Blog

Veröffentlicht am

Datentransfer in die USA – eine Dauerbaustelle?

Die DSGVO gilt seit nunmehr drei Jahren. Ihr wesentlicher Zweck besteht darin, Rechtssicherheit im Datenschutz zu bewirken. Für Datentransfers in die USA ist dies bisher nicht gelungen. Hier liegt eine große Herausforderung für die Zukunft.

Ohne Übermittlungen in die USA geht kaum etwas

Die meisten Unternehmen können gar nicht anders, als personenbezogene Daten in die USA zu übermitteln. Manche gehören zu einem Konzern mit einer Konzernmutter in den USA und müssen deshalb dorthin berichten. Nahezu alle Unternehmen nutzen Internetservices, die Daten in den USA speichern. Aktuelles Beispiel hierfür sind Systeme für Videokonferenzen. Meist laufen sie über Server in den USA.

Die USA – ein Drittland

Ein Unternehmen, das Daten in die USA übermittelt, muss die Vorgaben der DSGVO einhalten. Die USA sind bekanntlich kein Mitglied der EU, sondern ein sogenanntes Drittland. Das US-Recht orientiert sich nicht an den Vorgaben der DSGVO. Deshalb sind Maßnahmen nötig, damit „das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“ (so wörtlich Art. 44 Satz 2 DSGVO).

Der goldene Weg: generelle Regelungen

Ideal wäre es für Unternehmen, wenn es generelle Vorgaben der EU gäbe, die dies gewährleisten. Dann könnte die Europäische Kommission nämlich feststellen, dass diese Vorgaben ein angemessenes Schutzniveau für Datenübermittlungen in die USA sicherstellen („Angemessenheitsbeschluss“ gemäß Art. 45 DSGVO). Diesen Weg hat die EU im engen Zusammenwirken mit der US-Seite zweimal zu beschreiten versucht.

„Safe Harbour“ und „Privacy Shield“ sind Geschichte

Zunächst sollten die „Safe-Harbour-Regelungen“ buchstäblich einen sicheren Hafen für Datenübermittlungen in die USA schaffen. Später sollte der „Privacy Shield“ ein Schutzschild für DSGVO-konforme Datenübermittlungen in die USA darstellen.

Beides waren umfangreiche Regelungswerke. Beide fanden beim Europäischen Gerichtshof keine Gnade. Seine Entscheidungen sind unter den Kurzbegriffen „Schrems I“ und „Schrems II“ bekannt. Herr Schrems, ein österreichischer Jurist, hatte jeweils die Verfahren in die Wege geleitet, die zu den Entscheidungen geführt haben.

Der aktuelle Stand: Ratlosigkeit

Im Augenblick herrscht in den Unternehmen eine gewisse Ratlosigkeit. Das spüren alle Mitarbeiterinnen und Mitarbeiter, die mit Datenübermittlungen in die USA zu tun haben, in ihrem beruflichen Alltag. Aufforderungen, solche Übermittlungen auf das Notwendigste zu beschränken, sind Standard. Von der EU entworfene „Standardvertragsklauseln“ dienen häufig als Rechtsgrundlage für Datentransfers, sind aber aufwendig zu handhaben. Einwilligungen betroffener Personen taugen nicht als breit anwendbare Rechtsgrundlage. Der Aufwand ist schlicht zu hoch.

Ein dringender Geburtstagswunsch

Den dritten Geburtstag der DSGVO verbinden viele Unternehmen mit dem Wunsch, dass die EU in nächster Zeit ein besonderes Geburtstagsgeschenk bastelt: eine in der Praxis sinnvoll nutzbare Rechtsgrundlage für Datenübermittlungen in die USA! Die EU und die USA haben versprochen, sich darum in der nächsten Zeit intensiv zu bemühen.

Veröffentlicht am

Wie steht es um die Sicherheit personenbezogener Daten?

Wie steht es um die Sicherheit personenbezogener Daten?

Drei Jahre müssen Unternehmen und Behörden die Datenschutz-Grundverordnung nun schon anwenden. Doch scheinen die Sicherheitsvorfälle und Datenpannen noch größer und häufiger als früher zu sein. Kommt die Datensicherheit nicht von der Stelle? Kann es überhaupt Datensicherheit geben?

DSGVO fordert eine sichere Verarbeitung personenbezogener Daten

Die Datenschutz-Grundverordnung lässt keinen Zweifel. Sie fordert ausdrücklich: Die Vertraulichkeit, Integrität und Verfügbarkeit der personenbezogenen Daten und die Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung der Daten müssen auf Dauer sichergestellt sein.

Nun könnte man vermuten, dass drei Jahre Anwendung der DSGVO dazu geführt hätten, dass IT-Sicherheitsvorfälle und damit Verletzungen der genannten Schutzziele für personenbezogene Daten inzwischen seltener auftreten. Doch offensichtlich ist das nicht der Fall. Die Schlagzeilen der Tagespresse sind voll von Meldungen über Datenverluste, Datenmissbrauch und Spionageangriffe auf Unternehmen und Behörden.

Ist die Forderung der DSGVO nach einer umfassenden Sicherheit der personenbezogenen Daten unrealistisch? Kann wirkliche Datensicherheit vielleicht gar nicht gelingen?

Hundertprozentige Sicherheit gibt es nicht, aber…

Kein Sicherheitsexperte würde behaupten, dass es eine hundertprozentige Sicherheit gibt, daran kann auch die DSGVO nichts ändern. Trotzdem ist die Forderung nach Datensicherheit ein zwingender Bestandteil des Datenschutzes. Nur weil die Meldungen über Millionen von Datensätzen, die ungeschützt im Internet gefunden wurden, nicht abreißen, kann man auf die Maßnahmen des technischen Datenschutzes nicht verzichten.

Tatsächlich ist es so, dass die Maßnahmen der Datensicherheit durchaus Sicherheitsvorfälle und Datenpannen vermeiden, es also ohne diese Maßnahmen viel mehr Schaden für die Betroffenen von Datenverlust und Datenmissbrauch geben würde. Sicherheitsexperten sagen, dass selbst Basisschutzmaßnahmen helfen können, die Mehrzahl möglicher Angriffe zu verhindern.

