Gesichtserkennung, Fingerscan & Co.: Bequem, aber nicht ohne Risiko

Passwörter muss man sich merken, seine Fingerabdrücke nicht. Entsprechend beliebt sind biometrische Verfahren bei der Anmeldung für Geräte und Applikationen. Doch der Datenschutz warnt davor, Biometrie vorschnell einzuführen. Warum eigentlich?

Werden Passwörter bald überflüssig?

In einer Umfrage von Cisco unter 500 Anwenderinnen und Anwendern zeigte sich, dass Fingerabdrücke ein beliebter Ersatz für Passwörter sind. Mehr als die Hälfte (55 Prozent) fühlt sich wohl dabei, den Fingerabdruck für den Zugang zu einem Online-Konto zu verwenden. 40 Prozent haben nichts gegen eine Gesichtserkennung einzuwenden.

Tatsächlich ersetzen Unternehmen den Passwortschutz zunehmend durch andere Sicherheitsverfahren. Das gilt vor allem für die Nutzung der Biometrie in Form von Fingerabdrücken und Gesichtserkennung. Smartphones und andere mobile Endgeräte haben Funktionen zur Anmeldung über Fingerabdruck oder Gesichtserkennung gleich an Bord. Entsprechend häufig erfolgt auch die Anmeldung darüber, wenn sich Beschäftigte im Homeoffice befinden oder unterwegs arbeiten.

Laut einer Umfrage der FIDO Alliance unter 1.000 befragten Deutschen gelten biometrische Verfahren nicht nur als bequem, sondern auch als sicherste Art der Identitätsprüfung. Viele Studien gehen deshalb davon aus, dass Passwörter kaum noch eine Zukunft haben, die Biometrie wird sie ersetzen.

Sollte sich der Datenschutz darüber nicht freuen, wo doch so große Probleme mit ausreichend starken Passwörtern bestehen? Ja und nein, lautet die Antwort.

Passwörter kann man tauschen, Fingerabdrücke nicht

Wollen Unternehmen biometrische Lösungen einsetzen, fordert der Datenschutz, die Risiken genau zu prüfen. Dafür gibt es gute Gründe: Biometrische Daten und ihre Analyse eignen sich zwar sehr gut als Identitätsnachweis. Gelangen biometrische Daten aber in die falschen Hände, lassen sie sich für einen Identitätsdiebstahl nutzen.

Haben Angreifer Passwörter gestohlen, kann und muss man sie ersetzen. Bei biometrischen Merkmalen wie den Fingerabdrücken oder dem Gesicht kann man jedoch nicht beliebig neue, eindeutige Kennzeichen wählen. Man hat nur ein Gesicht und eine begrenzte Zahl von Fingerkuppen.

Biometrische Daten lassen sich missbrauchen

Im Gegensatz zu einem Passwort, das sich bekanntlich nicht mit der jeweiligen Person in Verbindung bringen lassen sollte, also zum Beispiel nicht den Namen enthalten soll, haben biometrische Daten sehr wohl mit der Person zu tun. So lässt sich ein Gesichtsausdruck nicht nur nutzen, um eine Person zu identifizieren. Es sind auch weitere Analysen möglich, wie eine Studie des EU-Parlaments warnt. So könnten sich darüber zum Beispiel menschliche Zustände der betroffenen Person leichter identifizieren lassen, wie Angst, Müdigkeit oder Krankheit, so die Studie.

Biometrie erfordert hohe Sicherheit

Wer also den Komfort einer Anmeldung über Gesichtserkennung oder Fingerabdruck nutzen will, muss das Verfahren besonders gut absichern. Das will der Datenschutz sicherstellen, um Missbrauch zu verhindern. Aus diesem Grund fordert der Datenschutz eine Prüfung vor der Einführung von Biometrie – nicht um die Passwort-Probleme zu erhalten, sondern um die Daten der betroffenen Personen zu schützen.

Denken Sie deshalb auch bei privater Nutzung von Fingerscan und Gesichtserkennung daran, nicht einfach jedes Verfahren zu verwenden. Stehlen Angreifer Ihre biometrischen Muster, sind Ihre privaten und beruflichen Zugänge in Gefahr, wenn sie durch Biometrie geschützt werden.

Dropbox, Google Drive & Co: Darum kann Eigeninitiative gefährlich sein

Legen Sie Daten in einem Cloud-Speicher wie Google Drive ab, können Sie über das Internet von überall darauf zugreifen. Für das flexible Arbeiten im Homeoffice und unterwegs ist das ideal. Für den Datenschutz aber sieht das ganz anders aus.

Das Ziel: Daten speichern, austauschen und sichern

Wer im Homeoffice oder unterwegs arbeitet, muss manchmal kreativ sein, so scheint es. Viele Möglichkeiten, die im Büro bestehen, hat man außerhalb des Unternehmens nicht. Wollen Sie zum Beispiel wichtige Daten speichern, erscheint die Ablage allein auf dem Notebook oder Tablet nicht ausreichend. Was passiert, wenn das Endgerät verloren geht? Dann war alle Arbeit umsonst.

