshalb sollten Nutzer in ihrem E-Mail-Programm die Anzeige von E-Mail im HTML-Format deaktivieren.“


Sie möchten noch mehr Tipps?


Dann geben Sie in einer Suchmaschine einfach „BSI Sicherheitsirrtümer“ ein! Und registrieren Sie sich jetzt für unser Online-Magazin Datenschutz Now!

Sonntag, 7. Mai 2017

Locky ist wieder da - und die Version 2.0 der Ransomware ist gefährlicher denn je!

Achtung: Locky ist wieder da!


Falls Sie heute oder in den nächsten Tagen und Wochen eine E-Mail mit einem PDF-Dokument im Anhang erhalten, welches beim Öffnen um die Erlaubnis bittet, ein Zusatzdokument zu öffnen, dann brechen Sie den Vorgang unbedingt sofort ab. Klicken Sie unter keinen Umständen auf „OK“! Schließen Sie die PDF-Datei und informieren Sie sofort Ihren IT-Administrator oder Ihr zuständiges IT-Systemhaus.

Locky 2.0 ist wieder da - yourIT informiert Sie jetzt über die Gefahr

Weitere Informationen zu Locky 2.0 jetzt auf unserem Blog simplify-yourIT...

Bitte informieren Sie jetzt auch Ihre Kollegen und Bekannten, bevor diese den Hackern in die Falle gehen.

Dienstag, 2. Mai 2017

Ausgeschiedene Mitarbeiter als Adressaten von E-Mails – was tun mit den Mails?

Ein Mitarbeiter scheidet aus dem Unternehmen aus. Kann der Arbeitgeber den Mail-Account des Mitarbeiters einfach schließen? Wie ist mit E-Mails umzugehen, die ausdrücklich an ihn gerichtet sind? Das Bayerische Landesamt für Datenschutzaufsicht bietet in seinem Tätigkeitsbericht für 2015/2016 einige Orien-tierungshilfen für diese Fragen.


Existieren schon Regelungen?


Vorab sei auf Folgendes hingewiesen: Falls zu diesem Thema eine Betriebsvereinbarung existiert, ist alles klar. Es gelten ihre Regelungen. Manchmal treffen das Unternehmen und der ausscheidende Mitarbeiter auch eine ausdrückliche Vereinbarung, etwa in einem Aufhebungsvertrag. Schön für alle Beteiligten! Denn das schafft Klarheit.

Datenschutz, E-Mail
Datenschutz, E-Mail

Und wenn nicht?


Aber was ist, wenn es an Beidem fehlt? Vielleicht lässt sich noch über eine ein-vernehmliche Regelung reden. Aber manchmal erscheint das kaum vorstellbar, etwa nach einer fristlosen Kündigung. In solchen Fällen hilft die Meinung der Datenschutzaufsicht weiter.

Schließung des Mail-Accounts


Zunächst zu der Frage, wie lange ein Mail-Account noch bestehen darf. Etwa drei Monate nach dem Ausscheiden sollte er nach Auffassung des Landesamts geschlossen werden. Der Grund: Danach ist nicht mehr damit zu rechnen, dass noch Mails an den ausgeschiedenen Mitarbeiter eingehen. Eine ausdrückliche gesetzliche Regelung dazu gibt es aber nicht.

Private Nutzung erlaubt oder nicht?


Schwieriger ist eine Antwort auf die Frage, ob Mails, die noch eingehen, an einen anderen Mitarbeiter weitergeleitet werden dürfen. Hier unterscheidet das Landesamt danach, ob der Arbeitgeber die private E-Mail-Nutzung erlaubt hat oder nicht.

Falls private Nutzung verboten ist ...


Relativ freie Hand hat der Arbeitgeber, wenn er die private E-Mail-Nutzung verboten hat. In diesem Fall kann er einfach festlegen, dass eine Weiterleitung erfolgt. Denn private Mails können dann ja eigentlich keine eingehen.

Im Einzelfall kann dies aber trotzdem vorkommen. Denn immer wieder gibt es Absender, die nicht wissen, dass die private Nutzung verboten ist, oder denen das egal ist.

Umgang mit einzelnen privaten Mails


Sofern eine private Mail im Unternehmen weitergeleitet wird, darf der Empfänger ihren Inhalt nicht lesen. Das gilt naturgemäß nur dann, wenn er schon am Absender und/oder am Betreff erkennen kann, dass die Mail privaten Charakter hat. Eine solche Mail ist entweder zu löschen oder an den ausgeschiedenen Mitarbeiter weiterzusenden.

Falls private Nutzung erlaubt ist ...


Falls der Arbeitgeber private Mails erlaubt hat, handelt es sich um eine freiwillige Leistung des Arbeitgebers. Das führt jedoch nicht dazu, dass er einfach die Weiterleitung aller eingehenden Mails anordnen kann. Vielmehr muss er dann das Fernmeldegeheimnis beachten.

