Freitag, 9. Dezember 2016

Websites ohne Datenschutzerklärung holt das Abmahn-Monster

Das OLG Hamburg hat bereits am 27.06.2013 entschieden, dass fehlende Datenschutzerklärungen auf Websites abgemahnt werden können. Betroffen sind nicht nur die Webshop-Betreiber sondern wirklich ALLE Website-Betreiber. Dass immer noch viele Websites keine Datenschutzerklärung beinhalten zeigt leider, dass diese wichtige Information noch nicht bis zu deren Betreibern durchgedrungen ist.


Wer kann heute noch von sich behaupten, dass er den vollen Überblick hat über das geltende Internetrecht? Eine Hand voll Urteile sticht aus der immer komplexer werdenden Informationsdichte hervor, die nicht nur wenige sondern viele oder sogar jeden betreffen. Dazu gehört sicherlich das Urteil des OLG Hamburg vom 27.06.2013 Az. 3 U 26/12, nach dem fehlende Datenschutzerklärungen abmahnfähig sind.

Website ohne Datenschutzerklärung? Das Abmahn-Monster lauert schon!
Website ohne Datenschutzerklärung? Das Abmahn-Monster lauert schon!

Eine Datenschutzerklärung ist Pflicht


Während die Impressums-Pflicht nach § 5 TMG heute fasst Jedermann ein Begriff ist, wissen deutlich weniger Menschen, dass nahezu alle Webseiten zusätzlich eine rechtskonforme Datenschutzerklärung im Sinne von § 13 TMG enthalten müssen.

Hierzu ein Auszug aus dem TMG:


§ 13 Pflichten des Diensteanbieters

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein."

Intertessant: Datenschutzverstöße waren bislang nicht abmahnbar


Für die bisherige Nichtbeachtung der Datenschutzerklärungs-Pflicht gibt es einen Grund: Verstöße gegen § 13 TMG wegen fehlender Datenschutzerklärungen wurden bis zu diesem Urteil nicht als abmahnbare Wettbewerbsverletzungen eingeordnet. Verantwortlich dafür war, dass die Rechtsprechung bis 2013 einen Wettbewerbsbezug von § 13 TMG ablehnte. Es konnte also nicht nach UWG abgemahnt werden. Dadurch verkam die Pflicht zur Einbindung einer Datenschutzerklärung zum berühmten "zahnlosen Papiertiger".

Achtung: Fehlende, fehlerhafte und unvollständige Datenschutzerklärungen sind jetzt abmahnfähig


Das OLG Hamburg (Urteil vom 27.06.2013, Az. 3 U 26/12) urteilte, dass § 13 Abs. 1 TMG sehr wohl eine Marktverhaltensregel darstellt. Dies hat zur Folge, dass fehlende oder fehlerhafte Datenschutzerklärungen nun einen abmahnfähigen Wettbewerbsverstoß darstellen..

Hier der maßgebliche Teil der Urteilsbegründung zu § 13 TMG:


„Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Missachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d).“

Urteil 2015 bestätigt: Das Landgericht Köln teilt die Auffassung des OLG Hamburg


Das Landgericht Köln sieht im Fehlen einer Datenschutzerklärung ebenfalls einen abmahnfähigen Wettbewerbsverstoß (LG Köln, Beschluss vom 26.11.2015, Az. 33 O 230/15).

Das gilt nicht nur für Webshops. ALLE Webseiten-Betreiber sind betroffen!


Wer jetzt glaubt, er wäre nicht betroffen, da er keinen Webshop betreibt, liegt leider daneben. Wer eine Webseite betreibt auf der personenbezogene Daten verarbeitet werden, der muss dort über eine sofort auffindbare richtige und vollständige Datenschutzerklärung verfügen. Eine fehlende, falsche oder unvollständige Datenschutzerklärung kann somit ab sofort und wird vermutlich früher oder später abgemahnt werden.

Neu seit 2016: Abmahnungen auch durch Verbraucherschutz- und Wettbewerbsverbände


Im Februar 2016 ist das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft getreten. Dadurch muss jetzt nicht mehr der Betroffene selbst aktiv werden, sondern jetzt können also auch Verbraucherschutz- und Wettbewerbsverbände Verstöße im Datenschutz abmahnen - auch fehlende, falsche oder unvollständige Datenschutzerklärungen. Wenn sich das erstmal herumgesprochen hat, ist mit einer regelrechten Abmahnwelle zu rechnen.

Soweit muss es nicht kommen: Handlungsempfehlungen von yourIT


Abmahnungen sind ärgerlich - vor allem, wenn man diese hätte vermeiden können. Was ist zu tun? Wenn Sie Betreiber einer Website oder Internetpräsenz sind, sollten Sie sich schnellstmöglich vergewissern, ob Ihr Webauftritt über eine rechtskonforme, vollständige und fehlerfreie Datenschutzerklärung verfügt. Diese sollte den tatsächlichen Umgang mit personenbezogenen Daten beschreiben. Außerdem muss die Datenschutzerklärung über

Wenn Sie keine Datenschutzerklärung auffinden können, besteht dringender Handlungsbedarf. Dann besteht jederzeit das Risiko, dass Mitbewerber und Verbände Sie auf Unterlassung und Erstattung von Abmahnkosten in Anspruch nehmen.

Wenn Sie eine Datenschutzerklärung auf Ihrer Internetpräsenz finden, sollten Sie prüfen, ob diese vollständig und rechtskonform ist. Um eine auf ihr Angebot passende Datenschutzerklärungen zu erstellen, können Sie auch einen Generator verwenden, z.B. den kostenlosen Generator des Kollegen Thomas Schwenke.

Finger weg von kostenlosen Datenschutzerklärungs-Generatoren


Im Internet finden sich zahlreiche kostenlose Muster-Datenschutzerklärungen und auch sogenannte Generatoren für Datenschutzerklärungen. Die Aufsichtsbehörden stehen „Instant-Datenschutzerklärungen“ aus dem Editor eher skeptisch gegenüber. Zumindest Unternehmer sollten das Gespräch mit einem Datenschutz-Berater dem kostenlosen Muster vorziehen.

Marketing mit Datenschutz nicht vergessen


Ja, Datenschutz kann auch für Marketing und Werbung genutzt werden. So lange Ihr Mitbewerb in Sachen Datenschutz noch schläft, sollten Sie Ihr Engagement in Sachen Datenschutz als Marketinginstrument einsetzen. Wie das funktioniert und auf was Sie achten sollten, erklären Ihnen gerne die Datenschutz-Berater der yourIT in einem ersten kostenlosen Gespräch.

Sie möchten wissen, wie wir das bei anderen Kunden bereits gewinnbringend umgesetzt haben? Dann fordern Sie unser Whitepaper an. Schreiben Sie uns dazu eine E-Mail mit dem Betreff Datenschutzerklärung an info@yourIT.de.

Donnerstag, 8. Dezember 2016

Nachgedacht: Weshalb für yourIT-Kunden "Privacy by Design" ein alter Hut ist

Als erfahrener Datenschutz-Berater halte ich derzeit Vorträge bei der IHK, vor internen Datenschutzbeauftragten, etc. zum Thema EU-Datenschutzgrundverordnung (EU-DSGVO). Zwei der dabei am heißesten diskutierten Neuerungen sind die Themen "Privacy by Design" und "Privacy by Default".


Im Prinzip soll ein IP-Geräte-Hersteller durch die Einhaltung der 7 Grundprinzipien
1. proaktiv statt reaktiv
2. "Privacy by Design"
3. Einbettung ins Design
4. Volle Funktionalität und Datensicherheit
5. Betrachtung des gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz
7. Anwenderorientierte Gestaltung
Datenschutz & Informationssicherheit seiner Produkte fördern.


Aber was ist daran neu? Einer unserer Kunden hat dieses Thema bereits 2010 aufgreifen müssen, als einer seiner größten Kunden die eingestetzen Produkte durch eine Schwachstellenanalyse als extrem risikoreich weil schwachstellenbelastet identifiziert hat.

Das selbe Ergebnis erzielen derzeit Tests im Bereich Industrie 4.0 oder Internet of Things (IoT). Auch hier wird in Schwachstellenscans auf bereits ausgelieferte Produkte festgestellt, dass diese so voller Schwachstellen sind, dass diese so hätten nie in den Verkauf gelangen dürfen. Die IP-Geräte werden vom Hersteller weiterhin als Kühlschrank, Drucker oder Waage betrachtet und nicht als das was Sie eigentlich sind: Potentielle Einfallstore für Hackerangriffe.

Welche Auswirkung diese Risiko-Ignoranz hat durften wir erst neulich am 27.11.2016 beim großen Hacker-Angriff auf die Telekom erlebt. Dort wurden mal schnell 900.000 IP-Geräte - in diesem Fall Speedport-Router - lahmgelegt, die eine bestimmte Schwachstelle aufwiesen. Privacy by Design ist bisher nicht annähernd der Standard.

Klar: Wenn wir bei einem Kunden draußen z.B. im Rahmen eines IT-Security-Audits eine Schwachstellenanalyse durchführen, dann klammern wir Drucker und Telefone auf Wunsch des Kunden auch mal aus der Map der zu scannenden IPs aus. Im Bezug auf "Industrie 4.0" und das Internet of Things (IoT) ist aber durchaus intereessant, sich mal ein Bild wirklich aller IPs seines Netzwerks zu machen.