Im Büro können Sie Ihre Daten in einem Verzeichnis im Netzwerk ablegen. Dort können auch Kolleginnen und Kollegen, die mit den Daten arbeiten müssen, bequem darauf zugreifen. Sind Sie aber unterwegs oder im Homeoffice, fehlen mitunter diese Möglichkeiten zur Speicherung im Netzwerk und zum Datenaustausch. Auch die regelmäßigen Backups lassen sich nicht so einfach zentral durchführen, wenn Sie unterwegs oder im heimischen Büro arbeiten.

Bietet das Unternehmen keine entsprechende Unterstützung oder kennt man die vorgesehenen Lösungen zur Datenspeicherung und zum Datentransfer nicht, wird man schnell erfinderisch. Da gibt es doch Lösungen wie Google Drive oder Dropbox, die sich privat bereits bewährt haben. Erkennen Sie sich wieder? Damit sind Sie nicht allein – leider, aus Sicht des Datenschutzes.

Das Problem: Die sogenannte Schatten-IT

Wählen Sie als Nutzer selbst die Lösungen aus, mit denen Sie Daten speichern und austauschen wollen, sorgen Sie für sogenannte Schatten-IT. Gemeint sind damit IT-Lösungen, die die zuständige Stelle im Unternehmen nicht geprüft und genehmigt hat.

Nutzen Sie ungeprüfte und betrieblich nicht freigegebene Lösungen, können damit Risiken für die Daten verbunden sein, die der IT-Abteilung im Unternehmen nicht bekannt sind. Und diese Risiken lassen sich deshalb auch nicht mit den notwendigen IT-Sicherheitslösungen abwenden. Das ist gerade bei den Cloud-Speichern der Fall, die jeder einfach, schnell und meist kostenlos nutzen kann.

Die dringende Empfehlung: Bitte keine Eigeninitiative bei der Datenspeicherung

Normalerweise freut sich jedes Unternehmen über die Eigeninitiative der Mitarbeiterinnen und Mitarbeiter. Doch wenn es um die Sicherheit der Daten und die Einhaltung des Datenschutzes geht, ist es weder gut noch gewünscht, selbst nach Lösungen zu suchen.

Betriebliche Daten dürfen nur in betrieblich genehmigten Lösungen gespeichert und darüber ausgetauscht werden. Andernfalls können die Daten in Gefahr geraten, weil die Sicherheit von Lösungen für private Zwecke nicht den hohen Anforderungen eines Unternehmens entspricht. Zudem kann es gerade bei Cloud-Speichern passieren, dass die personenbezogenen Daten in ein Land übermittelt werden, das nicht ohne Weiteres das notwendige Datenschutzniveau bietet.

Verwenden Sie deshalb nur betrieblich genehmigte Anwendungen, auch im Homeoffice und unterwegs! Kennen Sie die Lösung nicht, fragen Sie bitte nach.

Die Praxisübernahme und das „Zwei-Schrank-Modell“

Was passiert eigentlich mit Behandlungsunterlagen, wenn eine Nachfolgerin oder ein Nachfolger eine Arztpraxis übernimmt oder wenn eine neue Betriebsärztin auf den bisherigen Betriebsarzt folgt? Das „Zwei-Schrank-Modell“ stellt in solchen Fällen den Datenschutz sicher.

Höchster Schutz für medizinische Daten

Wer sich ärztlich behandeln lässt, erwartet für seine Daten höchsten Schutz. Die ärztliche Schweigepflicht spielt dabei eine zentrale Rolle. Sie muss auch dann gewahrt bleiben, wenn ein Nachfolger eine Arztpraxis übernimmt oder wenn der Betriebsarzt wechselt.

Aufbewahrungspflicht von zehn Jahren

Rein rechtlich ist alles klar: Nach Abschluss einer Behandlung muss ein Arzt die Patientenakte zehn Jahre lang aufbewahren. Das steht so in § 630f Abs. 3 Bürgerliches Gesetzbuch (BGB). Diese Pflicht besteht fort, wenn ein Arzt beispielsweise in den Ruhestand tritt und die Praxis an einen Nachfolger übergibt. Die Patientenunterlagen müssen weiterhin zuverlässig geschützt sein.

Zu schnell steht die Aufbewahrungspflicht nur auf dem Papier

Doch wie lässt sich das in der Praxis sicherstellen? Der bisherige Praxisinhaber will sich im Ruhestand um die Unterlagen nicht mehr kümmern. Und ein Betriebsarzt, der ausgeschieden ist, hat inzwischen auch anderes zu tun. Verständlich, dass er sich mit den vorhandenen Unterlagen am liebsten nicht mehr befassen möchte.

