Samstag, 15. Dezember 2018

Datenschutz-Löschkonzept für die Cloud - Was wirklich nach dem Löschen passiert

Wer seine Daten aus einem Online-Speicherdienst löschen möchte, muss scheinbar nur den richtigen Browser-Knopf drücken. Doch sind die Daten dann sofort gelöscht? Google hat nun das Löschverfahren für die Google Cloud beschrieben.


Cloud-Dienste und der Datenschutz


Zwei von drei Unternehmen in Deutschland nutzen bereits Cloud Computing, also IT-Dienste wie Speicherplatz, Rechenleistung und Anwendungen aus dem Internet. Wie der Cloud Monitor 2018 des Digitalverbands Bitkom ergab, sind die Unternehmen bei der Wahl des Cloud-Dienstes zu Recht darauf bedacht, dass sie die Datenschutz-Grundverordnung (EU-DSGVO) einhalten.

Datenschutz-Löschkonzept für die Cloud - Was wirklich nach dem Löschen passiert
Datenschutz-Löschkonzept für die Cloud - Was wirklich nach dem Löschen passiert

Die EU-DSGVO fordert unter anderem, dass personenbezogene Daten von Kunden unter bestimmten Voraussetzungen unverzüglich zu löschen sind. Das gilt zum Beispiel dann, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind und keine Aufbewahrungspflichten etwa steuerlicher Art bestehen.


Samstag, 8. Dezember 2018

Automatisierter Datenmissbrauch: Angriff der Webroboter

Wenn das tolle Online-Angebot sofort ausgebucht ist, müssen nicht andere Kunden schneller gewesen sein als Sie. Webroboter oder Bots erobern das Internet, kaufen komplette Angebotsbestände auf und verkaufen sie woanders zu einem höheren Preis. Womöglich missbrauchen sie dabei sogar Ihre Kreditkartendaten.


Schon wieder ein Captcha-Test ...


Sie sitzen vor dem PC und wollen sich bei einem Online-Portal anmelden. Für das Log-in reicht es aber nicht, dass Sie Benutzername und Passwort eingeben, Sie sollen auch noch eine Art Bilderrätsel lösen. Sie werden zum Beispiel aufgefordert, alle Bildchen anzuklicken, die ein Straßenschild zeigen. Im nächsten Schritt bekommen Sie noch eine weitere Bilder-Aufgabe, langsam werden Sie ungeduldig, vielleicht verzweifeln Sie fast, weil Sie scheinbar ein passendes Bildchen übersehen haben und nicht weiterkommen.

Automatisierter Datenmissbrauch - Angriff der Webroboter
Automatisierter Datenmissbrauch - Angriff der Webroboter

Doch diese sogenannten Captcha-Tests haben ihren Sinn. Sie sollen nicht etwa Ihre genaue Identität überprüfen, wie es eine Zwei-Faktor-Anmeldung macht, bei der zum Beispiel ein Einmal-Passwort per SMS kommt. Captcha-Tests sollen nur prüfen, ob Sie ein Mensch sind oder ob doch eine Maschine hinter der Anmeldung steckt. Tatsächlich sind sehr viele Webroboter oder Bots im Internet unterwegs, also Softwareautomaten, die mit Webseiten und Online-Diensten interagieren.


Samstag, 1. Dezember 2018

EU-DSGVO und Fotos - Das sollten Sie wissen

Angeblich bringt die EU-Datenschutzgrundverordnung (EU-DSGVO) völlig neue Regelungen für den Umgang mit Bildern / Fotos von Personen. Dichtung und Wahrheit liegen bei dieser Behauptung nahe beieinander.


Ein spektakulärer Fall: Erinnerungsfotos im Kindergarten


Der Fall löste Fassungslosigkeit aus: In Berlin machte ein Kindergarten Erinnerungsfotos mit allen Kindern, die in die Grundschule wechselten. Doch die Freude von Kindern und Eltern über die Fotos war deutlich getrübt. Denn die Gesichter der Kinder waren entweder verpixelt oder mit „schwarzen Balken“ über den Augen versehen. Die Begründung des Kindergartens: Die EU-DSGVO verlangt das leider so!

Müssen alle Fotos nach EU-DSGVO so aussehen?

Diese Aussage war allerdings Unfug. Dass die Kinder fotografiert werden, war angekündigt, und die Eltern waren damit ersichtlich einverstanden. Zudem wurden die Bilder nur den beteiligten Kindern und Eltern ausgehändigt. Also im Ergebnis alles kein Problem. Der Fall zeigt jedoch deutlich, wie groß die Unsicherheit beim Thema „Fotos und EU-DSGVO“ inzwischen ist.

