DS-GVO – Datenschutz-Grundverordnung

Wie sahen Ihre Gesichtszüge aus, als Sie diese Überschrift gelesen haben? Genervt, wütend oder verzweifelt? Das ist schade, denn Hysterie oder Resignation rund um die Buchstaben „DS-GVO“ helfen niemandem weiter.

Datenschutz und Datenschutzgesetze gab es bereits vor dem 25. Mai 2018 und vor allem in Deutschland hat sich weit weniger geändert, als uns so mancher glauben lassen will. Glauben Sie mir gerne, wenn ich Ihnen verrate, dass ich mich bereits 2010 mit dem Thema Datenschutz in meinem Jurastudium beschäftigt habe. Auch damals gab es etwa ein Bundesdatenschutzgesetz (BDSG) sowie Abschnitte im Telekommunikationsgesetz (TKG) und im Telemediengesetz (TMG), die sich ganz intensiv mit dem Thema Datenschutz auseinandersetzten.

Um es vorwegzunehmen: Einen sinnvollen Datenschutz braucht es! Aber vielleicht sollten eher die „großen Player“ und ihre Dienstleistungen, die häufig alles andere als datenschutzkonform gestaltet sind, unter die Lupe genommen werden. Wenn Kitas im Namen des Datenschutzes sämtliche Gesichter der betreuten Kinder schwärzen, man für die öffentliche Bekanntgabe einer Beerdigung mindestens einen Monat im Voraus eine Einwilligung im Pfarrbüro abgeben soll, Tischreservierungen nicht mehr namentlich erfolgen dürfen und sich Ihr Friseur nicht mehr traut Sie namentlich zu begrüßen, führt das zu Recht zu Unverständnis.

Also, lassen Sie sich gerne von Ihrem Arzt mit Ihrem vollen Nachnamen laut aufrufen und behalten Sie bitte im Auge: Der Datenschutz soll den Menschen dienen, nicht anders herum. Bleiben Sie tapfer!

Autor: Christian Schellhase ANMATHO AG

/von

Ist Ihr Unternehmen DS-GVO-konform?

Die DS-GVO gilt seit dem 25. Mai 2018 und die meisten Unternehmen haben bisher viel Zeit sowie Geld aufgewendet, um die neuen datenschutzrechtlichen Anforderungen umzusetzen. Aber ist Ihr Unternehmen jetzt schon datenschutzkonform?

Nachdem nun die Umsetzungshektik verflogen ist, sollte man sich die Zeit nehmen und das bisher Geschaffene erneut einer kritischen Prüfung unterziehen, bemühen Sie hier gerne den „kontinuierlichen Verbesserungsprozess“. Möglicherweise liegt die Erarbeitung der einen oder anderen Sache auch bereits geraume Zeit zurück und sie ist nicht mehr ganz aktuell? Nur so wird man nicht überrascht, wenn sich ein Betroffener beschwert oder gar die Aufsichtsbehörde prüft.

Sehr hilfreich bei dieser Prüfung ist, dass die Aufsichtsbehörden diejenigen Fragen veröffentlicht haben, die sie regelmäßig im Zusammenhang mit Prüfungen stellen. So hat etwa die Landesbeauftragte für den Datenschutz Niedersachsen einen „Kriterienkatalog zur Querschnittsprüfung in der Wirtschaft 2018/19“ veröffentlicht, den Sie hier finden: https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html. In diesem Kriterienkatalog sind jedoch nicht nur „Standardfragen“ zu „prominenten“ Themen wie etwa dem Verzeichnis von Verarbeitungstätigkeiten oder den Betroffenenrechten enthalten, die hier aufgeführten Fragen gehen durchaus in die Tiefe und können auch mal „weh tun“.

Beim technischen Datenschutz werden der risikobasierte Ansatz und der damit einhergehende Abwägungsprozess „abgeklopft“. Mit Blick auf die Datenschutzfolgenabschätzung werden zudem nicht nur die vorhandenen Datenschutzfolgenabschätzungen geprüft, die Untersuchung setzt bereits eine Stufe höher an und prüft den Entscheidungsprozess, ob Verarbeitungen einer Datenschutzfolgenabschätzung unterzogen werden müssen oder nicht.