Die Elemente des „Zwei-Schrank-Modells“

Einen Ausweg aus diesem Dilemma bietet das „Zwei-Schrank-Modell“. Die Datenschutzaufsichtsbehörden empfehlen es. Inzwischen ist es allgemein üblich. Für klassische Patientenakten auf Papier funktioniert es in einer Arztpraxis so:

  • Man stellt in der Arztpraxis zwei Schränke auf.
  • In Schrank 1 kommen die Unterlagen, die bei der Tätigkeit des bisherigen Praxisinhabers entstanden sind. Sie werden eingeschlossen.
  • Schrank 2 ist zunächst völlig leer.
  • Den Schlüssel für beide Schränke erhält der Praxisnachfolger.
  • Der bisherige Inhaber der Praxis und sein Nachfolger schließen einen Vertrag. Darin verpflichtet sich der Nachfolger, die vorhandenen Unterlagen streng gesichert in Schrank 1 aufzubewahren.
  • Kommt ein Patient des bisherigen Praxisinhabers zum Nachfolger, fragt dieser den Patienten, ob er den Zugriff auf die vorhandenen Unterlagen erlaubt.
  • Meist ist das der Fall. Dann wird Schrank 1 geöffnet und die dort vorhandenen Unterlagen des Patienten kommen in Schrank 2.
  • Nach einiger Zeit hat sich Schrank 1 meist ziemlich geleert und Schrank 2 ziemlich gefüllt.
  • Die „Restunterlagen“ in Schrank 1 bleiben dort, bis die Aufbewahrungsfrist von zehn Jahren abgelaufen ist. Dann werden diese Unterlagen datenschutzgerecht vernichtet.

Das Modell funktioniert auch bei elektronischen Unterlagen

Das Beispiel der klassischen Patientenakten auf Papier ist besonders leicht nachzuvollziehen. Das Modell funktioniert jedoch auch, wenn die Patientenunterlagen in elektronischer Form vorhanden sind. In wenigen Jahren dürfte das die Regel sein. In diesem Fall wird das „Zwei-Schrank-Modell“ einfach elektronisch nachgebildet.

Der vorhandene Datenbestand wird bei der Übergabe der Praxis gesperrt und besonders gegen Zugriff gesichert. Erst wenn der Patient gegenüber dem Praxisnachfolger zustimmt, schaltet der Praxisnachfolger den Datensatz frei. Das muss er selbstverständlich nicht unbedingt persönlich tun. Auch jemand aus dem Sprechstundenteam, der dafür besonders eingewiesen ist, kann das erledigen.

Besonders datenschutzkonform: die Protokollierung von Zugriffen

Die elektronische Variante ist besonders datenschutzkonform. Bei ihr ist es problemlos möglich, jeden Zugriff zu protokollieren. Wenn die Protokollierung richtig eingerichtet ist, lassen sich die gespeicherten Daten im Nachhinein nicht mehr verändern. Dann lässt sich bei etwaigen Beschwerden leicht feststellen, ob alles ordnungsgemäß abgelaufen ist oder nicht.

Kleine Besonderheiten beim Wechsel des Betriebsarztes möglich

Beim Wechsel des Betriebsarztes lässt sich das Modell an die Strukturen anpassen, die jeweils vorhanden sind. Manche Unternehmen haben die Funktion des Betriebsarztes bei einer externen Praxis angesiedelt, die auch die Patientenunterlagen aufbewahrt. Dann passt alles, was bisher gesagt wurde, 1:1. Bei anderen Unternehmen erfolgt die Aufbewahrung der Patientenunterlagen im Unternehmen selbst. Zugriff hat dabei selbstverständlich nur der Betriebsarzt. In diesem Fall müsste der Schlüssel für die vorhandenen Unterlagen so lange beim bisherigen Betriebsarzt bleiben, bis ein neuer Betriebsarzt bestimmt ist.

EU-Hinweisgeber Richtlinie umsetzen bis zum 17.12.2021

EU-Hinweisgeber Richtlinie

Bis wann muss die EU-Hinweisgeber Richtlinie umgesetzt werden?

Die EU-Whistleblower-Richtlinie (EU-Hinweisgeber Richtlinie) wurde zum 16.12.2019 beschlossen und muss spätestens bis zum 17.12.2021 in deutsches Recht umgesetzt werden.

Das grundlegende Ziel der EU-Whistleblower-Richtlinie ist es, die Aufdeckung und Unterbindung von Rechtsverstößen zu forcieren. Gleichzeitig sollen aber die Hinweisgeber („Whistleblower“) sowie gegebenenfalls Dritte / Vermittler, die bei der Meldung unterstützen, besser geschützt werden. Es soll vermieden werden, dass diese Personen negative zivil-, straf- oder verwaltungsrechtliche Konsequenzen im Nachgang zu einer Meldung befürchten müssen.

Was ist eine EU-Richtlinie?

EU-Verordnungen (wie die Datenschutz-Grundverordnung oder DSGVO) sind verbindliche Rechtsakte, die alle EU-Mitgliedsstaaten umsetzen müssen. Sie treten zu einem festgelegten Datum in allen Mitgliedsstaaten in Kraft. Eine Richtlinie hingegen gibt vor, was die einzelnen Mitgliedstaaten in der Gesetzgebung erreichen müssen, doch die Staaten können frei entscheiden, wie sie die Richtlinie innerhalb von zwei Jahren in nationales Recht umsetzen. Folglich wird es in der EU zweifellos gesetzliche Unterschiede geben.