Montag, 29. Oktober 2018

Facebook kassiert 565.000-EUR-Datenschutz-Höchststrafe für Datenskandal

Schon wieder eine Meldung über ein abschreckendes Datenschutz-Bußgeld: Der Datenskandal um die Analysefirma Cambridge Analytica sorgte für viele Schlagzeilen und hatte Facebook bereits hart getroffen. Nun verhängte das Information Commissioner's Office (ICO) - eine britische Datenschutzbehörde - die Höchststrafe: 500.000 Pfund, umgerechnet 565.000 Euro, soll der Konzern nun zahlen.


Die Social-Media-Plattform habe einen schweren Rechtsbruch zugelassen. 87.000 Millionen Menschen waren weltweit vom Datenklau betroffen.

Britische Datenschutzbehörde verhängt Höchststrafe gegen Facebook
Britische Datenschutzbehörde verhängt Höchststrafe gegen Facebook

Doch es darf nicht nur um diesen einen Fall gehen. Sondern es muss generell um die Datenfreigaben und um Apps in sozialen Netzwerken gehen...

Donnerstag, 25. Oktober 2018

5 Monate EU-DSGVO - Datenschutz-Behörde verhängt erstes hohes Bußgeld

Vor 5 Monaten hat die EU-Datenschutzgrundverordnung (EU-DSGVO) das bisherige Bundesdatenschutzgesetz (BDSG) ersetzt. Besondere Aufmerksamkeit bei den Geschäftsführern europäischer Unternehmen erlangte das neue Gesetz durch drastische Bußgeld-Androhungen mit bis zu 20 Mio. EUR bzw. 4% des weltweiten Konzernumsatzes.


Unsere Datenschutz-Beratungsgespräche zeigen: Mittlerweile hat sich die Aufregung um die EU-DSGVO etwas gelegt. Und mancher Geschäftsführer wiegt sich schon wieder in Sicherheit, weil bisher wenig von tatsächlich auferlegten hohen Strafen berichtet wurde. Doch pünktlich zum 5-Monatigen Jubiläum berichtet die Presse nun von einer ersten richtig hohen Bußgeldforderung.


EU-DSGVO_Datenschutz-Behörde_verhaengt_hohes_Bußgeld
EU-DSGVO - Datenschutz-Behörde verhängt 400.000 EUR Bußgeld

Dienstag, 16. Oktober 2018

Datenschutz-Auskunftsersuchen eines Betroffenen nach Artikel 15 EU-DSGVO

Die EU-DSGVO gibt natürlichen Personen, deren Daten irgendwo gespeichert sind, enorm viele Rechte. Eines der wichtigsten ist dabei das „Auskunftsrecht der betroffenen Person“. Wer es ausüben will, muss einige Spielregeln kennen. Und Unternehmen sollten sich gründlich darauf vorbereiten.


Denn der interne Aufwand für Unternehmen kann bei korrekten Anfragen enorm sein. Die EU-DSGVO nimmt darauf letztlich keinerlei Rücksicht.

Datenschutz-Auskunftsersuchen eines Betroffenen nach Artikel 15 EU-DSGVO

Ob ein Antragsteller mit der Antwort inhaltlich etwas anfangen kann, ist wiederum sein Problem....

Montag, 15. Oktober 2018

EU-DSGVO - Wie lassen sich neue Cloud-Anwendungen datenschutzgerecht testen?

Ständig kommen neue Cloud-Dienste auf den Markt. Doch leisten sie, was sie versprechen? Wenn Sie dies testen wollen, denken Sie auch an den Datenschutz, bevor Sie zum Beispiel Kundendaten testweise in eine Cloud übertragen.


Die Cloud gehört zum Firmenalltag


Im Jahr 2017 nutzten zwei Drittel aller Unternehmen (66 Prozent) Rechenleistungen aus der Cloud, so eine Umfrage des Digitalverbands Bitkom. Wer Cloud-Anwendungen nutzt oder damit plant, für den ist Datenschutz das Top-Kriterium, wenn es um die Auswahl eines Cloud-Dienstleisters geht. Praktisch alle Unternehmen (97 Prozent) gaben an, dass für sie die Konformität mit der Datenschutz-Grundverordnung (EU-DSGVO) bei Cloud-Lösungen unverzichtbar ist.

EU-DSGVO - Wie lassen sich neue Cloud-Anwendungen datenschutzgerecht testen?
EU-DSGVO - Wie lassen sich neue Cloud-Anwendungen datenschutzgerecht testen?

