Mittwoch, 25. Mai 2016

EU-Datenschutz-Grundverordnung – was kommt auf den Mittelstand zu?

Selbst Tageszeitungen haben darüber berichtet: In Brüssel hat man sich auf eine EU-Datenschutz-Grundverordnung EU-DSGV geeinigt. Lesen Sie, warum die Verordnung zwar erst ab Mitte 2018 gilt, aber schon jetzt eine gewisse Beachtung verdient.


EU-weite Regelungen als Vorteil


Einheitliche Datenschutzregelungen für die gesamte EU fordern gerade exportorientierte Unternehmen schon lange. Aber auch für Verbraucher, die gern über das Internet jenseits der deutschen Grenzen einkaufen, sind einheitliche Vorgaben von Vorteil. In erstaunlich kurzer Zeit haben sich die EU-Instanzen nun auf solche EU-weiten Regelungen geeinigt. Für jedes andere Mitgliedland ist die Regelung jetzt gültig und tritt in Kraft am 25. Mai 2018 – etwas mehr als zwei Jahre nachdem sie im Amtsblatt veröffentlich wurde.

Die EU-Datenschutz-Grundverordnung ist jetzt festzementiert

EU-Verordnungen wirken wie Gesetze


Das zentrale rechtliche Instrument - Die EU-Datenschutz-Grundverordnung EU-DSGV - ist nicht wie bisher nur eine Richtlinie sondern eine europäische "Verordnung" – und damit bindendes Recht in den teilnehmenden Mitgliedstaaten. Sie wirkt wie ein Gesetz. Daher gibt es keine Notwendigkeit mehr zur Anpassung in das lokale nationale Recht. Einige Länder werden dies aber höchstwahrscheinlich trotzdem tun und ihre bestehenden Datenschutzgesetze, sowie andere Gesetze in Bezug auf personenbezogene Daten, überarbeiten. Jedes Unternehmen sollte nun die verbleibende Zeit nutzen, um zu überprüfen, ob ihre aktuelle Datenverarbeitung und die Datenschutzrichtlinien und Regeln dem neuen Gesetz entsprechen.

Das war bei der EG-Datenschutzrichtlinie EU-DSGV von 1995 anders, die bisher die maßgebliche EU-Regelung für den Datenschutz darstellte. Diese hatte für sich allein keine rechtliche Wirkung für Unternehmen und Privatpersonen. Die erforderliche Umsetzung im Recht der Mitgliedstaaten geschah erst mit jahrelanger Verzögerung.

Übergangsfrist bis Mai 2018


Bei der EU-Datenschutz-Grundverordnung EU-DSGV wird es anders ablaufen. Anfang Mai 2016 wurde sie im Amtsblatt der EU veröffentlicht. Nun läuft eine Übergangszeit von zwei Jahren. Und dann gilt die Verordnung ab dem 25. Mai 2018 über Nacht in vollem Umfang für alle Unternehmen und Privatpersonen innerhalb der EU.

Folge dadurch: „Fallbeileffekt“


Dieser „Fallbeileffekt“ wird alle Unternehmen dazu zwingen, sich bis Mitte 2018 zunehmend stärker auf die Verordnung vorzubereiten. Wundern Sie sich also nicht, wenn demnächst viele Informationen im Unternehmen gesammelt werden müssen, obwohl die Verordnung streng rechtlich gesehen noch gar nicht gültig ist. Zu den Vorgaben der Grundverordnung gehört es nämlich, dass Unternehmen in vielerlei Hinsicht zusätzliche Dokumente erstellen müssen. So müssen sie etwa nachweisen, dass sie erforderliche technische Schutzmaßnahmen bei der Datenverarbeitung und bei der Auftragsdaten-Verarbeitung tatsächlich einhalten.