Schon jetzt ist klar, dass die Regelungen der Richtlinie als Mindeststandard umgesetzt werden müssen, über das nationale Gesetz können noch mehr Pflichten kommen, keinesfalls aber weniger. Unternehmen und Behörden sollten daher unbedingt die verbleibende Zeit für die Einführung eines richtlinienkonformen Meldekanals nutzen. Sollte die Umsetzungsfrist ablaufen, ohne dass ein entsprechendes Gesetz in Deutschland vorliegt, werden sich die Hinweisgeber bezüglich ihrer Schutzrechte direkt auf die EU-Richtlinie berufen.

Pflichten für Unternehmen

Jedes Unternehmen ab 50 Beschäftigten muss künftig besondere interne Meldekanäle einrichten, über die ein Hinweisgeber mögliche Verstöße melden kann. Die Vertraulichkeit der Meldung muss dabei geschützt sein, bezüglich aller in der Meldung enthaltenen Daten müssen die Anforderung der DSGVO beachtet werden.

Pflichten für Behörden, öffentliche Verwaltung und Non-Profit-Sektor

Die Pflicht zur Einrichtung von Meldekanälen trifft auch die öffentliche Hand. Alle juristischen Personen des öffentlichen Rechts sind betroffen (Körperschaften und Anstalten des öffentlichen Recht, öffentlich-rechtliche Stiftungen), einschließlich privatrechtlicher Gesellschaften im Eigentum der öffentlichen Hand (z.B. städtische Betriebsgesellschaften). Auch die Gemeinden sind verpflichtet. Die EU erlaubt, Gemeinden mit weniger als 10.000 Einwohnern herauszunehmen. Der Gesetzesentwurf sieht das für Deutschland so vor.

Für weitere Informationen rufen Sie uns an oder besuchen Sie unsere Webseite zu diesem Thema: Hinweisgebersystem

Datenauskunft als Datenpanne?

Datenauskunft als Datenpanne

Die Umsetzung der DSGVO bereitet gerade bei den Betroffenenrechten weiterhin Probleme. So haben Unternehmen oftmals noch keinen richtigen Prozess, um Auskunftsersuchen datenschutzgerecht nachzukommen. So muss etwa geklärt werden, ob die anfragende Person wirklich die betroffene Person ist.

Fristen einzuhalten ist nicht alles

Stellen Sie sich vor, Sie sollen einen Antrag auf Auskunft bearbeiten. Sie müssen feststellen, ob Ihr Betrieb personenbezogene Daten verarbeitet, die die anfragende Person betreffen. Ist das der Fall, klären Sie, welche Daten dies sind und zu welchem Zweck Ihr Betrieb sie verarbeitet. Sie bereiten nun eine Kopie der personenbezogenen Daten vor, die Gegenstand der Verarbeitung sind, um diese Informationen zur Verfügung zu stellen.

Dabei können Sie sich nicht beliebig Zeit lassen. Denn die Auskunft muss unverzüglich, also ohne schuldhaftes Zögern, erteilt werden, spätestens jedoch binnen eines Monats nach Eingang des Auskunftsersuchens. Nun darf es aber nicht passieren, dass Sie möglichst schnell die Datenkopie verschicken – sonst könnte die Datenauskunft zu einer Datenpanne werden.

Die Identität des Antragstellers muss geklärt sein

Die Aufsichtsbehörden für den Datenschutz haben mehrfach deutlich gemacht: Es muss sichergestellt sein, dass die zu beauskunftenden Daten nicht unbefugten Dritten zur Verfügung gestellt werden. Hierauf ist auch insbesondere bei mündlicher oder elektronischer Auskunftserteilung zu achten.

Das bedeutet somit, dass Sie sicherstellen müssen, dass die Person, die die Auskunft wünscht, auch tatsächlich das Recht dazu hat, also tatsächlich die betroffene Person oder eine von der betroffenen Person bevollmächtigte Person ist. Das sollte jedes Unternehmen durch einen Prozess sicherstellen. Bei vielen Unternehmen ist dem aber noch nicht so, auch wenn die DSGVO bereits drei Jahre zur Anwendung kommt.

Nicht auf die falsche Prüfung der Identität setzen

Nun gibt es verschiedene Wege, um die Identität einer anfragenden Person zu überprüfen. Dabei muss dieser Weg zum einen datenschutzgerecht sein, also zum Beispiel keine unnötigen Daten abfragen. Zum anderen muss der gewählte Weg aber auch sicher genug sein.

Wenn Sie das Verfahren in Ihrem Unternehmen noch nicht kennen, erkundigen Sie sich bitte, bevor Sie ein Auskunftsersuchen bearbeiten. Wichtig ist auch, dass Sie die Einschränkungen der Verfahren kennen, die gern in der Praxis genutzt werden.

Ob beispielsweise die Identifizierung über ein Nutzerkonto (also Benutzername und Passwort) sicher ist, hängt sehr stark vom Passwort ab, das der Nutzer vergeben hat. Ist es zu leicht zu knacken, können Angreifer Nutzerkonten übernehmen und damit weitere Daten ausspähen – womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.

