Mittwoch, 31. August 2016

Damit der Online-Kalender nicht zum Datenleck wird

Ein digitaler Kalender, der über das Internet gepflegt wird, ist wirklich praktisch. Leider ist er auch wirklich gefährlich, wenn der Datenschutz nicht stimmt.


Terminüberschneidungen müssen nicht sein


Stellen Sie sich vor, Sie sind beruflich unterwegs und bekommen einen Anruf. Es ist der Leiter einer anderen Abteilung, der Sie zu einem Projekttreffen einlädt. Da sind Sie gern dabei, Sie sagen zu.

Kurze Zeit später ruft jemand aus Ihrer Familie an und berichtet von einer Einladung der Nachbarn. Ob Sie dann Zeit haben, lautet die Frage. Nach Ihrer Erinnerung schon, Sie sagen wieder zu.

Zurück im Büro schauen Sie in Ihren Kalender. Sie ahnen es schon: Sowohl bei dem Projekttreffen als auch bei der Einladung der Nachbarn haben Sie bestehende Termine übersehen. Solche Terminüberschneidungen sind mehr als ärgerlich.

Bei Ihnen kommt das nicht vor, da Sie einen Online-Kalender nutzen, auf den Sie über das Internet auch unterwegs Zugriff haben? Dann haben Sie vielleicht keine Terminüberschneidungen. Dafür aber möglicherweise ein Datenleck.

yourIT Datenschutz - digitaler Kalender
yourIT Datenschutz - digitaler Kalender

Vertrauliche Daten in Kalendern sind oftmals ungeschützt


Bekanntlich steht es um die Verschlüsselung von E-Mails nicht gut (siehe auch Seite 1). Vertrauliche Daten werden unverschlüsselt über das Internet übertragen. Was leider übersehen wird: Das ist bei so manchem Online-Kalender nicht anders. In den digitalen Kalendern stehen vertrauliche Termine und Kontakte. Doch verschlüsselt werden die Inhalte der Kalender kaum.

Durch den möglichen Online-Zugriff auf den Kalender müssen Sie mit Datenrisiken aus dem Internet rechnen. Dazu gehören gefälschte Termineinladungen, die nur darauf abzielen, an Ihr Passwort für den Online-Kalender zu gelangen.

Solche Angriffe beginnen mit einer scheinbaren Termin-Einladung, enthalten einen manipulierten Link auf den Online-Termin und fangen dann die Zugangsdaten zu Ihrem Online-Kalender ab. Phishing-Angriffe und Passwortdiebstahl gibt es eben leider auch bei Kalendern.

Terminkalender: voll von Terminen und von Risiken


Viele der Funktionen von Online-Kalendern, die sehr praktisch sind, können zur Gefahr für Ihre Daten werden, wenn Sie nicht genug für den Datenschutz tun.

Online-Kalender bieten Freigabefunktionen für einzelne Termine, für alle Termine bis hin zur Veröffentlichung ganzer Kalender im Web. Vorsicht: Sie könnten versehentlich Termine mit personenbezogenen Daten zu Suchmaschinen-Futter machen, also öffentlich ins Netz stellen. Am besten tragen Sie nur Termine in einem Online-Kalender ein, die Sie auch ans Schwarze Brett hängen würden. Andernfalls ist zusätzlicher Schutz erforderlich.

Bei dem Import aus anderen Kalender-Programmen sollten Sie ebenfalls vorsichtig sein. Prüfen Sie nach dem Import genau, welchen Status die importierten Termine haben, zum Beispiel öffentlich oder privat.

Funktionen von Kalendern wie Dateianhang machen klar, dass digitale Kalender in Wirklichkeit Kommunikationsanwendungen sind. Damit ist auch klar, dass Dateien, die mit Terminen übertragen werden, genauso schadhaft sein können wie der Anhang einer E-Mail.

Tipps: Datenschutz bei Online-Kalendern

  • Verzichten Sie auf generelle Freigaben und definieren Sie lieber die Freigabe konkret bei Einzelterminen!
  • Prüfen Sie die angehängten Dateien zu Terminen auf Malware!
  • Denken Sie bei Einladungen zu Terminen an mögliches Phishing!
  • Wählen Sie die Passwörter zu den digitalen Kalendern ausreichend stark! 
  • Überprüfen Sie Termin-Importe auf falsche Freigaben!
  • Denken Sie auch bei digitalen Kalendern an die Datensparsamkeit!


Online-Kalender: Kennen Sie die Risiken? Machen Sie den Test!


Frage: Um Online-Kalender zu schützen, reicht ein starkes Passwort. Stimmt das?

  • a: Ja, dank Passwortschutz kann kein Unbefugter meine Termine lesen.
  • b: Nein, Datendiebe versuchen, auch die Passwörter für Online-Kalender zu stehlen. 

Lösung: Die Antwort b. ist richtig. Auch bei Online-Kalendern gibt es Phishing-Attacken. Schützen Sie daher vertrauliche Inhalte genau wie bei E-Mail zusätzlich. Achten Sie bei der Wahl des Online-Kalenders auf eine Verschlüsselung.

Frage: Der klassische Kalender ist sicherer als ein digitaler. Stimmen Sie dem zu?

  • a: Nein, ohne besonderen Schutz können natürlich auch Kalender in Papierform eingesehen werden. Jeder Kalender braucht einen Zugangsschutz.
  • b: Ja, denn mit dem Internet kommen neue Risiken für vertrauliche Termine hinzu. Datendiebe können unerkannt über das Internet die zu schützenden Termine lesen und sogar verändern oder löschen.

Lösung: Die Antwort a ist richtig, gleichzeitig aber auch die Antwort b. Vertrauliche Termine müssen grundsätzlich geschützt werden, bei Kalendern in Papierform und bei digitalen Kalendern.

Durch das Internet können auch Unbefugte Zugriff erlangen, die nicht an einen Kalender in Papierform kommen würden, wenn dieser auf dem Schreibtisch liegt. Doch auch die Kalender auf dem Schreibtisch müssen besser geschützt werden. Räumen Sie daher bitte Ihren Kalender weg. wenn Sie den Schreibtisch verlassen.

Sonntag, 28. August 2016

WhatsApp & Datenschutz - So widersprechen Sie der Datenweitergabe an Facebook

WhatsApp hat am 25.08.2016 zum ersten Mal seit der Übernahme durch Facebook die Nutzungsbedingungen und Datenschutzrichtlinie geändert.Vor 2 1/2 Jahren hat sich Facebook den Messenger-Dienst WhatsApp für 19 Milliarden Dollar einverleibt. Ein solcher Mega-Deal muss sich irgendwann auszahlen. Dazu verknüpft Facebook nun die Nutzer-Daten von WhatsApp mit den eigenen. Sie können dies verhindern. Wir zeigen Ihnen hier, was sie tun müssen.



Screenshot WhatsApp Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie

Auf dem Weg zum gläsernen Internet-Nutzer


Kurz nach der Übernahme durch Facebook hatten die WhatsApp-Verantwortlichen noch auf dem WhatsApp Blog verkündet: "Und das wird sich für euch, unsere Benutzer, ändern: Nichts. [...] Es hätte zwischen unseren beiden Firmen nie eine Partnerschaft geben können, wenn wir in irgendeiner Form unsere grundlegenden Prinzipien, die unsere Firma, unser Produkt und unsere Vision definieren, hätten verletzten müssen."

Donnerstag 25.08.2016 ist der Tag, an dem dieses Versprechen offiziell gebrochen wurde. Experten gehen davon aus, dass WhatsApp und Facebook bereits seit der Übernahme Nutzer-Daten austauschen. Ebenfalls auf dem WhatsApp Blog wurde nun die aus Sicht von WhatsApp notwendigen Änderungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie verkündet - mit weitreichenden Folgen!