Extrem hohe Bußgelder möglich


Unabhängig wie hoch die (Geld-)strafen in der alten nationalen Gesetzgebung waren, die in der EU-DSGVO verankerten Strafen sind wirklich immens. So hoch, dass, wenn sie einer kleinen bis mittelgroßen Firma auferlegt werden, existenzbedrohend sein können. „Schlampereien“ können da teuer zu stehen kommen. Im Extremfall sind nämlich Bußgelder bis zu 20 Millionen Euro und 4% des weltweiten Umsatzes des Unternehmens möglich.

Das Bundesdatenschutzgesetz legt dagegen für Bußgelder bisher noch eine Obergrenze von 300.000 Euro fest. Der Vergleich der beiden Beträge zeigt deutlich, wie sehr die Zügel angezogen werden. Bitte haben Sie also Verständnis dafür, wenn notwendige Unterlagen auch einmal etwas drängend angefordert werden. Nur so lässt sich möglicher Schaden vom Unternehmen abwenden.

Mehr Datenschutzbeauftragte in der gesamten EU


Nichts ändert sich übrigens daran, dass es einen betrieblichen Datenschutzbeauftragten geben muss. Die Einzelheiten dafür, wann dies erforderlich ist, überlässt die Verordnung zwar weiterhin dem Recht der Mitgliedstaaten. Für Behörden schreibt sie jedoch europaweit behördliche Datenschutzbeauftragte vor. Für Unternehmen gilt dies dann, wenn es bei ihren Kernaktivitäten um die regelmäßige und systematische Beobachtung von Betroffenen geht oder um besonders sensible Daten. Zumindest im Personalbereich hat jedes Unternehmen solche besonders personenbezogenen Daten. Also braucht jedes Unternehmen einen Datenschutzbeauftragten. Außerdem brauchen Auftragsdatenverarbeiter künftig ganz selbstverständlich einen Datenschutzbeauftragten - unabhängig von der Größe.

Einwilligungen von Kunden gelten weiter


Für die Praxis wichtig: Einwilligungen von Kunden, die bereits vorliegen, wenn die Verordnung Mitte 2018 gültig wird, bleiben auch danach wirksam! Bedingung ist nur, dass sie unter Beachtung der Vorgaben des bisherigen Rechts eingeholt wurden. Beachten Sie also weiterhin peinlich genau das geltende Recht, wenn eine Einwilligung erfolgt! Das macht sich bezahlt, wenn die neue Verordnung ab Mai 2018 gilt.

Betriebsvereinbarungen bleiben in Kraft


Auch Betriebsvereinbarungen zum Datenschutz bleiben unverändert in Kraft. Eine entsprechende Klarstellung konnte bei den Verhandlungen in Brüssel erreicht werden. Es ist also nicht notwendig, wegen der EU-Datenschutz-Grundverordnung EU-DSGV bewährte Betriebsvereinbarungen neu zu verhandeln.
Anpacken statt abwarten!

Insgesamt gesehen wird es notwendig sein, die EU-Datenschutz-Grundverordnung EU-DSGV bis Mitte 2018 mehr und mehr zu berücksichtigen. Nur so lässt sich vermeiden, dass dann alles Mögliche sozusagen „über Nacht“ neu gestaltet werden muss. Wann gehen wir das Thema Datenschutz gemeinsam in Ihrem Unternehmen an?

BEST OF CONSULTING 2015 und 2016 - Initiative Mittelstand prämiert yourIT-Beratungspakete mit dem Innovationspreis-IT


Unsere Beratungspakete
wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet.


Mittwoch, 11. Mai 2016

Windows 10 - Datenschutz-Einstellungen nicht vergessen!

Das neue Microsoft-Betriebssystem zeigt deutlich, wie wichtig die Datenschutzkontrolle ist, bevor man neue Software nutzt. Denn Datenschutz als Standard ist auf dem IT-Markt bisher kaum in Sicht.


Ein verlockendes Angebot!?


