eAkte-Datenschutz: Nutzung von Bildern von Mitarbeitern geht nur mit gesonderter Einwilligung

Unter "eAkte-Datenschutz" gehen wir auf uns aktuell vorliegende Datenschutz-Fälle bei unseren Datenschutz-Kunden ein. "eAkte" deshalb, weil wir unsere Datenschutz-Kunden und deren Fälle in unserem digitalen Büro 4.0 in elektronischen Akten verwalten. Die Veröffentlichung der Praxisfälle erfolgt selbstverständlich anonymisiert.

Dieses Mal geht es um die Frage "Kann eine Einwilligung für Mitarbeiterfotos auch in einer Klausel im Arbeitsvertrag geregelt werden oder benötigt man dafür ein separates Einwilligungs-Formular?"

Im Rahmen einer Erst-Beratung eines mittelständischen Datenschutz-Kunden (Datenschutzkonzept Phase A+B) fiel uns folgende Formulierung im Arbeitsvertrag zum Thema Mitarbeiter-Fotos und -Videos auf:

"Soweit der Arbeitnehmer in Verkaufsunterlagen  [...] des Arbeitgebers auf der Homepage oder in Messepräsentationen abgebildet ist, [...] erklärt der Arbeitnehmer sein Einverständnis zur unentgeltlichen Nutzung des Bildes / des Videos [...]. Das Recht zur Nutzung endet 5 Jahre nach Ende des Anstellungsverhältnisses zwischen dem Arbeitnehmer und dem Arbeitgeber."

Fraglich für uns erschien daran:

1. Kann eine solch umfassende Regelung einer Einwilligung in die Nutzung von Mitarbeiterfotos /-Videos überhaupt "versteckt" in einem Arbeitsvertrag erfolgen?
2. Ein Nutzungsrecht von 5 Jahren nach Ausscheiden des Mitarbeiters ist unüblich lang.

Folgende Risiken sahen wir insbesondere für diesen Kunden:

• Arbeitsrechtlicher Ärger mit ausscheidenden und ausgeschiedenen Mitarbeitern.
• Teures Werbematerial wie Videos oder Prospekte muss vorzeitig aus dem Marketing genommen werden.

eAkte-Datenschutz - Einwilligung in die Nutzung von Mitarbeiterfotos und -Videos

Da es sich hier um rechtliche Fragen handelte, die auch den Bereich des Arbeitsrechts berühren, fragten wir unseren auf IT-Recht, Datenschutz und Arbeitsrecht spezialisierten Rechtsexperten an. Dessen Antwort bestätigte unsere Befürchtungen:

"Sehr geehrter Herr Ströbele,

das Bundesarbeitsgericht hat mit Urteil vom 19. Februar 2015 teilweise Klarheit geschaffen, wann und in welchem Umfang der Arbeitgeber Bilder seiner Mitarbeiter auf Firmenunterlagen, in Filmen und im Internet benutzen darf.

Voraussetzung ist zunächst eine ausdrückliche gesonderte Einwilligung. Die Einwilligung formularmäßig durch eine Klausel im Arbeitsvertrag dürfte unwirksam sein. Es ist daher zu empfehlen, eine gesonderte Vereinbarung abzuschließen.

Ein Recht des Arbeitnehmers, die Einwilligung zu widerrufen, besteht in der Regel erst dann, wenn das Arbeitsverhältnis beendet ist und auch dann nur, wenn die Weiterbenutzung danach einen erheblichen Eingriff in das Allgemeine Persönlichkeitsrecht des Arbeitnehmers darstellt. Das war im entschiedenen Fall des Bundesarbeitsgerichtes nicht der Fall. Dort waren Arbeitsvorgänge im Unternehmen auf einem Videofilm festgehalten und Kunden zur Verfügung gestellt worden. Der betroffene klagende Arbeitnehmer war dabei nur in Hintergrund zu sehen.

Verwendet man die Bilder aber individualisierter, indem man den Mitarbeiter zum Beispiel ausdrücklich im Internet vorstellt, ist der Arbeitnehmer berechtigt, nach Beendigung des Arbeitsverhältnisses seine Einwilligung zur Verwendung der Bilder zu widerrufen. Dann muss es schon auf Seiten des Arbeitgebers erhebliche Gründe geben, dass er dieses Bild wenigstens noch zeitweilig weiter nutzen kann. Das kann der Fall sein, wenn er die Bilder auch auf Druckprodukten oder in produzierten Videos verwendet, die nicht unerhebliche Kosten verursacht haben. Bei Druckprodukten wird man dann von einer so genannten „Aufbrauchfrist" ausgehen können.