Einwilligung nötig


Ohne eine Einwilligung des ausgeschiedenen Mitarbeiters wäre eine Weiterleitung privater Mails daher nicht zulässig. Andererseits dürfte dann auch niemand in den Account schauen, um dienstliche und private Mails zu trennen.

Das Ergebnis: Der Account wäre letztlich insgesamt blockiert. Für viele Unternehmen ist das nicht akzeptabel.

Übliche Bedingungen für private Nutzung

In der Praxis ist deshalb üblich, dass der Arbeitgeber private Mails nur unter Bedingungen erlaubt:

Bedingung 1: Der Arbeitnehmer erklärt sich damit einverstanden, dass Mails, die nach seinem Ausscheiden eingehen, an einen anderen Mitarbeiter weitergeleitet werden.

Bedingung 2: Er ist außerdem damit einverstanden, dass dieser andere Mitarbeiter den Betreff und den Absender aller eingehenden Mails prüft. Hat eine Mail danach erkennbar privaten Charakter, öffnet er sie nicht. Je nach Vereinbarung löscht er sie oder leitet sie an den ausgeschiedenen Mitarbeiter weiter.

Eigenes Smartphone als Lösung?


Falls private Mails erlaubt sind, geht es also nicht ohne relativ komplizierte Vereinbarungen. Das ist ein wichtiger Grund dafür, warum viele Unternehmen auf dienstlichen Geräten nur dienstliche Mails erlauben.

Viele Mitarbeiter haben ohnehin ständig ihr privates Smartphone dabei. Private Mails schreiben sie von dort aus. Mit den Inhalten solcher Mails hat der Arbeitgeber nichts zu tun. Datenschutzprobleme gibt es keine.

Folgeprobleme anderer Art


Allerdings: Mailen ist hier eine private Tätigkeit während der Arbeitszeit. Ob und in welchem Umfang sie erlaubt ist, sollte man klären, bevor es Ärger gibt. Selbstverständlich ist eine solche Erlaubnis auf keinen Fall.

Außerdem: Probleme kann auch der umgekehrte Fall bereiten. Ein Arbeitnehmer benutzt sein privates Smartphone, um dienstliche Mails zu verschicken. Auch das ist nicht einfach so erlaubt.

Hilfe bietet Ihr Externer Datenschutzbeauftragter


Gerne senden wir Ihnen ein kostenloses Muster oder unterstützen Sie bei Ihrer individuellen in Ihrem Unternehmen. Nutzen Sie jetzt unsere Erfahrung undunser Knowhow aus über 10 Jahren Datenschutz-Beratung in über 100 Unternehmen.

Fordern Sie uns!

Ihr yourIT-Datenschutz-Team

Freitag, 7. April 2017

EU-Datenschutz-Grundverordnung setzt auf Zertifizierung der Auftragsdatenverarbeitung

Unsere Erfahrung als Externe Datenschutzbeauftragte zeigt: Nahezu jedes mittelständische Unternehmen arbeitet heute mit mehreren unterschiedlichen Auftragsdatenverarbeitern gemäß § 11 BDSG zusammen - auch wenn dies und die daraus resultierenden Verpflichtungen den meisten Unternehmen nicht bewußt sind. 


Ein Beispiel: Das Callcenter als Auftrags(daten)verarbeiter gemäß § 11 BDSG (Artikel 28 EU-DSGVO)


Callcenter sind für zahlreiche Unternehmen das Tor zum Kunden. Callcenter verarbeiten Millionen, teilweise sehr sensible Kundendaten für ihre Auftraggeber. Um diese sensiblen Kundendaten zu schützen, sind angemessene Sicherheitsmaßnahmen und klare Abläufe sind notwendig. Für Auftraggeber ist es daher enorm wichtig, schon bei der Auswahl des Auftragnehmers schnell erkennen zu können, ob ein Callcenter vertrauenswürdig ist oder eher nicht.

Eine Zertifizierung bringt Klarheit


Eine Datenschutz-Zertifizierung durch yourIT für Auftragsdatenverarbeiter aller Art schafft die nötige Sicherheit für Auftraggeber und Auftragnehmer.

Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter
yourIT - Übersicht der notwendigen Maßnahmen zur Datenschutz-Zertifizierung für Auftragsverarbeiter

Bei einer Datenschutz-Zertifizierung von Auftragsdatenverarbeitern gemäß § 11 BDSG (bzw. Auftragsverarbeitern gemäß Artikel 28 EU-DSGVO) werden in mehreren Schritten Geschäfts- und Datenverarbeitungsprozesse untersucht und falls erforderlich an die datenschutzrechtlichen Anforderungen angepasst. Eine erfolgreich bestandene Zertifizierung eines Auftragnehmers garantiert dadurch gegenüber dem Auftraggeber, dass die von Firmen verarbeiteten personenbezogenen Daten den hohen deutschen Datenschutzstandards entsprechen.