Für besonders raffinierte Angriffe und komplexe Vorfälle braucht man dagegen besondere Schutzmaßnahmen. Doch auch diese können keine Garantie bieten.

Wirksamkeit der Schutzmaßnahmen muss dauerhaft überwacht werden

Aus gutem Grund fordert die DSGVO neben den Sicherheitsmaßnahmen auch ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. So kann es durchaus sein, dass eine ergriffene Maßnahme nicht das erfüllt, was man für die Sicherheit erwartet hat. Es kann aber auch sein, dass eine Schutzmaßnahme für eine gewisse Zeit greift, dann aber keine zuverlässige Datensicherheit mehr bieten kann. Dies soll durch die Kontrolle der Wirksamkeit erkannt werden, um die Schutzmaßnahmen dann zu optimieren.

Entscheidend für die Datensicherheit ist dabei der Stand der Technik, wie die DSGVO fordert. So kann zum Beispiel eine Verschlüsselung in der Zukunft nicht mehr stark genug sein, da die Angreifer dann Mittel haben, um sie zu brechen.

Neben neuen Angriffsmethoden sind es auch die neuen Technologien, die die Datensicherheit immer wieder herausfordern. Neue Technik bringt neue Schwachstellen mit sich, die Angreifer ausnutzen könnten. Aber auch bestehende Technik kann Sicherheitslücken enthalten, die erst später bekannt werden.

Datensicherheit ist und bleibt eine Daueraufgabe

Sieht man also genauer hin, so darf man sich nicht wundern, dass auch drei Jahre nach Anwendung der DSGVO Sicherheitsvorfälle auftreten und der Datenschutz verletzt wird, weil die Datensicherheit unzureichend war. Das kann an der Wahl der falschen Maßnahmen liegen, an fehlendem Schutz, an Vorfällen, die sich technisch gar nicht verhindern lassen, aber auch an der hohen Dynamik der IT und der Bedrohungslage.

Die Sicherheit der Verarbeitung personenbezogener Daten ist also nicht etwa schlechter geworden, weil immer noch viele Datenpannen auftreten. Stattdessen kann man annehmen, dass die Zahl der gemeldeten und entdeckten Vorfälle zugenommen hat – das ist also ein gutes Zeichen für den Datenschutz, wenn man Datenschutzverletzungen nicht übersieht, sondern meldet und abstellt. Das ist durchaus als Erfolg der DSGVO zu sehen, die die Meldepflichten stärker in den Blick der Unternehmen gerückt hat.

Gleichzeitig gilt es, weiterhin die Sicherheit der Daten auf ihre Wirksamkeit hin zu untersuchen. Dazu gehört es auch, Sicherheitsfunktionen nicht zu umgehen oder zu deaktivieren, weil sie scheinbar den Komfort reduzieren. Das würde dann tatsächlich den Datenschutz verschlechtern. Das gilt heute und wird auch in Zukunft so sein.

Veröffentlicht am

Kennzeichen-Kameras beim Parken

Kennzeichen-Kameras beim Parken

An immer mehr Parkplätzen verschwinden die Einfahrtsschranken. Stattdessen erfassen Kameras die Kennzeichen. Wie ist das mit dem Datenschutz zu vereinbaren?

Einfahrtsschranke – das ist Vergangenheit!

Immer mehr Unternehmen bauen an der Einfahrt zum Firmenparkplatz die Einfahrtsschranke ab. Stattdessen filmen sie die Kennzeichen der einfahrenden Fahrzeuge. In einer Datenbank lässt sich feststellen, ob dieses Fahrzeug den Parkplatz benutzen darf.

Ähnlich verfahren die Betreiber von öffentlichen Parkhäusern. Hineinfahren kann jeder einfach so. Bezahlt wird am Automaten, nachdem der Fahrer sein Kennzeichen eingegeben hat.

Mehr Bequemlichkeit beim Parken

Die Vorteile liegen auf der Hand. Kein Fahrer muss mehr die Scheibe an der Fahrertür öffnen, nach dem Einfahrtschip kramen oder mühsam das Parkticket bei der Einfahrt lösen. Bei der Bezahlung muss man kein Einfahrtticket mehr in den Automaten stecken. Stattdessen gibt man sein Kennzeichen ein.

Kfz-Kennzeichen sind personenbezogen

Der Datenschutz ist ein Thema, weil die Kennzeichen von Fahrzeugen personenbezogene Daten enthalten. Das überrascht auf den ersten Blick. Aber: Mithilfe des Kennzeichens ist es leicht möglich, den Halter eines Fahrzeugs festzustellen. Genau dazu sind sie da. Wer Kennzeichen festhält, muss deshalb die Datenschutzregelungen beachten.

Kaum Probleme bei Firmenparkplätzen

Bei einem Firmenparkplatz ist alles relativ einfach. Seine Benutzung ist in irgendeiner Weise im Zusammenhang mit dem Arbeitsverhältnis geregelt. Beispielsweise kann der Arbeitsvertrag eine entsprechende Klausel enthalten. Vielleicht gibt es auch eine Betriebsvereinbarung. Arbeitsvertrag oder Betriebsvereinbarung sind dann die Rechtsgrundlage dafür, dass der Arbeitgeber die nötigen Daten festhalten darf.

Meist kosten Firmenparkplätze nichts. Dann genügt es, die Parkberechtigung festzustellen. Dazu sind die Kennzeichen der berechtigten Fahrzeuge in einer Datenbank gespeichert. Fährt ein Fahrzeug in den Parkplatz ein, wird sein Kennzeichen mit dieser Datenbank abgeglichen.

Daten für die Abrechnung

Kostet ein Parkplatz etwas, braucht man zusätzlich Daten für die Abrechnung. Bei öffentlichen Parkplätzen ist das die Regel. Abgerechnet wird bei der Ausfahrt. Dazu braucht man Einfahrtszeit und Ausfahrtszeit. Manchmal bestehen Monatsverträge für Dauerparker. Bei ihnen spielen die Parkzeiten normalerweise keine Rolle. Dann sind diese Daten auch nicht nötig.