Wie lange der Arbeitgeber nach der Beendigung des Arbeitsverhältnisses die Bilder noch benutzen kann, hat das Bundesarbeitsgericht nicht entschieden. Das hängt auch von der Intensität der Darstellung und der Nutzung ab. Als Faustregel muss davon ausgegangen werden, dass eine Benutzung über die Dauer von zwei Jahren hinaus eher nicht zulässig ist. Und das Beibehalten einer Darstellung eines Mitarbeiters im Internet mit Foto konkret als vorhandener Mitarbeiter wird sicherlich schon unmittelbar nach Beendigung des Arbeitsverhältnisses unzulässig sein."

Unserem Datenschutz-Kunden haben wir daher empfohlen, mit den Arbeitnehmern eine gesonderte Einwilligung zur Nutzung von Mitarbeiterfotos und -Videos neben dem eigentlichen Arbeitsvertrag abzuschließen. Ein entsprechendes Formular haben wir mit dem Kunden erarbeitet. Die Nutzungsdauer nach dem Ausscheiden haben wir an die Erfordernisse angepasst.


Falls Sie in Ihrem Unternehmen Unterstützung benötigen im Bereich Datenschutz, sind wir auch Ihnen gerne behilflich. Fordern Sie uns!

Ihr yourIT-Datenschutz-Team


Bidnachweis: 229H_©_Ryan_McGuire_gratisography_com

Einfaches Schlüsselmanagement: Der Schlüssel für mehr Datenschutz

Nicht die E-Mail-Verschlüsselung an sich ist kompliziert. Sondern der richtige Umgang mit digitalen Schlüsseln, die eingerichtet werden müssen. Das Projekt Volksverschlüsselung will dabei helfen.

Grundlage für die E-Mail-Verschlüsselung schaffen

Das Bundesministerium des Innern begrüßt den Start der sogenannten Volksverschlüsselung, so war es im Sommer 2016 zu lesen. Deutschland sei auf dem Weg zum Verschlüsselungsstandort Nr. 1. Es lohnt sich also, die Volksverschlüsselung kennenzulernen, wenn Sie sie noch nicht kennen (www.volks-verschluesselung.de). Dabei werden Sie jedoch feststellen, dass die Volksverschlüsselung gar nicht selbst verschlüsselt.

Was aber macht sie dann? Die Volksverschlüsselung ist eine Software, die die not-wendigen digitalen Schlüssel erzeugt und die E-Mail-Programme der Benutzer konfiguriert. Für die eigentliche Verschlüsselung brauchen die meisten Nutzer kein neues Programm, da die meisten E-Mail-Programme von Haus aus verschlüsseln können, wenn Schlüssel vorhanden sind. Somit können selbst unerfahrene Nutzer verschlüsselte E-Mails verschicken, so die Projektbeschreibung.

yourIT Datenschutz - Einfaches Schlüsselmanagement - E-Mail-Verschlüsselung

Hilfe bei der Schlüsselverwaltung

Verschlüsselungslösungen für E-Mails gibt es reichlich, darunter auch viele kostenlose. Die Gründe, warum viele Nutzer die E-Mail-Verschlüsselung häufig nicht einsetzen, liegen woanders: 64 Prozent der von dem Digitalverband Bitkom befragten Nutzer sagen, dass sie sich damit nicht auskennen. Kompliziert ist dabei nicht etwa das Verschlüsseln selbst. Das klappt auf Knopfdruck und lässt sich sogar automatisieren.

Schwierigkeiten bereitet den Nutzern vielmehr, die E-Mail-Verschlüsselung einzurichten. Wahrscheinlich werden Sie zustimmen, dass es nicht einfach auf der Hand liegt, wie man an einen digitalen Schlüssel zur Verschlüsselung kommt, wie man ihn mit seinem E-Mail-Programm verknüpft und wie man den Kommunikationspartnern seinen öffentlichen Schlüssel bekannt gibt, während der private Schlüssel dauerhaft vertraulich bleiben muss. Unterstützung ist hier wirklich sinnvoll.

Das Ziel: Mehr Sicherheit bei E-Mails

Eine Lösung wie die Volksverschlüsselung kann in Zukunft helfen, auch wenn Sie privat verschlüsselt per E-Mail kommunizieren wollen. Bisher profitieren aber erst Windows-Nutzer von der Volksverschlüsselung, wenn sie über E-Mail-Programme wie Outlook oder Thunderbird kommunizieren. In weiteren Schritten sind Versionen für andere Betriebssysteme wie Mac OS X, Linux, iOS und Android geplant.

Die Volksverschlüsselung muss noch erweitert werden. Aber sie zeigt bereits: Ist das Problem des Schlüsselmanagements erst einmal gelöst, gibt es keinen Grund mehr, den Aufwand zu scheuen. Dann wird E-Mail endlich sicherer.