Auch das bayerische Landesamt für Datenschutzaufsicht hat bereits verstärkt mit der Prüfung bei kleinen und mittelständischen Unternehmen begonnen. Den hier bemühten Fragenkatalog finden Sie etwa hier: https://www.lda.bayern.de/media/pruefungen/201811_kmu_fragebogen.pdf.

Was müssen Sie jetzt tun?

Prüfen Sie bitte die Umsetzung des nunmehr geltenden Datenschutzrechtes in Ihrem Unternehmen anhand der veröffentlichten Fragenkataloge. Sollten Sie hierzu Fragen haben oder Unterstützung benötigen, kommen Sie jederzeit gerne auf uns zu.

Was Sie auch interessieren könnte:

Seminar:

“ISO 27701 – Den Datenschutz in ein bestehendes ISMS nach ISO 27001 integrieren”

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von

Die Messenger-App “Briar” kurz vorgestellt

In Sachen Anonymität schlägt „Briar“ alle anderen uns bekannten Messenger. „Briar“-Nutzer kommunizieren über das Anonymisierungsnetzwerk Tor, ohne dass Metadaten anfallen, zudem bleibt selbst die richtige IP-Adresse verborgen. Noch ist der Messenger allerdings sehr spartanisch.

Überblick

Die Messenger-App „Briar“ legt den Fokus vor allem auf Anonymität und setzt dabei auf innovative Wege bei der Übermittlung von Nachrichten. Die App gibt es allerdings auf absehbare Zeit nur für Android. Sie lässt sich im Play-Store von Google sowie im alternativen App-Store F-Droid herunterladen, wobei der Quellcode von „Briar“ öffentlich verfügbar und somit durch jedermann überprüfbar ist.

Nutzer kommunizieren mit „Briar“ direkt miteinander, keine zentrale Datenbank speichert die jeweiligen Nachrichten zwischen, somit fallen keine Metadaten an. Neben dem üblichen Austausch von Nachrichten erlaubt „Briar“ aber auch Gruppenchats. Der Messenger sieht für den Austausch von Nachrichten im Einzel- oder Mehrpersonenverhältnis dabei drei wechselnde Kommunikationskanäle vor: das Anonymisierungsnetzwerk Tor, WLAN oder Bluetooth.

Die Nachteile von Briar: Der Messenger hat bisher keine Telefonie-Funktion und verbraucht relativ viel Akkuleistung.

Sicherer Kommunikationsraum für jedermann

Erst seit Mai 2018 ist die erste, voll funktionsfähige Version von „Briar“ verfügbar. Gefördert wird das junge Projekt dabei unter anderem vom Bundesministerium für Bildung und Forschung sowie der Organisation „Open Knowledge Foundation Deutschland“.

„Unser Ziel ist es, Menschen aus allen Herkunftsländern einen sicheren Raum zur Verfügung zu stellen, wo sie jedes Thema diskutieren, Veranstaltungen planen und soziale Bewegungen organisieren können“, erklärt das Briar Project auf seiner Website.

Wie kommuniziert „Briar“?

Sobald sich Kommunikationspartner nicht innerhalb desselben Bluetooth- oder WLAN-Netzes befinden, nutzt der Messenger das Anonymisierungsnetzwerk Tor für den Datenaustausch. Tor ermöglicht es dabei miteinander zu kommunizieren, ohne die eigene IP-Adresse preiszugeben. Die IP-Adresse funktioniert ähnlich wie die Postadresse im nicht-digitalen Raum und identifiziert jeden Internetanschluss in der Regel eindeutig. Befinden sich Nutzer dagegen in räumlicher Nähe zueinander, kann „Briar“ Nachrichten auch über WLAN oder Bluetooth austauschen.

Hinzufügen von Nutzern

Es gibt zwei Möglichkeiten in „Briar“ Kontakte hinzuzufügen.

Erste Möglichkeit: Beide Kommunikationspartner treffen sich und fotografieren jeweils einen QR-Code, der auf dem Smartphone des anderen erscheint.

Zweite Möglichkeit: Zwei Nutzer haben einen gemeinsamen „Briar“-Kontakt, der sie über eine Vorschlagsfunktion miteinander verbindet, so wird ausgeschlossen, dass sich Fremde als Freunde ausgeben.