Datenschutzhinweise bei der Einfahrt

Ein häufiges Konfliktthema sind die Datenschutzhinweise an der Einfahrt zum Parkplatz. Bei einem Firmenparkplatz für Beschäftigte können sie entweder sehr kurz ausfallen oder sogar völlig wegbleiben. Die Beschäftigten sind im Regelfall auch ohne solche Hinweise ausreichend informiert. So steht beispielsweise in Betriebsvereinbarungen für Firmenparkplätze meist auch, welche Daten gespeichert werden dürfen und was mit ihnen geschieht.

Parkhäuser mit engen Einfahrten

Bei Parkhäusern ist es nicht ganz so einfach. Typisch ist folgende Situation: Wer parken will, merkt erst an der Einfahrt, dass es keine Schranke gibt. Oft genug sind die Einfahrten eng. Für große Schilder mit ausführlichen Informationen ist schlicht kein Platz. Die Datenschutz-Grundverordnung verlangt aber, dass eine umfassende Information über die Verarbeitung der Daten erfolgt.

Vernünftige Lösungen für die Praxis

Für solche Fälle sind die Datenschutzbehörden mit praxisnahen Lösungen einverstanden. Sie sehen so aus: An der Einfahrt steht ein Schild, das auf die Kennzeichenerfassung hinweist. Ansonsten heißt es dort lediglich: „Weitere Informationen im Parkhaus. Freie Ausfahrt binnen 10 Minuten möglich.“ Diese Formulierung ist nur ein Beispiel, es sind auch andere kurze Texte möglich.

Wem es nicht gefällt, kann kostenlos ausfahren

Wer einfährt, kann sich dann im Parkhaus informieren, wie die Kennzeichenerfassung erfolgt und welche Daten gespeichert werden. Ist er damit nicht einverstanden, kann er sich wieder ins Auto setzen und gebührenfrei ausfahren. Sein Kennzeichen wurde dann zwar bei der Einfahrt erfasst. Das System ist aber so eingestellt, dass es diese Daten vollständig löscht, wenn das Fahrzeug innerhalb der Karenzzeit ausfährt.

Bequemlichkeit und Datenschutz – das geht!

Insgesamt ist die Kennzeichenerfassung auf Parkplätzen ein Beispiel dafür, dass Bequemlichkeit und Datenschutz wunderbar zusammenpassen können. Es ist deshalb kein Wunder, dass immer mehr Supermärkte und Einkaufszentren solche Systeme einsetzen.

 

Veröffentlicht am

Clubhouse & Co.: Neue Apps, alte Risiken

Clubhouse & Co.: Neue Apps, alte Risiken

Die App „Clubhouse“ ist in aller Munde und hat einen erheblichen Nutzeransturm zu verzeichnen. Leider sind beliebte Apps nicht automatisch datenschutzfreundlich. Schauen Sie deshalb genau hin, wenn Sie einem Trend bei Apps und Online-Diensten folgen.

Digitale Kommunikation in Pandemie-Zeiten

Während der Corona-Pandemie sind drei Viertel der Internetnutzer in Deutschland vermehrt in sozialen Medien aktiv: Insgesamt geben 75 % an, solche Plattformen seit Ausbruch des Coronavirus in Deutschland intensiver zu nutzen, so eine Umfrage des Digitalverbands Bitkom.

Auch neue soziale Netzwerke und Apps erfahren jetzt ein hohes Interesse, wenn es um die digitale Kommunikation geht. Ein prominentes Beispiel ist die App „Clubhouse“. Der Dienst versteht sich als soziales Netzwerk und ermöglicht private und öffentliche Audio-Konferenzen und Diskussionen.

„Viele Menschen haben gerade gegenwärtig ein überwältigendes Interesse an einer neuen diskursiven Plattform, die spannende Kommunikation und den ungezwungenen Austausch mit anderen verspricht“, so Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit. „Die App wirft jedoch viele Fragen zur Wahrung der Privatsphäre von Nutzerinnen und Nutzern und von dritten Personen auf“, warnt der Datenschutzbeauftragte.

Berechtigungen von Apps genau hinterfragen

Datenschützer kritisieren bei Clubhouse etwas, was bei anderen Apps und sozialen Netzwerken früher bereits negativ aufgefallen ist. So werden die Adressbücher in den Mobilfunkgeräten von jenen Nutzerinnen und Nutzern, die andere Personen einladen, automatisch ausgelesen und durch die Betreiber in den USA gespeichert. Dadurch geraten Kontaktdaten von zahlreichen Menschen, ohne dass diese überhaupt mit der App in Kontakt kommen, in fremde Hände, wo sie dann zu Zwecken der Werbung oder für Kontaktanfragen verwendet werden könnten.

Die Betreiber speichern nach eigenen Angaben zudem die Mitschnitte aller in den verschiedenen Räumen geführten Gespräche, um Missbräuche zu verfolgen, ohne dass die näheren Umstände transparent werden.

Besser auf den Datenschutz bei Apps achten

„Man weiß als Nutzer nicht, was mit den Daten genau passiert“, erklärt auch der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, Professor Kugelmann. Allein schon aus diesen Gründen könne er als Landesdatenschutzbeauftragter nur empfehlen, die App nicht herunterzuladen und nicht zu verwenden.

Anbieter, die sich an europäische Nutzer richten, müssen deren Rechte auf Information, Auskunft, Widerspruch und Löschung achten. Gleichzeitig besteht die Pflicht, die technisch-organisatorischen Maßnahmen zum Schutz der Daten zu gewährleisten. An all dem bestehen derzeit bei der Clubhouse-App einige Zweifel. Die deutschen Aufsichtsbehörden für den Datenschutz wollen nun die Einhaltung des europäischen Datenschutzrechts bei Clubhouse überprüfen.