Unser Kunde hat damals äußerst professionell gehandelt und zielstrebig nach einer Schwachstellen-Testumgebung gesucht. Dabei ist er auf das auf IT-Sicherheits-Lösungen spezialisierte und mittlerweile ISO-27001-zertifiziertes IT-Systemhaus yourIT GmbH  gestoßen. Wir haben bei unserem Kunden diese Schwachstellen-Testumgebung aufgebaut mit der unser Kunde nun bereits das fünfte Jahr in Folge für "Privacy & Security by Design" bei seinen Produkten sorgt. Seither verlässt kein IP-Gerät mehr ungeprüft und ungepatcht das Werk. Die Käufer erhalten auf Wunsch einen Auszug aus dem Scan-Protokoll.

Weshalb ich das hier schreibe: Falls es da draußen den einen oder anderen IP-Geräte-Hersteller gibt, der für günstiges Geld eine Schwachstellen-Testumgebung für seine künftigen "Privacy-by-Design" und "Privacy by Default" -Produkte haben sollte: Wir haben die "Privacy-by-Design-Schwachstellen-Testumgebung" bei unserem Kunden seit fast 5 Jahren erfolgreich im Einsatz. Wir würden uns zutrauen, so etwas kurzfristig auch in Ihrem Unternehmen aufzubauen. Fragen Sie uns einfach an. Wir freuen uns, wenn wir Ihnen beim Erreichen der Vorgaben der EU-DSGVO mit unserer Lösung weiter helfen können.

Insofern: Gute Besserung - mit "Privacy by Design" & "Privacy by Default" - made by yourIT!

Jeder Dritte sucht während der Arbeitszeit einen neuen Job - Ist das erlaubt?

Während der Arbeitszeit privat surfen - das hat wohl jeder von uns schon einmal gemacht: Dies gilt vielen – insbesondere den Arbeitnehmern – als eine Art Kavaliersdelikt.
Doch Vorsicht, Sie vergeuden damit Arbeitszeit, die ihr Chef bezahlt. Dem würde es sicher nicht gefallen, wenn er wüsste, was seine Leute online so treiben: Laut einer aktuellen Umfrage des Onlinejobportals Monster unter 2000 Angestellten, verbringen 16 Prozent mehr als fünf Arbeitsstunden pro Woche mit der Suche nach einer neuen Arbeitsstelle im Netz.
Dabei lässt sich der Aufwand und die Gefahr dabei erwischt zu werden ganz einfach vermeiden:
Bewerben Sie sich jetzt einfach bei yourIT. Dann hat die riskante Suche ein für alle Mal ein Ende!
Stellenanzeige yourIT Systemadministrator / Consultant Datenschutz & Informationssicherheit
Stellenanzeige yourIT Systemadministrator / Consultant Datenschutz & Informationssicherheit

Samstag, 12. November 2016

15 simple Datenschutz-Regeln, die jeder Arbeitnehmer an seinem Büro-Arbeitsplatz beachten sollte

Personenbezogene und/oder vertrauliche Daten werden heutzutage überall im Unternehmen verarbeitet. Ein Mindestmaß an Sicherheit ist deshalb an allen Stellen gefordert. Hier 15 einfache Datenschutz & Informationssicherheits-Grundregeln, die Sie als Mitarbeiter mindestens beachten sollten:


15 simple Datenschutz-Regeln für 90% Sicherheit an Ihrem Arbeitsplatz
15 simple Datenschutz-Regeln für 90% Sicherheit an Ihrem Arbeitsplatz

  1. Auch beim kurzfristigen Verlassen Ihres Büros den PC sperren (Sperren geht auf Windows Rechnern am schnellsten mit der Tastenkombination “Windows” + “L” für “Lock” oder mit Ctrl-Alt-Entf danach Enter.);
  2. Wenn möglich Ihr Büro verschließen und die Schlüssel zum Büro, Schreibtisch usw. sicher verwahren. Ihre Schlüssel nicht mit Aufschriften oder Anhängern kennzeichnen, aus denen hervorgeht, zu welchem Schloss sie passen (Nutzen Sie stattdessen farbliche Markierungen, die Ihnen helfen, mehrere Schlüssel schnell richtig zuzuordnen, die im Verlustfall für Dritte jedoch keinen Informationswert besitzen.);
  3. Stellen Sie sicher, dass sich Besucherinnen und Besucher nur in Ihrem oder im Beisein anderer Mitarbeiters im Büro aufhalten; achten Sie darauf, dass Besucher/innen keine personenbezogenen und/oder vertraulichen Daten zur Kenntnis nehmen können;
  4. Keine Papier-Fehlkopien oder Fehldrucke mit personenbezogenem und/oder vertraulichem Inhalt in den Papierkorb entsorgen; Stattdessen Unterlagen mit personenbezogenen Daten, die nicht mehr benötigt werden, vom übrigen Papierabfall getrennt in Ihrem Büro sammeln und alsbald vernichten (Schredder bzw. Aktenvernichtung – dabei sind die Aufbewahrungsfristen zu beachten);
  5. Ihr Passwort sorgfältig auswählen, geheim halten und nicht aufschreiben;
  6. Darauf achten, dass der Bildschirm so ausgerichtet ist, dass kein Unbefugter/Besucher die Daten auf dem Bildschirm lesen kann (Fenster oder Tür).
  7. Nur die personenbezogenen und/oder vertraulichen Daten verarbeiten, die Sie für Ihr Aufgabengebiet benötigen und möglichst keine personenbezogenen Daten auf der Festplatte Ihres PCs speichern (dafür sind die Netzlaufwerke bzw. falls vorhanden das Dokumentenmanagementsystem vorgesehen;
  8. Regelmäßig prüfen, welche Daten Sie nicht mehr benötigen und diese dann löschen – dabei sind die Aufbewahrungsfristen zu beachten;
  9. Personenbezogene und/oder vertrauliche Daten nur dann auf Datenträger (CD-ROM/DVD, USB-Sticks etc.) oder Cloud-Laufwerke kopieren, wenn dies unumgänglich ist und Verschlüsselung einsetzen; Datenträger und Papier-Unterlagen mit vertraulichem oder personenbezogenem Inhalt bei Abwesenheit unter Verschluss halten (Schrank, Schreibtisch);
  10. “alte” oder defekte Datenträger (Festplatten, USB-Sticks usw.) nicht einfach wegwerfen, sondern sie beim Administrator zur zentralen Vernichtung abgeben;
  11. Denken Sie auch darüber nach, ob Sie Festplatten (z.B. im Wartungsfall) aus der Hand geben dürfen;
  12. Keine Privatnutzung von E-Mail, Internet, Telefon, etc. Private Software oder private Datenträger haben im Büro-Netzwerk nichts zu suchen; das Gleiche gilt für unbekannte zusätzliche Rechner (mobile oder stationäre);
  13. Auf mobilen PC, Festplatten verschlüsseln;
  14. Personenbezogene und/oder vertrauliche Daten niemals unverschlüsselt per E-Mail versenden.
  15. Zum Schutz vor Viren und Erpressungstrojanern immer erst denken und dann klicken; eine kostenlose Mitarbeiter-Checkliste "So schütze ich unsere IT vor Viren und Trojanern finden Sie hier zum Download.



Unglaublich, aber allein durch die Einhaltung dieser 15 simplen Datenschutz &Informationssicherheits-Regeln erhöhen Sie die Sicherheit Ihres Arbeitsplatzes auf 90%.

Freitag, 11. November 2016

Datenschutz ist doch kein zahnloser Papiertiger - WhatsApp stoppt Datenweitergabe an Facebook

Ende August 2016 hatte WhatsApp angekündigt, künftig Nutzerdaten an die Konzernmutter Facebook weiter zu geben. Wir berichteten auf diesem Blog.




Die massive Kritik von Seiten der Datenschützer an diesem Vorhaben zeigt nun Wirkung: Daten von europäischen WhatsApp-Nutzern werden nicht an Facebook weitergegeben - vorerst zumindest.

Der vorläufige Stopp solle den Datenschützern die Möglichkeit geben, ihre Sorgen vorzubringen. Danach will Facebook diese abwägen, erklärte das weltgrößte Online-Netzwerk am Mittwoch.

Für langjährige Kämpfer für den Datenschutz ist schon dieses Einlenken von Facebook ein kleiner Erfolg. Immerhin ist es noch nicht lange her, da hätte Facebook sich keinen Deut um die Sorgen der Datenschützer geschert. Der deutsche Datenschutz ist wohl dovh mehr als ein zahnloser Papiertiger. Und auch die EU-Datenschutzgrundverordnung EU-DSGVO wird den rücksichtslosen Datenkraken ihre Krallen spüren lassen.

Dafür werden wir schon sorgen.

Einladung zum Vortrag bei der IHK Reutlingen


Vortrag zur EU-Datenschutzgrundverordnung #DSGVO am Dienstag 15.11.2016 ab 13:30 Uhr


Gemeinsam mit der IT-Rechtsanwältin Dr. Anke Thiedemann referiert Thomas Ströbele, Geschäftsführer der yourIT und Berater für Datenschutz und Informationssicherheit zu den Neuerungen der EU-DSGVO und zur praktischen Umsetzung in mittelständischen Unternehmen.

Dienstag 15.11.2016 ab 13:30 Uhr bei der IHK in Reutlingen



Das sollten Sie nicht verpassen!

Dienstag, 4. Oktober 2016

Licht in die Schatten-IT: Warum Absprachen mit der IT wichtig sind

Wenn Sie selbst die Software auswählen und installieren, die Sie brauchen, ist das keine Unterstützung für die IT-Administration, sondern eine Gefahr für vertrauliche Daten.