Beim oben beschriebenen Abgleich der QR-Codes kommunizieren die Geräte dabei per Bluetooth miteinander. Dies scheitert allerdings regelmäßig, wenn auf beiden Geräte Android 8 oder höher installiert ist, da Google den Datenaustausch per Bluetooth ab Android 8 eingeschränkt hat. Nutzer müssen stattdessen dafür Sorge tragen, dass sich beide Geräte im gleichen WLAN befinden, dann wechselt „Briar“ für einen entsprechenden Abgleich vom Bluetooth- auf den WLAN-Kanal.

Verzicht auf Google-Dienste kostet Akkuleistung

Um zu verhindern, dass „Briar“ von einem Google-Dienst abhängig ist und unnötig Daten anfallen, verzichtet die App auf Googles „Push Notifications“. Bei dieser Funktion „weckt“ der Google-Dienst Apps, beispielsweise wenn eine neue Nachricht eingegangen ist. Damit Nutzer dennoch ohne Verzögerung kommunizieren können, prüft „Briar“ in regelmäßigen Abständen für jeden Kontakt, ob die Kanäle Tor, Bluetooth und WLAN verfügbar sind. Das permanente Prüfen von Kanälen ist dafür verantwortlich, dass „Briar“ viel Akkuleistung in Anspruch nimmt.

Die Vor- und Nachteile von „Briar“ im Überblick

Vorteile:
• „Briar“ ist absolut kostenlos;
• standardmäßige Ende-zu-Ende-Verschlüsselung bei jeglicher Kommunikation;
• Schutz der App selbst durch ein Passwort;
• Nutzung ohne Zugriff aufs Adressbuch möglich;
• keine Speicherung von Nachrichten und Metadaten;
• Quellcode ist offen einsehbar (Open Source).

Nachteile:
• keine Telefonie möglich;
• keine Sprachnachrichten möglich;
• keine Backup-Funktion;
• keine zeitversetzte Kommunikation möglich;
• keine iOS-Version verfügbar;
• keine Desktop-Version verfügbar.

Ergebnis

Im Ergebnis ist „Briar“, im Verhältnis zu anderen Messengern, momentan noch recht spartanisch, mit Blick auf die Sicherheit und Anonymität jedoch unschlagbar.

Autor: Christian Schellhase ANMATHO AG

/von

Kurzbeitrag: Änderung zur Bestellung eines Datenschutzbeauftragten

Der Bundestag hat die Schwelle zur Bestellung eines Datenschutzbeauftragten von 10 auf 20 Personen angehoben. Damit sollen Kleinbetriebe entlastet werden.

Seit dem 28.06.2019 hat der Bundestag einen Gesetzentwurf verabschiedet, der die Schwelle von 10 auf 20 Personen, die mit personenbezogenen Daten im Unternehmen arbeiten, zur Bestellung eines Datenschutzbeauftragten anhebt. Ziel ist es, damit die Bürokratie für Kleinbetriebe zu verringern. Da die gesetzlichen Anforderungen zum Datenschutz weiter bestehen, nimmt man diesen Betrieben eine Beratung, die bei der Umsetzung unterstützt und für eine gewisse Sicherheit sorgt.

Diese Neuregelung gehört zu einem Gesetzespaket, mit dem mehr als 150 Einzelgesetze an die DS-GVO angepasst werden sollen. Da dabei die Pflichten nicht verringert werden, steigt das Haftungsrisiko und die Wahrung des hohen Datenschutzniveaus wird schwieriger. Ob uns die Gesetzgebung damit wirklich einen Gefallen tut, ist umstritten.

Das Gesetz wurde am 20. September 2019 vom Bundesrat verabschiedet.

/von

Neues EUGH-Urteil zu Facebook Social-Media-Plugins

Am 29.07.2019 urteilte das EuGH zum Thema Facebook Plugin, nach dem die Verbraucherzentrale Nordrhein-Westfalen eine Unterlassungsklage eingereicht hatte.

Geklagt wurde aufgrund des „Gefällt mir-Buttons“ auf einer Webseite. Der Grund dafür ist, dass bereits beim Laden der Teilen-Knöpfe der Browser persönliche Daten wie die IP-Adresse oder lokal abgelegte Cookies an die sozialen Dienste sendet. Das passiert auch dann, wenn ein Webseitenbesucher gar kein Konto bei Facebook, Google und Twitter hat oder die Teilen-Funktion nicht nutzen möchte.