Johannes Caspar kommentierte: „Es kommt leider immer wieder vor, dass Anbieter aus den USA auf den europäischen Markt drängen oder einfach nur mit ihren Produkten und Dienstleistungen bei uns erfolgreich sind, ohne die grundlegendsten datenschutzrechtlichen Vorgaben des europäischen Digitalmarktes einzuhalten.“

Dieses Beispiel zeigt, dass man als Nutzer genauer hinsehen muss, was eine beliebte App mit den Daten macht. Allein die weite Verbreitung und die Beliebtheit sind kein Kennzeichen für einen guten Datenschutz.

Veröffentlicht am

Private Aktivitäten und die DSGVO

Private Aktivitäten und die DSGVO

Immer wieder hört man, dass die DSGVO nicht gilt, wenn jemand Daten für private Zwecke verarbeitet. Was ist da dran? Und wo verlaufen die Grenzen?

Eine Ausnahme vom Anwendungsbereich der DSGVO

Der Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) geht sehr weit. Aber für die private Verarbeitung von Daten gilt sie tatsächlich nicht. Genauer: Sie gilt nicht für die Verarbeitung personenbezogener Daten „durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.“ So beschreibt es an etwas versteckter Stelle Art. 2 Absatz 2 Buchstabe c DSGVO.

Hinter der Regelung steht der Gedanke, dass rein private Aktivitäten die Interessen anderer Personen normalerweise nicht berühren.

Ausnahmen sind eng auszulegen

Die DSGVO lässt hier eine Ausnahme von ihrem Anwendungsbereich zu. Ausnahmen sind generell eng auszulegen. Deshalb empfiehlt es sich, die Regelung sehr genau anzuschauen. Dabei ergeben sich wichtige Aspekte:

Natürliche und juristische Personen

  • Die Ausnahme betrifft nur die Verarbeitung von Daten durch „natürliche Personen“. Das sind alle Menschen. Der Gegenbegriff dazu sind „juristische Personen“. Das heißt konkret: Wenn Herr Meier für sich persönlich einen Geburtstagskalender mit seinen Bekannten führt, spielt die DSGVO keine Rolle. Denn dies tut er als natürliche Person. Führt er einen Geburtstagskalender mit demselben Inhalt dagegen als Geschäftsführer für die Meier GmbH, sieht es anders aus. Dann gilt dafür die DSGVO.

Persönliche und geschäftliche Tätigkeiten

  • Die Ausnahme erfasst nur „persönliche und familiäre Tätigkeiten“. Das Gegenstück dazu sind vor allem „geschäftliche Tätigkeiten“. Ein elektronisches Telefonbuch mit den Rufnummern von Verwandten und persönlichen Freunden interessiert die DSGVO nicht. Bei einem elektronischen Telefonbuch mit den Rufnummern von Geschäftspartnern sieht das anders aus.

Behandlung von gemischten Fällen

  • Dieses Beispiel führt zu „Mischfällen“, die in der Praxis relativ häufig sind. Jemand hat in seinem privaten Handy die Rufnummern von Verwandten und Freunden gespeichert. Außerdem finden sich dort auch die Nummern aller wichtigen Geschäftspartner. Private Verbindungen bestehen zu den Geschäftspartnern nicht. Hier gilt die DSGVO für das gesamte Nummernverzeichnis, also für alle Daten. Denn von der DSGVO ausgenommen sind nur Tätigkeiten, die „ausschließlich“ persönlicher oder familiärer Natur sind. Hier dient das Verzeichnis aber auch geschäftlichen Zwecken.

Im Zweifel: keine Ausnahme möglich!

Unsicherheiten bei der Abgrenzung gehen immer zulasten dessen, der die Daten verarbeitet. Im Zweifel gilt die DSGVO also, und eine Berufung auf die Ausnahme ist nicht möglich. Beispiel: Es bleibt unklar, ob jemand einen Geburtstagskalender als Privatmann oder als Geschäftsführer nutzt. Dann muss er die DSGVO voll beachten. Er kann sich nicht auf die Ausnahme von der DSGVO berufen.

Soziale Netzwerke ohne Zugriffsbeschränkung

Viele wollen ihre Fotos einem weiteren Kreis von Bekannten zugänglich machen und stellen sie beispielsweise bei Facebook ein. Ansehen kann sie jeder, der auf den Account zugreift. Damit befinden sich die Aufnahmen außerhalb des ausschließlich privaten Bereichs. In solchen Fällen gilt die DSGVO in vollem Umfang.

Echt private Gruppen in sozialen Netzwerken

Natürlich sind auch in sozialen Netzwerken rein private Gruppen möglich. Beispiel: Weit voneinander entfernt lebende Mitglieder einer Familie richten eine private Gruppe ein, in der sie private Bilder und private Nachrichten austauschen. Zugriff haben nur die Mitglieder. Dafür gilt die DSGVO nicht. Wichtig ist aber eine persönliche Verbundenheit der Gruppe untereinander.

„Zahlenspiele“ helfen nicht weiter

Keine Rolle spielt dagegen, wie viele Mitglieder zu einer Gruppe gehören. Bloß weil eine Gruppe beispielsweise nur fünf oder zehn Mitglieder hat, ist sie nicht automatisch eine private Gruppe. Umgekehrt können beispielsweise bei einer großen Familie auch 20 oder 30 Personen durchaus noch eine private Gruppe bilden.

Überwachungskamera in der eigenen Wohnung

Manche lassen in ihrer Wohnung eine Kamera laufen, wenn sie außer Haus sind. Das tut etwa ein Katzenfreund, der tagsüber immer wieder einmal aus der Entfernung sehen will, wie es der Kätzin mit den neu geborenen Kätzchen geht. Das ist eindeutig ein Fall rein privater Datenverarbeitung, auch wenn der Zugriff über eine Datenleitung aus der Ferne erfolgt.

Überwachungskamera vor dem eigenen Haus

Anders sieht es bei Kameras in Hauseinfahrten aus. Das akzeptieren die Datenschutzbehörden nicht mehr als private Datenverarbeitung. Der Grund: Eine solche Überwachung dient dazu, Störenfriede im Bild festzuhalten. Das geht dann schon über den internen, rein privaten Bereich hinaus.

 

Veröffentlicht am

Aufgepasst bei Online-Videokonferenzen!