Wenn die richtige Software fehlt


Dank der IT wird vieles einfacher, so heißt es jedenfalls. Doch nicht immer passt die verfügbare Software oder Hardware zu den aktuellen Aufgaben. Mitunter scheint sich die vorhandene IT überhaupt nicht für die täglichen Aufgaben im Büro zu eignen. Vielleicht ist es Ihnen auch schon so gegangen, dass Sie am liebsten eine andere IT-Lösung gehabt hätten.

yourIT - Wir bringen Licht in Ihre Schatten-IT
yourIT - Wir bringen Licht in Ihre Schatten-IT


Einige Anwender melden ihre IT-Probleme bei den IT-Administratoren, andere sprechen ihre Vorgesetzte oder ihren Vorgesetzten an. So mancher Nutzer wird selbst aktiv, sucht sich einfach im Internet die passende Lösung und setzt sie im Unternehmen ein.

Was wie eine gute Idee und Unterstützung für die IT-Abteilung aussieht, ist sehr riskant. Kaum etwas fürchten IT-Administratoren mehr als den eigenmächtigen Anwender. Die IT, die Nutzer selbst installieren, wird auch Schatten-IT genannt – aus gutem Grund.

Im Schatten lauern Gefahren


Die Schatten-IT ist die IT, die die Administratoren nicht so einfach oder gar nicht sehen können. Anders gesagt, es ist die IT, von der die IT-Abteilung nichts weiß und um die sie sich deshalb nicht kümmern kann. Wenn Sie jetzt denken „Macht ja nichts, ich kümmere mich selbst um die Lösungen, die ich zusätzlich brauche oder besser gebrauchen kann“, übersehen Sie, dass die IT-Sicherheit nicht jede Form von IT im Unternehmen schützt.

Damit zum Beispiel eine Software automatisch aktualisiert wird, muss sie zum einen entsprechend eingestellt werden. Sie muss in der Patch-Verwaltung vorgesehen sein, und das Herunterladen der Patches oder Fehlerbehebungen muss an der Firewall des Unternehmens erlaubt werden, um nur einige Schritte zu nennen, die Administratoren machen. Nicht zuletzt müssen sie die Patches auf Schadsoftware prüfen.

Installiert der Anwender seine Tools selbst, kann es passieren, dass die Antiviren-Software des Unternehmens sie nicht überprüft – mit massiven Folgen für Datensicherheit und Datenschutz.

Die Schatten-IT beginnt bereits bei einzelnen Apps


Die Schatten-IT beginnt nicht erst dann, wenn ein Mitarbeiter Online- oder Cloud-Dienste im Internet nutzt, die nicht betrieblich frei-gegeben sind. Es geht auch nicht nur um die Office-Lösung, die man auf dem betrieblich genutzten Notebook nachinstalliert, weil man diese oder jene Anwendung bevorzugt.

Bereits eine einzelne, kleine Smartphone-App ist Schatten-IT, wenn sie auf einem betrieblich genutzten Smartphone installiert wird, selbst wenn das mobile Endgerät dem Nutzer gehört, er es aber für das Unternehmen einsetzt.

Ist die eigenmächtig installierte App verseucht oder spioniert sie Daten aus, können schnell Firmendaten oder personenbezogenen Daten in falsche Hände gelangen. Betriebliche IT-Sicherheitslösungen werden das oftmals nicht verhindern können. Denn sie kontrollieren nicht ohne weiteres Apps, die der Nutzer in Eigenregie installiert.

Sprechen Sie sich mit der IT ab!


Denken Sie deshalb daran: Brauchen Sie andere IT-Lösungen oder kennen Sie Lösungen, die besser für Ihre Aufgaben geeignet erscheinen, dann sprechen Sie mit der Person, die Ihnen Ihre IT-Ausstattung übergeben hat, mit der IT-Administration oder mit Ihrer Führungskraft.

Alleingänge sind gefährlich (und können sogar arbeitsrechtliche Konsequenzen haben). Im Schatten können Gefahren lauern, die man übersieht. Das gilt auch für die Schatten-IT.

Welche Risiken bringt die Schatten-IT mit sich?


Frage: Die IT-Sicherheitslösungen Ihres Unternehmens schützen die gesamte IT. Stimmt das?


  • a. Ja, natürlich, sonst hätte die IT-Abteilung etwas falsch gemacht.
  • b. Nein. Es kann sein, dass die IT, die die Nutzer ohne Beteiligung der IT-Abteilung einsetzen, ungeschützt bleibt. 

Lösung: Die Antwort b. ist richtig. Die sogenannte Schatten-IT ist der IT-Abteilung nicht bekannt. Deshalb kann sie sie im IT-Sicherheitskonzept auch nicht berücksichtigen. Von einem automatischen Schutz kann man nicht ausgehen.

Frage: Nutze ich eine Cloud-Lösung aus dem Internet, besteht keine Gefahr für die interne IT. Deshalb sind keine Freigaben für Cloud-Lösungen nötig. Stim-men Sie zu?


  • a. Für die IT-Sicherheit stimmt das. Denn Gefahren in einer Cloud sind ja nicht im betrieblichen Netzwerk vorhanden.
  • b. Nein. Denn jede IT-Nutzung kann zum Risiko werden, wenn die IT-Sicherheit nicht stimmt, auch bei Cloud-Lösungen.

Lösung: Die Antwort b. ist erneut richtig, denn Cloud-Lösungen sind als Teil der IT zu sehen. Gefahren aus der Cloud bedrohen die Daten des Unternehmens und können auch das interne Netzwerk betreffen. Ganz gleich, um welche IT es geht, ob Smartphone, App, Cloud oder etwas anderes, ohne Freigabe darf IT nicht eingesetzt werden.

Eigenmächtig installierte oder genutzte IT gehört zur Schatten-IT, die das Datensicherheitskonzept des Unternehmens nicht ohne Weiteres berücksichtigt. Deshalb bedroht Schatten-IT den Datenschutz und die Informationssicherheit im Unternehmen.

Dienstag, 27. September 2016

Darknet – das böse Internet

Gibt es außer dem Internet, das wir täglich nutzen, wirklich noch ein zweites, dunkles Internet, das Darknet? Oder ist das nur eine von den vielen Verschwörungstheorien, die derzeit im Umlauf sind?

Werkzeuge für gute und schlechte Absichten


Dass man fast alle Dinge auf der Welt für gute und für schlechte Taten benutzen kann, ist jedem klar. Dafür gibt es viele Beispiele. So kann man ein Auto benutzen, um Freunde zu besuchen oder in den Urlaub zu fahren. 

Und ein Notarztfahrzeug ist eigentlich ausschließlich dazu da, Menschen zu retten. Das ändert aber nichts daran, dass man sogar damit einen Menschen absichtlich töten kann, ohne jeden Grund und einfach so.

Mit dem Internet ist es im Ausgangspunkt nicht anders. Man kann hier Freundschaften pflegen, Informationen besorgen und beispielsweise Urlaubsziele aussuchen. Aber natürlich lassen sich auch mit dem Instrument „Internet“ Straftaten begehen.

yourIT Datenschutz - Darknet
yourIT Datenschutz - Darknet

Das „Tatmittel Internet“


Deutlich wird das etwa in den polizeilichen Kriminalstatistiken. Hier gibt es einen eigenen Bereich mit der Überschrift „Tatmittel Internet“. Niemand wird überrascht sein, dass dort Betrügereien auftauchen, die Kriminelle mithilfe des Internets begehen. 

Ein aktuelles Beispiel: Auf einer Webseite wird so getan, als hätte jemand eine Ferienwohnung anzubieten. Sobald er genügend Vorauszahlungen eingesammelt hat, ist die Webseite verschwunden. 

Die Ferienwohnung hat es natürlich in Wirklichkeit nie gegeben. Sogar die Bilder von der angeblichen Wohnung waren von anderen Webseiten gestohlen, das heißt von dort illegal kopiert.

Wirklich übel: das „echte Darknet“


Ärgerlich, manchmal auch schlimm für die Betrogenen. Aber solche Dinge hat es ohne das Internet auch früher schon gegeben. Das Internet macht solche Straftaten manchmal nur viel leichter. 

Das Darknet, also das ausschließlich dunkle Internet, muss aber etwas anderes sein, das ahnt man bei solchen Beispielen sofort. Und so ist es auch. Tatsächlich gibt es Bereiche im Internet, die ausschließlich kriminellen Zwecken dienen und mit denen ein Normalbürger nie zu tun hat. 

Dort geht es nur um Waffenhandel, Rauschgift und Schlimmeres. Über einen solchen Bereich des Internets haben sich zum Beispiel auch islamistische Attentäter Waffen besorgt.

Kein Zugang über normale Suchmaschinen


Wer sich nicht genau vorstellen kann, wie so etwas funktioniert, sollte einmal kurz darüber nachdenken, wie er eine Seite im Netz findet. Dazu ist eine Suchmaschine nötig, beispielsweise Google. Viele glauben, dass solche Suchmaschinen alles finden, was es im Netz gibt. 

So einfach ist es jedoch nicht. Eine Suchmaschine findet nur die Seiten, an die sie andocken kann. Und natürlich lässt sich eine Seite auch so programmieren und einrichten, dass dies nicht gelingt. Dann finden sie jedenfalls die gängigen Suchmaschinen nicht.

Zugangscodes und anonymisierte Kommunikation


Hier bietet sich dann ein Anknüpfungspunkt für kriminelle Aktivitäten. Eine Webseite wird so eingerichtet, dass sie nur jemand findet, der die genaue Adresse kennt und das macht die ganze Sache noch ein Stück perfekter der einen Zugangscode eingeben kann, nach dem die Seite fragt.

Die Adresse und den Zugangscode müssen die Beteiligten auf irgendeinem Weg vorher untereinander austauschen. Dafür bieten sich spezielle Seiten in sozialen Netzwerken an. Sie sind ebenfalls so ausgestaltet, dass man nicht „einfach so“ hineinkommt, sondern erst, wenn man auf Anfrage zugelassen wird.