Laut der Verbraucherschutzzentrale sollten solche Buttons nur verwendet werden dürfen, wenn der Webseitenbesucher vorab informiert wurde und zugestimmt hat. Das Oberlandesgericht Düsseldorf hat das Verfahren ausgesetzt, um vom EuGH klären zu lassen, ob der Webseitenbetreiber bezüglich der Social-Media-Plugins überhaupt als Verantwortlicher Datenschützer zu sehen ist.

Mit dem jetzigen Urteil wird der Webseitenbetreiber als Mitverantwortlicher gesehen. Das heißt, dass er bevor das Plugin aktiviert wird, den Besucher in ausreichender Art und Weise informieren muss. Weiterhin müssen die gemeinsam Verantwortlichen in einer Vereinbarung festlegen wer welche Verpflichtungen übernimmt. Von Facebook sollte demnächst eine solche Vereinbarung zur Verfügung gestellt werden. Diese Vereinbarung ist mit in die Datenschutzdokumentation aufzunehmen. Die Plugins müssen zukünftig solange deaktiviert sein, bis der Nutzer sie aktiviert und damit seine Zustimmung erteilt hat. Dies ist zum Beispiel über die Shariff-Lösung möglich. Zu guter Letzt ist die Datenschutzerklärung entsprechend anzupassen.

Die Umsetzung sollte zeitig geschehen, da die Aufsichtsbehörden bereits angekündigt haben, die Einhaltung besonders was die Information und Einwilligung angeht zu prüfen.

/von
, ,

Geschäftsgeheimnisgesetz: Das müssen Unternehmen jetzt tun!

Nach monatelangen Verhandlungen hat der Bundestag am 21.03.2019 das Geschäftsgeheimnisgesetz (GeschGehG) beschlossen, das bereits in Kraft getreten ist. Es ist also höchste Zeit für Unternehmen sich damit auseinanderzusetzen, was das neue GeschGehG für den Schutz ihrer Geschäftsgeheimnisse bedeutet und welcher Handlungsbedarf besteht.

Der Begriff des Geschäftsgeheimnisses

Bisher existierte in der Europäischen Union kein einheitliches Recht, was dem Schutz von Geschäftsgeheimnissen diente. In Deutschland waren Geschäftsgeheimnisse vor allem nach § 17 UWG geschützt. Nach der Rechtsprechung des Bundesgerichtshofs (BGH) galt als Geschäfts- oder Betriebsgeheimnis jede im Zusammenhang mit einem Geschäftsbetrieb stehende Tatsache, die nicht offenkundig sondern nur einem begrenzten Personenkreis bekannt war und nach dem bekundeten, auf wirtschaftlichen Interessen beruhenden Willen des Betriebsinhabers geheim gehalten werden sollte.

Nach der Definition in § 2 Nr. 1 GeschGehG ist hingegen ein Geschäftsgeheimnis eine Information,

  • die geheim ist (nicht allgemein bekannt bei Kreisen, die üblicherweise mit solchen Informationen umgehen, und nicht ohne weiteres zugänglich),
  • die von wirtschaftlichem Wert ist (geschützt wird nur ein wirtschaftliches und kein privates Geheimhaltungsinteresse),
  • die mit angemessenen Geheimhaltungsmaßnahmen geschützt wird und
  • bei der ein berechtigtes Interesse an der Geheimhaltung besteht.

Maßnahmen, die der Geheimhaltung dienen, sind daher nach momentan geltendem Recht nicht mehr nur notwendig, um tatsächlich dem Verlust von Geschäftsgeheimnissen entgegenzuwirken, vielmehr gilt jetzt: Werden keine angemessenen Geheimhaltungsmaßnahmen getroffen, liegt schon gar kein Geschäftsgeheimnis vor und der Schutz des GeschGehG greift nicht.

Wie sehen angemessene Geheimhaltungsmaßnahmen aus?