In der Vergangenheit beklagten jedoch viele Unternehmen Ausfälle der Cloud-Lösungen. Insgesamt konnten sieben von zehn Cloud-Anwendern (69 Prozent) kurzzeitig nicht auf ihre Cloud-Dienste zugreifen. Dafür gibt es verschiedene Ursachen: Am häufigsten waren technische Probleme aufseiten des Cloud-Providers (46 Prozent) dafür verantwortlich.

Es ist deshalb auch aus Datenschutzsicht mehr als sinnvoll, nicht nur auf dem Papier zu prüfen, ob ein Cloud-Dienst sicher und zuverlässig ist.


Montag, 1. Oktober 2018

Achtung Abzocke - Welle von Fake-Faxen der "Datenschutzauskunft-Zentrale" überflutet Deutschland

Die Faxe, die heute von der Datenschutzauskunft-Zentrale bei vielen Unternehmen in Deutschland eingehen, erinnern stark an die Fax-Abzocke der Gewerbeauskunft-Zentrale aus dem Jahr 2013. Bereits jene erweckten bei vielen Empfängern den Eindruck offizieller amtlicher Schreiben, mit denen sie allem Anschein nach aufgefordert wurden, Daten Ihres Unternehmens in einem amtlichen Verzeichnis zu ergänzen oder zu bestätigen.


In der Folge hatten damals viele Unternehmen das Fax ausgefüllt und unterzeichnet zurückgeschickt. Dabei wurde leider das Kleingedruckte überlesen, in dem Kosten in Höhe von über 1.000 EUR für diese unnütze Dienstleistung erwähnt wurden.

Erst im Juli 2018 entschied das Düsseldorfer Landgericht, dass die Betreiber der Gewerbeauskunft-Zentrale sich dafür nicht wegen Betrugs vor Gericht verantworten müssen (vgl. hierzu https://www.nrz.de/staedte/duesseldorf/gewerbeauskunft-zentrale-betreiber-muessen-nicht-vor-gericht-id214742099.html).

Warnung vor Abzock-Faxen der "Datenschutzauskunft-Zentrale"

Zugriff auf den Facebook-Account eines Verstorbenen

Facebook ist nur ein Beispiel – die Frage an sich kann sich bei allen sozialen Netzwerken stellen: Was ist, wenn der Inhaber eines Accounts stirbt? Haben seine Erben dann einen Anspruch auf die Daten im Account? Der BGH hat dies in einem Grundsatzurteil bejaht. Er sieht darin keine Verletzung des Datenschutzes.


Der Fall bewegte die Öffentlichkeit sehr, schließlich ging es um ein erst 14-jähriges Mädchen. Sie war unter eine U-Bahn geraten, mit tödlichen Folgen. Die Eltern waren die Erben des Kindes. Außer dem Facebook-Account gab es zwar kaum etwas zu erben. Aber auf den Inhalt des Accounts wollten sie unbedingt zugreifen. Denn sie hofften auf Hinweise, ob der Tod ihrer Tochter ein Selbstmord war.

Zugriff auf den Facebook-Account eines Verstorbenen
Zugriff auf den Facebook-Account eines Verstorbenen

Sture Haltung von Facebook


Facebook stellte sich freilich quer. Das Unternehmen berief sich auf seine selbst gemachten Regeln...

Freitag, 28. September 2018

Die EU-DSGVO fordert anonymisierte Daten - Was bringen diese überhaupt (noch)?

Die Anonymisierung von Daten erscheint vielen Unternehmen wie eine Entwertung. Doch Anonymisierung hat auch Vorteile: Anonyme Daten unterliegen nicht dem Datenschutz. Sollten Unternehmen also zur Anonymisierung greifen? Und wann sind Daten wirklich anonymisiert?


Die EU-DSGVO gilt nicht für anonyme Informationen


Die EU-Datenschutzgrundverordnung (EU-DSGVO) greift immer dann, wenn sich Daten auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entsprechend besagt die EU-DSGVO: Die Grundsätze des Datenschutzes gelten nicht für anonyme Informationen, also für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder für personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass sich die betroffene Person nicht oder nicht mehr identifizieren lässt.

Die EU-DSGVO fordert anonymisierte Daten
Die EU-DSGVO fordert anonymisierte Daten

Offensichtlich sind anonyme Daten ein Königsweg, um die hohen Anforderungen aus der EU-DSGVO zu erfüllen. Denn Unternehmen ...

Freitag, 14. September 2018

EU-DSGVO und Kirchlicher Datenschutz – auch für Ungläubige!