Zusätzlich ist es denkbar, dass die Kommunikation über ein Netzwerk erfolgt, das Verbindungsdaten anonymisiert. Besonders das Netzwerk Tor wird in diesem Zusammenhang oft genannt.
Bedenken sollte man dabei, dass es für viele Menschen auf der Welt äußerst wichtig ist, nur über Netzwerke zu kommunizieren, in denen sie anonym bleiben können. 

Man denke etwa an Oppositionelle in Diktaturen. Solche Netzwerke sind also nicht automatisch böse oder gar kriminell. Sie lassen sich aber leicht in kriminelle Aktivitäten „einbauen“.

Unter Beobachtung des Bundeskriminalamts


All dies zeigt, dass man in das Darknet nicht einfach so durch Zufall hineingerät. Wer dort anzutreffen ist, will ganz bewusst dort sein und braucht einige Kenntnisse über die Funktionsweise des Internets.


Niemand muss also befürchten, beim Surfen versehentlich in den dunklen Teil des Internets hineinzugeraten. Ernst zu nehmen ist er aber trotzdem. Aus gutem Grund spielt das Darknet eine große Rolle im Bundeslagebild Cybercrime, das das Bundeskriminalamt (BKA) jedes Jahr veröffentlicht.

Montag, 26. September 2016

Download von Schadsoftware am Arbeitsplatz - Finger weg von der Privatnutzung

Ein Arbeitnehmer surft an seinem Arbeitsplatz immer wieder privat im Internet. Nur in den Pausen natürlich. Er weiß genau, dass die Unternehmensleitung privates Surfen verboten hat. Aber auch die Vorgesetzten wissen Bescheid. Und bisher hat keiner etwas dagegen gesagt. Eines Tages läuft es aber ziemlich schlecht: Der Mitarbeiter lädt sich eine Software herunter und speichert sie auf dem Dienst-PC. Dabei fängt er sich aggressive Schadsoftware ein. Der PC liegt lahm. Bekommt er jetzt Ärger?


Ein (Datenschutz-) Verstoß mit Folgen


Es war zwar offiziell verboten, aber im Alltag störte es niemanden, auch keinen Vorgesetzten. Und das übrigens ausgerechnet in einem Sachverständigenbüro für Kriminaltechnik. Deshalb nutzte ein Mitarbeiter in den Pausen das Internet immer wieder privat.

Eines Tages installierte er eine Software auf seinem Dienst-PC, mit der man Tondateien verkleinern kann. Für seine Arbeit braucht er diese Software nicht. Leider fing er sich beim Herunterladen einen ganzen Rattenschwanz an Schadsoftware ein. Der PC lag still. Ein Fachmann musste ihn wieder in Gang bringen. Das kostete den Arbeitgeber 865 Euro.

Verbotene Privatnutzung mit Folgen - Arbeitsplatz und Geld sind weg
Verbotene Privatnutzung mit Folgen - Arbeitsplatz und Geld sind weg

Schadensersatz und fristlose Kündigung


Dieses Geld will der Arbeitgeber jetzt von seinem Arbeitnehmer zurück. Außerdem hat er ihm fristlos gekündigt. Begründung: Verstoß gegen das Verbot, das Internet am Arbeitsplatz privat zu nutzen!

Der Arbeitnehmer wehrt sich


Der Arbeitnehmer fühlte sich im falschen Film. Kann es sein, dass die Unternehmensleitung Verstöße gegen dieses Verbot erst toleriert – wenn dann aber mal etwas passiert, gleich grob wird? Das wollte er nicht glauben. Deshalb klagte er gegen die Kündigung. Außerdem weigerte er sich, die 865 Euro zu zahlen. Schließlich – so dachte er sich – muss man für Fehler am Arbeitsplatz doch im Normalfall überhaupt nicht haften. Auch wenn es einen Schaden gibt.

Fiasko bei Gericht


Mit dieser Haltung hatte er beim Landesarbeitsgericht Mainz allerdings gleich doppelt Pech: Erstens bestätigte das Gericht die fristlose Kündigung. Zweitens verurteilte es ihn dazu, die 865 Euro zu zahlen. Für beides nennt das Gericht gute Gründe.

Fristlose Kündigung bestätigt


Was die fristlose Kündigung angeht, spielt es aus der Sicht des Gerichts kaum eine Rolle, dass die Unternehmensleitung privates Surfen tolerierte. Im konkreten Fall hilft das dem Kläger nichts. Was der Kläger getan hat, war nämlich nicht einfach „ein bisschen surfen“. Vielmehr hat er für rein private Zwecke Software heruntergeladen und installiert. Das ist viel gefährlicher als reines Surfen.

Außerdem hatte der Virenscanner beim Installieren einen Warnhinweis gegeben. Den hatte der Kläger jedoch einfach weggeklickt. Das war aus der Sicht des Gerichts besonders leichtfertig. Und schließlich hatte die Unternehmensleitung den Kläger im Laufe des letzten Jahres auch noch dreimal im Datenschutz schulen lassen. Er hätte also wissen müssen, was Sache ist.

Abmahnung entbehrlich


Insgesamt kommt das Gericht deshalb zu der Auffassung, dass sich der Arbeitgeber auf den Kläger nicht mehr verlassen kann. Aus rein privaten Interessen war dem Kläger die Sicherheit des EDV-Systems letztlich egal. Weil das schwer wiegt, musste der Arbeitgeber ihn vor einer Kündigung nicht erst abmahnen.

Dem Kläger hätte auch ohne Abmahnung klar sein müssen, dass der Arbeitgeber ein solches Verhalten auf keinen Fall toleriert. Deshalb konnte der Arbeitgeber sofort fristlos kündigen, und das Gericht erklärte diese Kündigung für wirksam.

Schadensersatzpflicht des Arbeitnehmers


Das nächste Fiasko erlebte der Kläger bei der Frage des Schadensersatzes. 865 Euro sind für den Kläger viel Geld. Sein Monatslohn betrug nämlich nur 2800 Euro brutto. Dennoch sieht das Gericht keinen Grund, schonend mit dem Kläger umzugehen. Er muss die 865 Euro zahlen.

Den Betrag an sich hält das Gericht für angemessen. Dabei argumentiert es vereinfacht gesagt so, dass ein Fachmann, der Schadsoftware beseitigt, eben nicht billig ist. Außerdem ist eine solche Arbeit relativ aufwendig.

Keinerlei Haftungserleichterung


Über irgendeine Haftungserleichterung verliert das Gericht in seiner Entscheidung kein Wort. Das lässt sich leicht erklären. Der Kläger hat den Schaden nämlich gar nicht während der Arbeit angerichtet. Die Software hat er vielmehr für rein private Zwecke während der Pause heruntergeladen. Und das hat mit der Arbeit natürlich nichts zu tun.

Wer das Urteil selbst lesen will, findet es mit dem Aktenzeichen 5 Sa 10/15 im Internet sofort.

Die wichtigste Lehre aus dem Urteil lautet: Bloß weil ein Arbeitgeber nichts unternimmt, wenn Mitarbeiter gegen ein Verbot verstoßen, ist noch lange nicht alles Mögliche erlaubt! Wenn er zum Beispiel privates Surfen duldet, nimmt er privates Herunterladen von Software nicht zwangsläufig in Kauf.

Der Schaden hätte weitaus höher ausfallen können


Unserer Meinung nach hat der Arbeitnehmer sogar noch Glück im Unglück gehabt. Stellen Sie sich vor, der Virus hätte nicht nur den eigenen Rechner lahmgelegt, sondern - wie es bei Erpressungstrojanern wie Locky & Co. derzeit leider üblich ist - das gesamte Unternehmensnetzwerk und evtl. sogar noch Netzwerke von Kunden und Lieferanten. Dann wäre die zu ersetzende Rechnung der IT-Spezialisten für die Behebung des Schadens schnell weitaus höher ausgefallen. Und dazu käme unter Umständen noch Betriebsausfall, etc.

Fazit: Finger weg von der Privatnutzung von Internet und E-Mail am Arbeitsplatz


Wenn Sie kein Risiko eingehen möchten, Ihren Arbeitsplatz zu verlieren und zusätzlich auf hohen Rechnungen sitzen zu bleiben, sollten Sie als Arbeitnehmer die Finger lassen von der Privatnutzung von Internet und E-Mail am Arbeitsplatz. Alles andere wäre grob fahrlässig.

Nachtrag vom 18.03.2017: Kommentar unseres IT-Rechtsanwalts zum Thema Privatnutzung

"Hallo Thomas,

Es gibt in der Tat Urteile, die der Meinung sind, dass es ausreicht, in einer Dienstanweisung der Privatnutzung zu untersagen. Danach könne der Arbeitgeber darauf vertrauen, dass der Arbeitnehmer sich daran hält. Deshalb könne auch niemals eine betriebliche Übung entstehen mit der Folge, dass der Arbeitnehmer trotzdem wieder das Recht zu Privatnutzung hat.

Nach anderer Auffassung kann eine tatsächliche Handhabung im Betrieb (betriebliche Übung) aber auch schriftliche Vereinbarungen im Arbeitsvertrag oder einer Dienstanweisung wieder aufheben. Danach würde eine solche schriftliche Dienstanweisung nicht alleine ausreichen. Weitere Voraussetzung wäre dann aber, dass der Arbeitgeber davon weiß, dass privat genutzt wird und dieses duldet. Insoweit wären regelmäßige Kontrollen – und notwendigerweise auch daraus folgende Sanktionen (Ermahnung, Abmahnung, Kündigung) – nach wie vor geboten, um ganz sicher zu sein, kommuniziert zu haben, dass man Privatnutzung nicht duldet.