Aufgepasst bei Online-Videokonferenzen!

Statt persönlicher Besprechungen vor Ort finden vermehrt Videokonferenzen über das Internet statt. Viele dieser Online-Services sind leicht zu bedienen, so scheint es. In Wirklichkeit aber gibt es einiges zu beachten, damit Ihre Privatsphäre geschützt bleibt.

Live aus dem Homeoffice

Unter dem Eindruck der Coronakrise hat sich das Arbeiten in vielen Branchen verändert. 95 Prozent der Unternehmen ersetzen Präsenztreffen durch Videokonferenzen, so eine Umfrage des Digitalverbands Bitkom. Wenn Sie gegenwärtig auch im Homeoffice arbeiten, kennen Sie sicherlich die beliebten Videokonferenz-Dienste wie Zoom oder Teams.

Für die Durchführung von Online-Besprechungen oder die Teilnahme daran ist kaum eine Installation erforderlich. Browser, Webcam, Mikrofon, Lautsprecher und gute Internetverbindung reichen. Entsprechend oft am Tag nimmt man an einem der Online-Meetings teil. Das ist bereits so stark Teil des beruflichen Alltags geworden, dass manche Teilnehmer vergessen, dass die Webcam oder das Mikrofon schon oder noch angeschaltet ist. So werden Bilder und Töne übertragen, die eigentlich nicht für die Öffentlichkeit bestimmt waren. Doch die Privatsphäre ist noch stärker in Gefahr.

Datenschützer und Sicherheitsbehörden geben wichtige Hinweise

Die Aufsichtsbehörden für den Datenschutz haben eine Orientierungshilfe zu Videokonferenzsystemen veröffentlicht und geben darin auch wichtige Hinweise, die die Nutzerinnen und Nutzer betreffen. Daraus ergeben sich Punkte, die Sie bei Online-Videokonferenzen beachten sollten.

Zum einen ist es wichtig, nur im Unternehmen freigegebene Dienste zu nutzen, auch dann, wenn Sie im Rahmen Ihrer beruflichen Tätigkeit selbst eine Online-Konferenz planen und dazu einladen.

Zum anderen sollten Sie auf bestimmte technische und organisatorische Maßnahmen achten, um Ihre Privatsphäre besser zu schützen, wie das BSI (Bundesamt für Sicherheit in der Informationstechnik) unterstreicht:

  • Stellen Sie sicher, dass nur die Personen an Ihrem Online-Treffen teilnehmen, die Sie auch eingeladen haben – das geht beispielsweise mit einer komplexen PIN für Ihren virtuellen Raum.
  • Überschreiben Sie die Standardvorgaben der Raumbezeichnung und Ihrer Nutzerkennung durch individuelle Namen. Achten Sie darauf, dass Sie keine trivialen Passwörter, Nutzerkennungen oder PINs vergeben.
  • Geben Sie nur die nötigsten Daten ein, wenn Sie sich für den Dienst registrieren müssen.
  • Machen Sie sich bewusst, was Sie zeigen, wenn Sie den Bildschirm teilen. Wenn Sie Daten austauschen, können auch Schadprogramme übertragen werden.
  • Schließen Sie Sicherheitslücken, indem Sie Updates installieren.
  • Achten Sie darauf, dass im genutzten Webbrowser eine aktive Verschlüsselung bestätigt wird, zum Beispiel in der Adresszeile des Browsers durch „https“.
  • Schalten Sie Webcam und Mikrofon nur ein, wenn Sie diese wirklich brauchen, und deaktivieren Sie danach diese Funktionen wieder.
  • Nutzen Sie für die Webcam am besten eine Abdeckung, die sich vor- und wegschieben lässt.

Beherzigen Sie diese Sicherheitshinweise, um von sich und Ihrem Homeoffice nicht mehr preiszugeben, als Sie wollen.

 

Veröffentlicht am

Office 365 – ein Datenschutzproblem?

Office 365 – ein Datenschutzproblem?

In der Fachpresse, aber auch in den allgemeinen Medien war in letzter Zeit zu lesen, dass Office 365 Schwachstellen beim Datenschutz aufweisen soll. Um was geht es dabei? Muss diese Diskussion den „normalen Nutzer“ überhaupt interessieren? Und wenn ja: Was kann und muss er selbst tun?

Office 365 als Palette von Online-Anwendungen

Office 365, ein Produkt von Microsoft, bietet den Zugriff auf eine ganze Reihe von Webanwendungen, von Outlook über Excel bis OneDrive. Sie stehen dem Anwender online zur Verfügung. Der Marktanteil von Office 365 ist hoch und wächst seit Jahren. Kein Wunder, dass Fragen des Datenschutzes rund um Office 365 große Aufmerksamkeit finden.

Kritik der Datenschutzbehörden

In der letzten Zeit war da und dort verkürzt zu lesen, Office 365 verstoße gegen den Datenschutz und dürfe bald nicht mehr eingesetzt werden. Um es gleich zu sagen: Das ist natürlich nicht richtig. Die Aufsichtsbehörden haben nicht etwa angekündigt, den Einsatz von Office 365 zu verbieten. Vielmehr haben sie mit knapper Mehrheit (also nicht etwa einstimmig) festgestellt, dass derzeit kein datenschutzgerechter Einsatz von Office 365 möglich sei.

Diese Aussage ist eine Art Zwischennachricht. Im Augenblick laufen Verhandlungen zwischen den Aufsichtsbehörden und Microsoft. Dabei werden die aufgetretenen Fragen diskutiert. Das wird mit Sicherheit eine gewisse Zeit brauchen. Von den Ergebnissen wird über kurz oder lang zu hören sein.

Unproblematische Verwendung von Daten

Die Aufsichtsbehörden haben einige Fragen aufgeworfen, die recht interessant sind. Dabei geht es vor allem um den Vertrag zwischen Microsoft und den Unternehmen oder Verwaltungen, die Office 365 einsetzen. Dort ist geregelt, wofür Microsoft die personenbezogenen Daten verwendet, die von den Nutzern übermittelt werden.