Gleichzeitig garantiert eine Datenschutz-Zertifizierung durch yourIT ein qualifiziertes und standardisiertes Datenschutzniveau, eine sichere Auftragsdatenverarbeitung sowie Kosten- und Zeiteinsparungen unter anderem bei Datenschutzkontrollen durch Auftraggeber oder Aufsichtsbehörden.

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) setzt auf eine Zertifizierung der Auftragsdatenverarbeitung


Die kommende EU-DSGVO setzt ganz offiziell auf eine Zertifizierung von Auftragsverarbeitern gemäß Artikel 28.

Die Durchführung einer Datenschutz-Zertifizierung bereits heute ist deshalb eine gute Vorbereitung auf das neue Datenschutzrecht, das ab dem 25.05.2018 gelten wird. Das neue Recht sieht Anpassungen in den Abläufen, Verträgen und IT-Sicherheitsmaßnahmen vor und erhöht die Bußgelder für Datenschutzverstöße auf bis zu 20 Millionen Euro oder 4% des Jahresumsatzes.

Innovationspreis für die Datenschutz-Zertifizierung der yourIT


Die Initiative Mittelstand hat unsere Datenschutz-Zertifizierung für Auftragsdatenverarbeitung mit dem Innovationspreis-IT "BEST OF 2016" in der Kategorie "Consulting" ausgezeichnet.

Außerdem erhalten kleine und mittelständische Unternehmen gemäß KMU-Definition Fördermittel auf die durch yourIT durchgeführte Beratung.

yourIT - ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter
Unser ESF-gefördertes Beratungspaket §-11-Zertifizierung für Auftragsdatenverarbeiter

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Mittwoch, 5. April 2017

VR-Brillen: Ein Thema für den Datenschutz?

Ein Thema für den Datenschutz? Virtual Reality (VR) ist einer der Top-Trends der Unterhaltungselektronik. Auch am Arbeitsplatz kommen bereits VR-Brillen zum Einsatz. Dabei sind nicht nur virtuelle Welten im Blick, sondern auch Sie als Nutzer.


VR ist keine Vision, sondern Realität


Ausgezeichnete Beratungspakete von yourIT - keine Vision sondern Realität
Ausgezeichnete Beratungspakete von yourIT - keine Vision sondern Realität
Jeder elfte Deutsche hat bereits eine der Virtual-Reality-Brillen ausprobiert. Fast jeder Dritte kann sich vorstellen, dies künftig zu tun, so eine Umfrage des Digitalverbands Bitkom.


Wenn Sie noch keine VR-Brille aufgesetzt haben: VR-Brillen präsentieren einen Bildschirm direkt vor Ihren Augen und decken das gesamte Sichtfeld ab. Dadurch schauen Sie direkt in die Bilder und Videos und sind scheinbar Teil der virtuellen Umgebung. Selbst wenn Sie nach oben, nach unten oder zur Seite blicken: Die virtuelle Realität umgibt Sie.


Mittwoch, 8. März 2017

Virenschutz oder Datenschutz?

Die Frage, ob Sie Virenschutz oder Datenschutz wollen, erscheint auf den ersten Blick absurd. Denn Sie brauchen beides. Tatsächlich aber können Virenschutz-Lösungen zum Problem für den Datenschutz werden.


Wenn der Schutz zur Gefahr wird


Kaum jemand verzichtet komplett auf einen Virenschutz für den PC oder das Notebook, eigentlich sollte es niemand tun. Bei Smartphones sieht es schon deutlich schlechter aus: Jeder fünfte Smartphone-Besitzer (20,7 %) nutzt sein Mobilgerät ohne jegliche Sicherheitsfunktionen zum Schutz des Geräts und der darauf befindlichen Daten, so eine Umfrage für das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Aus Sicht des Datenschutzes sollte auf jedem Endgerät ein Schutz vor Malware oder Schadsoftware vorhanden sein. Doch diese Forderung kann zu einem Datenrisiko führen, wenn man nicht darauf achtet, wie es der Anbieter der Antiviren-Software mit dem Datenschutz hält.
Tatsächlich gibt es eine ganze Reihe von Virenschutz-Lösungen, die zwar Malware erkennen und abwehren, die es aber selbst nicht so genau mit dem Datenschutz zu nehmen scheinen.

yourIT, Datenschutz, Virenschutz, securITy
yourIT, Datenschutz, Virenschutz, securITy

Überprüfung von Datenschutzerklärungen ergab Mängel


Das Testinstitut AV-Test aus Magdeburg hat die Datenschutzerklärungen von 26 Antiviren-Programmen untersucht und dabei viele Unzulänglichkeiten und Probleme entdeckt. So hatten zwei Anti-Malware-Lösungen überhaupt keine Datenschutzerklärung.
In fast jeder untersuchten Datenschutzerklärung räumten sich die Hersteller zudem in erheblichem Umfang Zugriffsrechte auf Daten ein, die für den Einsatz einer Schutz-Software nicht nötig sein dürften, so AV-Test.