Kirchlicher Datenschutz nach EU-DSGVO scheint auf den ersten Blick ein Thema nur für besonders fromme Menschen zu sein. Ein „gewöhnliches Kirchenmitglied“ hat damit doch nichts zu tun, und jemand, der aus der Kirche ausgetreten ist, schon gar nicht? Urteilen Sie nicht voreilig! Denn auch Ungläubige können beispielsweise in ein kirchlich geführtes Krankenhaus kommen. Und schon haben sie mit dem kirchlichen Datenschutz zu tun.


Freiheit von Glauben und Religion

EU-DSGVO und Kirchlicher Datenschutz - auch für Ungläubige
EU-DSGVO und Kirchlicher Datenschutz - auch für Ungläubige

Mit Religion und Kirchen haben Sie nichts am Hut? Das ist Ihr gutes Recht. Denn in Deutschland herrscht Freiheit des Glaubens und der Religion. Dazu gehört auch die Freiheit, sich damit nicht zu befassen oder beispielsweise die großen Kirchen ausdrücklich abzulehnen.

Freitag, 31. August 2018

E-Mail-Verschlüsselung - Was fordert die EU-DSGVO?

Die EU-Datenschutzgrundverordnung (EU-DSGVO) nennt Verschlüsselung als Maßnahme für die Sicherheit der Verarbeitung personenbezogener Daten. Müssen deshalb alle E-Mails von nun an verschlüsselt werden?


Werbung übertreibt gern


Wenn Sie eine Computer-Zeitschrift zur Hand nehmen, begegnen Ihnen in der letzten Zeit viele Werbeanzeigen, die aussagen, mit der EU-DSGVO sei nun die Zeit gekommen, dass alle E-Mails komplett verschlüsselt werden müssen, vom Absender bis zum Empfänger (Ende-zu-Ende-Verschlüsselung).

Fordert die EU-DSGVO die E-Mail-Verschlüsselung
Fordert die EU-DSGVO die E-Mail-Verschlüsselung?

So wichtig eine Verschlüsselung im Internet auch ist: So mancher Anbieter von Verschlüsselungslösungen übertreibt und verkürzt die Forderungen der EU-DSGVO derart, dass man den Eindruck bekommen kann, unverschlüsselte E-Mails zu verschicken, wäre grundsätzlich eine Datenschutzverletzung. Das stimmt so nicht!


Mittwoch, 1. August 2018

Neu und wichtig: Europäischer Datenschutzausschuss

EU-Gremien sind für viele etwas, das sie kaum überblicken. Da kann es eher zu Unlust führen, wenn noch eine neue Einrichtung dazukommt. Dennoch: Ist dem-nächst öfter vom Europäischen Datenschutzausschuss die Rede, sollten Sie lieber einmal hinhören. Was er sagt, wird beruflich wie privat oft wichtig sein.


Eine neue europäische Institution


Seit dem 25. Mai 2018 gilt die EU-Datenschutzgrundverordnung (EU-DSGVO). Das hat besonders in Deutschland so große öffentliche Aufmerksamkeit gefunden, dass die Abkürzung EU-DSGVO für viele inzwischen etwas völlig Gewohntes ist. Eines ist dabei in der Berichterstattung aber nahezu untergegangen: In Brüssel hat eine neue Einrichtung ihre Tätigkeit aufgenommen. Sie trägt die Bezeichnung „Europäischer Datenschutzausschuss“.

Neu und wichtig: Europäischer Datenschutzausschuss
Neu und wichtig: Europäischer Datenschutzausschuss



Samstag, 9. Juni 2018

Datenschutz in Fahrzeugen: Nicht nur an neue Firmenwagen denken

Vernetzte Fahrzeuge sind weder Zukunftsmusik, noch sind die Datenrisiken auf kostspielige Neuwagen beschränkt. Jedes Fahrzeug, privat oder geschäftlich, kann zu einem Connected Car werden. Machen Sie sich mit den Folgen vertraut!


Digitalisierung der Fahrzeugbranche


Wer eine Automobilmesse besucht, trifft dort häufig auf Facebook und Google, und wer die Hallen einer IT-Messe betritt, sieht eine große Zahl an Fahrzeugen an den Messeständen. Vernetzte Fahrzeuge, auch Connected Cars genannt, gehören zu den Top-Trends. Doch nicht nur die Industriebranchen haben großes Interesse, auch die Nutzer sind aufgeschlossen, wie Umfragen zeigen.