Windows 10 erfreute sich gleich nach seinem Start Ende Juli 2015 großer Beliebtheit bei den Nutzern. Einer der Gründe dürfte sein, dass das Betriebssystem unter bestimmten Bedingungen als kostenloses Upgrade erhältlich ist. Doch kaum war das neue Betriebssystem von Microsoft auf dem Markt, meldeten sich Daten- und Verbraucherschützer mit deutlicher Kritik zu Wort. So bezeichnete der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit Windows 10 als "Fenster zur Privatsphäre". Die Verbraucherzentrale Rheinland-Pfalz e.V. sprach bei Windows 10 von "Überwachung bis zum letzten Klick".

Gratis-Upgrade auf Windows 10 jetzt! Ab August kostet jede Lizenz 279 EUR

Datenschutzerklärungen bleiben oft ungelesen


Die Medien haben daraufhin viel über den Datenschutz bei Windows 10 berichtet. Viele Nutzer waren überrascht von den Meldungen über die Sammlung personenbezogener Daten durch das Betriebssystem. Hätte man allerdings die Datenschutzbestimmungen von Windows 10 gelesen, wäre die Überraschung geringer gewesen. Denn dort liest man, dass Windows 10 eine "personalisierte IT-Umgebung" ist und dass die Schlüsselkomponenten von Windows auf der Cloud beruhen. Weiter heißt es dort: "Um dieses Computer-Erlebnis anzubieten, erheben wir Daten über Sie, Ihr Gerät und wie Sie Windows verwenden. Und weil Windows für Sie persönlich ist, geben wir Ihnen die Wahlmöglichkeiten darüber, welche personenbezogenen Daten wir sammeln und wie wir diese verwenden dürfen."

Datenschutz-Optionen müssen auch genutzt werden


Tatsächlich informiert Microsoft also über die Sammlung personenbezogener Daten. Manche Datenschützer lobten deshalb die Transparenz bei Windows 10. Was allerdings nicht den Vorstellungen des Datenschutzes entspricht, ist die im IT-Markt weit verbreitete Vorgehensweise, die Datenschutzeinstellungen im Standard eher datenschutzunfreundlich zu gestalten.

Whitepaper_Windows_10_Datenschutz-Einstellungen_für_Unternehmen

"Datenschutz als Standard" oder "Privacy by Design" hat also noch eher Seltenheitswert. Für Unternehmen und jeden einzelnen Nutzer von Windows 10 bedeutet das, die Datenschutz-Optionen zu überprüfen und individuell einzustellen.

Bequemlichkeit kann riskant sein


Die größte Gefahr bei Datenschutz-Optionen ist, dass man als Nutzer die Voreinstellungen ungeprüft übernimmt und damit die Entscheidung über den anzuwendenden Datenschutz dem jeweiligen Anbieter überlässt. Das gilt nicht nur für Microsoft und Windows 10, sondern ganz generell. Im Fall von Windows 10 sollte man also nicht die "Express-Einstellungen" bei der Installation wählen, sondern sich die Zeit nehmen, die vielfältigen Einstellungsmöglichkeiten rund um den Datenschutz zu sichten und zu nutzen. Abkürzungen wie die "Express-Einstellungen" erscheinen komfortabel und bequem. Doch sie sind nicht ohne Weiteres zu empfehlen.

Viele Einstellungen haben Bezug zum Datenschutz


Wer sich die Funktion "Einstellungen" bei Windows 10 ansieht, findet dort auch spezielle Datenschutzoptionen. Im Prinzip können sich aber auch in vielen anderen Auswahlbereichen Einstellungen finden, die für den Datenschutz wichtig sind. Bei Windows 10 sind das zum Beispiel neben "Datenschutz" auch Einstelloptionen wie "System", "Geräte", "Netzwerk und Internet", "Personalisierung", "Konten", "Zeit und Sprache" sowie "Update und Sicherheit".