Büro 4.0 - Auf dem Weg zum Digital Workspace

Das digitale Büro 4.0 gilt als einer der wichtigsten Trends in der deutschen Wirtschaft. Aus dem Arbeitsplatz soll ein Digital Workspace werden. Das hat auch Folgen für den Datenschutz.

Fast alles soll digital werden

Bereits jedes vierte Unternehmen setzt auf digitalen Schriftverkehr, 40 Prozent wollen in Zukunft vermehrt auf digitale Kommunikation umstellen, so eine repräsentative Umfrage von Bitkom Research. Die Digitalisierung verändert aber nicht nur die Kommunikation. Auch die Produkte und Märkte ändern sich. Vier von zehn Unternehmen haben infolge von Digitalisierung / Büro 4.0 bereits neue Produkte oder Dienste auf den Markt gebracht und 57 Prozent bestehende Angebote angepasst.
In den einzelnen Bereichen eines Unternehmens ist die Digitalisierung unterschiedlich stark ausgeprägt. Spitzenreiter ist die Produktion und Projektabwicklung, die in 74 Prozent der Unternehmen stark digitalisiert ist (mindestens zu 50 Prozent). Die Abteilungen Personal/Human Resources und Buchhaltung/Finanzen/Controlling sind jeweils in 66 Prozent der Unternehmen stark digitalisiert. Im Ranking folgen dahinter Marketing (62 Prozent), Einkauf (54 Prozent), Logistik (53 Prozent) sowie Forschung und Produktentwicklung (30 Prozent).

Digital Workplace im Büro 4.0

Kaum eine Tätigkeit wird davon nicht betroffen sein

Noch setzen acht von zehn deutschen Unternehmen häufig das Faxgerät zur internen oder externen Kommunikation ein, 40 Prozent nutzen bereits Online- oder Videokonferenzen, 15 Prozent Soziale Netzwerke. Der klassische Büroarbeitsplatz verändert sich zunehmend. Etwa jeder zweite Mitarbeiter sitzt an einem Computer-Arbeitsplatz, jeder Dritte nutzt für die Arbeit ein Mobilgerät mit Internetzugang wie Tablet-PC oder Smartphone.
Die Möglichkeit, an jedem Ort auf das Internet zuzugreifen, verändert die Arbeitswelt, so der Bitkom-Verband. Dank Smartphone, Tablet-Computer und Laptop ist man nicht mehr auf einen Büroarbeitsplatz angewiesen, sondern kann von unterwegs oder aus dem Home Office arbeiten. Der Arbeitsplatz wird zum Digital Workspace. Diese Veränderungen haben Auswirkungen darauf, wie wir arbeiten, wie wir Daten nutzen und schützen müssen.
So führt im digitalen Büro 4.0 die Nutzung mobiler Geräte vermehrt dazu, dass Daten im Internet, in einer Cloud gespeichert werden, da so der Zugriff auf die Daten flexibel ist. Die Flexibilität erkauft man sich aber mit steigenden Gefahren für Datensicherheit und Datenschutz. Die digitalen Risiken werden nämlich unterschätzt: 86 Prozent der Top-Manager sehen in der Digitalisierung eher Chance als Risiko für ihr Unternehmen. Zehn Prozent sehen eher eine Gefahr und nur vier Prozent meinen, die Digitalisierung habe keinen Einfluss auf ihr Unternehmen.

Der Weg hin zum Digital Workspace ist doppelt gefährlich

Bei den zahlreichen Projekten zu Digitalisierung / Büro 4.0 und der offensichtlichen Umstellung auf eine zunehmend digitale Kommunikation darf aber eines nicht vergessen werden: Es gibt nicht nur die Datenrisiken beim Digital Workspace, bei den Smartphones, Tablets und Clouds. Auch die ganz klassischen Arbeitsgeräte und Arbeitsplätze tragen Risiken für personenbezogene Daten in sich und können zu Datenpannen führen. Die Aktenordner im Papiermüll sind nur ein Beispiel dafür.
Wenn es also um Datenschutz im digitalen Zeitalter geht, sollten Unternehmen immer auch daran denken, dass wir erst auf dem Weg hin zum Digital Workspace sind. Es ist gut möglich, dass es den komplett digitalen Arbeitsplatz nur in Einzelfällen geben wird. Deshalb müssen alle Maßnahmen zum Schutz personenbezogener Daten immer die klassische UND die digitale Arbeitswelt umfassen. Sonst werden die klassischen Datenrisiken übersehen – und damit zu einer wachsenden Gefahr.

Schätzen Sie digitale Gefahren im Büro 4.0 richtig ein? Testen Sie sich!

Frage: Die größten Risiken für die vertrauliche Kommunikation liegen im Internet. Stimmt das?

a. Ja, denn die klassische Kommunikation wird bei Weitem nicht so stark angegriffen.

b. Nein, jede Kommunikation muss geschützt werden, auch die klassischen Formen.