Kennt also eine anfragende Person das Passwort der betroffenen Person, das für einen Online-Dienst Ihres Unternehmens besteht, und kann sie sich einloggen, bedeutet dies nicht, dass es wirklich die betroffene Person ist, die die Anfrage stellt. Seien Sie also vorsichtig, denn Identitätsdiebstahl im Internet greift um sich. So basieren die stark verbreiteten Phishing-Attacken genau auf einer gefälschten digitalen Identität, die Vertrauen erwecken und vertrauliche Daten herauslocken soll. Das Auskunftsersuchen per Mail kann also auch eine Fälschung sein.

Datentransfer in die USA – eine Dauerbaustelle?

Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft.

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen. Meist laufen sie über Server in den USA.

Die USA – ein Drittland

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).

Der goldene Weg: generelle Regelungen

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.

„Safe Harbour“ und „Privacy Shield“ sind Geschichte

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen.

Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben.

Der aktuelle Stand: Ratlosigkeit

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben. Einwilligungen betroffener Personen taugen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.

Ein dringender Geburtstagswunsch

Den dritten Geburtstag der DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die EU und die USA haben versprochen, sich darum in der nächsten Zeit intensiv zu bemühen.

Wie steht es um die Sicherheit personenbezogener Daten?

Wie steht es um die Sicherheit personenbezogener Daten?

Drei Jahre müssen Unternehmen und Behörden die Datenschutz-Grundverordnung nun schon anwenden. Doch scheinen die Sicherheitsvorfälle und Datenpannen noch größer und häufiger als früher zu sein. Kommt die Datensicherheit nicht von der Stelle? Kann es überhaupt Datensicherheit geben?

DSGVO fordert eine sichere Verarbeitung personenbezogener Daten

Die Datenschutz-Grundverordnung lässt keinen Zweifel. Sie fordert ausdrücklich: Die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten müssen auf Dauer sichergestellt sein.

Nun könnte man vermuten, dass drei Jahre Anwendung der DSGVO dazu geführt hätten, dass IT-Sicherheitsvorfälle und damit Verletzungen der genannten Schutzziele für personenbezogene Daten inzwischen seltener auftreten. Doch offensichtlich ist das nicht der Fall. Die Schlagzeilen der Tagespresse sind voll von Meldungen über Datenverluste, Datenmissbrauch und Spionageangriffe auf Unternehmen und Behörden.

Ist die Forderung der DSGVO nach einer umfassenden Sicherheit der personenbezogenen Daten unrealistisch? Kann wirkliche Datensicherheit vielleicht gar nicht gelingen?

Hundertprozentige Sicherheit gibt es nicht, aber…

Kein Sicherheitsexperte würde behaupten, dass es eine hundertprozentige Sicherheit gibt, daran kann auch die DSGVO nichts ändern. Trotzdem ist die Forderung nach Datensicherheit ein zwingender Bestandteil des Datenschutzes. Nur weil die Meldungen über Millionen von Datensätzen, die ungeschützt im Internet gefunden wurden, nicht abreißen, kann man auf die Maßnahmen des technischen Datenschutzes nicht verzichten.

Tatsächlich ist es so, dass die Maßnahmen der Datensicherheit durchaus Sicherheitsvorfälle und Datenpannen vermeiden, es also ohne diese Maßnahmen viel mehr Schaden für die Betroffenen von Datenverlust und Datenmissbrauch geben würde. Sicherheitsexperten sagen, dass selbst Basisschutzmaßnahmen helfen können, die Mehrzahl möglicher Angriffe zu verhindern.

Für besonders raffinierte Angriffe und komplexe Vorfälle braucht man dagegen besondere Schutzmaßnahmen. Doch auch diese können keine Garantie bieten.

Wirksamkeit der Schutzmaßnahmen muss dauerhaft überwacht werden

Aus gutem Grund fordert die DSGVO neben den Sicherheitsmaßnahmen auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. So kann es durchaus sein, dass eine ergriffene Maßnahme nicht das erfüllt, was man für die Sicherheit erwartet hat. Es kann aber auch sein, dass eine Schutzmaßnahme für eine gewisse Zeit greift, dann aber keine zuverlässige Datensicherheit mehr bieten kann. Dies soll durch die Kontrolle der Wirksamkeit erkannt werden, um die Schutzmaßnahmen dann zu optimieren.

Entscheidend für die Datensicherheit ist dabei der Stand der Technik, wie die DSGVO fordert. So kann zum Beispiel eine Verschlüsselung in der Zukunft nicht mehr stark genug sein, da die Angreifer dann Mittel haben, um sie zu brechen.

Neben neuen Angriffsmethoden sind es auch die neuen Technologien, die die Datensicherheit immer wieder herausfordern. Neue Technik bringt neue Schwachstellen mit sich, die Angreifer ausnutzen könnten. Aber auch bestehende Technik kann Sicherheitslücken enthalten, die erst später bekannt werden.