Schließlich sind die Kontrollen aber auch noch aus einem anderen Grund notwendig:


Neben den arbeitsrechtlichen Problemen der betrieblichen Übung und einer daraus folgenden Berechtigung der Arbeitnehmer zur Privatnutzung bringt die Privatnutzung von E-Mail und Internet ja auch noch andere Risiken für das Unternehmen, zum Beispiel eine vervielfachte Gefahr, Schadsoftware ins Unternehmen zu holen. Da die Geschäftsführung verpflichtet ist, alle vorhersehbaren Risiken zu erkennen und möglichst zu vermeiden, muss das Unternehmen daher auch, damit die Geschäftsführung nicht haftet, dass private E-Mailen entweder ganz verbieten oder technisch im Unternehmen so einrichten, dass Schadsoftware nicht ins Unternehmen gelangen kann. Das soll wohl möglich sein, indem man die Benutzung von Freemail-Accounts zulässt.

Das Problem verschärft sich noch, wenn solche Schadsoftware möglicherweise an Dritte, Kunden oder Lieferanten, weitergegeben wird. Dann entsteht ein Schaden nicht nur im Unternehmen selbst sondern auch noch bei Dritten. Und für all das haftet die Geschäftsführung.

Die GoBD stellt Anforderungen an die Unversehrtheit der Daten


Schließlich gibt es eine ganze Reihe anderer Gesetze, die eine ordnungsgemäße EDV und eine Unversehrtheit der Daten verlangt, zum Beispiel die GoBD usw. All diese gesetzlichen Anforderungen sind gefährdet, wenn man die IT-Sicherheit durch vermehrten E-Mail-Verkehr und Internetnutzung gefährdet.

Wir raten daher ebenfalls immer dazu, Kontrollen einzuführen. Bezeichnenderweise erlaubt selbst § 88 Abs. 3 TKG, das Fernmeldegeheimnis, die Durchführung von Kontrollen und Einsichtnahme in Telekommunikationsnachrichten, wenn dies notwendig ist, um die Sicherheit von Systemen aufrechtzuerhalten. Bedenkt man, dass eine anderweitige Kenntnisnahme solcher Nachrichten strafbar ist gemäß § § 88 TKG, 206 StGB, zeigt dies, wie hoch das Gesetz die IT- Sicherheit stellt.

Wir halten es daher für falsch, die Einhaltung eines Verbotes von privatem Emailen und privater Internetnutzung nicht regelmäßig zu kontrollieren. Der Bundesgerichtshof verlangt vom Geschäftsführer ausdrücklich, dass er Schutzmechanismen einführt und deren Einhaltung regelmäßig kontrolliert."

Soweit unser Rechtsanwalt. Es kann also nicht schaden, trotz des oben genannten Urteils das Verbot der Privatnutzung von Internet und E-Mail regelmäßig zu kontrollieren. Immerhin verlangt auch die EU-DSGVO in Artikel 39 (1) b) vom Datenschutzbeauftragten die Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Mittwoch, 7. September 2016

Videokonferenzen: Vorsicht, ungebetene Gäste!

Virtuelle Meetings, sogenannte Videokonferenzen im Internet sparen Zeit und Geld. An der Sicherheit sollten Unternehmen aber nicht sparen. Doch genau das passiert gegenwärtig bei vielen Videokonferenzen.


Schreibtisch statt Stau


Regelmäßige Kommunikation ist wichtig, im Projektteam genauso wie mit Kunden. Die Treffen und persönlichen Gespräche kosten allerdings Zeit – Zeit, die kaum jemand hat. Hinzu kommt, dass viele Teams und erst recht die Kunden weit verstreut sind, sodass lange Reisezeiten die Folge sind.

Da klingt es mehr als verlockend, möglichst viele Konferenzen und Schulungen virtuell über das Internet durchzuführen. Technische Lösungen dafür gibt es reichlich. Viele sind sogar kostenlos.

yourIT: Online Meeting
yourIT: Online Meeting

Lösungen für Videoonferenzen gibt es viele


Sicherlich wurden Sie schon zu einem Online-Meeting mit Kunden oder Teammitgliedern eingeladen. Dabei werden Sie festgestellt haben, dass der eine Kunde die Videokonferenz-Lösung A, der andere die Lösung B bevorzugt.

Schnell hat man eine ganze Reihe von Erweiterungen für den Webbrowser installiert, die in der Regel neben Webcam, Mikrofon und guter Internetverbindung die einzige Voraussetzung für das Online-Meeting sind.

Die Zugangsdaten für die Videokonferenz erhalten Sie meist per E-Mail – als unverschlüsselte Mail wohlgemerkt. Oder Sie müssen sich registrieren, wobei Sie mitunter ohne ersichtlichen Grund eine Reihe von personenbezogenen Daten angeben müssen.

Verschiedene Lösungen machen es einfacher, komfortabler: Sie bekommen einen Link per Mail, den Sie zur vereinbarten Zeit anklicken, und schon kann es mit dem virtuellen persönlichen Austausch losgehen. Losgehen kann nun aber auch eine Online-Attacke oder ein Spionageversuch!

Wer lädt (wirklich) ein, wer nimmt (heimlich) teil?


Da der Link als Einladung zur Videokonferenz in aller Regel als ungeschützte E-Mail verteilt wird, ist weder sichergestellt, dass der angegebene Absender stimmt, noch besteht Gewissheit, dass der Link zur Teilnahme nicht in die Hände unbefugter Dritter gelangt.

Das Datenschutzproblem ist offensichtlich: Es ist nicht gewährleistet, dass die Identitäten der Teilnehmer stimmen. Vertrauliche Videokonferenzen, die einfach über das ungeschützte Versenden eines Links eingeleitet werden, sind zweifellos ein Datenrisiko.

Mehr zum datenschutzkonformen Umgang bei der Organisation von Videokonferenzen und Webmeetings erfahren Sie in unserem Blogbeitrag "Corona-Homeoffice: Web-Meetings datenschutzkonform organisieren".

Achten Sie auf die Online-Sicherheit


Wenn Sie in Zukunft zu einer Videokonferenz eingeladen werden oder selbst eine veranstalten, denken Sie nicht nur an den einfachen Zugang und den hohen Komfort. Vergessen Sie nicht die nötige Datensicherheit. Dazu gehören die folgenden Standardmaßnahmen:

  • Verschlüsselung der Datenübertragung 
  • Malware-Schutz (Risiko durch infizierte Dokumente, Plug-ins und Links)
  • Zugangsschutz über Benutzername und Passwort (keine direkte Teilnahme über Link)
  • Kontrolle der Teilnehmerliste 
  • kontrollierter, bewusster Einsatz von Mikrofon und Webcam
  • Beschränkung der Freigabe von (Desktop-)Inhalten

Update vom 20.02.2021: Viele Datenschutz-Mängel bei Videokonferenz-Lösungen


Berliner Datenschutzbeauftragte veröffentlicht Liste "Hinweise für Berliner Verantwortliche zu Anbietern von Videokonferenzdiensten" in der Version 2.0. Wir berichten in unserem Blogbeitrag "Oh, alles rot! Datenschutz-Test der Videokonferenz-Lösungen zeigt viele Mängel auf". Die Ergebnisse unseres Tests erhalten Sie, wenn Sie sich jetzt zu unserem Newsletter anmelden.


Jetzt zum Newsletter anmelden


Mehr Beiträge zum Thema Videokonferenzen:

Mittwoch, 31. August 2016

Damit der Online-Kalender nicht zum Datenleck wird

Ein digitaler Kalender, der über das Internet gepflegt wird, ist wirklich praktisch. Leider ist er auch wirklich gefährlich, wenn der Datenschutz nicht stimmt.


Terminüberschneidungen müssen nicht sein


Stellen Sie sich vor, Sie sind beruflich unterwegs und bekommen einen Anruf. Es ist der Leiter einer anderen Abteilung, der Sie zu einem Projekttreffen einlädt. Da sind Sie gern dabei, Sie sagen zu.

Kurze Zeit später ruft jemand aus Ihrer Familie an und berichtet von einer Einladung der Nachbarn. Ob Sie dann Zeit haben, lautet die Frage. Nach Ihrer Erinnerung schon, Sie sagen wieder zu.

Zurück im Büro schauen Sie in Ihren Kalender. Sie ahnen es schon: Sowohl bei dem Projekttreffen als auch bei der Einladung der Nachbarn haben Sie bestehende Termine übersehen. Solche Terminüberschneidungen sind mehr als ärgerlich.

Bei Ihnen kommt das nicht vor, da Sie einen Online-Kalender nutzen, auf den Sie über das Internet auch unterwegs Zugriff haben? Dann haben Sie vielleicht keine Terminüberschneidungen. Dafür aber möglicherweise ein Datenleck.

yourIT Datenschutz - digitaler Kalender
yourIT Datenschutz - digitaler Kalender

Vertrauliche Daten in Kalendern sind oftmals ungeschützt


Bekanntlich steht es um die Verschlüsselung von E-Mails nicht gut (siehe auch Seite 1). Vertrauliche Daten werden unverschlüsselt über das Internet übertragen. Was leider übersehen wird: Das ist bei so manchem Online-Kalender nicht anders. In den digitalen Kalendern stehen vertrauliche Termine und Kontakte. Doch verschlüsselt werden die Inhalte der Kalender kaum.