Unter den "Datenschutzeinstellungen" bei Windows 10 finden sich dann gebündelte Auswahloptionen, die Sie allesamt durchsehen sollten. Nicht immer ist direkt ersichtlich und verständlich, warum dieser oder jener Punkt Relevanz für den Datenschutz haben könnte. Doch Einstellungen zum Beispiel zur Kamera legen fest, welche Anwendungen die Bilder nutzen dürfen. Würde es hier keine Einschränkung geben, könnten Bilder an Anwendungen und Dritte gelangen, die diese eigentlich nicht bekommen sollten, würde man den betroffenen Nutzer konkret fragen.

Datenschutz kann Verzicht mit sich bringen


Je nach Option führt die datenschutzfreundliche Einstellung allerdings dazu, dass sich bestimmte Funktionen nicht mehr vollständig oder sogar überhaupt nicht mehr nutzen lassen. Die Spracherkennung Cortana zum Beispiel möchte für eine vollständige Funktion auch Zugriff auf standortdaten, EMails, SMS, Kontaktdaten, Suchverlauf des Browsers und Kalendereinträge. Unterbindet man bestimmte Zugriffe, sind die Funktionen des Sprachassistenten eingeschränkt. Wenn man die Weitergabe der Standortdaten nicht zulässt, funktioniert der digitale Assistent Cortana überhaupt nicht. Das ist bedauerlich. Denn viele Spracheingabe-Funktionen brauchen eigentlich keine aktuellen Positionsdaten.

Der Datenschutz sollte es Ihnen aber wert sein, auf bestimmte Funktionen zu verzichten, insbesondere dann, wenn Datenzugriffe, die die Software fordert, aus Nutzersicht nicht nachvollziehbar sind. Grundsätzlich sollten Datenschutzerklärung und Datenschutzeinstellungen weitaus mehr Beachtung finden - und zwar nicht nur bei Windows 10, sondern bei jeder Software und bei jedem Online-Service.

Die gute Nachricht ist, dass man Windows 10 seine Geschwätzigkeit durch die richtigen Einstellungen weitgehend abgewöhnen kann, ohne dabei auf einen guten Kompromiss zwischen Komfort und innovativen Funktionen auf der einen Seite und Datenschutz sowie dem Schutz der Mitarbeiter und des Unternehmens vor Ausspähung auf der anderen Seite verzichten zu müssen. An dieser Stelle kann man Microsoft loben, hat der Hersteller doch mit Windows 10 die Möglichkeiten, den Datenschutz durch die Einstellungen selbst zu steuern, deutlich verbessert.

Holen Sie sich jetzt unser kostenloses Whitepaper mit den datenschutzkonformen Windows 10 Einstellungen


Was bei der privaten Nutzung oder bei mobilen Geräten wie Smartphones vielleicht akzeptabel erscheint, ist aus Sicht einer professionellen Unternehmens-IT zumindest für Arbeitsplatzrechner und Laptops nicht akzeptabel. Beim Umstieg auf Windows 10 sollten Unternehmen deshalb insbesondere auf diese Funktionen achten.

Gemeinsam mit unserem Partner Aagon stellen wir Ihnen ein Whitepaper zu den datenschutzkonformen Einstellungen in Windows 10 zur Verfügung. Zum Kostenlosen Download klicken Sie bitte hier:

Whitepaper_Windows_10_Datenschutz-Einstellungen_für_Unternehmen

Wie Sie diese Datenschutz-Einstellungen per ACMP-Clientmanagement paketieren und direkt auf allen Clients Ihres Unternehmens-Netzwerkes ausrollen, erfahren Sie gerne bei uns.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Beim obigen Text handelt es sich um einen Auszug aus unserem Magazin Datenschutz Now! Ausgabe 10/2015. Zum kostenlosen Download der Gesamtausgabe klicken Sie bitte hier:

Hier geht's zum kostenlosen Download der Gesamtausgabe Datenschutz Now! 10/2015

Ergänzung vom 1105.2016: Der Landesdatenschutzbeauftragte Baden-Württemberg bietet einen Step-by-Step-Leitfaden