Datenschutz in Fahrzeugen: Nicht nur an neue Firmenwagen denken
Datenschutz in Fahrzeugen: Nicht nur an neue Firmenwagen denken


Ob optimale Routenplanung und Navigation oder der Einsatz von autonomen Fahrzeugen auf der Straße: Die Mehrheit der Bundesbürger wünscht sich laut Digitalverband Bitkom den Einsatz von Künstlicher Intelligenz (KI), um den Verkehrsfluss zu optimieren und Unfälle zu vermeiden. So halten es 58 Prozent für sinnvoll, mithilfe von KI selbstfahrende Fahrzeuge auf die Straße zu bringen.
Rund 9 von 10 Unternehmen der Automobilbranche (86 Prozent) fordern eine gesetzliche Verpflichtung, anonymisierte Fahrzeugdaten bereitzustellen.

Samstag, 2. Juni 2018

Die EU-DSGVO und die Löschung von Daten

Daten löschen? Das machen wir jeden Tag! Irgendwelche Probleme dabei? Nein, wieso? So laufen typische Dialoge ab, wenn man dieses Thema in Unternehmen anspricht. Aber ganz so einfach war es schon bisher nicht, und die EU-Datenschutzgrundverordnung (EU-DSGVO) bringt außerdem noch einige Neuerungen.


„Löschen“ – gar nicht so einfach!


Was bedeutet es eigentlich, Daten zu löschen? Das Verschieben der Daten in einen elektronischen Papierkorb reicht jedenfalls nicht aus. Das dürfte jedem klar sein. Oder vielleicht doch nicht? Nur zur Sicherheit: Wenn Sie Daten mit ein paar Mausklicks „wiederherstellen“ können, sind sie nicht wirklich gelöscht. Sie sind dann nur an einer anderen Stelle als bisher gespeichert, eben im „Papierkorb“.

Die EU-DSGVO und die Löschung von Daten
Die EU-DSGVO und die Löschung von Daten

Mittwoch, 16. Mai 2018

EU-DSGVO - Kontaktdaten des Datenschutzbeauftragten - Jetzt bloß keine Fehler machen

Hechingen, 16.05.2018. Noch 9 Tage, dann gilt die EU-DSGVO. Langsam macht sich Hektik breit im deutschen Mittelstand. Die Nerven liegen blank. Auch unser yourIT-Datenschutz-Team bekommt dies zu spüren. Ein Gerücht hat sich in die Köpfe der Verantwortlichen eingebrannt: Angeblich muss bis 25.05.2018 der bestellte Datenschutzbeauftragte dem zuständigen Aufsichtsamt gemeldet werden. Aber stimmt das überhaupt?


yourIT als MythBuster - Diesmal zur Meldung des DSB an die Aufsichtsbehörde

Wo kommen die "Kontaktdaten des Datenschutzbeauftragten" in der EU-DSGVO vor?


Die EU-DSGVO erwähnt an mehreren Stellen die "Kontaktdaten des Datenschutzbeauftragten":
  • Art. 13 DSGVO "Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person":
    Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit:

Freitag, 11. Mai 2018

Vorbereitung auf die EU-DSGVO - Tipps zur Prüfung einer Datenschutzerklärung

Was macht der Betreiber der Webseite eigentlich mit meinen Daten? Die Antwort sollten Sie in der Datenschutzerklärung finden. Doch wie verschafft man sich da eine Übersicht angesichts oft langer Texte?


Wer liest das schon?


Es erscheint paradox: Datenschützer pochen darauf, dass es bei Internetauftritten, Online-Shops und anderen Online-Diensten eine Datenschutzerklärung gibt. Rechtlich gefordert wird dies im sogenannten Telemediengesetz (TMG). Wie Umfragen unter Internetnutzern zeigen, werden diese Datenschutzerklärungen aber kaum gelesen.

Vorbereitung auf die EU-DSGVO - Tipps zur Prüfung einer Datenschutzerklärung
Vorbereitung auf die EU-DSGVO - Tipps zur Prüfung einer Datenschutzerklärung

Wichtige Informationen


Dabei sind in den Datenschutzerklärungen wichtige Informationen enthalten: Sie können dort erfahren, welche personenbezogenen Daten der Anbieter erhebt, zu welchem Zweck er sie erhebt, ob er Cookies einsetzt, an wen der Anbieter die Daten wozu weitergibt, welche Analyseprogramme (wie Google Analytics) im Einsatz sind, was getan wird, um Ihre Daten zu schützen, und an wen Sie sich bei Fragen zum Datenschutz bei diesem Unternehmen wenden können.