Durch den möglichen Online-Zugriff auf den Kalender müssen Sie mit Datenrisiken aus dem Internet rechnen. Dazu gehören gefälschte Termineinladungen, die nur darauf abzielen, an Ihr Passwort für den Online-Kalender zu gelangen.

Solche Angriffe beginnen mit einer scheinbaren Termin-Einladung, enthalten einen manipulierten Link auf den Online-Termin und fangen dann die Zugangsdaten zu Ihrem Online-Kalender ab. Phishing-Angriffe und Passwortdiebstahl gibt es eben leider auch bei Kalendern.

Terminkalender: voll von Terminen und von Risiken


Viele der Funktionen von Online-Kalendern, die sehr praktisch sind, können zur Gefahr für Ihre Daten werden, wenn Sie nicht genug für den Datenschutz tun.

Online-Kalender bieten Freigabefunktionen für einzelne Termine, für alle Termine bis hin zur Veröffentlichung ganzer Kalender im Web. Vorsicht: Sie könnten versehentlich Termine mit personenbezogenen Daten zu Suchmaschinen-Futter machen, also öffentlich ins Netz stellen. Am besten tragen Sie nur Termine in einem Online-Kalender ein, die Sie auch ans Schwarze Brett hängen würden. Andernfalls ist zusätzlicher Schutz erforderlich.

Bei dem Import aus anderen Kalender-Programmen sollten Sie ebenfalls vorsichtig sein. Prüfen Sie nach dem Import genau, welchen Status die importierten Termine haben, zum Beispiel öffentlich oder privat.

Funktionen von Kalendern wie Dateianhang machen klar, dass digitale Kalender in Wirklichkeit Kommunikationsanwendungen sind. Damit ist auch klar, dass Dateien, die mit Terminen übertragen werden, genauso schadhaft sein können wie der Anhang einer E-Mail.

Tipps: Datenschutz bei Online-Kalendern

  • Verzichten Sie auf generelle Freigaben und definieren Sie lieber die Freigabe konkret bei Einzelterminen!
  • Prüfen Sie die angehängten Dateien zu Terminen auf Malware!
  • Denken Sie bei Einladungen zu Terminen an mögliches Phishing!
  • Wählen Sie die Passwörter zu den digitalen Kalendern ausreichend stark! 
  • Überprüfen Sie Termin-Importe auf falsche Freigaben!
  • Denken Sie auch bei digitalen Kalendern an die Datensparsamkeit!


Online-Kalender: Kennen Sie die Risiken? Machen Sie den Test!


Frage: Um Online-Kalender zu schützen, reicht ein starkes Passwort. Stimmt das?

  • a: Ja, dank Passwortschutz kann kein Unbefugter meine Termine lesen.
  • b: Nein, Datendiebe versuchen, auch die Passwörter für Online-Kalender zu stehlen. 

Lösung: Die Antwort b. ist richtig. Auch bei Online-Kalendern gibt es Phishing-Attacken. Schützen Sie daher vertrauliche Inhalte genau wie bei E-Mail zusätzlich. Achten Sie bei der Wahl des Online-Kalenders auf eine Verschlüsselung.

Frage: Der klassische Kalender ist sicherer als ein digitaler. Stimmen Sie dem zu?

  • a: Nein, ohne besonderen Schutz können natürlich auch Kalender in Papierform eingesehen werden. Jeder Kalender braucht einen Zugangsschutz.
  • b: Ja, denn mit dem Internet kommen neue Risiken für vertrauliche Termine hinzu. Datendiebe können unerkannt über das Internet die zu schützenden Termine lesen und sogar verändern oder löschen.

Lösung: Die Antwort a ist richtig, gleichzeitig aber auch die Antwort b. Vertrauliche Termine müssen grundsätzlich geschützt werden, bei Kalendern in Papierform und bei digitalen Kalendern.

Durch das Internet können auch Unbefugte Zugriff erlangen, die nicht an einen Kalender in Papierform kommen würden, wenn dieser auf dem Schreibtisch liegt. Doch auch die Kalender auf dem Schreibtisch müssen besser geschützt werden. Räumen Sie daher bitte Ihren Kalender weg. wenn Sie den Schreibtisch verlassen.

Sonntag, 28. August 2016

WhatsApp & Datenschutz - So widersprechen Sie der Datenweitergabe an Facebook

WhatsApp hat am 25.08.2016 zum ersten Mal seit der Übernahme durch Facebook die Nutzungsbedingungen und Datenschutzrichtlinie geändert.Vor 2 1/2 Jahren hat sich Facebook den Messenger-Dienst WhatsApp für 19 Milliarden Dollar einverleibt. Ein solcher Mega-Deal muss sich irgendwann auszahlen. Dazu verknüpft Facebook nun die Nutzer-Daten von WhatsApp mit den eigenen. Sie können dies verhindern. Wir zeigen Ihnen hier, was sie tun müssen.



Screenshot WhatsApp Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie

Auf dem Weg zum gläsernen Internet-Nutzer


Kurz nach der Übernahme durch Facebook hatten die WhatsApp-Verantwortlichen noch auf dem WhatsApp Blog verkündet: "Und das wird sich für euch, unsere Benutzer, ändern: Nichts. [...] Es hätte zwischen unseren beiden Firmen nie eine Partnerschaft geben können, wenn wir in irgendeiner Form unsere grundlegenden Prinzipien, die unsere Firma, unser Produkt und unsere Vision definieren, hätten verletzten müssen."

Donnerstag 25.08.2016 ist der Tag, an dem dieses Versprechen offiziell gebrochen wurde. Experten gehen davon aus, dass WhatsApp und Facebook bereits seit der Übernahme Nutzer-Daten austauschen. Ebenfalls auf dem WhatsApp Blog wurde nun die aus Sicht von WhatsApp notwendigen Änderungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie verkündet - mit weitreichenden Folgen!

Diese neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie sind ein weiterer Schritt hin zum gläsernen Internet-Nutzer.

"Heute aktualisieren wir zum ersten Mal seit vier Jahren die Nutzungsbedingungen und Datenschutzrichtlinie von WhatsApp, als Teil unserer Pläne in den kommenden Monaten Wege zu testen, wie Personen mit Firmen kommunizieren können. Die aktualisierten Dokumente spiegeln auch wider, dass wir jetzt ein Teil von Facebook sind [...]"

Was ändert sich?


Durch die neuen Bedingungen nimmt sich WhatsApp das Recht, WhatsApp-Account-Informationen mit Facebook zu teilen, um die Erlebnisse der Nutzer mit Werbung und Produkten auf Facebook zu "verbessern". Die Chats und die Telefonnummer des Nutzers werden aber auch weiterhin nicht auf Facebook geteilt.

Es geht also nicht nur um die Weitergabe der Mobilfunknummer des WhatsApp-Nutzers an Facebook, wie die seit Donnerstag kursierenden Pressemeldungen und Blogbeiträge suggerieren (vgl. BILD.de). Das wäre vermutlich wirklich nicht so schlimm, weil die meisten Facebook-Nutzer ihre Mobilfunknummer eh schon im Facebook-Account hinterlegt haben.

Sondern es geht zumindest prinzipiell darum, dass ALLE WhatsApp-Daten eines Nutzers an Facebook weitergeleitet werden sollen.

Als externem Datenschutzbeauftragten ist mir diese Denkweise von amerikanischen Unternehmensgruppen bereits bekannt. Alle Daten im Konzern sollen allen Konzernunternehmen bedingungslos zur Verfügung stehen, um damit den Profit zu optimieren. In Deutschland sehen wir das anders. In unserem BDSG gibt es kein Konzernprivileg. Jedes Konzernunternehmen wird als einzelnes Unternehmen betrachtet und unterliegt für die Datenweitergabe denselben Ansprüchen wie externe Unternehmen. Es ist also jeweils einzeln zu klären, ob eine Datenweitergabe überhaupt in Frage kommt und wenn ja, zu welchem Zweck welche Daten weitergegeben werden dürfen und ob es sich dabei um eine Auftragsdatenverarbeitung gemäß § 11 BDSG (Controller - Prozessor) oder um eine Funktionsübertragung (Controller - Controller) handelt.

WhatsApp versucht sich mit der aktuellen Zustimmungs-Anfrage zu den neuen WhatsApp Nuntzungsbedingungen und zur Datenschutzrichtlinie nun offiziell eine Einwilligung gemäß § 4a BDSG einzuholen.

Was bedeutet das?


WhatsApp begründet die Neuerungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie wie folgt: "Durch die Zusammenarbeit mit Facebook haben wir mehr Möglichkeiten, z. B. können wir grundlegende Kennzahlen über die Häufigkeit, mit der Benutzer unsere Dienste verwenden, verfolgen, und besser gegen Spam auf WhatsApp vorgehen. Indem deine Telefonnummer mit den Facebook-Systemen verbunden wird, kann Facebook dir besser Freunde vorschlagen und dir passendere Werbung anzeigen, falls du einen Account dort haben solltest. Du könntest z. B. Werbung von einem Unternehmen sehen, mit dem du bereits in Kontakt standst, anstatt eines vorgeschlagen zu bekommen, von dem du noch nie gehört hast."

Mit der Telefonnummer des WhatsApp-Nutzers können verschiedene Profile eindeutig einem bestimmten Nutzer zugeordnet werden. Damit will Facebook die Werbung besser personalisieren. Wenn zum Beispiel ein WhatsApp-Nutzer seine Handynummer auch mit Unternehmen geteilt habe, die Anzeigen bei Facebook schalten, könnten ihm durch den Abgleich Angebote des Händlers eingeblendet werden.

Interessant ist, dass innerhalb der Facebook-Gruppe auch der Fotodienst Instagram WhatsApp-Daten nutzen soll, um einem Nutzer Follower-Vorschläge zu machen. WhatsApp selbst soll aber werbefrei bleiben.