Ein Punkt ist dabei völlig unproblematisch: Microsoft verwendet diese Daten, um die vereinbarten Dienste zu erbringen. Wenn etwa Outlook funktionieren soll, dann muss Microsoft die Daten verarbeiten, die dafür notwendig sind. Das Versenden einer E-Mail klappt beispielsweise nur, wenn die nötige E-Mail-Adresse vorhanden ist und zum Versenden der Mail benutzt wird. Daran gibt es auch keine Kritik.

Verwendung von Daten für „Geschäftstätigkeiten“

Schwieriger wird es, weil Microsoft laut Vertrag Daten auch für „legitime Geschäftstätigkeiten von Microsoft“ verwenden darf. Diese Formulierung ist recht allgemein. Deshalb stellt sich die Frage, ob Unternehmen, die Office 365 nutzen, Microsoft Daten für diesen Zweck zur Verfügung stellen dürfen. In mancherlei Hinsicht lautet die Antwort eindeutig Ja. Das gilt etwa für die Abrechnung von Dienstleistungen, die Microsoft erbringt. Bei anderen Punkten ist dies nicht so eindeutig. So ist die Bekämpfung von Betrug und Cyberkriminalität sicher eine wichtige Angelegenheit. Hier kann man allerdings schon diskutieren, welche Daten dafür konkret erforderlich sind und deshalb an Microsoft übermittelt werden dürfen.

Feld für Fachleute

Diese wenigen Beispiele zeigen, dass es hier um Fragen für Datenschutz-Fachleute geht. Wie exakt müssen vertragliche Bestimmungen sein? Welche technischen Sicherungsmaßnahmen muss Microsoft vorhalten? Das ist alles wichtig. Für den normalen Anwender von Office 365 im Büro lohnt es aber nicht, sich damit zu befassen. Anders wäre das nur, wenn er aus privater Leidenschaft tief in Fragen des Datenschutzes einsteigen will.

Fragen an sich selbst stellen!

Reicht es also, sich ruhig zurück zu lehnen und Office 365 einfach zu nutzen, ohne lange zu überlegen? Das wäre auch wieder zu einfach gedacht. Vielmehr sollte gerade der normale Nutzer im Büro einmal kurz nachdenken, was er alles mit Office 365 macht. Das ist im Normalfall erstaunlich viel. Von Mails war schon die Rede. Aber auch einige Gedanken darüber, was so alles in Excel-Tabellen steht, könnten sinnvoll sein.

Vorgaben des Arbeitgebers beachten!

Auf der Basis der Frage „Was tue ich hier eigentlich?“ sollte der Nutzer dann überlegen, ob er sich dabei an die Vorgaben des Unternehmens hält, bei dem er arbeitet. Ist die Excel-Tabelle vielleicht um die eine oder andere Spalte erweitert, weil das so praktisch erschien? Oder hatte das Unternehmen eine solche Spalte vielleicht bewusst nicht vorgesehen?

Eigene Verantwortung sehen!

Das sind Fragen, die nicht Microsoft betreffen. Man sollte nie vergessen, dass auch Office 365 nur ein Werkzeug ist. Solange es nicht benutzt wird, speichert es keinerlei Daten und gibt auch keine weiter. Wenn es Daten speichert und weitergibt, dann hat das der Nutzer ausgelöst. Dafür ist er verantwortlich und nicht Microsoft.

 

Veröffentlicht am

Datenschutzerklärungen besser verstehen

Datenschutzerklärungen besser verstehen

Eine aktuelle Studie zeigt, dass viele Datenschutzerklärungen nicht verständlich genug sind. Entsprechend häufig verzichten Internetnutzer darauf, die sogenannten Privacy Policies zu lesen. Doch darunter kann der persönliche Datenschutz leiden.

Von wegen Erklärung des Datenschutzes

Online-Angebote wie Websites und Webshops müssen eine Datenschutzerklärung besitzen, so verlangt es nicht erst die Datenschutz-Grundverordnung (DSGVO). Trotzdem gibt es immer noch Webseiten, die keine „Privacy Policy“ veröffentlichen.

Andere Online-Dienste haben zwar eine Datenschutzerklärung, doch diese verdient ihren Namen nicht: Sie erklärt nicht den Datenschutz – jedenfalls nicht so, wie es für den normalen Internetnutzer erforderlich wäre.

Umfrage belegt unzureichende Erklärungen

Eine aktuelle Studie hat die Datenschutzrichtlinien führender Social-Media-Plattformen untersucht. Deren Nutzer wurden zudem befragt, um herauszufinden, wie lesbar die Datenschutzerklärungen wirklich sind. Dabei wurden die Altersgruppen berücksichtigt, die die jeweilige Social-Media-Plattform nutzen dürfen.

Hier sind einige der Ergebnisse:

  • 87 % der Menschen akzeptieren Datenschutzrichtlinien, ohne sie zu lesen.
  • Die Datenschutzrichtlinie von TikTok zum Beispiel erfordert ein Lesealter von 17+ Jahren, trotz der Möglichkeit, sich ab dem Alter von 13 Jahren dafür anzumelden.
  • Im Durchschnitt dauert es mehr als 47 Minuten, um die Datenschutzrichtlinien für soziale Medien zu lesen. Die Datenschutzrichtlinien von TikTok, WhatsApp und LinkedIn gehören zu den längsten.
  • API (62 %), Cookies (57 %), Drittanbieter (53 %) und IP-Adresse (46 %) stehen ganz oben auf der Liste des Fachjargons für Datenschutzrichtlinien, die die Menschen nicht verstehen.

Offensichtlich vermeiden die meisten Internetnutzer, Datenschutzerklärungen zu prüfen, da sie zu komplex, zu lang und unverständlich sind. Damit entsprechen die Datenschutzerklärungen nicht den Vorgaben der DSGVO. Zudem können die Nutzer von ihren Rechten keinen Gebrauch machen. Denn für sie ist die Datennutzung nicht transparent.