Lösung: Die Antwort b. ist richtig. Tatsächlich ist es sogar so, dass bestimmte Schutz-verfahren wie Verschlüsselung für papiergebundene Verfahren gar nicht verfügbar sind. Je nach Kommunikationsverfahren gibt es andere Risiken. Die Vertraulichkeit muss aber immer geschützt werden.

Frage: Die Digitalisierung bedroht den Datenschutz. Stimmen Sie dem zu?

a. Nein, nicht die Digitalisierung, sondern unzureichender Schutz und unvorsichtige Handlungen bedrohen die Daten, auch am klassischen Arbeitsplatz.

b. Ja, denn mit dem Internet kommen ganz neue Gefahren auf uns zu.

Lösung: Die Antwort a. ist richtig. Das Internet bringt zwar neue Datenrisiken mit sich, doch auch die klassischen Arbeitsverfahren können personenbezogene Daten in Gefahr bringen und Datenpannen verursachen. Der Schutzbedarf der Daten muss immer erfüllt werden, ganz gleich, ob am digitalen oder am klassischen Arbeitsplatz.
http://www.buero40.com

Data Breach Notification: Wichtig wegen unserer Kundendaten

Wer häufig mit Kundendaten zu tun hat, sollte diese Frage beantworten können: Was muss ich tun, wenn die Daten möglicherweise in die falschen Hände geraten sind? Typisches Beispiel: Ein Datenträger mit Kundendaten geht verloren.

Typische Ausgangslage: Ein Datenträger ist verschwunden!
Data Breach Notification ist sicher kein schöner Begriff, und viele verstehen ihn schlicht nicht. Aber ehrlich gesagt – ist „Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten“ (so die Überschrift von § 42a Bundesdatenschutzgesetz) besser? Beides meint dieselbe Situation: Daten etwa von Kunden sind möglicherweise in die Hände von Unbefugten geraten. Das kann beispielsweise der Fall sein, wenn ein Laptop mit Kundendaten irgendwo liegen bleibt oder ein USB-Stick mit Daten nicht mehr zu finden ist.
Dann stellt sich die Frage, ob eine Datenschutzverletzung (Data Breach) vorliegt, über die eine Mitteilung (Notification) notwendig ist – an wen auch immer.

Data Breach Notification - Ist Ihr Unternehmen vorbereitet?

Mögliche Folge: Benachrichtigungspflichten

Schon seit einigen Jahren sieht das Bundesdatenschutzgesetz vor, dass in solchen Situationen unter bestimmten Voraussetzungen sowohl die Datenschutzaufsichtsbehörde wie auch die Betroffenen selbst benachrichtigt werden müssen. Die Einzelheiten sind kompliziert, aber damit muss sich der „Normalarbeitnehmer“ im Unternehmen nicht herumschlagen. Für ihn genügt es zunächst einmal, zu wissen, dass es eine solche Benachrichtigungspflicht je nach Situation geben kann.

Wichtig: rasche Information der Vorgesetzten bei Pannen!

Wichtig deshalb: Wenn ein Datenträger mit Kundendaten einfach nicht mehr zu finden ist, auf keinen Fall den Kopf in den Sand stecken! Das macht im Ernstfall alles nur schlimmer. Informieren Sie vielmehr zügig Ihre Vorgesetzten. Diese werden dann in aller Regel den intern oder extern bestellten Datenschutzbeauftragten einschalten. Dann lässt sich gemeinsam überlegen, was zu tun ist, um zusätzlichen Schaden zu vermeiden.

Meist maßvolle Reaktion der Datenschutzaufsicht

Die Aufsichtsbehörden für den Datenschutz reagieren bei frühzeitigen Meldungen, die nichts verschleiern, durchweg mit viel Augenmaß. Nur in ganz besonderen Extremfällen kommt es dazu, dass betroffene Kunden beispielsweise über Zeitungsanzeigen informiert werden müssen. Das hat es in Einzelfällen bei Kliniken gegeben, wenn sehr sensible Daten betroffen waren und nicht einmal ungefähr festzustellen war, um die Daten welcher Patienten es dabei ging. Im Normalfall akzeptieren es die Aufsichtsbehörden, wenn das Unternehmen selbst die konkret betroffenen Kunden individuell informiert.

Kunden oft verständnisvoller als gedacht

Kunden reagieren auf eine solche individuelle Benachrichtigung meistens sehr sachlich, manchmal sogar dankbar. Zu verärgerten Reaktionen kommt es normalerweise nur, wenn betroffene Kunden erst aus den Medien erfahren, dass etwas mit ihren Daten passiert sein könnte. Deshalb ist es wichtig, dass das Unternehmen die Situation möglichst von Anfang an selbst in der Hand hat. Dazu sind rasche interne Informationen notwendig, die man dann in geeigneter Form bei der Kommunikation mit betroffenen Kunden verwenden kann.