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates I
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates I

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates II
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates II

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates III
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie Wesentliche Updates III

Screenshot WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie

Bleiben die Chats auf WhatsApp tatsächlich privat?


Screenshot WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook
WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook
Das ist die aktuelle Meldung im Account eines WhatsApp-Nutzers, der nicht widerstehen konnte und der Datenschutz-Anfrage von WhatsApp einfach zugestimmt hat. Hier steht ganz eindeutig: "[...] um meine Erlebnisse mit Werbung und Produkten auf Facebook zu verbessern."

Also in meinem Nutzer-Account stehen keine "Erlebnisse". Die "Erlebnisse" jedes WhatsApp-Nutzers stehen doch in dessen ChatsIn meinen Augen kann dies nur bedeuten, dass WhatsApp die Chats künftig "ausliest" und interessante "Erlebnisse" der Nutzer an Facebook weitermeldet.

Auch wenn nicht die Chats selber an Facebook weitergegeben werden, denn die sind ja seit dem 05.04.2016 Ende-zu-Ende-verschlüsselt und somit nur für die beteiligten Nutzer einsehbar, sollen die Unterhaltungen anscheinend künftig offenbar doch irgendwie "belauscht" werden, um aus den "Nutzer-Erlebnissen" lukrative Werbeplatzierungen auf Facebook zu ermöglichen.

Falls WhatsApp dies tatsächlich nicht so meinen sollte und die Chats unangetastet bleiben, wurde die Wortwahl extrem unglücklich gewählt.

Kann ich als Nutzer wiedersprechen?

Früher oder später bekommt jeder WhatsApp-Nutzer nun eine Aufforderung von WhatsApp, den neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie zuzustimmen.

Wenn Sie als durchschnittlicher WhatsApp-Nutzer nichts von der Weitergabe Ihrer Nutzer-Daten an Facebook halten und kein Interesse daran haben, Facebook zu helfen, deren Werbe-Erfahrungen zu verbessern, bietet Ihnen WhatsApp hierfür zwei Möglichkeiten - die allerdings auf den ersten Blick nicht zu erkennen sind.

Möglichkeit 1 - Einfach nicht zustimmen!


Keiner zwingt Sie, den Änderungen der WhatsApp Nutzungsbedingungen und Datenschutzrichtlinie zuzustimmen. Die Möglichkeit zum Nein-Sagen (Opt-Out) ist nur etwas versteckt angebracht - rein zufällig natürlich.

Screenshot WhatsApp FAQ neue Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp FAQ neue Nutzungsbedingungen und Datenschutzrichtlinie

Um nicht zuzustimmen müssen sie ganz unten in der Nachricht von WhatsApp - unterhalb von "ZUSTIMMEN" - im Text „Lies unsere Nutzungsbedingungen und Datenschutzrichtlinien und lerne mehr zu den Auswahlmöglichkeiten, die du hast“ dem Link hinter "Lies" folgen. Danach müssen Android-Nutzer nur noch den Haken aus dem Auswahlkästchen entfernen bzw. iPhone-Nutzer den Schieberegler nach links schieben. Das war's! Sie können dann auf Zustimmen klicken.Ihre Daten werden nicht weitergegeben.

Möglichkeit 2 - Zustimmung zurücknehmen - Nur bis 24.09.2016 möglich!


Sie waren mal wieder zu schnell und haben der Meldung auf WhatsApp zugestimmt, ohne groß darüber nachzudenken? Kein Problem: Sie können Ihre Zustimmung zurücknehmen. 

Das geht folgendermaßen:

Sie gehen in der WhatsApp-App in Ihren Account. Ganz unten gibt es einen neuen Eintrag "Meine Account-Info teilen" mit einem gesetzten Haken dahinter.

Falls Ihnen nicht klar ist, ob Sie der WhatsApp-Meldung vorschnell bereits zugestimmt haben oder nicht, erkennen dies übrigens genau an diesem neuen Eintrag im Account. Ohne Ihr Zutun gibt es diesen Eintrag im Account nicht.

Screenshot WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook
WhatsApp-Nutzer-Account nach Zustimmung der Daten-Weitergabe an Facebook

Wenn Sie den gesetzten Haken entfernen, meldet WhatsApp folgendes:

Screenshot WhatsApp-Nutzer-Account Meldung nach Zustimmung der Daten-Weitergabe an Facebook
WhatsApp-Nutzer-Account Meldung nach Zustimmung der Daten-Weitergabe an Facebook

Da Sie Ihre WhatsApp-Daten eben NICHT TEILEN wollen - auch nicht in der Zukunft, wählen Sie genau dies aus. Danach sieht Ihr Account wieder genau so aus, wie vor der Zustimmung zur Daten-Weitergabe an Facebook.

Screenshot WhatsApp-Account ohne Zustimmung zur Datenweitergabe an Facebook
WhatsApp-Account ohne Zustimmung zur Datenweitergabe an Facebook

Aber Achtung: Diese Möglichkeit steht Ihnen nur bis zum 24.09.2016 zur Verfügung.

Ist mein Widerspruch wirksam?


Im "Kleingedruckten", den FAQ zu WhatsApp steht: "Die Facebook-Unternehmensgruppe wird diese Information trotzdem erhalten und für andere Zwecke, wie Verbesserung von Infrastruktur und Zustellsystemen, des Verstehens der Art der Nutzung unserer bzw. ihrer Dienste, der Absicherung der Systeme und der Bekämpfung von Spam, Missbrauch bzw. Verletzungshandlungen."

Screenshot WhatsApp FAQ Hinweis zur Datenweitergabe an Facebook-Unternehmensgruppe
WhatsApp FAQ Hinweis zur Datenweitergabe an Facebook-Unternehmensgruppe

Das Verb am Ende des Satzes fehlt auch im Originaltext (siehe oben). Unklar bleibt auch, was mit "diese Information" gemeint ist. Betrifft das nur die Nutzung der Nutzer-Daten zu nicht werbliche Nutzung, oder ...

Welche Möglichkeiten haben neue Nutzer?


Eine Wahl haben nur am 25.08.2016 bereits bestehende WhatsApp-Benutzer. Wer sich danach neu zu WhatsApp anmeldet bekommt beim Öffnen der App folgenden Screen angezeigt:

Screenshot WhatsApp neuer User Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie
WhatsApp neuer User Zustimmung Nutzungsbedingungen und Datenschutzrichtlinie

Neue Nutzer müssen demnach den aktuellen WhatsApp Nuntzungsbedingungen und der Datenschutzrichtlinie zustimmen. Eine Möglichkeit für eine anderweitige Entscheidung findet sich nicht.

Fazit zu den neuen WhatsApp Nutzungsbedingungen und zur Datenschutzrichtlinie


Aus Sicht des Datenschutzes macht ein Widerspruch zu den neuen WhatsApp Nutzungsbedingungen und Datenschutzrichtlinien absolut Sinn. Vielleicht ist das sogar eine gute Gelegenheit, die Datenschutz-Einstellungen seines Facebook-Accounts mal (wieder) zu überdenken. Eine Garantie, dass sich Facebook und WhatsApp an Ihre persönlichen Vorgaben zum Datenschutz halten wird, gibt es aber auch weiterhin nicht. Wer sicher gehen will, dass seine Daten nicht Datenschutz-widrig benutzt und weitergegeben werden, muss seine Nutzung von Facebook und WhatsApp aufgeben, seine Accounts löschen und die Apps löschen.

Ich bin gespannt, wieviele WhatsApp- und Facebook-Nutzer tatsächlich dem Datenkraken den Rücken kehren und aus meiner Kontaktliste verschwinden werden. Bisher folgten den EXIT-Androhungen der Nutzer meist keine Taten. Vielleicht testen Facebook, WhatsApp & Co. ja gerade auch nur, wie weit sie gehen können...

Freitag, 26. August 2016

Der Kindergeburtstag auf Facebook

Welche Regeln gelten eigentlich, wenn man Fotos von einem Kindergeburtstag auf Facebook stellen will? Ärger ist in solchen Fällen häufiger, als man denkt. Kurzes Nachdenken vorher verhindert Schwierigkeiten nachher!

Kinderfotos auf Facebook – gute Idee oder nicht?


Der Kindergeburtstag war eine schöne Sache. Die Kinder amüsierten sich prima. Und manche Eltern waren froh, ihren Nachwuchs einfach einmal für einen Nachmittag bei lieben Nachbarn abgeben zu können. Es entstanden dabei wirklich schöne Fotos. Da-ran wollte der Vater des Geburtstagskinds auch andere teilhaben lassen. Deshalb wählte er zehn besonders schöne Fotos aus und stellte sie auf die eigene Facebook-Seite.

Ob das eine gute Idee war, darüber gingen die Meinungen schnell auseinander. Probleme gab es vor allem mit den Eltern eines Kindes, das beim Geburtstag dabei war und das gleich auf mehreren Fotos zu sehen war. Dessen Eltern leben nämlich getrennt. Der Vater fand das mit den Fotos auf Facebook ganz gut. Die Mutter hielt dagegen überhaupt nichts davon.

yourIT Datenschutz - Fotos vom Kindergeburtstag auf Facebook posten?!
yourIT Datenschutz - Fotos vom Kindergeburtstag auf Facebook posten?!

Klare gesetzliche Regelungen


Solche Fälle muss man sich nicht ausdenken. Wenn man sich etwas umhört, wird man rasch fündig. Und schon stellt sich die Frage, was in solchen Fällen eigentlich zu beachten ist. So sehr es manchen wundert: Es gibt dafür klare gesetzliche Regeln. Sie stehen in einem Gesetz, das schon über 100 Jahre alt ist. Es wird meistens mit seiner Abkürzung KUG erwähnt. 