Einige Extrembeispiele untermauern diese Einschätzung: So haben einzelne Hersteller angegeben, dass sie Daten über das Geschlecht, die Berufsbezeichnung sowie Rasse und sexuelle Orientierung eines Nutzers verarbeiten wollen.
Der Bezug zum Schutzzweck der Software ist offensichtlich nicht vorhanden. Die Vermutung liegt nahe, dass die Anbieter Nutzerinformationen zu Werbezwecken erheben bzw. an Dritte für Werbemaßnahmen weitergeben. Eine informierte Einwilligung, wie sie der Datenschutz fordert, erfragen sie dafür vom Nutzer nicht.

Kein blindes Vertrauen in die IT-Sicherheit


Leider können Sie also nicht davon ausgehen, dass alle Lösungen, die Ihre Daten vor Angreifern schützen, selbst mit den Daten so umgehen, wie es der Datenschutz ver-langt. Auch IT-Sicherheitsanwendungen müssen hinterfragt werden, wie sie es mit dem Datenschutz halten, genau wie jede andere Applikation, die Sie installieren oder nutzen möchten.

Genau genommen sollten Sie bei IT-Sicherheitslösungen wie den Antiviren-Programmen noch genauer hinschauen, was in der Datenschutzerklärung steht. Denn Sicherheitsprogramme haben sehr mächtige Funktionen und oftmals weitgehende Zugriffsberechtigungen auf die Daten.
Diese Berechtigungen brauchen sie in Teilen zwar, um wirklich schützen zu können. Doch sie machen auch einen falschen Umgang mit personenbezogenen Daten durch Sicherheitssoftware so gefährlich.

Nutzen Sie also auf jedem Endgerät einen Virenschutz, aber prüfen Sie bei jedem Tool auch die Datenschutzerklärung. Virenschutz und Datenschutz werden beide gebraucht, getrennt voneinander sollten sie nicht sein. Ohne Virenschutz ist Datenschutz heute nicht mehr möglich, ohne Datenschutz sollte es jedoch keine Virenschutz-Lösung geben.

Virenschutz = Datenschutz? Testen Sie Ihr Wissen!


Frage: Virenschutz ist elementar für den Datenschutz. Stimmt das?


  • a. Ja, das stimmt. Trotzdem ist der Datenschutz beim Virenschutz nicht automatisch         garantiert.
  • b. Virenschutz braucht man nur, wenn man das Internet nutzt.
  • c. Virenschutz-Lösungen berücksichtigen automatisch den Datenschutz. 

Lösung: Die Antwort a. ist richtig. Virenschutz braucht man auf jedem Endgerät, gleich ob es einen Internetzugang hat oder nicht. Denn auch ein USB-Speicherstift kann zum Beispiel Malware einschleppen.
Trotzdem kann man nicht davon ausgehen, dass der Datenschutz beim Virenschutz automatisch stimmt. Prüfen Sie die Datenschutzerklärung des Anbieters genau, bevor Sie sich für eine Lösung entscheiden.


Frage: Antiviren-Software verarbeitet personenbezogene Daten nur zu Sicherheitszwecken. Stimmen Sie dem zu?


  • a. Ja, zu welchen Zwecken sollte ein Sicherheitsprogramm denn sonst Daten verarbeiten?
  • b. Man sollte in der Datenschutzerklärung prüfen, zu welchen Zwecken der Software-Anbieter personenbezogene Daten erhebt, nutzt und speichert. Man kann Erstaunliches finden ...


Lösung: Die Antwort b. ist richtig, wie eine Untersuchung von AV-Test ergeben hat. Ob die erhobenen Nutzerdaten wirklich dem Sicherheitszweck dienen oder nicht, können Sie sich klarmachen, indem Sie die Sicherheitsfunktionen betrachten und sich fragen, ob Sie diese denn möchten oder nicht.
So kann ein Zugriff auf die Standortdaten sinnvoll sein, wenn Sie die Funktion nutzen wollen, ein verlorenes oder gestohlenes Gerät wiederzufinden. Daten über das Geschlecht und die sexuelle Orientierung des Nutzers haben aber zweifellos nichts mit den Sicherheitsfunktionen zu tun. Trotzdem wollen manche Antiviren-Lösungen solche Daten erheben und verarbeiten. Hier ist mehr als Vorsicht angesagt – es empfiehlt sich die Suche nach einer anderen Antiviren-Software!

Mittwoch, 1. März 2017

Ist mit einem Pentester eine Vereinbarung zur Auftragsdatenverarbeitung gemäß § 11 BDSG notwendig

yourIT aus Hechingen ist im Bereich Datenschutz & Informationssicherheit als Dienstleister und Berater tätig. Das IT-Systemhaus mit dem Slogan "Security in everything we do" bietet seinen Kunden unter anderem professionelle Schwachstellenanalysen und Penetrationstests an. Hierzu wurden und werden deutschlandweit Systemhaus-Partner aufgebaut, die eine Versorgung mit gleichbleibender Qualität im gesamten Bundesgebiet sicherstellen können.