Wann Geheimhaltungsmaßnahmen den Umständen nach angemessen im Sinne des § 2 Nr. 1 GeschGehG sind, ist eine Frage des Einzelfalls. Die wirtschaftliche Bedeutung ist hierbei das wichtigste Kriterium für ein Geschäftsgeheimnis des Unternehmens. Handelt es sich vorliegend um die „Kronjuwelen“, deren Offenlegung oder Nutzung durch Wettbewerber existenzbedrohend sein könnte? Oder geht es um Geheimnisse, die zwar wichtig für das Unternehmen sind, aber in ihrer Gesamtheit doch eher untergeordnete wirtschaftliche Bedeutung haben? Je wichtiger ein Geschäftsgeheimnis für das Unternehmen ist, desto striktere Schutzmaßnahmen müssen ergriffen werden, damit diese als angemessen gelten können. Im Übrigen ist es wohl verfehlt, alle geheimhaltungsbedürftigen Informationen mit der höchsten Geheimhaltungsstufe zu versehen und mit besonderen Sicherungsmaßnahmen zu schützen. Insbesondere müssen die Geheimhaltungsmaßnahmen und der damit einhergehende Aufwand in einem angemessenen Verhältnis zur wirtschaftlichen Bedeutung des Geschäftsgeheimnisses stehen. Von einem Konzern könnten zudem möglicherweise striktere Geheimhaltungsmaßnahmen verlangt werden, als von einem mittleren oder kleineren Unternehmen. Was genau „angemessener Schutz“ bedeutet, wird daher noch durch die Rechtsprechung zu konkretisie-ren sein.

Wie verhält es sich jetzt mit dem Reengineering?

Ein Reengineering – mithin der Nachbau eines Produktes – um ein Nachvollziehen von Geheimnissen oder vielmehr deren Entschlüsselung zu ermöglichen, wird nach momentaner Rechtslage in Zukunft – zumindest teilweise – zulässig sein!

Welche rechtlichen Möglichkeiten habe ich nun bei Geheimnisverletzungen?

Der Inhaber eines verletzten Geschäftsgeheimnisses hat nach der neuen Gesetzeslage dieselben Ansprüche wie etwa der Inhaber eines verletzten Patents. Konnte bisher vom Verletzenden lediglich Schadensersatz, Unterlassung und Auskunft verlangt werden, wird der „juristische Werkzeugkasten“ nun etwa auch um Ansprüche auf Vernichtung verletzender Produkte, Herausgabe, Rückruf sowie dauerhafte Entfernung der verletzenden Produkte aus dem Markt erweitert. Dies ist eine erhebliche Besserstellung von Inhabern verletzter Geheimnisse.

Wie steht es nun um das „Whistleblowing“?

Der Schutz von sog. Whistleblowern und Journalisten, die Geschäftsgeheimnisse im Rahmen ihrer Veröffentlichung von Missständen in Unternehmen offenlegen, war einer der wesentlichen Gründe für komplexe Diskussionen im Rahmen des Gesetzgebungsverfahrens in Deutschland. Im Ergebnis einigte man sich auf einen hohen Whistleblower-Schutz.

Solange sich die Offenlegung des Geschäftsgeheimnisses durch den Whistleblower zum Schutz des öffentlichen Interesses eignet, macht er sich im Falle eines Geschäftsgeheimnisverrats nicht strafbar. Was auch dies im Einzelnen bedeutet, bleibt weiter – insbesondere mit Blick auf die Rechtsprechung – abzuwarten.

Was müssen Unternehmen jetzt tun?

Der Schutz von Geschäftsgeheimnissen nach dem GeschGehG ist nicht verpflichtend, anders als etwa die Vorgaben der DS-GVO umzusetzen. Dennoch müssen Unternehmen handeln, um ihre Geschäftsgeheimnisse zu schützen und sich im Streitfall auch durchsetzen zu können.

Wir empfehlen ein 3-stufiges Konzept:

Zunächst sollten alle Geschäftsgeheimnisse im gesamten Unternehmen identifiziert werden. Anschließend sollten in einem zweiten Schritt alle Geheimnisse bewertet und kategorisiert werden.

Je nach Wichtigkeit des Geschäftsgeheimnisses sind in einem dritten Schritt entsprechende Schutzmaßnahmen zu treffen. Schutzmaßnahmen sind jedoch keinesfalls nur rechtlicher Natur. Neben vertraglichen Vereinbarungen, Compliance-Maßnahmen und Arbeitsanweisungen sind auch technische und organisatorische Maßnahmen zu treffen, vor allem sollte hier eine Mitarbeiter-Sensibilisierung sowie die Verbesserung der IT- und Werkssicherheit stattfinden. Dies ist – wie bei der Umsetzung des Datenschutzes oder der Informationssicherheit im Unternehmen – nur unter Einbeziehung verschiedenster Abteilungen sowie Fachrichtungen im Unternehmen umsetzbar. Entscheidende Werkzeuge für den Erfolg einer Umsetzung können hier wiederum ein Datenschutz- oder Informationssicherheitsmanagementsystem sein.