Diese neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie sind ein weiterer Schritt hin zum gläsernen Internet-Nutzer.

"Heute aktualisieren wir zum ersten Mal seit vier Jahren die Nutzungsbedingungen und Datenschutzrichtlinie von WhatsApp, als Teil unserer Pläne in den kommenden Monaten Wege zu testen, wie Personen mit Firmen kommunizieren können. Die aktualisierten Dokumente spiegeln auch wider, dass wir jetzt ein Teil von Facebook sind [...]"

Was ändert sich?


Durch die neuen Bedingungen nimmt sich WhatsApp das Recht, WhatsApp-Account-Informationen mit Facebook zu teilen, um die Erlebnisse der Nutzer mit Werbung und Produkten auf Facebook zu "verbessern". Die Chats und die Telefonnummer des Nutzers werden aber auch weiterhin nicht auf Facebook geteilt.

Es geht also nicht nur um die Weitergabe der Mobilfunknummer des WhatsApp-Nutzers an Facebook, wie die seit Donnerstag kursierenden Pressemeldungen und Blogbeiträge suggerieren (vgl. BILD.de). Das wäre vermutlich wirklich nicht so schlimm, weil die meisten Facebook-Nutzer ihre Mobilfunknummer eh schon im Facebook-Account hinterlegt haben.

Sondern es geht zumindest prinzipiell darum, dass ALLE WhatsApp-Daten eines Nutzers an Facebook weitergeleitet werden sollen.

Als externem Datenschutzbeauftragten ist mir diese Denkweise von amerikanischen Unternehmensgruppen bereits bekannt. Alle Daten im Konzern sollen allen Konzernunternehmen bedingungslos zur Verfügung stehen, um damit den Profit zu optimieren. In Deutschland sehen wir das anders. In unserem BDSG gibt es kein Konzernprivileg. Jedes Konzernunternehmen wird als einzelnes Unternehmen betrachtet und unterliegt für die Datenweitergabe denselben Ansprüchen wie externe Unternehmen. Es ist also jeweils einzeln zu klären, ob eine Datenweitergabe überhaupt in Frage kommt und wenn ja, zu welchem Zweck welche Daten weitergegeben werden dürfen und ob es sich dabei um eine Auftragsdatenverarbeitung gemäß § 11 BDSG (Controller - Prozessor) oder um eine Funktionsübertragung (Controller - Controller) handelt.

WhatsApp versucht sich mit der aktuellen Zustimmungs-Anfrage zu den neuen WhatsApp Nuntzungsbedingungen und zur Datenschutzrichtlinie nun offiziell eine Einwilligung gemäß § 4a BDSG einzuholen.

Was bedeutet das?


WhatsApp begründet die Neuerungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie wie folgt: "Durch die Zusammenarbeit mit Facebook haben wir mehr Möglichkeiten, z. B. können wir grundlegende Kennzahlen über die Häufigkeit, mit der Benutzer unsere Dienste verwenden, verfolgen, und besser gegen Spam auf WhatsApp vorgehen. Indem deine Telefonnummer mit den Facebook-Systemen verbunden wird, kann Facebook dir besser Freunde vorschlagen und dir passendere Werbung anzeigen, falls du einen Account dort haben solltest. Du könntest z. B. Werbung von einem Unternehmen sehen, mit dem du bereits in Kontakt standst, anstatt eines vorgeschlagen zu bekommen, von dem du noch nie gehört hast."

Mit der Telefonnummer des WhatsApp-Nutzers können verschiedene Profile eindeutig einem bestimmten Nutzer zugeordnet werden. Damit will Facebook die Werbung besser personalisieren. Wenn zum Beispiel ein WhatsApp-Nutzer seine Handynummer auch mit Unternehmen geteilt habe, die Anzeigen bei Facebook schalten, könnten ihm durch den Abgleich Angebote des Händlers eingeblendet werden.

Interessant ist, dass innerhalb der Facebook-Gruppe auch der Fotodienst Instagram WhatsApp-Daten nutzen soll, um einem Nutzer Follower-Vorschläge zu machen. WhatsApp selbst soll aber werbefrei bleiben.

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates I
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates I

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates II
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates II

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates III
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates III

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie

Bleiben die Chats auf WhatsApp tatsächlich privat?


Screenshot WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook
WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook
Das ist die aktuelle Meldung im Account eines WhatsApp-Nutzers, der nicht widerstehen konnte und der Datenschutz-Anfrage von WhatsApp einfach zugestimmt hat. Hier steht ganz eindeutig: "[...] um meine Erlebnisse mit Werbung und Produkten auf Facebook zu verbessern."

Also in meinem Nutzer-Account stehen keine "Erlebnisse". Die "Erlebnisse" jedes WhatsApp-Nutzers stehen doch in dessen ChatsIn meinen Augen kann dies nur bedeuten, dass WhatsApp die Chats künftig "ausliest" und interessante "Erlebnisse" der Nutzer an Facebook weitermeldet.

Auch wenn nicht die Chats selber an Facebook weitergegeben werden, denn die sind ja seit dem 05.04.2016 Ende-zu-Ende-verschlüsselt und somit nur für die beteiligten Nutzer einsehbar, sollen die Unterhaltungen anscheinend künftig offenbar doch irgendwie "belauscht" werden, um aus den "Nutzer-Erlebnissen" lukrative Werbeplatzierungen auf Facebook zu ermöglichen.

Falls WhatsApp dies tatsächlich nicht so meinen sollte und die Chats unangetastet bleiben, wurde die Wortwahl extrem unglücklich gewählt.

Kann ich als Nutzer wiedersprechen?

Früher oder später bekommt jeder WhatsApp-Nutzer nun eine Aufforderung von WhatsApp, den neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie zuzustimmen.

Wenn Sie als durchschnittlicher WhatsApp-Nutzer nichts von der Weitergabe Ihrer Nutzer-Daten an Facebook halten und kein Interesse daran haben, Facebook zu helfen, deren Werbe-Erfahrungen zu verbessern, bietet Ihnen WhatsApp hierfür zwei Möglichkeiten - die allerdings auf den ersten Blick nicht zu erkennen sind.

Möglichkeit 1 - Einfach nicht zustimmen!


Keiner zwingt Sie, den Änderungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie zuzustimmen. Die Möglichkeit zum Nein-Sagen (Opt-Out) ist nur etwas versteckt angebracht - rein zufällig natürlich.

Screenshot WhatsApp FAQ neue Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp FAQ neue Nutzungsbedingungen und Datenschutzrichtlinie

Um nicht zuzustimmen müssen sie ganz unten in der Nachricht von WhatsApp - unterhalb von "ZUSTIMMEN" - im Text „Lies unsere Nutzungsbedingungen und Datenschutzrichtlinien und lerne mehr zu den Auswahlmöglichkeiten, die du hast“ dem Link hinter "Lies" folgen. Danach müssen Android-Nutzer nur noch den Haken aus dem Auswahlkästchen entfernen bzw. iPhone-Nutzer den Schieberegler nach links schieben. Das war's! Sie können dann auf Zustimmen klicken.Ihre Daten werden nicht weitergegeben.

Möglichkeit 2 - Zustimmung zurücknehmen - Nur bis 24.09.2016 möglich!


Sie waren mal wieder zu schnell und haben der Meldung auf WhatsApp zugestimmt, ohne groß darüber nachzudenken? Kein Problem: Sie können Ihre Zustimmung zurücknehmen. 

Das geht folgendermaßen:

Sie gehen in der WhatsApp-App in Ihren Account. Ganz unten gibt es einen neuen Eintrag "Meine Account-Info teilen" mit einem gesetzten Haken dahinter.

Falls Ihnen nicht klar ist, ob Sie der WhatsApp-Meldung vorschnell bereits zugestimmt haben oder nicht, erkennen dies übrigens genau an diesem neuen Eintrag im Account. Ohne Ihr Zutun gibt es diesen Eintrag im Account nicht.