Datensicherheit ist und bleibt eine Daueraufgabe

Sieht man also genauer hin, so darf man sich nicht wundern, dass auch drei Jahre nach Anwendung der DSGVO Sicherheitsvorfälle auftreten und der Datenschutz verletzt wird, weil die Datensicherheit unzureichend war. Das kann an der Wahl der falschen Maßnahmen liegen, an fehlendem Schutz, an Vorfällen, die sich technisch gar nicht verhindern lassen, aber auch an der hohen Dynamik der IT und der Bedrohungslage.

Die Sicherheit der Verarbeitung personenbezogener Daten ist also nicht etwa schlechter geworden, weil immer noch viele Datenpannen auftreten. Stattdessen kann man annehmen, dass die Zahl der gemeldeten und entdeckten Vorfälle zugenommen hat – das ist also ein gutes Zeichen für den Datenschutz, wenn man Datenschutzverletzungen nicht übersieht, sondern meldet und abstellt. Das ist durchaus als Erfolg der DSGVO zu sehen, die die Meldepflichten stärker in den Blick der Unternehmen gerückt hat.

Gleichzeitig gilt es, weiterhin die Sicherheit der Daten auf ihre Wirksamkeit hin zu untersuchen. Dazu gehört es auch, Sicherheitsfunktionen nicht zu umgehen oder zu deaktivieren, weil sie scheinbar den Komfort reduzieren. Das würde dann tatsächlich den Datenschutz verschlechtern. Das gilt heute und wird auch in Zukunft so sein.

Kennzeichen-Kameras beim Parken

Kennzeichen-Kameras beim Parken

An immer mehr Parkplätzen verschwinden die Einfahrtsschranken. Stattdessen erfassen Kameras die Kennzeichen. Wie ist das mit dem Datenschutz zu vereinbaren?

Einfahrtsschranke – das ist Vergangenheit!

Immer mehr Unternehmen bauen an der Einfahrt zum Firmenparkplatz die Einfahrtsschranke ab. Stattdessen filmen sie die Kennzeichen der einfahrenden Fahrzeuge. In einer Datenbank lässt sich feststellen, ob dieses Fahrzeug den Parkplatz benutzen darf.

Ähnlich verfahren die Betreiber von öffentlichen Parkhäusern. Hineinfahren kann jeder einfach so. Bezahlt wird am Automaten, nachdem der Fahrer sein Kennzeichen eingegeben hat.

Mehr Bequemlichkeit beim Parken

Die Vorteile liegen auf der Hand. Kein Fahrer muss mehr die Scheibe an der Fahrertür öffnen, nach dem Einfahrtschip kramen oder mühsam das Parkticket bei der Einfahrt lösen. Bei der Bezahlung muss man kein Einfahrtticket mehr in den Automaten stecken. Stattdessen gibt man sein Kennzeichen ein.

Kfz-Kennzeichen sind personenbezogen

Der Datenschutz ist ein Thema, weil die Kennzeichen von Fahrzeugen personenbezogene Daten enthalten. Das überrascht auf den ersten Blick. Aber: Mithilfe des Kennzeichens ist es leicht möglich, den Halter eines Fahrzeugs festzustellen. Genau dazu sind sie da. Wer Kennzeichen festhält, muss deshalb die Datenschutzregelungen beachten.

Kaum Probleme bei Firmenparkplätzen

Bei einem Firmenparkplatz ist alles relativ einfach. Seine Benutzung ist in irgendeiner Weise im Zusammenhang mit dem Arbeitsverhältnis geregelt. Beispielsweise kann der Arbeitsvertrag eine entsprechende Klausel enthalten. Vielleicht gibt es auch eine Betriebsvereinbarung. Arbeitsvertrag oder Betriebsvereinbarung sind dann die Rechtsgrundlage dafür, dass der Arbeitgeber die nötigen Daten festhalten darf.

Meist kosten Firmenparkplätze nichts. Dann genügt es, die Parkberechtigung festzustellen. Dazu sind die Kennzeichen der berechtigten Fahrzeuge in einer Datenbank gespeichert. Fährt ein Fahrzeug in den Parkplatz ein, wird sein Kennzeichen mit dieser Datenbank abgeglichen.

Daten für die Abrechnung

Kostet ein Parkplatz etwas, braucht man zusätzlich Daten für die Abrechnung. Bei öffentlichen Parkplätzen ist das die Regel. Abgerechnet wird bei der Ausfahrt. Dazu braucht man Einfahrtszeit und Ausfahrtszeit. Manchmal bestehen Monatsverträge für Dauerparker. Bei ihnen spielen die Parkzeiten normalerweise keine Rolle. Dann sind diese Daten auch nicht nötig.

Datenschutzhinweise bei der Einfahrt

Ein häufiges Konfliktthema sind die Datenschutzhinweise an der Einfahrt zum Parkplatz. Bei einem Firmenparkplatz für Beschäftigte können sie entweder sehr kurz ausfallen oder sogar völlig wegbleiben. Die Beschäftigten sind im Regelfall auch ohne solche Hinweise ausreichend informiert. So steht beispielsweise in Betriebsvereinbarungen für Firmenparkplätze meist auch, welche Daten gespeichert werden dürfen und was mit ihnen geschieht.