Künftig verschärfte Rechtslage

Nach der augenblicklichen Rechtslage müssen die Kunden und die zuständige Auf-sichtsbehörde nur informiert werden, wenn es um besonders sensible Daten geht. Bei-spiele hierfür sind etwa Daten, die der ärztlichen Schweigepflicht unterliegen, oder Daten zu Bank- und Kreditkartenkonten. Diese Einschränkung hat für die Praxis im Unternehmen allerdings eine eher geringe Bedeutung.
Zum einen lässt sich nicht immer leicht entscheiden, ob zumindest einzelne besonders sensible Daten betroffen sein könnten. Diese Einschätzung müssen Fachleute treffen. Zum anderen wird die Datenschutz-Grundverordnung der EU ab Mai 2018 hier eine neue Rechtslage bringen. Ab dann kommt es nicht mehr darauf an, ob es um besonders sensible Daten geht. Vielmehr sind dann Datenschutzverletzungen hinsichtlich aller Arten von Daten zu melden. Darauf sollte man sich schon jetzt einstellen.

Vorbeugende Maßnahmen nicht vergessen!

Am besten wäre es natürlich, wenn Datenschutzverletzungen erst gar nicht vorkommen. Vielleicht nehmen Sie diesen Beitrag zum Anlass, einen genaueren Blick auf Ihren Schreibtisch zu werfen. Liegen dort Datenträger ungesichert offen herum? Und wie sieht es eigentlich mit der Passwortsicherung für den Laptop und das Smartphone aus? Wenige Handgriffe können dafür sorgen, dass es erst gar nicht zu Problemen kommt.

Internet of Things: Nicht die Dinge, sondern Sie selbst sind betroffen

Kennen Sie das Internet der Dinge? Ob ja oder nein: In jedem Fall wird das Internet der Dinge bald Sie kennen – und zwar besser, als Ihnen lieb sein dürfte.

Das Internet ist überall

Was haben Spielzeuge, Fitness-Tracker, Autos und Kühlschränke gemeinsam? Scheinbar nicht viel. In Wirklichkeit aber bilden sie eine Gemeinschaft: Sie gehören zum sogenannten Internet of Things, kurz IoT. Viele Geräte sind inzwischen mit dem Internet verbunden oder werden es bald sein, im Büro, im Haus, in der Garage. Ob man daheim, unterwegs oder in der Arbeit ist: Das Internet kommt überall mit.

Bild Nachweis: pexels-nature-laptop-outside-macbook

Das Internet hat Beine bekommen. Das wissen Unternehmen und Nutzer durch die beliebten Smartphones und Tablets. Nun haben aber auch andere Geräte einen Internetzugang, die früher nie mit dem Internet in Verbindung gebracht wurden: Uhren am Handgelenk, Kaffee-Automaten, die Heizung, Glühbirnen, Autoradios oder die Rollos am Bürofenster.

IoT ist ein Datenschutz-Problem

So mancher freut sich auf das Internet der Dinge, wenn der Firmen- oder Privatwagen mit dem Parkplatz kommuniziert und so automatisch eine freie Lücke findet oder wenn der Kaffee-Automat die Kaffee-Lieferung oder den Wartungsdienst bestellt. Aber viele machen sich auch Sorgen: Laut Umfragen bestehen die größten Bedenken, wenn es um den Schutz personenbezogener Daten geht.
Vielleicht sind Sie jetzt überrascht, was vernetzte Dinge im Internet mit personen-bezogenen Daten zu tun haben. Leider sehr viel. Denn die Dinge sind meist eng mit ihren Nutzern verknüpft. Das kann nicht nur der Fall sein, wenn sich die Smartwatch am Handgelenk befindet. Viele der vernetzten Geräte haben integrierte Sensoren und Funkschnittstellen. Sie können so den Nutzer vermessen oder andere Geräte des Nutzers erreichen.

Geräte-Tracking = Nutzer-Tracking

Zu den Informationen, die die Geräte austauschen und ins Internet übertragen, gehört oftmals auch der Standort des Geräts, der aber mit dem Standort des Nutzers identisch oder sehr ähnlich sein kann. Gelingt es also, ein Gerät einem Nutzer zuzuordnen, wird aus dem scheinbar harmlosen Orten von Dingen das Orten von Personen. Die Betroffenen sind sich aber häufig gar nicht bewusst, dass ihre Bewegungsprofile an den App-Anbieter oder den Gerätehersteller gesendet werden könnten.