Screenshot WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook
WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook

Wenn Sie den gesetzten Haken entfernen, meldet WhatsApp folgendes:

Screenshot WhatsApp-Nutzer-Account Meldung nach Zustimmung der Daten-Weitergabe an Facebook
WhatsApp-Nutzer-Account Meldung nach Zustimmung der Daten-Weitergabe an Facebook

Da Sie Ihre WhatsApp-Daten eben NICHT TEILEN wollen - auch nicht in der Zukunft, wählen Sie genau dies aus. Danach sieht Ihr Account wieder genau so aus, wie vor der Zustimmung zur Daten-Weitergabe an Facebook.

Screenshot WhatsApp-Account ohne Zustimmung zur Datenweitergabe an Facebook
WhatsApp-Account ohne Zustimmung zur Datenweitergabe an Facebook

Aber Achtung: Diese Möglichkeit steht Ihnen nur bis zum 24.09.2016 zur Verfügung.

Ist mein Widerspruch wirksam?


Im "Kleingedruckten", den FAQ zu WhatsApp steht: "Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen."

Screenshot WhatsApp FAQ Hinweis zur Datenweitergabe an Facebook-Unternehmensgruppe
WhatsApp FAQ Hinweis zur Datenweitergabe an Facebook-Unternehmensgruppe

Das Verb am Ende des Satzes fehlt auch im Originaltext (siehe oben). Unklar bleibt auch, was mit "diese Information" gemeint ist. Betrifft das nur die Nutzung der Nutzer-Daten zu nicht werbliche Nutzung, oder ...

Welche Möglichkeiten haben neue Nutzer?


Eine Wahl haben nur am 25.08.2016 bereits bestehende WhatsApp-Benutzer. Wer sich danach neu zu WhatsApp anmeldet bekommt beim Öffnen der App folgenden Screen angezeigt:

Screenshot WhatsApp neuer User Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp neuer User Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie

Neue Nutzer müssen demnach den aktuellen WhatsApp Nuntzungsbedingungen und der Datenschutzrichtlinie zustimmen. Eine Möglichkeit für eine anderweitige Entscheidung findet sich nicht.

Fazit zu den neuen WhatsApp Nutzungsbedingungen und zur Datenschutzrichtlinie


Aus Sicht des Datenschutzes macht ein Widerspruch zu den neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinien absolut Sinn. Vielleicht ist das sogar eine gute Gelegenheit, die Datenschutz-Einstellungen seines Facebook-Accounts mal (wieder) zu überdenken. Eine Garantie, dass sich Facebook und WhatsApp an Ihre persönlichen Vorgaben zum Datenschutz halten wird, gibt es aber auch weiterhin nicht. Wer sicher gehen will, dass seine Daten nicht Datenschutz-widrig benutzt und weitergegeben werden, muss seine Nutzung von Facebook und WhatsApp aufgeben, seine Accounts löschen und die Apps löschen.

Ich bin gespannt, wieviele WhatsApp- und Facebook-Nutzer tatsächlich dem Datenkraken den Rücken kehren und aus meiner Kontaktliste verschwinden werden. Bisher folgten den EXIT-Androhungen der Nutzer meist keine Taten. Vielleicht testen Facebook, WhatsApp & Co. ja gerade auch nur, wie weit sie gehen können...

Freitag, 26. August 2016

Der Kindergeburtstag auf Facebook

Welche Regeln gelten eigentlich, wenn man Fotos von einem Kindergeburtstag auf Facebook stellen will? Ärger ist in solchen Fällen häufiger, als man denkt. Kurzes Nachdenken vorher verhindert Schwierigkeiten nachher!

Kinderfotos auf Facebook – gute Idee oder nicht?


Der Kindergeburtstag war eine schöne Sache. Die Kinder amüsierten sich prima. Und manche Eltern waren froh, ihren Nachwuchs einfach einmal für einen Nachmittag bei lieben Nachbarn abgeben zu können. Es entstanden dabei wirklich schöne Fotos. Da-ran wollte der Vater des Geburtstagskinds auch andere teilhaben lassen. Deshalb wählte er zehn besonders schöne Fotos aus und stellte sie auf die eigene Facebook-Seite.

Ob das eine gute Idee war, darüber gingen die Meinungen schnell auseinander. Probleme gab es vor allem mit den Eltern eines Kindes, das beim Geburtstag dabei war und das gleich auf mehreren Fotos zu sehen war. Dessen Eltern leben nämlich getrennt. Der Vater fand das mit den Fotos auf Facebook ganz gut. Die Mutter hielt dagegen überhaupt nichts davon.

yourIT Datenschutz - Fotos vom Kindergeburtstag auf Facebook posten?!
yourIT Datenschutz - Fotos vom Kindergeburtstag auf Facebook posten?!

Klare gesetzliche Regelungen


Solche Fälle muss man sich nicht ausdenken. Wenn man sich etwas umhört, wird man rasch fündig. Und schon stellt sich die Frage, was in solchen Fällen eigentlich zu beachten ist. So sehr es manchen wundert: Es gibt dafür klare gesetzliche Regeln. Sie stehen in einem Gesetz, das schon über 100 Jahre alt ist. Es wird meistens mit seiner Abkürzung KUG erwähnt. 

Sein vollständiger Name „Kunsturheberrechtsgesetz“ ist zum einen recht sperrig. Zum anderen führt er auch in die Irre. Die Regelungen in diesem Gesetz haben nämlich nichts mit dem Urheberrecht zu tun und auch nichts mit der Kunst. Vielmehr geht es um das, was die Juristen „Recht am eigenen Bild“ nennen. Das Urheberrecht ist dagegen inzwischen in einem anderen Gesetz geregelt.

Einwilligung nötig – bei Minderjährigen von den Eltern


Beim Recht am eigenen Bild geht es um die Frage, ob es jemand dulden muss, dass Bilder von seiner Person verbreitet werden. Die Grundregel hierfür lautet klar: Nein, das muss er nicht. Wenn ich Bilder von jemandem verbreiten will, brauche ich seine Einwilligung dazu. Das gilt natürlich auch für Kinder. Einzige Besonderheit: In diesem Fall kann nicht das Kind selbst einwilligen. Vielmehr brauche ich die Einwilligung der Eltern.

Besonderheiten eines Kindergeburtstags


Damit ist man sofort wieder beim Kindergeburtstag, von dem Fotos auf Facebook verbreitet werden. Daran ist Folgendes rechtlich wichtig:


  • Fotos auf Facebook sind normalerweise öffentlich zugänglich. Das gilt vor allem dann, wenn der Zugriff nicht auf bestimmte Personen beschränkt ist.
  • Aber auch dann, wenn eine solche Beschränkung auf bestimmte Personen vor-genommen wird, ändert das nichts daran, dass die Bilder jedenfalls gegenüber diesen Personen verbreitet werden.
  • Man kann es also drehen und wenden, wie man will: Bilder von Personen darf man normalerweise nur dann auf Facebook einstellen, wenn man die Einwilligung dieser Personen hat.
  • Bei Kindern ist es Sache der Eltern, ob sie einwilligen oder nicht.
  • Das ist kein Problem, solange sich die Eltern einig sind. Was aber ist, wenn ein Elternteil Ja sagt und ein Elternteil Nein? Wenn beide Eltern anwesend sind und sich vor Ort so verhalten, ist ein Einstellen der Bilder auf Facebook ausgeschlossen.
  • Und wie sieht es aus, wenn nur ein Elternteil anwesend ist? Muss man dann den anderen anrufen und ihn ebenfalls fragen? Nach Auffassung der meisten Juristen gehört eine solche Einwilligung zu den alltäglichen Dingen, die auch ein Elternteil für sich allein erledigen kann. Aber hier muss man ein bisschen vorsichtig sein. Ginge es beispielsweise um Fotos für Werbezwecke, sähe das schon wieder anders aus. Denn das ist dann keine banale Angelegenheit mehr.