Folgende interessante Frage wurde von einem Partner an yourIT herangetragen:


"Muss mit einem externen Dienstleister, der im Auftrag einen Pentest durchführen soll, ein Vertrag nach §11 Bundesdatenschutzgesetz (BDSG) bzw. Artikel 28 Abs. 3 EU-Datenschutzgrundverordnung (EU-DSGVO) geschlossen werden? Es werden an den Auftragsdatenverarbeiter (neu: Auftragsverarbeiter) ja eigentlich keine personenbezogenen Daten geliefert, wenn man jetzt von den Kontaktdaten zum Audit absieht.

Muss für solche Dienstleistungen ein § 11 Vertrag geschlossen werden, oder ist hier eine Verschwiegenheitserklärung sinnvoller.

Es wird ja kein Auftrag erteilt zum verarbeiten der Daten, sondern zur Prüfung der Systeme."

yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit
yourIT bietet eine breite Palette an Dienstleistungen und Beratungen im Bereich Datenschutz & Informationssicherheit

Und hier die Antwort von yourIT:


Wir möchten gerne voranstellen, dass zur sicheren Durchführung von Schwachstellenanalysen und Penetrationstests (Pentests) unbedingt ein sauberes und durchdachtes Vertragswerk notwendig ist. Ohne eine vom Verantwortlichen des Auftraggebers unterzeichnete "Permission to Attack" darf z.B. kein Audit stattfinden.

Wir geben Ihnen Recht: Bis auf die Kontaktdaten zum Audit werden augenscheinlich keine personenbezogenen Daten an den Pentester geliefert. Aber: Im Verlauf des Audits kann es vorkommen, dass der Auditor oder Pentester Zugriff auf personenbezogene Daten bekommt, wenn er in die Systeme eindringen kann. Das ist ja auch sein Auftrag Schwachstellen zu finden.

Zur Klärung der obigen Fragestellung gibt es den § 11 Absatz 5 BDSG: „Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.“

Wir empfehlen den zusätzlichen Abschluss einer Verschwiegenheitserklärung (Non-Disclosure-Vereinbarung) für die Wahrung von Betriebs- und Geschäftsgeheimnissen etc.

yourIT - Wir auditieren und zertifizieren Pentester


Achtung: Die §11-Zertifizierung durch unser Beratungsunternehemen ist im Jahr 2017 förderfähig! Holen Sie sich bis zu 1.500 EUR FördermittelMehr zu diesem und unseren anderen staatlich geförderten Beratungspaketen haben wir auf einer eigenen Website zusammengestellt: http://www.mITgroup.eu


Bonus für mittelständische Pentester - Jetzt Fördermittel nutzen!


Die yourIT-§-11-Zertifizierung für mittelständische Unternehmen - sponsored by ESF

Um die Wettbewerbsfähigkeit mittelständischer Unternehmen zu steigern, stehen für Beratungsprojekte wie z.B. die §-11-Zertifizierung Fördergelder des Europäischen Sozialfonds bereit. Handeln Sie jetzt! Nähere Infos hierzu finden Sie hier.

Die §11-Zertifizierung bieten wir erfolgreich bundesweit an. Unsere Methodik und modernste Technik ermöglicht es uns in den meisten Fällen, das Audit schnell und unkompliziert auch ohne vor-Ort-Termin durchzuführen. Ihr Auftraggeber sollte nicht unnötig warten müssen, oder?

Ich freue mich auf Ihre Projektanfragen.

Ihr Thomas Ströbele

Thomas Ströbele

Donnerstag, 9. Februar 2017

Was ist der Privacy Shield?

Wer in einem Unternehmen arbeitet, das Daten in die USA übermittelt, muss ihn kennen. Aber auch jeder Normalbürger sollte zumindest einmal davon gehört haben. Die Rede ist vom Privacy Shield, auf Deutsch etwa „Schutzschild für das Persönlichkeitsrecht“. Er kann seit dem 1. August 2016 genutzt werden. Viele Unternehmen hatten dringend darauf gewartet. Lesen Sie hier, weshalb...


Eine Herausforderung: Datenübermittlungen in die USA


Will ein Unternehmen Daten von Kunden oder auch Daten von Mitarbeitern an ein US-Unternehmen übermitteln, geht das nicht „leicht und locker“. Und zwar auch dann nicht, wenn es sich bei dem US-Unternehmen beispielsweise um die „US-Mutter“ handelt.

Bekanntlich gehören die USA nicht zur EU. Deshalb erlauben die EU-Regelungen zum Datenschutz den Transfer von Daten in die USA nur dann, wenn dort ein angemessenes Datenschutzniveau herrscht. Was als angemessen anzusehen ist, bestimmt sich dabei natürlich nach den Vorstellungen der EU.

Datenschutz, yourit, Privacy Shield
Datenschutz, yourit, Privacy Shield

Datenschutz in den USA: durchaus, aber ...