Montag, 23. April 2018

Das Recht auf Vergessenwerden - Eigene Daten finden und löschen lassen

Umfrage zeigen, dass viele Verbraucher von dem Recht auf Vergessenwerden Gebrauch machen wollen. Trifft das auch auf Sie zu? Dann sollten Sie zuerst wissen, wie Sie Ihre Daten im Internet überhaupt finden können. Hier sind einige Tipps.


Betroffenenrechte selbst nutzen


82 Prozent der Verbraucher in Europa wollen ihre neuen Rechte aus der Datenschutz-Grundverordnung (EU-DSGVO) ausüben und die Daten, die Unternehmen zu ihnen erfassen, einsehen, begrenzen oder löschen, so eine Umfrage von Pegasystems. Sogar ganze 90 Prozent wollen sich darüber informieren, wie ihre Daten verwendet werden. Für mehr als die Hälfte (57 Prozent) ist es sehr wichtig, die Nutzung persönlicher Daten direkt zu kontrollieren. Für 31 Prozent ist dies zumindest noch wichtig.

Die deutliche Mehrheit (93 Prozent) würde das Recht zur Datenlöschung nutzen, wenn Unternehmen ihre Daten auf eine Weise nutzen, mit der sie nicht einverstanden sind. 89 Prozent würden das Geschäftsverhältnis daraufhin ganz kappen. Über Dreiviertel der Befragten (78 Prozent) bevorzugen Unternehmen, die mit den Daten offen und transparent umgehen. Knapp die Hälfte der Befragten (47 Prozent) würde ihre Daten gelöscht haben wollen, wenn Unternehmen die Informationen mit anderen Unternehmen austauschen oder gar verkaufen würden.

Das Recht auf Vergessenwerden - Wie Sie Ihren Löschanspruch umsetzen

Es stellt sich die Frage: Wie ist es mit Ihnen? Wollen auch Sie zum Beispiel das Recht auf Vergessenwerden nutzen? Doch wie geht das eigentlich?



Samstag, 21. April 2018

Die Verpflichtung auf das Datengeheimnis

Wer in einem Unternehmen mit personenbezogenen Daten umgeht, muss auf das Datengeheimnis verpflichtet sein. So war man es bisher gewohnt. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) und auch das neue Bundesdatenschutzgesetz (BDSG-neu) sehen keine förmliche Verpflichtung mehr vor. Trotzdem werden Unternehmen auch in Zukunft eine Verpflichtung unterzeichnen lassen müssen.


Ende eines gewohnten Rituals?


Es gehört zum gewohnten Ritual: Wer neu in ein Unternehmen eintritt, muss eine „Verpflichtung auf das Datengeheimnis“ unterschreiben. Dazu erhält er ein Info- oder Merkblatt sowie einen Auszug der betreffenden Gesetze. Hintergrund ist eine entsprechende Regelung im bisherigen Bundesdatenschutzgesetz (BDSG-alt). Am 25. Mai 2018 löst die EU-DSGVO ergänzt durch das BDSG-neu das BDSG-alt ab. Beide neuen Datenschutz-Gesetze enthalten aber keine Regelung mehr, wonach Beschäftigte auf das Datengeheimnis zu verpflichten sind. Das hört sich zunächst nach einem willkommenen Abbau von Bürokratie an. Doch so einfach ist es nicht...

EU-DSGVO - Was wird aus der Verpflichtung auf das Datengeheimnis?


Donnerstag, 8. Februar 2018

Mitgliederlisten im Verein

Vereine spielen in der Gesellschaft eine wichtige Rolle – in Deutschland ganz besonders. In kleinen Vereinen kennen sich alle Mitglieder persönlich. In größeren Vereinen sieht das anders aus. Kann ein Vereinsmitglied dann fordern, dass es eine Liste aller anderen Mitglieder bekommt? Die Frage ist keineswegs banal, übrigens auch nicht für Unternehmen. Denn gerade kleine und mittelständische Unternehmen engagieren sich oft stark in regionalen Vereinen.


Spannungen im Verein


In einem Verein gibt es Spannungen. Fünf Mitglieder wünschen eine außerordentliche Mitgliederversammlung. Dort soll über die strittigen Punkte diskutiert werden. Der Vorstand des Vereins will von einer Mitgliederversammlung jedoch nichts wissen.

Datenschutzrechtliche Konsequenzen eine Mitgliederliste im Verein
Datenschutzrechtliche Konsequenzen eine Mitgliederliste im Verein

Mitgliederversammlung oder nicht?


Nun überlegt die „Fünferbande“, wie sie erreichen kann, dass eine Mitgliederversammlung stattfindet.


Mittwoch, 7. Februar 2018

Datenrisiken 2018: Mit welchen IT-Bedrohungen müssen wir rechnen?