Das immer zulässige „Gruppenfoto“ – ein rechtlicher Mythos


Häufig hört man, dass es kein Problem sei, wenn man Bilder einer Gruppe veröffentliche. Und manche wollen sogar wissen, das gelte vor allem dann, wenn die Gruppe aus sieben oder mehr Personen besteht. Manchmal wird sogar behauptet, diese Zahl 7 stünde sogar im Gesetz.

Nichts davon ist wahr. Es handelt sich vielmehr um ein Beispiel für rechtliche Märchen. Zwar gibt es im KUG eine Regelung für Fotos von Demonstrationen, Umzügen und ähnlichen Ereignissen. Es ist klar, dass man davon nie Bilder veröffentlichen könnte, wenn man die Einwilligung aller beteiligten Personen bräuchte. Deshalb fordert das Gesetz für diese speziellen Fälle keine Einwilligung. Man kann sie fotografieren und diese Fotos auch verbreiten und veröffentlichen. Kindergeburtstage gehören jedoch sicher nicht in diese Kategorie.

Mittwoch, 24. August 2016

Ein Blick in die eigenen Behandlungsunterlagen

Meist bekommt man als Patient durchaus Einsicht in die Unterlagen über die eigene Behandlung. Aber falls es doch einmal Konflikte gibt: Welche Spielregeln gelten dann eigentlich?


Funktion von Behandlungsunterlagen


Behandlungsunterlagen dienen dem Patienten wie dem Arzt. Der Arzt braucht sie als Gedankenstütze. Manchmal benötigt er sie auch, um Vorwürfe wegen falscher Behandlung abzuwehren. Der Patient wiederum will die Unterlagen vorlegen, wenn er einen anderen Arzt aufsucht. Vielleicht möchte er sich aber auch nur informieren, was gesundheitlich eigentlich mit ihm los ist. Dann können Behandlungsunterlagen eine hoch spannende Lektüre sein.

Bild Nachweis: Fotolia_115646552

Regelungen zu ihrem Inhalt


Was in Behandlungsunterlagen eines Arztes stehen muss, ist gesetzlich geregelt. Enthalten sein müssen sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse. So legt es § 630f des Bürgerlichen Gesetzbuchs (BGB) fest.
Aus der Sicht eines medizinischen Laien mag die Formulierung etwas schwammig wirken. Aus der Sicht eines medizinischen Fachmanns sieht das schon anders aus. Außerdem hat die etwas weite Formulierung einen wesentlichen Vorteil: Neue fachliche Erkenntnisse dazu, was in Behandlungsunterlagen hinein gehört, lassen sich recht schnell umsetzen. Das Gesetz muss dazu nicht geändert werden.

Diagnosen, Befunde, Therapien


Das Gesetz nennt konkrete Beispiele dafür, was auf jeden Fall in die Unterlagen hinein gehört, nämlich

die Anamnese (also die medizinische Vorgeschichte des Patienten),
ferner Diagnosen,
Untersuchungen,
Untersuchungsergebnisse,
Befunde,
Therapien und ihre Wirkungen,
Eingriffe und ihre Wirkungen,
Einwilligungen und Aufklärungen.

Besonders wichtig für den Patienten: Arzt-briefe sind auf jeden Fall in die Patientenakte aufzunehmen.

Rechtsanspruch auf Einblick


Oft ist die Rede davon, dem Patienten werde Einblick in die Behandlungsunterlagen „gewährt“. Manche verstehen dies so, dass der Arzt den Einblick sozusagen Gnaden halber und nach seinem Ermessen bewilligen kann – oder eben auch nicht. Das trifft jedoch nicht zu. Vielmehr hat der Patient einen gesetzlichen Anspruch auf Einblick in die Behandlungsunterlagen, die ihn selbst betreffen. So regelt es ausdrücklich § 630g BGB.

Anspruch auf Kopien


Häufig wird es so sein, dass ein Patient die Unterlagen nicht versteht. Viele Begriffe sind nur Fachleuten klar. Und selbst ein Fachmann braucht Zeit, um den Inhalt von Unterlagen richtig zu interpretieren. Oft wollen Patienten deshalb Kopien ihrer Behandlungsakte. Auch dieser Anspruch ist gesetzlich inzwischen klar festgelegt (siehe § 630g Absatz 2 BGB: „Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen.“).

Kostenpflicht für Kopien


Genauso klar ist allerdings auch geregelt, dass der Patient die Kosten hierfür tragen muss. Man sollte sie nicht unterschätzen. Denn selbstverständlich gehören dazu nicht nur die eigentlichen Kopierkosten, sondern auch die Kosten für das Personal, das Ko-pien anfertigt. Glück hat ein Patient, dessen Patientenakte elektronisch geführt ist. Das Übertragen der Daten auf einen elektronischen Datenträger verursacht kaum irgend-welche Kosten.

Ansprüche der Erben und Angehörigen


Etwas schwierig wird es, wenn ein Patient verstorben ist. Relativ häufig wollen dann Angehörige wissen, wie es eigentlich zum Tod kam. Fragen dazu sind allerdings oft vergeblich. Das gilt sogar dann, wenn eine enge familiäre Beziehung besteht und beispielsweise die Ehefrau fragt, warum ihr Mann gestorben ist.
Der Grund: Die ärztliche Schweigepflicht gilt auch nach dem Tod weiter, und der Gesetzgeber wollte sie nicht zu sehr aushöhlen. Das Gesetz lässt deshalb den Anspruch auf Einsicht in die Behandlungsunterlagen nicht einfach pauschal auf die Erben oder auf nahe Angehörige übergehen. Vielmehr heißt es in § 630g Absatz 3 BGB, dass die Erben „zur Wahrnehmung vermögensrechtlicher Interessen“ Einblick in Behandlungsunterlagen nehmen dürfen.
Das praktisch wichtigste Beispiel hierfür: Die Lebensversicherung will nicht zahlen, weil sie die Umstände des Todes für unklar hält. Dann kann es für den Erben Gold wert sein, wenn er mithilfe der Behandlungsunterlagen nachweisen kann, dass die Versicherung sehr wohl zahlen muss.

Erst reden, dann zum Gesetz greifen


Insgesamt hat der Gesetzgeber die Rechte der Patienten in den letzten Jahren gestärkt. Grenzen haben diese Rechte allerdings nach wie vor. Suchen Sie deshalb immer zunächst das Gespräch mit dem Arzt, der Sie behandelt hat. Greifen Sie erst dann zum Gesetz, wenn sonst wirklich kein vernünftiges Ergebnis zu erzielen ist.

Montag, 22. August 2016

eAkte-Datenschutz: Nutzung von Bildern von Mitarbeitern geht nur mit gesonderter Einwilligung

Unter "eAkte-Datenschutz" gehen wir auf uns aktuell vorliegende Datenschutz-Fälle bei unseren Datenschutz-Kunden ein. "eAkte" deshalb, weil wir unsere Datenschutz-Kunden und deren Fälle in unserem digitalen Büro 4.0 in elektronischen Akten verwalten. Die Veröffentlichung der Praxisfälle erfolgt selbstverständlich anonymisiert.


Dieses Mal geht es um die Frage "Kann eine Einwilligung für Mitarbeiterfotos auch in einer Klausel im Arbeitsvertrag geregelt werden oder benötigt man dafür ein separates Einwilligungs-Formular?"