Damit beginnen in der Praxis die Probleme. Zwar gibt es in den USA sehr wohl Datenschutzvorschriften. Deshalb sollte man gegenüber Kollegen aus den USA auch nie zu überheblich davon sprechen, die USA würden sowieso keinen Datenschutz kennen.

Nur zu schnell kann es einem sonst passieren, dass diese Kollegen etwa auf Regelungen hinweisen, die die Daten von Kindern ganz besonders schützen. Die Abkürzung hierfür heißt COPPA (Children's Online Privacy Protection Rule) und ist auch den meisten Durchschnitts-Amerikanern bekannt.

Die US-Regelungen setzen die Schwerpunkte aber ganz anders als die Vorschriften der EU. Manche Aspekte des Datenschutzes, die in Europa ganz hoch gehalten werden, gelten in den USA kaum etwas.

Langer Rede kurzer Sinn: Ein Datenschutzniveau, das nach den Vorstellungen der EU generell als angemessen anzusehen wäre, existiert in den USA nicht.

Individuelle Einwilligungen: nur theoretisch denkbar


Wie soll ein Unternehmen damit umgehen? Nun, es könnte beispielsweise jeden einzelnen Betroffenen um seine Einwilligung bitten und seine Daten erst dann übermitteln. Theoretisch wäre das denkbar. In der Praxis funktioniert das aber schon wegen des Aufwands nicht. Deshalb wählt der neue Privacy Shield einen anderen Ansatz.

Der besondere Ansatz von Privacy Shield:


  •  Ein US-Unternehmen, das personenbezogene Daten aus der EU erhalten soll, verpflichtet sich dazu, umfangreiche Spielregeln für den Datenschutz einzuhalten. Sie sind unter dem Begriff „Privacy Shield“ zusammengefasst.
  • Diese Verpflichtung erfolgt gegenüber den zuständigen US-Behörden. Das ist meist die Federal Trade Commission (FTC), eine Verbraucherschutzbehörde.
  • Der Inhalt der Spielregeln ist zwischen dem US-Handelsministerium (Depart-ment of Commerce) und der Europäischen Kommission abgestimmt.
  • Ist ein US-Unternehmen eine solche Verpflichtung eingegangen, gilt das Datenschutzniveau in diesem Unternehmen auch seitens der EU als angemessen.
  • Die positive Folge für die europäischen Geschäftspartner solcher US-Unternehmen: Sie dürfen personenbezogene Daten an dieses Unternehmen unter denselben Voraussetzungen übermitteln, unter denen dies auch innerhalb der Europäischen Union zulässig wäre.

Keine Einwilligung der Betroffenen nötig


Die Betroffenen müssen nicht gefragt werden, ob sie damit einverstanden sind. Sie müssen aber in geeigneter Weise informiert werden. Dabei sind viele Einzelheiten zu beachten, um die sich die Spezialisten in den Unternehmen kümmern. In Deutschland sind dies die Datenschutzbeauftragten der Unternehmen.

Erinnern Sie sich noch an Safe Harbor? 


Manchem wird dieses Vorgehen irgendwie bekannt vorkommen. Völlig zu Recht! Ziemlich ähnlich lief dies auch schon bei den Safe-Harbor-Regelungen ab. Sie hatten sich über zehn Jahre lang beim Transfer von Daten aus der EU in die USA bewährt, jedenfalls aus der Sicht der meisten Unternehmen.

Allerdings hatte der Europäische Gerichtshof diese Regelungen im Oktober 2015 aus verschiedenen Gründen gekippt. Das geschah gewissermaßen über Nacht, also ohne jede Übergangsfrist. Deshalb waren neue Regelungen, wie sie der Privacy Shield nun vorsieht, dringend erforderlich.
Etwas vereinfacht lässt sich sagen: Der Inhalt des Privacy Shield ist neu und wesentlich ausgefeilter, als es die Regelungen von Safe Harbor waren. Der Verfahrensablauf ist aber ziemlich ähnlich.

Gegen die Spielregeln verstoßen? Lieber nicht!


Wie sieht es übrigens damit aus, dass sich die Unternehmen auch wirklich an die Spielregeln halten, zu denen sie sich verpflichtet haben? Die Chancen dafür stehen gut. Jeder weiß, wie kräftig US-Behörden bei Rechtsverstößen zupacken können. Und das gilt nicht nur, wenn es um Verstöße gegen Abgasregelungen geht. Auch Datenschutzverstöße von US-Unternehmen haben die amerikanischen Behörden schon schwer geahndet. Gehen Sie also davon aus: Privacy Shield ist ernst gemeint!

Als Experten im Bereich Datenschutz & Informationssicherheit unterstützen wir Sie gerne bei der Überprüfung Ihrer Dienstleister.

Wie das mit dem Privacy Shield am Beispiel Google Analytics aussieht, haben wir Ihnen hier zusammengestellt.