2018 ist ein spannendes Jahr für den Datenschutz. Nicht nur die EU-Datenschutz-Grundverordnung erwartet uns, auch die IT bringt viele Neuheiten. Leider sind damit zugleich neue Risiken verbunden.


Mehr als Malware-Attacken


Vielleicht haben Sie schon in der einen oder anderen Computer-Zeitschrift von den Prognosen für die Datensicherheit 2018 gelesen. Kaum ein IT-Anbieter lässt die Chance ungenutzt, seine Einschätzung dazu zu veröffentlichen. Virenschutz-Hersteller berichten naturgemäß von neuen Computer-Schädlingen, die uns 2018 bedrohen. Anbieter im Bereich E-Mail-Sicherheit weisen auf die steigende Gefahr durch Phishing-Angriffe hin, die es auf Passwörter der Opfer abgesehen haben. Hier soll jedoch nun nicht eine weitere Liste der neuen IT-Gefahren folgen, sondern es geht um den richtigen Umgang mit neuen Risiken.

Schützen Sie sich vor den Datenrisiken 2018
Schützen Sie sich vor den Datenrisiken 2018

Die Vielzahl der Prognosen für 2018 kann verwirrend sein. Einige der Vorhersagen stimmen überein, andere führen IT-Bedrohungen auf, von denen man als Nutzer vorher noch nie gehört hat...


Ist Ihr Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) nach EU-DSGVO zu führen?

Ab dem 25. Mai 2018 gilt die neue EU-DSGVO. Spätestens dann trifft viele Unternehmen die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) zu führen. Bis dahin müssen nicht nur alte Verfahrensverzeichnisse nach altem BDSG erweitert und auf den neuesten Stand gebracht werden (siehe BDSG (neu)), sondern auch viele neue erstmals erstellt werden. Dieser Stellungnahme soll Ihnen zeigen, ob auch Ihr Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten (VvV) erstellen muss.


Wen trifft die Pflicht?


Die EU-DSGVO verknüpft die Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten (VvV) zu führen, damit, ob Verarbeitungen von personenbezogenen Daten stattfinden - egal ob manuell oder automatisch. Wenn dem so ist, müssen diese in einem Verzeichnis dokumentiert werden. Artikel 4 Nr. 2 EU-DSGVO listet diese Verarbeitungs-Tätigkeiten umfassend auf:
„[…] Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; […]“


Die EU-DSGVO kommt - Packen wir's an!
Die EU-DSGVO kommt - Packen wir's an!

Damit wird also eine große Anzahl an Unternehmen verpflichtet, ein solches Verzeichnis zu führen, sogar wenn keine automatische Verarbeitung erfolgt. Das gilt auch für...


Mittwoch, 24. Januar 2018

Dashcam im Auto - Bußgeld!

Sie waren schon einmal Opfer einer Unfallflucht? Dann verstehen Sie vermutlich jeden, der eine Dashcam einsetzt. Das ist eine Videokamera auf dem Armaturenbrett oder in der Windschutzscheibe. Sie zeichnet auf, was vor oder hinter dem Auto passiert. Das Problem: Sie riskieren damit ein Bußgeld!


Vorsorge aufgrund böser Erfahrung


Eine Frau in München hatte genug. Vandalen hatten ihr teures Auto beschädigt. Sie waren ungestraft davongekommen. Sie selbst blieb auf ihrem Schaden sitzen. Des-halb brachte sie vorne und hinten im Fahrzeug eine Videokamera an. Diese Kameras liefen, während sie ihr Auto am Straßenrand parkte.

Erst ein Erfolg, dann gibt's Ärger 


Schon bald zeigte sich, dass das an sich eine gute Idee war. Ein zunächst unbekannter Fahrer streifte ihr Fahrzeug und fuhr einfach weiter. Sein Kennzeichen war in einer der Videoaufnahmen deutlich zu sehen. Diese Aufnahme übergab sie der Polizei. Der Halter war leicht zu ermitteln. Die Frau konnte erfolgreich Schadensersatz geltend machen.

Dann allerdings bekam sie Ärger. Die Kameras waren nämlich so eingestellt, dass sie jeweils mindestens ein Fahrzeug vor und eines hinter dem Auto der Frau erfassten. Die Folge: Wenn jemand in einem dieser Fahrzeuge saß, war er auf den Aufnahmen zu sehen. Die Polizei vermutete einen Verstoß gegen den Datenschutz und informierte das Bayerische Landesamt (BayLDA) für Datenschutzaufsicht.