Im Rahmen einer Erst-Beratung eines mittelständischen Datenschutz-Kunden (Datenschutzkonzept Phase A+B) fiel uns folgende Formulierung im Arbeitsvertrag zum Thema Mitarbeiter-Fotos und -Videos auf:

"Soweit der Arbeitnehmer in Verkaufsunterlagen  [...] des Arbeitgebers auf der Homepage oder in Messepräsentationen abgebildet ist, [...] erklärt der Arbeitnehmer sein Einverständnis zur unentgeltlichen Nutzung des Bildes / des Videos [...]. Das Recht zur Nutzung endet 5 Jahre nach Ende des Anstellungsverhältnisses zwischen dem Arbeitnehmer und dem Arbeitgeber."

Fraglich für uns erschien daran:

  1. Kann eine solch umfassende Regelung einer Einwilligung in die Nutzung von Mitarbeiterfotos /-Videos überhaupt "versteckt" in einem Arbeitsvertrag erfolgen?
  2. Ein Nutzungsrecht von 5 Jahren nach Ausscheiden des Mitarbeiters ist unüblich lang.


Folgende Risiken sahen wir insbesondere für diesen Kunden:

  • Arbeitsrechtlicher Ärger mit ausscheidenden und ausgeschiedenen Mitarbeitern.
  • Teures Werbematerial wie Videos oder Prospekte muss vorzeitig aus dem Marketing genommen werden.

eAkte-Datenschutz - Einwilligung in die Nutzung von Mitarbeiterfotos und -Videos


Da es sich hier um rechtliche Fragen handelte, die auch den Bereich des Arbeitsrechts berühren, fragten wir unseren auf IT-Recht, Datenschutz und Arbeitsrecht spezialisierten Rechtsexperten an. Dessen Antwort bestätigte unsere Befürchtungen:

"Sehr geehrter Herr Ströbele,

das Bundesarbeitsgericht hat mit Urteil vom 19. Februar 2015 teilweise Klarheit geschaffen, wann und in welchem Umfang der Arbeitgeber Bilder seiner Mitarbeiter auf Firmenunterlagen, in Filmen und im Internet benutzen darf.

Voraussetzung ist zunächst eine ausdrückliche gesonderte Einwilligung. Die Einwilligung formularmäßig durch eine Klausel im Arbeitsvertrag dürfte unwirksam sein. Es ist daher zu empfehlen, eine gesonderte Vereinbarung abzuschließen.

Ein Recht des Arbeitnehmers, die Einwilligung zu widerrufen, besteht in der Regel erst dann, wenn das Arbeitsverhältnis beendet ist und auch dann nur, wenn die Weiterbenutzung danach einen erheblichen Eingriff in das Allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt. Das war im entschiedenen Fall des Bundesarbeitsgerichtes nicht der Fall. Dort waren Arbeitsvorgänge im Unternehmen auf einem Videofilm festgehalten und Kunden zur Verfügung gestellt worden. Der betroffene klagende Arbeitnehmer war dabei nur in Hintergrund zu sehen.

Verwendet man die Bilder aber individualisierter, indem man den Mitarbeiter zum Beispiel ausdrücklich im Internet vorstellt, ist der Arbeitnehmer berechtigt, nach Beendigung des Arbeitsverhältnisses seine Einwilligung zur Verwendung der Bilder zu widerrufen. Dann muss es schon auf Seiten des Arbeitgebers erhebliche Gründe geben, dass er dieses Bild wenigstens noch zeitweilig weiter nutzen kann. Das kann der Fall sein, wenn er die Bilder auch auf Druckprodukten oder in produzierten Videos verwendet, die nicht unerhebliche Kosten verursacht haben. Bei Druckprodukten wird man dann von einer so genannten „Aufbrauchfrist" ausgehen können.

Wie lange der Arbeitgeber nach der Beendigung des Arbeitsverhältnisses die Bilder noch benutzen kann, hat das Bundesarbeitsgericht nicht entschieden. Das hängt auch von der Intensität der Darstellung und der Nutzung ab. Als Faustregel muss davon ausgegangen werden, dass eine Benutzung über die Dauer von zwei Jahren hinaus eher nicht zulässig ist. Und das Beibehalten einer Darstellung eines Mitarbeiters im Internet mit Foto konkret als vorhandener Mitarbeiter wird sicherlich schon unmittelbar nach Beendigung des Arbeitsverhältnisses unzulässig sein."

Unserem Datenschutz-Kunden haben wir daher empfohlen, mit den Arbeitnehmern eine gesonderte Einwilligung zur Nutzung von Mitarbeiterfotos und -Videos neben dem eigentlichen Arbeitsvertrag abzuschließen. Ein entsprechendes Formular haben wir mit dem Kunden erarbeitet. Die Nutzungsdauer nach dem Ausscheiden haben wir an die Erfordernisse angepasst.


Falls Sie in Ihrem Unternehmen Unterstützung benötigen im Bereich Datenschutz, sind wir auch Ihnen gerne behilflich. Fordern Sie uns!

Ihr yourIT-Datenschutz-Team


Bidnachweis: 229H_©_Ryan_McGuire_gratisography_com

Freitag, 19. August 2016

Einfaches Schlüsselmanagement: Der Schlüssel für mehr Datenschutz

Nicht die E-Mail-Verschlüsselung an sich ist kompliziert. Sondern der richtige Umgang mit digitalen Schlüsseln, die eingerichtet werden müssen. Das Projekt Volksverschlüsselung will dabei helfen.


Grundlage für die E-Mail-Verschlüsselung schaffen


Das Bundesministerium des Innern begrüßt den Start der sogenannten Volksverschlüsselung, so war es im Sommer 2016 zu lesen. Deutschland sei auf dem Weg zum Verschlüsselungsstandort Nr. 1. Es lohnt sich also, die Volksverschlüsselung kennenzulernen, wenn Sie sie noch nicht kennen (www.volks-verschluesselung.de). Dabei werden Sie jedoch feststellen, dass die Volksverschlüsselung gar nicht selbst verschlüsselt.

Was aber macht sie dann? Die Volksverschlüsselung ist eine Software, die die not-wendigen digitalen Schlüssel erzeugt und die E-Mail-Programme der Benutzer konfiguriert. Für die eigentliche Verschlüsselung brauchen die meisten Nutzer kein neues Programm, da die meisten E-Mail-Programme von Haus aus verschlüsseln können, wenn Schlüssel vorhanden sind. Somit können selbst unerfahrene Nutzer verschlüsselte E-Mails verschicken, so die Projektbeschreibung.

yourIT Datenschutz - Einfaches Schlüsselmanagement - E-Mail-Verschlüsselung
yourIT Datenschutz - Einfaches Schlüsselmanagement - E-Mail-Verschlüsselung

Hilfe bei der Schlüsselverwaltung


Verschlüsselungslösungen für E-Mails gibt es reichlich, darunter auch viele kostenlose. Die Gründe, warum viele Nutzer die E-Mail-Verschlüsselung häufig nicht einsetzen, liegen woanders: 64 Prozent der von dem Digitalverband Bitkom befragten Nutzer sagen, dass sie sich damit nicht auskennen. Kompliziert ist dabei nicht etwa das Verschlüsseln selbst. Das klappt auf Knopfdruck und lässt sich sogar automatisieren.

Schwierigkeiten bereitet den Nutzern vielmehr, die E-Mail-Verschlüsselung einzurichten. Wahrscheinlich werden Sie zustimmen, dass es nicht einfach auf der Hand liegt, wie man an einen digitalen Schlüssel zur Verschlüsselung kommt, wie man ihn mit seinem E-Mail-Programm verknüpft und wie man den Kommunikationspartnern seinen öffentlichen Schlüssel bekannt gibt, während der private Schlüssel dauerhaft vertraulich bleiben muss. Unterstützung ist hier wirklich sinnvoll.