Dienstag, 24. Januar 2017

Was bedeutet eigentlich „Stand der Technik?“

Der Datenschutz gemäß BDSG und auch gemäß EU-DSGVO verlangt technisch-organisatorische Schutzmaßnahmen nach dem Stand der Technik. Das klingt nicht sehr konkret – mit Absicht!


Am schönsten wäre eine genaue Anleitung ...


Fast jeder zweite Internetnutzer (47 Prozent) ist in Deutschland in den vergangenen zwölf Monaten Opfer von Internetkriminalität geworden, so eine repräsentative Umfrage des Digitalverbands Bitkom. Die Vorfälle reichen von gefährlichen Infektionen durch Schadsoftware bis hin zu Online-Betrug und Erpressung.

Im Unternehmensbereich sieht es nicht viel besser aus: Etwa jedes dritte Unternehmen war in 2016 allein Opfer eines Hacker-Attacke mit Cybertrojanern.

Um die eigenen Daten zu schützen, aber auch um die Daten der Kunden, Partner und Mitarbeiter im Unternehmen zu schützen, sind also umfangreiche Maßnahmen für die Datensicherheit erforderlich.

Datenschutz, yourIT, securITy
Datenschutz, yourIT, securITy



Doch welche Maßnahmen sind genau notwendig? Wie schützt man sich am besten? Der Bitkom-Verband schreibt dazu: Gegen digitale Angriffe nutzen vier von fünf Internetnutzern (80 Prozent) ein Virenschutz-Programm und zwei von drei (67 Prozent) eine Firewall auf ihrem Computer.

Dabei weiß doch jedes Kind: Antiviren-Programme und Firewall sind der absolute Basisschutz für jeden Computer. Aber reicht das aus? Was fordern zum Beispiel die Datenschutzvorschriften? Gibt es hier eine konkrete Vorgabe zum Schutzumfang?

BDSG und DSGVO nennen kaum genaue Sicherheitsverfahren.


Im Bundesdatenschutzgesetz (BDSG) findet man: Eine Maßnahme für die Zugangskontrolle, Zugriffskontrolle und Weitergabekontrolle ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.

Die ab Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) nennt die Verschlüsselung sowie die Pseudonymisierung.

Grundsätzlich aber sagen beide Gesetze zu den Maßnahmen der Datensicherheit: Geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten, sind zu treffen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

Statt Schutzverfahren aufzulisten, verweisen die Texte jeweils in erster Linie auf den Stand der Technik. Warum eigentlich?


IT und Bedrohungen dynamischer als Gesetzgebung


Die gesetzlichen Regelungen fordern Schutzmaßnahmen nach dem Stand der Technik, weil die IT-Sicherheitslösungen jeweils zur aktuellen Bedrohungslage, zum Schutzbedarf der Daten und zur eingesetzten IT passen müssen. Veraltete IT-Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz.

So sind zum Beispiel Verschlüsselungsverfahren, die vor einigen Jahren noch als Standard galten, heute kein wirksamer Schutz mehr. Datendiebe können diese Verschlüsselungsverfahren inzwischen relativ leicht brechen und umgehen.

Damit die Datensicherheit aktuell und damit hoch genug ist, müssen die Maßnahmen also regelmäßig angepasst und verstärkt werden. Würden rechtliche Vorgaben genaue IT-Sicherheitsverfahren benennen, müsste der Gesetzgeber die Texte fortlaufend ändern.

Das geht natürlich nicht. Deshalb verlangen die Regelungen, dass die Datensicherheitsmaßnahmen aktuell sind und damit die Sicherheit den Stand der Technik abbildet.


Privat und beruflich am Puls der IT-Sicherheit bleiben


Für Sie als Anwender bedeutet dies, dass Sie jeweils aktuelle Lösungen für Ihre Datensicherheit benötigen. Am Arbeitsplatz sollten Sie sich an die IT-Sicherheitsrichtlinien der Firma halten und nur die entsprechend freigegebenen IT-Lösungen sowie Sicherheitsanwendungen nutzen.

Privat sind Sie erst einmal auf sich gestellt. Hier ist es aber ebenso wichtig, dass Sie auf eine aktuelle Datensicherheit achten. Nicht nur, wenn Sie Privatgeräte beruflich verwenden, sondern generell.
So könne eine Person etwa an ihrer Körperhaltung zu erkennen sein, aber auch an ihrer Kleidung oder an mitgeführten Gegenständen.

Auch der Zeitpunkt und der Ort einer Aufnahme könnten Rückschlüsse darauf erlauben, welche Person man vor sich habe.

Was konkret tun?


Ihr aktuelles Datensicherheitsprogramm umfasst dabei, dass Sie die Betriebssysteme und Anwendungen auf allen genutzten Endgeräten aktuell halten und die Datenschutz- und Sicherheitsoptionen regelmäßig auf den passenden Stand bringen. Sicherheitslösungen wie den Virenschutz müssen Sie ebenfalls mit Updates versorgen.