Datenschutz verstehen, um die eigenen Daten schützen zu können

Wenn Sie eine Datenschutzerklärung lesen und etwas nicht verstehen, dann geht es vielen Kolleginnen und Kollegen sicher genauso. Fragen Sie deshalb Ihre Ansprechpartner im Unternehmen für den Datenschutz und bitten Sie um eine Erklärung. Nur so können Sie und die anderen Beschäftigten im Unternehmen wirklich von Ihren Rechten Gebrauch machen und auf die Nutzung eines Online-Dienstes bewusst verzichten, weil Sie mit dem dort praktizierten Datenschutz nicht einverstanden sind.

An dieser Stelle seien die Begriffe erklärt, die für besonders viele Menschen unverständlich sind.

 

Veröffentlicht am

Aufsichtsbehörden verhängen Bußgelder in den Bereichen Cookies und Einwilligungen

DSGVO Bußgeld

Vodafone Italien muss 12,25 Mio. Strafe zahlen – für aggressives Telemarketing

Im November diesen Jahres verhängte die italienische Aufsichtsbehörde ( Grante per la protezoni die dati personali) gegen Vodafon Italien ein Bußgeld in Höhe von 12,25 Mio. Euro. Grund hierfür war im Kern Werbeanrufe an eine Vielzahl von Vodafone-Kunden, denen keine wirksame Einwilligung zu Grunde lag. Außerdem wirft die Aufsichtsbehörde sehr aggressives Telemarketing vor. Das kritische dabei sei gewesen, dass Vodafone die Daten über Dritte eingeholt hat, wofür überwiegend keine Einwilligung vorlag.
So arbeitete Vodafone mit einer Vielzahl an Callcentern zusammen, um diese Werbestrategie durchzuführen. Was generell nicht ungewöhnlich ist, wurde nun aber zum Problem: denn viele dieser Callcentern wunden nicht von Vodafone direkt für diese Werbeanrufe autorisiert. Hierbei handelte es sich daher um unrechtmäßige Verarbeitungsvorgänge.

Neben dem Bußgeld legte die Behörde einige Maßnahmen fest, die Vodafone Italien nun ergreifen muss um die nationalen und europäischen Datenschutzvorschriften einzuhalten.
So müssen unter anderem die Sicherheitsmechanismen zur Verhinderung von unerlaubtem Zugriff auf und unrechtmäßige Verarbeitung von Kundendaten gestärkt werden und Auftragsverarbeiter sorgfältiger ausgewählt werden.
Denn obwohl der Verantwortliche beim Auftragsverarbeiter Regress nehmen kann, haftet der Verantwortliche gegenüber dem Betroffenen gem. Art. 32 Abs. 1 DSGVO in voller Höhe. Außerdem ist der entstandene Imageschaden deutlich gravierender zu bewerten als das verhängte Bußgeld der Behörde.

Verstoß gegen die Informationspflicht gemäß Art. 13 DSGVO

Weitere Verstöße gegen die elementaren Rechte der Betroffenen stellte die französische Aufsichtsbehörde (CNIL) bei Europas zweitgrößtem Einzelhandelsunternehmens Carrefour France und Carrefour Banque fest. Bei den Ermittlungen, die bereits im Sommer 2019 begannen, ergab sich, dass die Webseiten von Carrefour die notwenigen Informationen nach Art. 13 DSGVO nicht transparent genug darstellt hatten. Konkret ging es hierbei um personenbezogene Daten, die über das Treueprogramm verarbeitet worden sind.
Die Behörde stellte fest, dass die nötigen Informationen nicht nur schwer zugänglich, sondern auch schwer verständlich waren. Außerdem genügten die Datenschutzhinweise nicht dem Transparenzgebot aus Art. 5 Abs. 1 DSGVO.

Auf Cookies auf der Webseite richtig hinweisen

Was genau beim Setzen von Cookies zwingend erforderlich ist, ist zwar durch die Planet 49 Entscheidung des EuGH rechtlich klar definiert, denn das Setzen von nicht unbedingt erforderlichen Cookies bedarf stets einer aktiven Einwilligung des Webseitenbesuchers. Trotzdem bereitet die Umsetzung den Unternehmen aber immer wieder Schwierigkeiten.

Verstöße gegen die Grundprinzipien des Datenschutzes und damit der Verletzung der elementaren Rechte von Betroffenen, stuft der europäische Gesetzgeber als besonders schwer ein.
Mit einem Verstoß gegen Art. 6 und Art. 7 DSGVO in Bezug auf die Einwilligung können sich Unternehmen schnell das „große Bußgeld“ nach Art. 83 Abs. 5 DSGVO einhandeln. Dieses Bußgeld ist der Höchstsatz and erteilbaren Strafen und kann sich auf bis zu 20 Mio. Euro oder 4% des Konzernjahresumsatzes belaufen.

Die oberste Datenschützerin Niedersachsens, Frau Barbara Thiel, startete kürzlich hierzu eine kleine Untersuchung.  Kleine und mittelständische Unternehmen aus Niedersachsen wurden gebeten, einen Fragebogen auszufüllen und zu beantworten, wie Sie Cookies einsetzen und darauf Hinweisen. Ebenfalls erfragt wurde die Einbindung von Diensten von Drittanbietern.
„Viele der geprüften Webseiten zeigten in diesem Bereich Mängel. Einige davon waren so erheblich, dass sie zur Unwirksamkeit der Einwilligung führten“, so Thiel zur Auswertung der Umfrage.

Am häufigsten kam es vor, dass mittels optischer Hilfsmittel, wie die bewusste Einbindung von Farben der Ablehnen- und Zustimmen- Buttons der Webseitenbesucher unterbewusst beeinflusst wurde und somit keine echte Wahl habe. Fehlerhafte Voreinstellungen waren ebenfalls auffällig oft vertreten.

Das Nutzen von optischen Hilfsmitteln, oder auch „Nudging“ genannt, stellt weitgehend eine rechtliche Grauzone dar. Im Einzelfall bewerten hier die Aufsichtsbehörden und Gerichte, ob sie den datenschutzrechtlichen Anforderungen genügen.