Das Ziel: Mehr Sicherheit bei E-Mails


Eine Lösung wie die Volksverschlüsselung kann in Zukunft helfen, auch wenn Sie privat verschlüsselt per E-Mail kommunizieren wollen. Bisher profitieren aber erst Windows-Nutzer von der Volksverschlüsselung, wenn sie über E-Mail-Programme wie Outlook oder Thunderbird kommunizieren. In weiteren Schritten sind Versionen für andere Betriebssysteme wie Mac OS X, Linux, iOS und Android geplant.

Die Volksverschlüsselung muss noch erweitert werden. Aber sie zeigt bereits: Ist das Problem des Schlüsselmanagements erst einmal gelöst, gibt es keinen Grund mehr, den Aufwand zu scheuen. Dann wird E-Mail endlich sicherer.

Mittwoch, 17. August 2016

Büro 4.0 - Auf dem Weg zum Digital Workspace

Das digitale Büro 4.0 gilt als einer der wichtigsten Trends in der deutschen Wirtschaft. Aus dem Arbeitsplatz soll ein Digital Workspace werden. Das hat auch Folgen für den Datenschutz.


Fast alles soll digital werden


Bereits jedes vierte Unternehmen setzt auf digitalen Schriftverkehr, 40 Prozent wollen in Zukunft vermehrt auf digitale Kommunikation umstellen, so eine repräsentative Umfrage von Bitkom Research. Die Digitalisierung verändert aber nicht nur die Kommunikation. Auch die Produkte und Märkte ändern sich. Vier von zehn Unternehmen haben infolge von Digitalisierung / Büro 4.0 bereits neue Produkte oder Dienste auf den Markt gebracht und 57 Prozent bestehende Angebote angepasst.
In den einzelnen Bereichen eines Unternehmens ist die Digitalisierung unterschiedlich stark ausgeprägt. Spitzenreiter ist die Produktion und Projektabwicklung, die in 74 Prozent der Unternehmen stark digitalisiert ist (mindestens zu 50 Prozent). Die Abteilungen Personal/Human Resources und Buchhaltung/Finanzen/Controlling sind jeweils in 66 Prozent der Unternehmen stark digitalisiert. Im Ranking folgen dahinter Marketing (62 Prozent), Einkauf (54 Prozent), Logistik (53 Prozent) sowie Forschung und Produktentwicklung (30 Prozent).

Digital Workplace im Büro 4.0


Kaum eine Tätigkeit wird davon nicht betroffen sein


Noch setzen acht von zehn deutschen Unternehmen häufig das Faxgerät zur internen oder externen Kommunikation ein, 40 Prozent nutzen bereits Online- oder Videokonferenzen, 15 Prozent Soziale Netzwerke. Der klassische Büroarbeitsplatz verändert sich zunehmend. Etwa jeder zweite Mitarbeiter sitzt an einem Computer-Arbeitsplatz, jeder Dritte nutzt für die Arbeit ein Mobilgerät mit Internetzugang wie Tablet-PC oder Smartphone.
Die Möglichkeit, an jedem Ort auf das Internet zuzugreifen, verändert die Arbeitswelt, so der Bitkom-Verband. Dank Smartphone, Tablet-Computer und Laptop ist man nicht mehr auf einen Büroarbeitsplatz angewiesen, sondern kann von unterwegs oder aus dem Home Office arbeiten. Der Arbeitsplatz wird zum Digital Workspace. Diese Veränderungen haben Auswirkungen darauf, wie wir arbeiten, wie wir Daten nutzen und schützen müssen.
So führt im digitalen Büro 4.0 die Nutzung mobiler Geräte vermehrt dazu, dass Daten im Internet, in einer Cloud gespeichert werden, da so der Zugriff auf die Daten flexibel ist. Die Flexibilität erkauft man sich aber mit steigenden Gefahren für Datensicherheit und Datenschutz. Die digitalen Risiken werden nämlich unterschätzt: 86 Prozent der Top-Manager sehen in der Digitalisierung eher Chance als Risiko für ihr Unternehmen. Zehn Prozent sehen eher eine Gefahr und nur vier Prozent meinen, die Digitalisierung habe keinen Einfluss auf ihr Unternehmen.


Der Weg hin zum Digital Workspace ist doppelt gefährlich


Bei den zahlreichen Projekten zu Digitalisierung / Büro 4.0 und der offensichtlichen Umstellung auf eine zunehmend digitale Kommunikation darf aber eines nicht vergessen werden: Es gibt nicht nur die Datenrisiken beim Digital Workspace, bei den Smartphones, Tablets und Clouds. Auch die ganz klassischen Arbeitsgeräte und Arbeitsplätze tragen Risiken für personenbezogene Daten in sich und können zu Datenpannen führen. Die Aktenordner im Papiermüll sind nur ein Beispiel dafür.
Wenn es also um Datenschutz im digitalen Zeitalter geht, sollten Unternehmen immer auch daran denken, dass wir erst auf dem Weg hin zum Digital Workspace sind. Es ist gut möglich, dass es den komplett digitalen Arbeitsplatz nur in Einzelfällen geben wird. Deshalb müssen alle Maßnahmen zum Schutz personenbezogener Daten immer die klassische UND die digitale Arbeitswelt umfassen. Sonst werden die klassischen Datenrisiken übersehen – und damit zu einer wachsenden Gefahr.


Schätzen Sie digitale Gefahren im Büro 4.0 richtig ein? Testen Sie sich!


Frage: Die größten Risiken für die vertrauliche Kommunikation liegen im Internet. Stimmt das?


a. Ja, denn die klassische Kommunikation wird bei Weitem nicht so stark angegriffen.

b. Nein, jede Kommunikation muss geschützt werden, auch die klassischen Formen.

Lösung: Die Antwort b. ist richtig. Tatsächlich ist es sogar so, dass bestimmte Schutz-verfahren wie Verschlüsselung für papiergebundene Verfahren gar nicht verfügbar sind. Je nach Kommunikationsverfahren gibt es andere Risiken. Die Vertraulichkeit muss aber immer geschützt werden.


Frage: Die Digitalisierung bedroht den Datenschutz. Stimmen Sie dem zu?


a. Nein, nicht die Digitalisierung, sondern unzureichender Schutz und unvorsichtige Handlungen bedrohen die Daten, auch am klassischen Arbeitsplatz.

b. Ja, denn mit dem Internet kommen ganz neue Gefahren auf uns zu.

Lösung: Die Antwort a. ist richtig. Das Internet bringt zwar neue Datenrisiken mit sich, doch auch die klassischen Arbeitsverfahren können personenbezogene Daten in Gefahr bringen und Datenpannen verursachen. Der Schutzbedarf der Daten muss immer erfüllt werden, ganz gleich, ob am digitalen oder am klassischen Arbeitsplatz.
http://www.buero40.com

Montag, 15. August 2016

Data Breach Notification: Wichtig wegen unserer Kundendaten

Wer häufig mit Kundendaten zu tun hat, sollte diese Frage beantworten können: Was muss ich tun, wenn die Daten möglicherweise in die falschen Hände geraten sind? Typisches Beispiel: Ein Datenträger mit Kundendaten geht verloren.


Typische Ausgangslage: Ein Datenträger ist verschwunden!
Data Breach Notification ist sicher kein schöner Begriff, und viele verstehen ihn schlicht nicht. Aber ehrlich gesagt – ist „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ (so die Überschrift von § 42a Bundesdatenschutzgesetz) besser? Beides meint dieselbe Situation: Daten etwa von Kunden sind möglicherweise in die Hände von Unbefugten geraten. Das kann beispielsweise der Fall sein, wenn ein Laptop mit Kundendaten irgendwo liegen bleibt oder ein USB-Stick mit Daten nicht mehr zu finden ist.
Dann stellt sich die Frage, ob eine Datenschutzverletzung (Data Breach) vorliegt, über die eine Mitteilung (Notification) notwendig ist – an wen auch immer.

Data Breach Notification - Ist Ihr Unternehmen vorbereitet?