Zudem ist wichtig, dass Sie sich neue Versionen der Sicherheitsprogramme beschaffen, in der Regel einmal jährlich. Die täglichen Updates gelten nämlich in aller Regel der aktuellen Viren-Erkennung. Neue Sicherheitsfunktionen bekommen Sie meist erst mit einer neuen Version der Anwendung.

Informationen, ob sich der Umstieg auf andere Sicherheitslösungen lohnt oder nicht, erhalten Sie von erfahrenen IT-Systemhäusern - wie z.B. yourIT.

Sicher werden Sie auch in Schulungen und Unterweisungen zu IT-Sicherheit und Datenschutz jeweils aktuell informiert. Wichtig ist: Bleiben Sie am Ball. Die Datendiebe haben immer neue Ideen, wie sie angreifen können.

Fordern Sie uns! Wir helfen gern.

Ihr yourIT-Team

Dienstag, 10. Januar 2017

3 wichtige Spielregeln - Datenschutz auch bei Pokémon Go!

Die mobile App Pokémon Go hat für viele Menschen einen regelrechten Suchtfaktor. Und das keineswegs nur für Jugendliche – auch viele Erwachsene sind dem Spiel geradezu verfallen. Dabei darf der Datenschutz freilich ebenso wenig aus dem Blick geraten wie der Schutz von Unternehmensgeheimnissen. Im Dezember 2017 kam übrigens ein von den Fans sehnsüchtig erwartetes Mega-Update. Allzu schnell kann es besonderen Leichtsinn auslösen.


Pokéstops, Arenen und Monster


In seiner Freizeit kann natürlich jeder tun, was er will – beispielsweise so viele Spiele-Monster erfolgreich jagen, dass er den nächsten Level von Pokémon erreicht. Aber was ist, wenn gerade auf dem Grundstück des eigenen Arbeitgebers wunderschöne Pokéstops zu finden sind? Wenn man also gerade dort die besten Monster einfangen kann?

Die Spielkundigen verstehen sofort, was mit diesen Dingen gemeint ist. Sie ziehen sich in eine Arena zurück, um ein paar Monster zu besiegen. Ihre Kollegen wiederum wundern sich, wie ganz normale Menschen der Faszination von Dingen erliegen, die für die anderen um sie herum gar nicht sichtbar sind.

Pokémon Go, Datenschutz, yourIT
yourIT zu Pokémon Go und Datenschutz

Arbeitszeit ist keine Spielzeit! 


Klar ist, dass Spielen während der Arbeitszeit schon deshalb Fragen aufwirft, weil dann gerade nicht gearbeitet wird. Das ist zwar kein Thema des Datenschutzes, sondern des Arbeitsrechts. Freilich: Mehr Schaden als eine Zigarettenpause, die zu Unrecht nicht als Arbeitspause registriert wird, richtet das kurze Einfangen eines virtuellen Monsters während der Arbeitszeit auch nicht an, oder?

Bilder von Monstern und anderen Dingen 


Das kommt darauf an. Vielfach ist es üblich, eben eingefangene Monster zu fotografieren und das Foto an Freunde zu schicken. Blöd nur, wenn da noch andere Dinge auf dem Bild sind, etwa Konstruktionen, die nicht fotografiert werden dürfen. Wer weiß, wo ein solches Foto landet, und wer weiß, ob jeden Empfänger des Fotos wirklich nur die Monster interessieren.

Harmlose und andere Apps


Vielfach untersagen Unternehmen aus gutem Grund, Apps für private Zwecke auf dienstlichen Smartphones oder Tablets zu installieren. Ein solches Verbot gilt dann auch für die Pokémon-App. Das Argument, sie sei harmlos und könne keinen Schaden anrichten, kann daran nichts ändern. Erstens kommt es auf diesen Gesichtspunkt nicht an. Zweitens stellt sich die Frage, ob er zutrifft. Schon ein kurzer Blick in die Nutzungsbedingungen der App zeigt, dass sich der App-Anbieter das Recht einräumen lässt, unter bestimmten Bedingungen Daten an Dritte weiterzugeben. Was daraus im Einzelfall entstehen könnte, vermag niemand sicher abzuschätzen.

Diese 3 eigentlich selbstverständlichen Spielregeln sollten Sie beachten


3 Spielregeln sollten Sie unbedingt beachten:
  • Spielregel 1: Ein völliges No-Go ist es vor diesem Hintergrund, berufliche Mail-Adressen bei dem Spiel zu benutzen.
  • Spielregel 2: Wer spielen will, sollte das bitte nur auf seinem privaten Gerät tun und dabei nur eine private Mail-Adresse verwenden.
  • Spielregel 3: Und die rechte Zeit für das Spiel ist die Freizeit, nicht die Arbeitszeit.

Wer diese Punkte beachtet, kann sein Spiel genießen und sich beim Monster-Kampf mit Pokémon Go bestens erholen.