Die Security-Experten von yourIT haben den 25-seitigen Leitfaden geprüft. Er ist ausführlich und gut verständlich. Aber unserer Meinung nach taugt er nur für die Anpassung der Datenschutz-Einstellungen von einem bis wenigen Rechnern. Bei mittelständische Unternehmen mit mehreren bis vielen Rechnern wäre die manuelle Einstellung jedes einzelnen Rechners mittels Turnschuh-Administration zu zeit- und kostenaufwändig. Diese stehen besser, wenn Sie diese Datenschutz-Einstellungen per ACMP-Clientmanagement paketieren und direkt auf allen Clients Ihres Unternehmens-Netzwerkes ausrollen

Mittwoch, 4. Mai 2016

Kostenlose Broschüre des BfDI zur EU-DSGVO

Die Bundesbeauftragte für den Datenschutz und die Informationssicherheit (BfDI) Andrea Voßhoff hat eine kostenlose Broschüre zur EU-Datenschutzgrundverordnung (EU-DSGVO) herausgegeben mit dem deutschsprachigen Gesetzestext und einigen ersten Erläuterungen.


Mit dieser Informationsbroschüre zeigt die BfDI in groben Zügen die Neuerungen der EU-DSGVO gegenüber dem bisherigen Bundesdatenschutzgesetz (BDSG) und den übrigen betroffenen Gesetzen auf.

BfDI-Informationsbroschüre zur EU-DSGVO
BfDI-Informationsbroschüre zur EU-DSGVO

Grundprinzipien und wesentliche Neuerungen der EU-DSGVO


Die rund 190 Seiten starke Informationsbroschüre soll dazu beitragen, einen ersten Überblick über die EU-Datenschutz-Grundverordnung, insbesondere über deren Grundprinzipien und die wesentlichen Neuerungen, zu vermitteln. Sie enthält eine Einführung in die komplexe Materie sowie den Verordnungstext.

Dem Verordnungstext vorangestellt sind folgende interessante Themen:

  • Grundprinzipien des Datenschutzrechts
  • Was ist neu in der EU-DSGVO
  • Technischer und organisatorischer Datenschutz


Hier geht's zum kostenlosen Download


Die Informationsbroschüre der BfDI steht hier zum kostenlosen Download bereit.

Montag, 2. Mai 2016

Zwei Jahre "Recht auf Vergessen" - Anspruch auf Löschung von Suchmaschinenergebnissen

Der Europäische Gerichtshof (EuGH) hatte in einem Urteil am 13. Mai 2014 entschieden, dass Suchmaschinen-Betreiber wie Google bestimmte Links aus ihren Suchergebnissen aus datenschutzrechtlichen Gründen löschen müssen. Wie kam dieses Urteil zustande? Wie lautete die Urteilsbegründung? Und welche Bedeutung hat es für den Alltag?


Hintergrund des EuGH-Urteils


Hintergrund des Urteils war ein Streit zwischen einem Spanier und Google. Der Schriftexperte und Professor hatte nach seinem eigenen Namen gesucht und erhielt als Ergebnis von Google unter anderem den Link auf zwei Artikel einer spanischen Tageszeitung. In diesen war zu lesen, dass das Grundstück des Mannes 1998 wegen vorhandener Schulden bei der Sozialversicherung versteigert und dann gepfändet werden sollte. Er wandte sich an die spanische Datenschutzaufsichtsbehörde (AEPD).

Diese forderte Google auf, die Verlinkung zu den Artikeln bei der Suche nach dem Namen des Mannes aufzuheben. Sie begründete dies damit, dass die Pfändung, die im Zusammenhang mit seinem Namen über Google gefunden wird, längst abgeschlossen sei und keine Relevanz mehr besitze. Eine Erwähnung in den Suchergebnissen sei demnach nicht mehr gerechtfertigt. Google kam dieser Aufforderung nicht nach und so landete der Fall vor dem Europäischen Gerichtshof (EuGH).