Mögliche Folge: Benachrichtigungspflichten


Schon seit einigen Jahren sieht das Bundesdatenschutzgesetz vor, dass in solchen Situationen unter bestimmten Voraussetzungen sowohl die Datenschutzaufsichtsbehörde wie auch die Betroffenen selbst benachrichtigt werden müssen. Die Einzelheiten sind kompliziert, aber damit muss sich der „Normalarbeitnehmer“ im Unternehmen nicht herumschlagen. Für ihn genügt es zunächst einmal, zu wissen, dass es eine solche Benachrichtigungspflicht je nach Situation geben kann.


Wichtig: rasche Information der Vorgesetzten bei Pannen!


Wichtig deshalb: Wenn ein Datenträger mit Kundendaten einfach nicht mehr zu finden ist, auf keinen Fall den Kopf in den Sand stecken! Das macht im Ernstfall alles nur schlimmer. Informieren Sie vielmehr zügig Ihre Vorgesetzten. Diese werden dann in aller Regel den intern oder extern bestellten Datenschutzbeauftragten einschalten. Dann lässt sich gemeinsam überlegen, was zu tun ist, um zusätzlichen Schaden zu vermeiden.


Meist maßvolle Reaktion der Datenschutzaufsicht


Die Aufsichtsbehörden für den Datenschutz reagieren bei frühzeitigen Meldungen, die nichts verschleiern, durchweg mit viel Augenmaß. Nur in ganz besonderen Extremfällen kommt es dazu, dass betroffene Kunden beispielsweise über Zeitungsanzeigen informiert werden müssen. Das hat es in Einzelfällen bei Kliniken gegeben, wenn sehr sensible Daten betroffen waren und nicht einmal ungefähr festzustellen war, um die Daten welcher Patienten es dabei ging. Im Normalfall akzeptieren es die Aufsichtsbehörden, wenn das Unternehmen selbst die konkret betroffenen Kunden individuell informiert.


Kunden oft verständnisvoller als gedacht


Kunden reagieren auf eine solche individuelle Benachrichtigung meistens sehr sachlich, manchmal sogar dankbar. Zu verärgerten Reaktionen kommt es normalerweise nur, wenn betroffene Kunden erst aus den Medien erfahren, dass etwas mit ihren Daten passiert sein könnte. Deshalb ist es wichtig, dass das Unternehmen die Situation möglichst von Anfang an selbst in der Hand hat. Dazu sind rasche interne Informationen notwendig, die man dann in geeigneter Form bei der Kommunikation mit betroffenen Kunden verwenden kann.


Künftig verschärfte Rechtslage


Nach der augenblicklichen Rechtslage müssen die Kunden und die zuständige Auf-sichtsbehörde nur informiert werden, wenn es um besonders sensible Daten geht. Bei-spiele hierfür sind etwa Daten, die der ärztlichen Schweigepflicht unterliegen, oder Daten zu Bank- und Kreditkartenkonten. Diese Einschränkung hat für die Praxis im Unternehmen allerdings eine eher geringe Bedeutung.
Zum einen lässt sich nicht immer leicht entscheiden, ob zumindest einzelne besonders sensible Daten betroffen sein könnten. Diese Einschätzung müssen Fachleute treffen. Zum anderen wird die Datenschutz-Grundverordnung der EU ab Mai 2018 hier eine neue Rechtslage bringen. Ab dann kommt es nicht mehr darauf an, ob es um besonders sensible Daten geht. Vielmehr sind dann Datenschutzverletzungen hinsichtlich aller Arten von Daten zu melden. Darauf sollte man sich schon jetzt einstellen.


Vorbeugende Maßnahmen nicht vergessen!


Am besten wäre es natürlich, wenn Datenschutzverletzungen erst gar nicht vorkommen. Vielleicht nehmen Sie diesen Beitrag zum Anlass, einen genaueren Blick auf Ihren Schreibtisch zu werfen. Liegen dort Datenträger ungesichert offen herum? Und wie sieht es eigentlich mit der Passwortsicherung für den Laptop und das Smartphone aus? Wenige Handgriffe können dafür sorgen, dass es erst gar nicht zu Problemen kommt.

Freitag, 12. August 2016

Internet of Things: Nicht die Dinge, sondern Sie selbst sind betroffen

Kennen Sie das Internet der Dinge? Ob ja oder nein: In jedem Fall wird das Internet der Dinge bald Sie kennen – und zwar besser, als Ihnen lieb sein dürfte.


Das Internet ist überall


Was haben Spielzeuge, Fitness-Tracker, Autos und Kühlschränke gemeinsam? Scheinbar nicht viel. In Wirklichkeit aber bilden sie eine Gemeinschaft: Sie gehören zum sogenannten Internet of Things, kurz IoT. Viele Geräte sind inzwischen mit dem Internet verbunden oder werden es bald sein, im Büro, im Haus, in der Garage. Ob man daheim, unterwegs oder in der Arbeit ist: Das Internet kommt überall mit.

Bild Nachweis: pexels-nature-laptop-outside-macbook


Das Internet hat Beine bekommen. Das wissen Unternehmen und Nutzer durch die beliebten Smartphones und Tablets. Nun haben aber auch andere Geräte einen Internetzugang, die früher nie mit dem Internet in Verbindung gebracht wurden: Uhren am Handgelenk, Kaffee-Automaten, die Heizung, Glühbirnen, Autoradios oder die Rollos am Bürofenster.

IoT ist ein Datenschutz-Problem


So mancher freut sich auf das Internet der Dinge, wenn der Firmen- oder Privatwagen mit dem Parkplatz kommuniziert und so automatisch eine freie Lücke findet oder wenn der Kaffee-Automat die Kaffee-Lieferung oder den Wartungsdienst bestellt. Aber viele machen sich auch Sorgen: Laut Umfragen bestehen die größten Bedenken, wenn es um den Schutz personenbezogener Daten geht.
Vielleicht sind Sie jetzt überrascht, was vernetzte Dinge im Internet mit personen-bezogenen Daten zu tun haben. Leider sehr viel. Denn die Dinge sind meist eng mit ihren Nutzern verknüpft. Das kann nicht nur der Fall sein, wenn sich die Smartwatch am Handgelenk befindet. Viele der vernetzten Geräte haben integrierte Sensoren und Funkschnittstellen. Sie können so den Nutzer vermessen oder andere Geräte des Nutzers erreichen.

Geräte-Tracking = Nutzer-Tracking


Zu den Informationen, die die Geräte austauschen und ins Internet übertragen, gehört oftmals auch der Standort des Geräts, der aber mit dem Standort des Nutzers identisch oder sehr ähnlich sein kann. Gelingt es also, ein Gerät einem Nutzer zuzuordnen, wird aus dem scheinbar harmlosen Orten von Dingen das Orten von Personen. Die Betroffenen sind sich aber häufig gar nicht bewusst, dass ihre Bewegungsprofile an den App-Anbieter oder den Gerätehersteller gesendet werden könnten.

„Dass zum Beispiel Jalousien, Beleuchtung, die Waschmaschine oder auch Hauskameras vernetzt, per Smartphone gesteuert und Abläufe programmiert werden können, ist für die meisten Menschen Neuland. Daher ist es umso wichtiger, dass technisch innovative Angebote wie Smart-Home-Systeme von vornherein so konzipiert werden, dass Verbraucherinnen und Verbraucher sich auf die Sicherheit und den Schutz ihrer Daten verlassen können müssen“, so der Rheinland-Pfälzer Verbraucherschutzminister Robbers. Da das bisher nicht der Fall ist, müssen wir alle als Nutzer genau auf unsere Daten achten, gerade im Internet der Dinge.