Sein vollständiger Name „Kunsturheberrechtsgesetz“ ist zum einen recht sperrig. Zum anderen führt er auch in die Irre. Die Regelungen in diesem Gesetz haben nämlich nichts mit dem Urheberrecht zu tun und auch nichts mit der Kunst. Vielmehr geht es um das, was die Juristen „Recht am eigenen Bild“ nennen. Das Urheberrecht ist dagegen inzwischen in einem anderen Gesetz geregelt.

Einwilligung nötig – bei Minderjährigen von den Eltern


Beim Recht am eigenen Bild geht es um die Frage, ob es jemand dulden muss, dass Bilder von seiner Person verbreitet werden. Die Grundregel hierfür lautet klar: Nein, das muss er nicht. Wenn ich Bilder von jemandem verbreiten will, brauche ich seine Einwilligung dazu. Das gilt natürlich auch für Kinder. Einzige Besonderheit: In diesem Fall kann nicht das Kind selbst einwilligen. Vielmehr brauche ich die Einwilligung der Eltern.

Besonderheiten eines Kindergeburtstags


Damit ist man sofort wieder beim Kindergeburtstag, von dem Fotos auf Facebook verbreitet werden. Daran ist Folgendes rechtlich wichtig:


  • Fotos auf Facebook sind normalerweise öffentlich zugänglich. Das gilt vor allem dann, wenn der Zugriff nicht auf bestimmte Personen beschränkt ist.
  • Aber auch dann, wenn eine solche Beschränkung auf bestimmte Personen vor-genommen wird, ändert das nichts daran, dass die Bilder jedenfalls gegenüber diesen Personen verbreitet werden.
  • Man kann es also drehen und wenden, wie man will: Bilder von Personen darf man normalerweise nur dann auf Facebook einstellen, wenn man die Einwilligung dieser Personen hat.
  • Bei Kindern ist es Sache der Eltern, ob sie einwilligen oder nicht.
  • Das ist kein Problem, solange sich die Eltern einig sind. Was aber ist, wenn ein Elternteil Ja sagt und ein Elternteil Nein? Wenn beide Eltern anwesend sind und sich vor Ort so verhalten, ist ein Einstellen der Bilder auf Facebook ausgeschlossen.
  • Und wie sieht es aus, wenn nur ein Elternteil anwesend ist? Muss man dann den anderen anrufen und ihn ebenfalls fragen? Nach Auffassung der meisten Juristen gehört eine solche Einwilligung zu den alltäglichen Dingen, die auch ein Elternteil für sich allein erledigen kann. Aber hier muss man ein bisschen vorsichtig sein. Ginge es beispielsweise um Fotos für Werbezwecke, sähe das schon wieder anders aus. Denn das ist dann keine banale Angelegenheit mehr.

Das immer zulässige „Gruppenfoto“ – ein rechtlicher Mythos


Häufig hört man, dass es kein Problem sei, wenn man Bilder einer Gruppe veröffentliche. Und manche wollen sogar wissen, das gelte vor allem dann, wenn die Gruppe aus sieben oder mehr Personen besteht. Manchmal wird sogar behauptet, diese Zahl 7 stünde sogar im Gesetz.

Nichts davon ist wahr. Es handelt sich vielmehr um ein Beispiel für rechtliche Märchen. Zwar gibt es im KUG eine Regelung für Fotos von Demonstrationen, Umzügen und ähnlichen Ereignissen. Es ist klar, dass man davon nie Bilder veröffentlichen könnte, wenn man die Einwilligung aller beteiligten Personen bräuchte. Deshalb fordert das Gesetz für diese speziellen Fälle keine Einwilligung. Man kann sie fotografieren und diese Fotos auch verbreiten und veröffentlichen. Kindergeburtstage gehören jedoch sicher nicht in diese Kategorie.

Mittwoch, 24. August 2016

Ein Blick in die eigenen Behandlungsunterlagen

Meist bekommt man als Patient durchaus Einsicht in die Unterlagen über die eigene Behandlung. Aber falls es doch einmal Konflikte gibt: Welche Spielregeln gelten dann eigentlich?


Funktion von Behandlungsunterlagen


Behandlungsunterlagen dienen dem Patienten wie dem Arzt. Der Arzt braucht sie als Gedankenstütze. Manchmal benötigt er sie auch, um Vorwürfe wegen falscher Behandlung abzuwehren. Der Patient wiederum will die Unterlagen vorlegen, wenn er einen anderen Arzt aufsucht. Vielleicht möchte er sich aber auch nur informieren, was gesundheitlich eigentlich mit ihm los ist. Dann können Behandlungsunterlagen eine hoch spannende Lektüre sein.

Bild Nachweis: Fotolia_115646552

Regelungen zu ihrem Inhalt


Was in Behandlungsunterlagen eines Arztes stehen muss, ist gesetzlich geregelt. Enthalten sein müssen sämtliche aus fachlicher Sicht für die derzeitige und künftige Behandlung wesentlichen Maßnahmen und deren Ergebnisse. So legt es § 630f des Bürgerlichen Gesetzbuchs (BGB) fest.
Aus der Sicht eines medizinischen Laien mag die Formulierung etwas schwammig wirken. Aus der Sicht eines medizinischen Fachmanns sieht das schon anders aus. Außerdem hat die etwas weite Formulierung einen wesentlichen Vorteil: Neue fachliche Erkenntnisse dazu, was in Behandlungsunterlagen hinein gehört, lassen sich recht schnell umsetzen. Das Gesetz muss dazu nicht geändert werden.

Diagnosen, Befunde, Therapien


Das Gesetz nennt konkrete Beispiele dafür, was auf jeden Fall in die Unterlagen hinein gehört, nämlich

die Anamnese (also die medizinische Vorgeschichte des Patienten),
ferner Diagnosen,
Untersuchungen,
Untersuchungsergebnisse,
Befunde,
Therapien und ihre Wirkungen,
Eingriffe und ihre Wirkungen,
Einwilligungen und Aufklärungen.

Besonders wichtig für den Patienten: Arzt-briefe sind auf jeden Fall in die Patientenakte aufzunehmen.

Rechtsanspruch auf Einblick


Oft ist die Rede davon, dem Patienten werde Einblick in die Behandlungsunterlagen „gewährt“. Manche verstehen dies so, dass der Arzt den Einblick sozusagen Gnaden halber und nach seinem Ermessen bewilligen kann – oder eben auch nicht. Das trifft jedoch nicht zu. Vielmehr hat der Patient einen gesetzlichen Anspruch auf Einblick in die Behandlungsunterlagen, die ihn selbst betreffen. So regelt es ausdrücklich § 630g BGB.

Anspruch auf Kopien


Häufig wird es so sein, dass ein Patient die Unterlagen nicht versteht. Viele Begriffe sind nur Fachleuten klar. Und selbst ein Fachmann braucht Zeit, um den Inhalt von Unterlagen richtig zu interpretieren. Oft wollen Patienten deshalb Kopien ihrer Behandlungsakte. Auch dieser Anspruch ist gesetzlich inzwischen klar festgelegt (siehe § 630g Absatz 2 BGB: „Der Patient kann auch elektronische Abschriften von der Patientenakte verlangen.“).

Kostenpflicht für Kopien


Genauso klar ist allerdings auch geregelt, dass der Patient die Kosten hierfür tragen muss. Man sollte sie nicht unterschätzen. Denn selbstverständlich gehören dazu nicht nur die eigentlichen Kopierkosten, sondern auch die Kosten für das Personal, das Ko-pien anfertigt. Glück hat ein Patient, dessen Patientenakte elektronisch geführt ist. Das Übertragen der Daten auf einen elektronischen Datenträger verursacht kaum irgend-welche Kosten.

Ansprüche der Erben und Angehörigen


Etwas schwierig wird es, wenn ein Patient verstorben ist. Relativ häufig wollen dann Angehörige wissen, wie es eigentlich zum Tod kam. Fragen dazu sind allerdings oft vergeblich. Das gilt sogar dann, wenn eine enge familiäre Beziehung besteht und beispielsweise die Ehefrau fragt, warum ihr Mann gestorben ist.
Der Grund: Die ärztliche Schweigepflicht gilt auch nach dem Tod weiter, und der Gesetzgeber wollte sie nicht zu sehr aushöhlen. Das Gesetz lässt deshalb den Anspruch auf Einsicht in die Behandlungsunterlagen nicht einfach pauschal auf die Erben oder auf nahe Angehörige übergehen. Vielmehr heißt es in § 630g Absatz 3 BGB, dass die Erben „zur Wahrnehmung vermögensrechtlicher Interessen“ Einblick in Behandlungsunterlagen nehmen dürfen.
Das praktisch wichtigste Beispiel hierfür: Die Lebensversicherung will nicht zahlen, weil sie die Umstände des Todes für unklar hält. Dann kann es für den Erben Gold wert sein, wenn er mithilfe der Behandlungsunterlagen nachweisen kann, dass die Versicherung sehr wohl zahlen muss.

Erst reden, dann zum Gesetz greifen


Insgesamt hat der Gesetzgeber die Rechte der Patienten in den letzten Jahren gestärkt. Grenzen haben diese Rechte allerdings nach wie vor. Suchen Sie deshalb immer zunächst das Gespräch mit dem Arzt, der Sie behandelt hat. Greifen Sie erst dann zum Gesetz, wenn sonst wirklich kein vernünftiges Ergebnis zu erzielen ist.