Das Positive an den oben genannten Fällen und Bußgeldbescheiden bleibt jedoch folgendes: alle lassen sich leicht im Vorfeld verhindern.
Unser Rat:
Seien Sie bedacht bei der Wahl der Auftragsverarbeiter und wählen Sie diese sorgfältig nach Vertrauenswürdigkeit und transparentem Agieren aus.
Sensibilisieren Sie das Webseite betreibende Personal und lassen Sie sich in jeder Phase der Implementierung von Neuerungen datenschutzrechtlich absichern.

Veröffentlicht am

Office 365: Was sagt der Datenschutz?

Office 365: Was sagt der Datenschutz?

Wer einen Cloud-Dienst nutzen will, muss sich über die Folgen für den Datenschutz klar sein. Im Fall von Office 365 ist das nicht einfach und damit umso wichtiger. Die Aufsichtsbehörden für den Datenschutz haben weitere Untersuchungen angekündigt.

Rechtsunsicherheit bei Office aus der Cloud

Immer mehr Unternehmen aus Deutschland setzen Cloud-Dienste ein. Drei von vier Unternehmen nutzten im Jahr 2019 Rechenleistungen aus der Cloud, im Vorjahr waren es 73 Prozent und im Jahr 2017 erst 66 Prozent, so der Cloud-Monitor 2020 des Digitalverbands Bitkom. Gegen die Verwendung von Cloud-Services spricht, dass es zu unerlaubten Datenzugriffen in der Cloud kommen könnte. Außerdem besteht eine gewisse Rechtsunsicherheit, von der 60 Prozent der Unternehmen berichten, die sich bisher gegen Cloud-Lösungen entschieden haben.

Diese Unsicherheit hinsichtlich der Rechtslage erstreckt sich auch auf so beliebte Dienste wie Office-Lösungen aus der Cloud. Hier ist insbesondere Microsoft Office 365 zu nennen. Selbst Aufsichtsbehörden für den Datenschutz machen deutlich, dass es zum Datenschutz bei Office 365 Unklarheiten gibt. So lautete das Fazit des Hessischen Beauftragten für Datenschutz und Informationsfreiheit zum Einsatz von Microsoft Office 365 in hessischen Schulen im Juli 2019: Microsoft Office 365 an Schulen einzusetzen, ist datenschutzrechtlich unzulässig, soweit Schulen personenbezogene Daten in der europäischen Cloud speichern.

In einer zweiten Stellungnahme im August 2019 erklärte die Aufsichtsbehörde dann: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit hat sich nach den Gesprächen mit Microsoft dazu entschlossen, den Einsatz von Office 365 in hessischen Schulen unter bestimmten Voraussetzungen und dem Vorbehalt weiterer Prüfungen vorläufig zu dulden.

Auch im Jahr 2020 sind die Fragen zum Datenschutz bei Office 365 nicht eindeutig geklärt. Die Aufsichtsbehörden in den Bundesländern haben dazu noch keine vollständig einheitliche Linie gefunden. Doch was bedeutet das für Unternehmen und für Nutzer?

Erhebliche Verbesserungen bei Office 365 notwendig

Natürlich sollte es Unternehmen und Nutzer aufhorchen lassen, wenn sich die Aufsichtsbehörden für den Datenschutz so ausführlich und detailliert mit den Datenschutzfragen eines bestimmten Cloud-Dienstes befassen. Einerseits ist dies der hohen Verbreitung von Office 365 geschuldet, die die Relevanz der Datenschutzfragen erhöht. Andererseits gibt es nach Ansicht aller Aufsichtsbehörden für den Datenschutz in Deutschland ein „erhebliches datenschutzrechtliches Verbesserungspotenzial“ bei Office 365.

Die Nutzungsbedingungen von Microsoft machen demnach nicht ausreichend klar, welche nutzerbezogenen Daten Microsoft wie verarbeitet. Die Aufzeichnung und Nutzung der von Microsoft erhobenen Telemetriedaten weist Unklarheiten auf. Es ist für die Datenschützer unklar, ob Microsoft Nutzerdaten ausreichend schützt und wie lange es diese Daten speichert. Die Weitergabe von Nutzerdaten an Unterauftragnehmer ist nicht ausreichend geregelt.

Die Aufsichtsbehörden haben deshalb beschlossen, eine Arbeitsgruppe einzurichten, die Gespräche mit Microsoft aufnehmen soll, um zeitnah datenschutzgerechte Nachbesserungen zu erreichen. Unternehmen und Nutzer tun also gut daran, die Nutzungsbedingungen und die Datenschutzerklärung zu Office 365 im Auge zu behalten. Die Aufsichtsbehörden für den Datenschutz fordern hier viele Anpassungen und Klarstellungen, damit der Datenschutz-Grundverordnung (DSGVO) der EU Genüge getan wird.

Mit der Cloud kann sich vieles ändern

Office 365 ist ein wichtiges und gutes Beispiel, warum der Wechsel hin zu einem Cloud-Dienst nicht leichtfertig geschehen sollte, sondern Prüfungen vorab und auch während der Nutzungsphase nach sich ziehen muss. Denn der Datenschutz lässt sich nicht einfach als gewährleistet annehmen.

Die früher lokal installierten Office-Programme und eine Office-Lösung aus der Cloud mögen ähnliche oder die gleichen Funktionen haben. Für den Datenschutz jedoch und für die Nutzerdaten bedeutet es einen großen Unterschied, ob eine Anwendung lokal oder über eine Cloud genutzt wird.

Die DSGVO verlangt, dass Unternehmen nur solche Cloud-Anbieter beauftragen, die ausreichende Garantien bieten, dass sie den Datenschutz nach DSGVO einhalten. Dies zu überprüfen, muss vor der Entscheidung für einen Cloud-Dienst geschehen. Und da sich Cloud-Dienste schnell in Funktionen und Nutzungsbedingungen verändern können, muss eine solche Prüfung auch während der Nutzung stattfinden.

Der Weg in die Cloud scheint einfach und bequem zu sein. Ein Webbrowser kann schon ausreichen. Doch die Folgen für den Datenschutz zu prüfen, ist komplex und nicht zu vernachlässigen. Das sollten Unternehmen beim Für und Wider von Cloud Computing stärker bedenken als bisher.