EuGH zwingt seit 2 Jahren Suchmaschinen-Betreiber wie Google zum Löschen

Urteilsbegründung der Richter


Die Richter des EuGH prüften den Fall sorgfältig und kamen zu dem Ergebnis, dass es grundsätzlich datenschutzrechtliche Löschansprüche gibt und dass Suchmaschinenbetreiber wie Google betroffene Links entfernen müssen. Als Begründung des Urteils wiesen die Richter darauf hin, dass die Anzeige von Ergebnissen einer Suchmaschine bereits eine datenschutzrechtliche Verarbeitung enthalte. Für diese Verarbeitung seien die Suchmaschinenbetreiber wie Google verantwortlich, da sie entscheiden, welche Seiten in der Ergebnisliste auftauchen. Außerdem unterliege auch die digitale Verarbeitung von Daten dem Marktort- und Sitzlandprinzip, so der EuGH. Das bedeutet, dass das europäische Datenschutzgesetz immer dann angewendet werden darf, wenn diese Datenverarbeitung einen regionalen Bezug zu dem Ort der Niederlassung hat. Wo die Datenverarbeitung selbst stattfindet (im Fall von Google in den USA), spielt hierbei keine Rolle.

Das bedeutet das EuGH-Urteil für den Alltag


Das Urteil des EuGH wurde von den meisten europäischen Politikern und Datenschützern begrüßt. Hervorzuheben sind hierbei vor allem zwei Aspekte: Erstens bestätigte das Gericht die Gültigkeit des europäischen Datenschutzrechts für Nicht-EU-Unternehmen, die in der EU Niederlassungen haben. Zweitens räumten die Richter dem Datenschutz eine größere Bedeutung ein als wirtschaftlichen Interessen.

Für den einzelnen EU-Bürger bedeutet das Urteil, dass Suchmaschinenbetreiber wie Google Suchergebnisse löschen müssen, wenn diese kein allgemeines Interesse mehr bedienen, aber Rückschlüsse auf eine bestimmte Person erlauben. Dann muss die Verlinkung zu der jeweiligen Information gelöscht werden. Die Information selbst, die beispielsweise wie oben beschrieben in einem Zeitungsartikel steht, muss nicht zwangsläufig gelöscht werden. Sie kann weiterhin über interne oder externe Links aufgerufen werden. Bei Personen des öffentlichen Lebens gibt es
allerdings noch weitere Einschränkungen.

Das bedeutet das EuGH-Urteil für Sie


Wenn Sie von längst überholten Suchergebnissen ohne öffentliches Interesse betroffen sind oder sich rufschädigender Kritik ausgesetzt sehen, können Sie Google & Co. auffordern, entsprechende Links zu löschen. Beim Stellen eines Löschantrags ist jedoch eine genaue Prüfung und schlüssige Erklärung unverzichtbar. Ansonsten besteht die Gefahr, dass der Antrag abgelehnt wird. Um Formfehler zu vermeiden, können Sie sich vertrauensvoll an uns wenden. Wir beraten Sie professionell zur Löschung von Suchergebnissen und stehen Ihnen mit Rat und Tat zur Seite.


Ich freue mich auf Ihre Termin- und Projektanfragen. Fordern Sie uns!

Ihr

Thomas Ströbele 


Auch interessant: Blogbeitrag "Immer Ärger mit Kununu"


Lesen Sie hierzu auch unseren Blogbeitrag "Immer Ärger mit Kununu". Dort haben Sie die Möglichkeit, sich eine kostenlose Anleitung herunterzuladen. Viel Erfolg. Und berichten Sie mir über Ihre Ergebnisse.

Hier geht's zum Blogbeitrag mit Anleitung zur Meldung von Rechtsverletzungen auf Kununu wie z.B. Datenschutz-Verstößen