Parkhäuser mit engen Einfahrten

Bei Parkhäusern ist es nicht ganz so einfach. Typisch ist folgende Situation: Wer parken will, merkt erst an der Einfahrt, dass es keine Schranke gibt. Oft genug sind die Einfahrten eng. Für große Schilder mit ausführlichen Informationen ist schlicht kein Platz. Die Datenschutz-Grundverordnung verlangt aber, dass eine umfassende Information über die Verarbeitung der Daten erfolgt.

Vernünftige Lösungen für die Praxis

Für solche Fälle sind die Datenschutzbehörden mit praxisnahen Lösungen einverstanden. Sie sehen so aus: An der Einfahrt steht ein Schild, das auf die Kennzeichenerfassung hinweist. Ansonsten heißt es dort lediglich: „Weitere Informationen im Parkhaus. Freie Ausfahrt binnen 10 Minuten möglich.“ Diese Formulierung ist nur ein Beispiel, es sind auch andere kurze Texte möglich.

Wem es nicht gefällt, kann kostenlos ausfahren

Wer einfährt, kann sich dann im Parkhaus informieren, wie die Kennzeichenerfassung erfolgt und welche Daten gespeichert werden. Ist er damit nicht einverstanden, kann er sich wieder ins Auto setzen und gebührenfrei ausfahren. Sein Kennzeichen wurde dann zwar bei der Einfahrt erfasst. Das System ist aber so eingestellt, dass es diese Daten vollständig löscht, wenn das Fahrzeug innerhalb der Karenzzeit ausfährt.

Bequemlichkeit und Datenschutz – das geht!

Insgesamt ist die Kennzeichenerfassung auf Parkplätzen ein Beispiel dafür, dass Bequemlichkeit und Datenschutz wunderbar zusammenpassen können. Es ist deshalb kein Wunder, dass immer mehr Supermärkte und Einkaufszentren solche Systeme einsetzen.

 

Clubhouse & Co.: Neue Apps, alte Risiken

Clubhouse & Co.: Neue Apps, alte Risiken

Die App „Clubhouse“ ist in aller Munde und hat einen erheblichen Nutzeransturm zu verzeichnen. Leider sind beliebte Apps nicht automatisch datenschutzfreundlich. Schauen Sie deshalb genau hin, wenn Sie einem Trend bei Apps und Online-Diensten folgen.

Digitale Kommunikation in Pandemie-Zeiten

Während der Corona-Pandemie sind drei Viertel der Internetnutzer in Deutschland vermehrt in sozialen Medien aktiv: Insgesamt geben 75 % an, solche Plattformen seit Ausbruch des Coronavirus in Deutschland intensiver zu nutzen, so eine Umfrage des Digitalverbands Bitkom.

Auch neue soziale Netzwerke und Apps erfahren jetzt ein hohes Interesse, wenn es um die digitale Kommunikation geht. Ein prominentes Beispiel ist die App „Clubhouse“. Der Dienst versteht sich als soziales Netzwerk und ermöglicht private und öffentliche Audio-Konferenzen und Diskussionen.

„Viele Menschen haben gerade gegenwärtig ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“, so Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. „Die App wirft jedoch viele Fragen zur Wahrung der Privatsphäre von Nutzerinnen und Nutzern und von dritten Personen auf“, warnt der Datenschutzbeauftragte.

Berechtigungen von Apps genau hinterfragen

Datenschützer kritisieren bei Clubhouse etwas, was bei anderen Apps und sozialen Netzwerken früher bereits negativ aufgefallen ist. So werden die Adressbücher in den Mobilfunkgeräten von jenen Nutzerinnen und Nutzern, die andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch geraten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kommen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder für Kontaktanfragen verwendet werden könnten.

Die Betreiber speichern nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent werden.

Besser auf den Datenschutz bei Apps achten

„Man weiß als Nutzer nicht, was mit den Daten genau passiert“, erklärt auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Kugelmann. Allein schon aus diesen Gründen könne er als Landesdatenschutzbeauftragter nur empfehlen, die App nicht herunterzuladen und nicht zu verwenden.

Anbieter, die sich an europäische Nutzer richten, müssen deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten. Gleichzeitig besteht die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestehen derzeit bei der Clubhouse-App einige Zweifel. Die deutschen Aufsichtsbehörden für den Datenschutz wollen nun die Einhaltung des europäischen Datenschutzrechts bei Clubhouse überprüfen.

Johannes Caspar kommentierte: „Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten.“

Dieses Beispiel zeigt, dass man als Nutzer genauer hinsehen muss, was eine beliebte App mit den Daten macht. Allein die weite Verbreitung und die Beliebtheit sind kein Kennzeichen für einen guten Datenschutz.

Private Aktivitäten und die DSGVO

Private Aktivitäten und die DSGVO

Immer wieder hört man, dass die DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?

Eine Ausnahme vom Anwendungsbereich der DSGVO

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer: Sie gilt nicht für die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“ So beschreibt es an etwas versteckter Stelle Art. 2 Absatz 2 Buchstabe c DSGVO.