150 Euro Bußgeld


Das BayLDA erließ einen Bußgeldbescheid gegen die Frau. Damit war sie nicht einverstanden und legte Einspruch zum zuständigen Amtsgericht München ein. Letztlich brachte ihr dies nichts. Das Amtsgericht verurteilte sie zu einer Geldbuße von 150 Euro.

Kein „permanentes Filmen ohne Anlass“!


Die Begründung spart nicht mit deutlichen Worten. Es heißt dort unter anderem:

  • Das Interesse der gefilmten Personen überwiegt. Ihr Recht auf informationelle Selbstbestimmung wird unzulässig beeinträchtigt.
  • Das Interesse an der Aufdeckung einer potenziellen Straftat muss deshalb zurückstehen.
  • Das „permanente anlasslose Filmen“ des Straßenraums vor und hinter dem geparkten Fahrzeug stellt einen schwerwiegenden Eingriff in das Recht auf informationelle Selbstbestimmung dar.
  • „Es geht nicht an, dass 80 Millionen Bundesbürger mit Kameras herumlaufen, um irgendwelche Situationen aufnehmen zu können, die eine Straftat aufdecken könnten.“
  • „Eine permanente Überwachung jeglichen öffentlichen Raumes durch Privatbürger ist nicht zulässig.“


Ein Urteil mit Folgen 


Diese Überlegungen des Gerichts gelten auch für das Filmen während der Fahrt. Es macht auch keinen Unterschied, ob es sich um ein Privat- oder um ein Unternehmensfahrzeug handelt. Angesichts der Diebstahlrisiken bei Lieferfahrzeugen gibt es zu dem Urteil auch kritische Stimmen. Sie helfen im Ernstfall allerdings zunächst einmal nichts.

Mittwoch, 3. Januar 2018

Cloud oder nicht - Was gehört alles zum Cloud Computing?

Cloud Computing ist für Sie kein Thema? Irrtum! Mit großer Wahrscheinlichkeit sind Sie bereits seit Jahren Cloud-Nutzer, auch wenn Sie sich dessen nicht bewusst sind. Hier finden Sie Beispiele für eine unbewusste Cloud-Nutzung.


Was ist Cloud Computing überhaupt?


Die Cloud ist in aller Munde, kaum ein Bericht über moderne IT oder IT-Security erwähnt nicht Cloud Computing. Trotzdem ist vielen nicht bewusst, was genau unter Cloud Computing zu verstehen ist, und damit, was alles zur Cloud gehört. Dadurch denken viele Unternehmen und Privatanwender oft auch gar nicht an die Datenschutzvorgaben, die bei der Cloud-Nutzung zu beachten sind.

Cloud-oder nicht - Was gehört alles zum Cloud Computing?

Vielleicht haben auch Sie bei der Lektüre unseres gestrigen Beitrags "EU-DSGVO - Was ändert sich für Cloud-Nutzer?" gedacht, „Cloud Computing betrifft mich nicht, blättere ich also weiter.“ Nun lesen Sie heute schon wieder von der Cloud - und dies aus gutem Grund! Sehr wahrscheinlich sind Sie Cloud-Nutzer, auch wenn Sie Cloud Computing gar nicht aktiv ausgewählt haben.


Dienstag, 2. Januar 2018

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Wer in Zukunft Cloud-Dienste verwenden will, muss die Vorgaben der EU-Datenschutzgrundverordnung (kurz: EU-DSGVO) beachten. Doch was ändert sich im Vergleich zu heute?


Aus Auftragsdatenverarbeitung wird Auftragsverarbeitung


Cloud Computing, also die Nutzung von IT-Ressourcen wie Rechenleistung, Applika-tionen und Speicherkapazität über das Internet, wird immer beliebter. Zwei von drei Unternehmen haben in Deutschland im Jahr 2016 Cloud Computing eingesetzt, so der Digitalverband Bitkom. Wenn in Kürze die Zahlen für 2017 vorliegen, wird zweifel-los eine weitere Steigerung festzustellen sein.

EU-DSGVO - Was ändert sich für Cloud-Nutzer?

Aus Sicht des Datenschutzes handelt es sich bei Cloud Computing in der Regel um eine Auftragsdatenverarbeitung. Diesen Begriff findet man in der Datenschutz-Grundverordnung (EU-DSGVO/GDPR), die ab 25. Mai 2018 anzuwenden ist, nicht mehr. Dort spricht man nur noch von Auftragsverarbeitung. Ist dies die einzige Änderung im Datenschutz, die Cloud-Nutzer kennen sollten? Nein, das ist sie nicht.