„Dass zum Beispiel Jalousien, Beleuchtung, die Waschmaschine oder auch Hauskameras vernetzt, per Smartphone gesteuert und Abläufe programmiert werden können, ist für die meisten Menschen Neuland. Daher ist es umso wichtiger, dass technisch innovative Angebote wie Smart-Home-Systeme von vornherein so konzipiert werden, dass Verbraucherinnen und Verbraucher sich auf die Sicherheit und den Schutz ihrer Daten verlassen können müssen“, so der Rheinland-Pfälzer Verbraucherschutzminister Robbers. Da das bisher nicht der Fall ist, müssen wir alle als Nutzer genau auf unsere Daten achten, gerade im Internet der Dinge.

Hessischer Datenschutzbeauftragter veröffentlicht 44. Tätigkeitsbericht 2015

Der Hessische Landes-Datenschutzbeauftragte Professor Dr. Michael Ronellenfitsch hat am Montag, 11. Juli 2016 seinen Tätigkeitsbericht 2015 zum Datenschutz vorgelegt.

Schwerpunkthemen, die Ronellenfitsch in seinem Bericht anspricht, sind u.a.:

• EU-Datenschutzgrundverordnung
• Umgang mit kostenlosen digitalen Haushaltsbüchern (Datenhaltung in der Cloud)
• Erforderlichkeit von neuen Instrumentarien nach dem Wegfall des Safe-Harbor-Abkommens
• Einsatz von Body-Cams, Dashcams
• datenschutzgerechte, elektronische Antragstellung durch Einsatz des neuen Personalausweises über die integrierte eID-Funktion
• E-Post-Brief der Deutschen Post AG
• Videoüberwachung
• Smart-TV
• Auskunfteien und Bedingungen zum Umgang mit Daten
• Einwilligungerklärungen

Der Bericht kann auf der Website des Hessischen Landesdatenschutzbeauftragten www.datenschutz.hessen.de/taetigkeitsberichte.htm heruntergeladen werden und wird von uns zur Lektüre empfohlen.

Lichtblick im Daten-Dschungel – Ratzgiwatz bei yourIT

Gleich zu Beginn der Kinderferienspiele 2016 in Hechingen war eine kleine Abteilung des Jugendprogramms zu Besuch beim ortsansässigen IT-Systemhaus yourIT. Der IT-Dienstleister optimiert normalerweise die IT-Prozesse mittelständischer Unternehmen und steigert damit langfristig deren Wettbewerbsfähigkeit im globalen Markt. Dazu prüfen die IT-Experten den Sicherheits-Status der IT-Infrastruktur, spüren vorhandene Schwachstellen auf, erarbeiten Konzepte für IT-Sicherheit & Datenschutz und implementieren die für den Kunden besten Lösungen.

Heute nahm sich Thomas Ströbele, Geschäftsführer der yourIT, persönlich die Zeit, den 13- bis 16-jährigen Teilnehmern des Ratzgiwatz einen Einblick in die Themen Datenschutz & IT-Sicherheit zu geben.

Personenbezogene Daten – die neue Währung

Personenbezogene Daten wie z.B. Name, Adresse, Alter aber auch Aufenthaltsort und Gruppen-Zugehörigkeit verraten viel über den Betroffenen und sind kostbar. Für Unternehmen wie Facebook, WhatsApp & Co. bedeuten sie bares Geld, denn diese stellen diese zu Nutzerprofilen zusammen und verkaufen diese an Werbetreibende. Außerdem können die Daten von Datendieben missbraucht werden.

Gerade bei scheinbar „kostenlosen“ Apps riet der Datenschutzprofi zur Vorsicht. „Was keine Euros kostet, bezahlen wir am Ende mit unseren Daten. Nichts ist kostenlos!“

Was die Oma mit sozialen Medien zu tun hat

Manche der Teilnehmer waren zuerst der Meinung: Was soll’s, ich habe doch nichts zu verbergen! Aber das Internet vergisst nichts.

 „Erst denken – dann klicken!“, prägt Thomas Ströbele den jungen Zuhörern ein. „Ist ein Bild oder ein Text erstmal online, wird es meist sehr schwierig, es wieder zu löschen.“ Daher sollten sich die Jugendlichen am besten vor jeder Veröffentlichung kurz überlegen, was ihre Oma dazu wohl sagen würde. Die strikte Beachtung dieser „Oma-Regel“ würde manche Peinlichkeit vermeiden.

Licht im Datendschungel - Ratgiwatz bei yourIT

Außerdem: Je mehr Daten wir von uns verraten, umso weniger Kontrolle haben wir darüber. Datensparsamkeit zahlt sich aus und schützt vor bösen Überraschungen.

Das Recht am eigenen Bild

Jeder für sich allein hat das Recht zu entscheiden, welche Bilder von ihm veröffentlicht werden dürfen und welche nicht. Niemand darf also einfach so ein Bild von einem anderen in einem Sozialen Netzwerk hochladen.