Hinter der Regelung steht der Gedanke, dass rein private Aktivitäten die Interessen anderer Personen normalerweise nicht berühren.

Ausnahmen sind eng auszulegen

Die DSGVO lässt hier eine Ausnahme von ihrem Anwendungsbereich zu. Ausnahmen sind generell eng auszulegen. Deshalb empfiehlt es sich, die Regelung sehr genau anzuschauen. Dabei ergeben sich wichtige Aspekte:

Natürliche und juristische Personen

  • Die Ausnahme betrifft nur die Verarbeitung von Daten durch „natürliche Personen“. Das sind alle Menschen. Der Gegenbegriff dazu sind „juristische Personen“. Das heißt konkret: Wenn Herr Meier für sich persönlich einen Geburtstagskalender mit seinen Bekannten führt, spielt die DSGVO keine Rolle. Denn dies tut er als natürliche Person. Führt er einen Geburtstagskalender mit demselben Inhalt dagegen als Geschäftsführer für die Meier GmbH, sieht es anders aus. Dann gilt dafür die DSGVO.

Persönliche und geschäftliche Tätigkeiten

  • Die Ausnahme erfasst nur „persönliche und familiäre Tätigkeiten“. Das Gegenstück dazu sind vor allem „geschäftliche Tätigkeiten“. Ein elektronisches Telefonbuch mit den Rufnummern von Verwandten und persönlichen Freunden interessiert die DSGVO nicht. Bei einem elektronischen Telefonbuch mit den Rufnummern von Geschäftspartnern sieht das anders aus.

Behandlung von gemischten Fällen

  • Dieses Beispiel führt zu „Mischfällen“, die in der Praxis relativ häufig sind. Jemand hat in seinem privaten Handy die Rufnummern von Verwandten und Freunden gespeichert. Außerdem finden sich dort auch die Nummern aller wichtigen Geschäftspartner. Private Verbindungen bestehen zu den Geschäftspartnern nicht. Hier gilt die DSGVO für das gesamte Nummernverzeichnis, also für alle Daten. Denn von der DSGVO ausgenommen sind nur Tätigkeiten, die „ausschließlich“ persönlicher oder familiärer Natur sind. Hier dient das Verzeichnis aber auch geschäftlichen Zwecken.

Im Zweifel: keine Ausnahme möglich!

Unsicherheiten bei der Abgrenzung gehen immer zulasten dessen, der die Daten verarbeitet. Im Zweifel gilt die DSGVO also, und eine Berufung auf die Ausnahme ist nicht möglich. Beispiel: Es bleibt unklar, ob jemand einen Geburtstagskalender als Privatmann oder als Geschäftsführer nutzt. Dann muss er die DSGVO voll beachten. Er kann sich nicht auf die Ausnahme von der DSGVO berufen.

Soziale Netzwerke ohne Zugriffsbeschränkung

Viele wollen ihre Fotos einem weiteren Kreis von Bekannten zugänglich machen und stellen sie beispielsweise bei Facebook ein. Ansehen kann sie jeder, der auf den Account zugreift. Damit befinden sich die Aufnahmen außerhalb des ausschließlich privaten Bereichs. In solchen Fällen gilt die DSGVO in vollem Umfang.

Echt private Gruppen in sozialen Netzwerken

Natürlich sind auch in sozialen Netzwerken rein private Gruppen möglich. Beispiel: Weit voneinander entfernt lebende Mitglieder einer Familie richten eine private Gruppe ein, in der sie private Bilder und private Nachrichten austauschen. Zugriff haben nur die Mitglieder. Dafür gilt die DSGVO nicht. Wichtig ist aber eine persönliche Verbundenheit der Gruppe untereinander.

„Zahlenspiele“ helfen nicht weiter

Keine Rolle spielt dagegen, wie viele Mitglieder zu einer Gruppe gehören. Bloß weil eine Gruppe beispielsweise nur fünf oder zehn Mitglieder hat, ist sie nicht automatisch eine private Gruppe. Umgekehrt können beispielsweise bei einer großen Familie auch 20 oder 30 Personen durchaus noch eine private Gruppe bilden.

Überwachungskamera in der eigenen Wohnung

Manche lassen in ihrer Wohnung eine Kamera laufen, wenn sie außer Haus sind. Das tut etwa ein Katzenfreund, der tagsüber immer wieder einmal aus der Entfernung sehen will, wie es der Kätzin mit den neu geborenen Kätzchen geht. Das ist eindeutig ein Fall rein privater Datenverarbeitung, auch wenn der Zugriff über eine Datenleitung aus der Ferne erfolgt.

Überwachungskamera vor dem eigenen Haus

Anders sieht es bei Kameras in Hauseinfahrten aus. Das akzeptieren die Datenschutzbehörden nicht mehr als private Datenverarbeitung. Der Grund: Eine solche Überwachung dient dazu, Störenfriede im Bild festzuhalten. Das geht dann schon über den internen, rein privaten Bereich hinaus.