Donnerstag, 11. August 2016

Hessischer Datenschutzbeauftragter veröffentlicht 44. Tätigkeitsbericht 2015

Der Hessische Landes-Datenschutzbeauftragte Professor Dr. Michael Ronellenfitsch hat am Montag, 11. Juli 2016 seinen Tätigkeitsbericht 2015 zum Datenschutz vorgelegt.


Schwerpunkthemen, die Ronellenfitsch in seinem Bericht anspricht, sind u.a.:

  • EU-Datenschutzgrundverordnung
  • Umgang mit kostenlosen digitalen Haushaltsbüchern (Datenhaltung in der Cloud)
  • Erforderlichkeit von neuen Instrumentarien nach dem Wegfall des Safe-Harbor-Abkommens
  • Einsatz von Body-Cams, Dashcams
  • datenschutzgerechte, elektronische Antragstellung durch Einsatz des neuen Personalausweises über die integrierte eID-Funktion
  • E-Post-Brief der Deutschen Post AG
  • Videoüberwachung
  • Smart-TV
  • Auskunfteien und Bedingungen zum Umgang mit Daten
  • Einwilligungerklärungen


Der Bericht kann auf der Website des Hessischen Landesdatenschutzbeauftragten www.datenschutz.hessen.de/taetigkeitsberichte.htm heruntergeladen werden und wird von uns zur Lektüre empfohlen.

Montag, 1. August 2016

Lichtblick im Daten-Dschungel – Ratzgiwatz bei yourIT

Gleich zu Beginn der Kinderferienspiele 2016 in Hechingen war eine kleine Abteilung des Jugendprogramms zu Besuch beim ortsansässigen IT-Systemhaus yourIT. Der IT-Dienstleister optimiert normalerweise die IT-Prozesse mittelständischer Unternehmen und steigert damit langfristig deren Wettbewerbsfähigkeit im globalen Markt. Dazu prüfen die IT-Experten den Sicherheits-Status der IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für den Kunden besten Lösungen.


Heute nahm sich Thomas Ströbele, Geschäftsführer der yourIT, persönlich die Zeit, den 13- bis 16-jährigen Teilnehmern des Ratzgiwatz einen Einblick in die Themen Datenschutz & IT-Sicherheit zu geben.

Personenbezogene Daten – die neue Währung


Personenbezogene Daten wie z.B. Name, Adresse, Alter aber auch Aufenthaltsort und Gruppen-Zugehörigkeit verraten viel über den Betroffenen und sind kostbar. Für Unternehmen wie Facebook, WhatsApp & Co. bedeuten sie bares Geld, denn diese stellen diese zu Nutzerprofilen zusammen und verkaufen diese an Werbetreibende. Außerdem können die Daten von Datendieben missbraucht werden.

Gerade bei scheinbar „kostenlosen“ Apps riet der Datenschutzprofi zur Vorsicht. „Was keine Euros kostet, bezahlen wir am Ende mit unseren Daten. Nichts ist kostenlos!“

Was die Oma mit sozialen Medien zu tun hat

Manche der Teilnehmer waren zuerst der Meinung: Was soll’s, ich habe doch nichts zu verbergen! Aber das Internet vergisst nichts.

 „Erst denken – dann klicken!“, prägt Thomas Ströbele den jungen Zuhörern ein. „Ist ein Bild oder ein Text erstmal online, wird es meist sehr schwierig, es wieder zu löschen.“ Daher sollten sich die Jugendlichen am besten vor jeder Veröffentlichung kurz überlegen, was ihre Oma dazu wohl sagen würde. Die strikte Beachtung dieser „Oma-Regel“ würde manche Peinlichkeit vermeiden.

Licht im Datendschungel - Ratgiwatz bei yourIT

Außerdem: Je mehr Daten wir von uns verraten, umso weniger Kontrolle haben wir darüber. Datensparsamkeit zahlt sich aus und schützt vor bösen Überraschungen.

Das Recht am eigenen Bild


Jeder für sich allein hat das Recht zu entscheiden, welche Bilder von ihm veröffentlicht werden dürfen und welche nicht. Niemand darf also einfach so ein Bild von einem anderen in einem Sozialen Netzwerk hochladen.

„Was Du nicht willst, das man Dir tu, …


… das füg auch keinem anderen zu.“ Ströbele bat zur Fairness auch mit den Daten anderer. Die Teilnehmer sollten daher künftig keine Bilder, Filme oder private Infos von Freunden, Bekannten oder anderen Personen ins Netz stellen – es sei denn, sie hätten die ausdrückliche Erlaubnis erhalten. „Das ist ein Zeichen von Respekt!“

Vor Datenmissbrauch ist niemand geschützt. Alle Teilnehmer hatten bereits von Cyber-Mobbing-Fällen in ihrem persönlichen Umfeld gehört. Wenn jemand im Internet unerwünschte Daten, Infos oder Bilder von sich findet, ist es wichtig, dass er Beweise sichert und sofort dagegen vorgeht.

Der Datenschutzexperte nannte Adressen, an die man sich im Ernstfall vertrauensvoll wenden kann. Er empfahl auch, sich regelmäßig über seinen „Online-Ruf“ zu informieren, indem man „googelt“, was andere über einen veröffentlicht haben.

Passwortsicherheit - Wie merkt man sich W3Fr3$0$pduN8AC?


Ein gutes Passwort ist das A und O der IT-Sicherheit. Doch wie erstellt man sich ein mindestens 12-stelliges Passwort aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen und merkt es sich ohne es aufzuschreiben? Die Ratzgiwatz-Betreuer waren überrascht, dass einige der Kids hier offenbar besser Bescheid wissen als sie selbst. Dabei nehmen sie Merksätze, Gedichte und Musiktitel zu Hilfe. Aus jeweils den ersten beiden Buchstaben der ersten 5 Wörter von Goethes Gedicht „Erlkönig“ ersetzen sie bestimmte Buchstaben durch Zahlen und Sonderzeichen und fügen die Buchstaben FAC für Facebook ein: Voilà ein unknackbares Passwort mit 15 Stellen, das man sich ohne aufschreiben merken kann und das sich auch für weitere Websites problemlos verwenden lässt.

Dass man solche komplexen Passwörter niemandem weitergibt – auch nicht seinem besten Freund – versteht sich von selbst.

Thomas Ströbele gab zum Schluss noch ein paar Tipps, wie die Jugendlichen ihr Smartphone mittels Anti-Virenprogramm absichern sollten, weshalb es absolut notwendig ist, WLAN- und Bluetooth immer auszuschalten, wenn man es nicht braucht und dass Sicherheitsupdates des Betriebssystems unbedingt regelmäßig durchgeführt werden müssen, um neu bekannt gewordene Sicherheitslücken schnellstmöglich zu schließen. Auch vor den in 2016 besonders gefährlichen Erpressungstrojanern warnte Ströbele noch ausdrücklich. Dann waren die 3 Stunden auch schon wieder vorbei, und die Kids gingen zurück zum Ratzgiwatz-Treffpunkt.

Das Fazit von Thomas Ströbele fiel kurz aus: „Wenn jeder der jungen Teilnehmer nur 3 Punkte von den heute erfahrenen umsetzt, hat sich der Besuch bei yourIT schon gelohnt. Vielleicht sehen wir den einen oder anderen ja bei künftigen Ferienspielen wieder – oder wenn sie sich bei uns mal als Azubis bewerben. Wir freuen uns jetzt schon drauf!“





Terminhinweis für die Vertreter der Presse:



Falls Sie einen solchen Datenschutzkurs für Ferienspiel-Teilnehmer live erleben wollen, laden wir Sie gerne am Donnerstag 04.08.2016 von 13-16 Uhr nach Starzach-Bierlingen in das Bürgerhaus ein. Dort habe ich mich bereiterklärt, mit den 9-12-jährigen über Datenschutz & IT-Sicherheit zu sprechen. Wir haben fast 25 Anmeldungen erhalten.