„Was Du nicht willst, das man Dir tu, …

… das füg auch keinem anderen zu.“ Ströbele bat zur Fairness auch mit den Daten anderer. Die Teilnehmer sollten daher künftig keine Bilder, Filme oder private Infos von Freunden, Bekannten oder anderen Personen ins Netz stellen – es sei denn, sie hätten die ausdrückliche Erlaubnis erhalten. „Das ist ein Zeichen von Respekt!“

Vor Datenmissbrauch ist niemand geschützt. Alle Teilnehmer hatten bereits von Cyber-Mobbing-Fällen in ihrem persönlichen Umfeld gehört. Wenn jemand im Internet unerwünschte Daten, Infos oder Bilder von sich findet, ist es wichtig, dass er Beweise sichert und sofort dagegen vorgeht.

Der Datenschutzexperte nannte Adressen, an die man sich im Ernstfall vertrauensvoll wenden kann. Er empfahl auch, sich regelmäßig über seinen „Online-Ruf“ zu informieren, indem man „googelt“, was andere über einen veröffentlicht haben.

Passwortsicherheit - Wie merkt man sich W3Fr3$0$pduN8AC?

Ein gutes Passwort ist das A und O der IT-Sicherheit. Doch wie erstellt man sich ein mindestens 12-stelliges Passwort aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen und merkt es sich ohne es aufzuschreiben? Die Ratzgiwatz-Betreuer waren überrascht, dass einige der Kids hier offenbar besser Bescheid wissen als sie selbst. Dabei nehmen sie Merksätze, Gedichte und Musiktitel zu Hilfe. Aus jeweils den ersten beiden Buchstaben der ersten 5 Wörter von Goethes Gedicht „Erlkönig“ ersetzen sie bestimmte Buchstaben durch Zahlen und Sonderzeichen und fügen die Buchstaben FAC für Facebook ein: Voilà ein unknackbares Passwort mit 15 Stellen, das man sich ohne aufschreiben merken kann und das sich auch für weitere Websites problemlos verwenden lässt.

Dass man solche komplexen Passwörter niemandem weitergibt – auch nicht seinem besten Freund – versteht sich von selbst.

Thomas Ströbele gab zum Schluss noch ein paar Tipps, wie die Jugendlichen ihr Smartphone mittels Anti-Virenprogramm absichern sollten, weshalb es absolut notwendig ist, WLAN- und Bluetooth immer auszuschalten, wenn man es nicht braucht und dass Sicherheitsupdates des Betriebssystems unbedingt regelmäßig durchgeführt werden müssen, um neu bekannt gewordene Sicherheitslücken schnellstmöglich zu schließen. Auch vor den in 2016 besonders gefährlichen Erpressungstrojanern warnte Ströbele noch ausdrücklich. Dann waren die 3 Stunden auch schon wieder vorbei, und die Kids gingen zurück zum Ratzgiwatz-Treffpunkt.

Das Fazit von Thomas Ströbele fiel kurz aus: „Wenn jeder der jungen Teilnehmer nur 3 Punkte von den heute erfahrenen umsetzt, hat sich der Besuch bei yourIT schon gelohnt. Vielleicht sehen wir den einen oder anderen ja bei künftigen Ferienspielen wieder – oder wenn sie sich bei uns mal als Azubis bewerben. Wir freuen uns jetzt schon drauf!“

Terminhinweis für die Vertreter der Presse:

Falls Sie einen solchen Datenschutzkurs für Ferienspiel-Teilnehmer live erleben wollen, laden wir Sie gerne am Donnerstag 04.08.2016 von 13-16 Uhr nach Starzach-Bierlingen in das Bürgerhaus ein. Dort habe ich mich bereiterklärt, mit den 9-12-jährigen über Datenschutz & IT-Sicherheit zu sprechen. Wir haben fast 25 Anmeldungen erhalten.

Riskante Datentransfers - WhatsApp-Verwendung kann für Unternehmen teuer werden

Der zweifelhafte Datenschutz von Facebook steht schon seit Jahren in der Kritik - auch das mittlerweile zu dem sozialen Netzwerk gehörende WhatsApp ist davon betroffen. Während private Nutzer kein großes Risiko eingehen, kann die Verwen-dung durch Unternehmen schwere Strafen nach sich ziehen - denn die betriebliche Nutzung unterliegt den Regelungen des Bundesdatenschutzgesetzes BDSG. Technische und organisatorische Maßnahmen sind zu treffen.

Datenschutz-Konflikt - WhatsApp-Verwendung kann für Unternehmen teuer werden

Problematische Übertragung der Kontakte an WhatsApp

Gerade konnte WhatsApp einmal positive Pressemeldungen generieren. Dank der Einführung der Ende-zu-Ende-Verschlüsselung ist es Dritten beinahe unmöglich, die Nachrichtenübertragung abzufangen.

Doch eine andere Sicherheitslücke ist damit noch nicht geschlossen:

Ein falscher Knopfdruck und die Übertragung aller Kontakte aus dem Adressbuch des Nutzers an den Messenger-Diensteanbieter beginn. Dies gilt auch weiterhin als datenschutzrechtlich problematisch. Weshalb? Die "Kontakte" in Ihrem Smartphone haben in der Regel nicht in die Übertragung an WhatsApp eingewilligt.

Peter Burgstaller, österreichischer Professor für IT- und IP-Recht, geht davon aus, dass es sich dabei um einen strafbaren Verstoß gegen europäisches Datenschutzrecht handelt. Folgt man der Auffassung des Rechtsgelehrten, wäre dabei nicht nur Dienstanbieter, sondern auch der Nutzer in Haftung zu nehmen - schließlich sei ihm die Übertragung der Kontakte und damit der Verstoß gegen das Datenschutz-recht bekannt.

Private Nutzung rechtlich unproblematisch

Andere Juristen wiegeln ab: Bei einer Verwendung der App mit der Familie oder Freunden habe man keine Konsequenzen zu befürchten, so Rechtsanwalt Christian Solmecke von WBS Law. Er geht davon aus, dass das Bundesdatenschutzgesetz in einem solchen Fall nicht greife. Maximal sei eine Verletzung des Persönlichkeitsrechts gegeben. Doch auch Solmecke sieht diese Art der Kontaktdaten-Übertragung problematisch. WhatsApp begehe damit sehr wohl einen Verstoß gegen das Datenschutzgesetz und müssen mit der Verhängung von Geldstrafen rechnen. Dass es dazu noch nicht gekommen ist, ist mutmaßlich auf das bisherige Ausbleiben von Klagen durch Verbraucherschützer zurückzuführen. Mutterkonzern Facebook musste diese Erfahrung kürzlich bereits machen: Auch hier wurde festgestellt, dass die "Freunde finden"-Funktion gegen den Datenschutz verstoße und gleichzeitig eine belästigende Werbung darstelle. Der Unterschied dabei besteht in der Wichtigkeit für die beiden Dienste. Während Facebook auf diese Funktion problemlos verzichten kann, dürfte es WhatsApp durchaus Schwierigkeiten bereiten, eine Alternative für den Abgleich der Kontaktdaten zu finden. Möglicherweise könnten diese Daten aber bereits vor dem Versand an die Unternehmensserver verschlüsselt werden.

Unternehmen sollten von WhatsApp absehen

Bis diese Frage geklärt ist, sollten verantwortliche Geschäftsführer und IT-Leiter in den Unternehmen alarmiert sein. Denn während der private Gebrauch nicht den Regeln des Bundesdatenschutzgesetzes unterliegt, könnten die Behörden an Unternehmen sehr wohl hohe Bußgelder verhängen. Ebenso ratsam ist es, auch den gemischten beruflichen und privaten Gebrauch der App zu unterlassen, weil auch hier die strenge Gesetzgebung zur Anwendung kommt. Die einhellige Empfehlung der Juristen lautet daher, besser auf die berufliche Nutzung von WhatsApp zu verzichten. Ggf. sollten Sie auf einen weniger neugierigen Anbieter setzen.

Hinterfragt man die betriebliche Nutzung der Dienste von WhatsApp aus Geschäftsprozess-Sicht kann man schnell zu dem Ergebnis kommen, dass man das Bedürfnis der Mitarbeiter zur schnellen und unkomplizierten Kommunikation auch mit anderen - vielleicht sogar hausinternen - integrierten Lösungen darstellen kann. Hier gilt wie so oft: Integration statt Insellösungen - mit DOCUframe.

Übrigens: Die private Nutzung von WhatsApp auf einem Firmengerät stellt im Regelfall ebenfalls einen Verstoß dar.

Ausgezeichnete Datenschutz-Beratung gewünscht

yourIT ist BEST OF CONSULTING 2016. Unsere Beratungspakete

• Datenschutz-§-11-Zertifizierung für Auftragsdatenverarbeiter
• Kern-Prozessanalyse
• Büro 4.0 - Wo lohnt die Digitalisierung?
• Sicherheitsaudit "IT-Infrastruktur"
• Informations-Sicherheitsanalyse ISA+
• Basis-Check ISO27001

wurden beim Innovationspreis-IT der Initative Mittelstand mit dem Preis BEST OF CONSULTING 2015 und 2016 ausgezeichnet. Wir freuen uns auf Ihre Anfragen.

7 Preise in 2 Jahren - das kann kein Zufall sein