Ergebnis

Sie müssen jetzt handeln! Unternehmen, die ihre Geheimnisse auch zukünftig schützen möchten und vor allem entsprechende Ansprüche durchsetzen wollen, sind jetzt gefordert, angemessene Schutzmaßnahmen zu ergreifen und zu dokumentieren!

/von

DS-GVO – Dokumentationspflichten

Verantwortliche haben nach der DS-GVO eine Rechenschaftspflicht in der sie nachweisen müssen, dass die Datenschutzgrundsätze eingehalten werden und die Datenverarbeitung DS-GVO-konform erfolgt. Um im Zweifelsfall ihrer Rechenschafts- und Nachweispflicht nachkommen zu können, ist eine entsprechende Dokumentation erforderlich.

Die wichtigsten Dokumentationspflichten, haben wir hier aufgelistet:

Verarbeitungsverzeichnis:

Die Erstellung eines Verarbeitungsverzeichnisses ist für alle Verantwortlichen und Auftragsverarbeiter eine Pflicht, die sich aus Art. 30 der DS-GVO ergibt. Hier muss nachgewiesen werden, dass die Datenschutzgrundsätze erfüllt werden. Dazu gehört auch, dass geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen werden und diese regelmäßig zu überprüfen und zu aktualisieren. Am Besten wird die Rechtsgrundlage auf die sich die Verarbeitung stützt gleich mit dokumentiert.

Einwilligungs-Management:

Ist für die Datenverarbeitung eine Einwilligung erforderlich, muss diese durch eine unmissverständliche Willensbekundung erfolgen (Text, E-Mail, Fax) oder durch elektronische Einwilligung per Mausklick. In jedem Fall ist eine Widerrufserklärung erforderlich in der der Betroffene darüber informiert wird, dass einer Verarbeitung jederzeit widersprochen werden kann. Eine entsprechende Dokumentation darüber ist nach Art. 7 DS-GVO erforderlich und muss nachgewiesen werden können. Alte rechtswirksame Einwilligungen bleiben zwar wirksam, müssen aber ebenfalls nachgewiesen werden können.
Kinder ab 16 Jahren dürfen zwar eine Einwilligung erklären, allerdings ist dazu die Zustimmung der Eltern erforderlich. Dies haben Verantwortliche zu prüfen und nachzuweisen.

Datenpannen:

Im Falle einer Datenpanne sollte ein Meldeprozess implementiert werden, damit klar ist wer zu informieren ist und wer die Panne gegenüber der Aufsichtsbehörde und den Betroffenen entsprechend Art. 33, 34 DS-GVO meldet. In der Regel übernimmt dies der Datenschutzbeauftragte bzw. wenn keiner benannt wurde die Geschäftsleitung. Wird durch die Datenpanne keine Verletzung des Datenschutzes erkannt (z.B. die Daten auf dem gestohlenen Mobilgerät verschlüsselt sind), muss keine Meldung an die Aufsichtsbehörde erfolgen. Die Panne selbst ist allerdings zu dokumentieren.

Datenschutz-Folgenabschätzung:

Verantwortliche und Auftragsverarbeiter sind dazu verpflichtet zu prüfen, welche Risiken eine Verarbeitung von personenbezogenen Daten für die Betroffenen hat. Dies kann durch eine Datenschutz-Folgenabschätzung entsprechend Erwägungsgrund 90 DS-GVO erfolgen und schreibt zwingend eine Dokumentation vor. Wird keine Analyse durchgeführt, sind die Gründe dafür ebenfalls zu dokumentieren.

Auftragsverarbeitung:

Wer Dienstleister damit beauftragt Aufgaben zu übernehmen, die die Verarbeitung von personenbezogenen Daten erfordert, benötigt einen Vertrag. Dieser soll sicherstellen, das die personenbezogenen Daten nur nach ihren Weisungen und nur zum Zwecke der Vertragserfüllung verarbeitet werden. Damit kann der Verantwortliche gegenüber der Datenschutzsaufsichtsbehörde nachweisen, dass der Beauftragte die Anforderungen der DS-GVO erfüllt. Eine Übersicht darüber, welche Dienstleister beauftragt wurden, hilft wenn Betroffene, einen Wiederspruch geltend machen oder das Recht auf Löschung in Anspruch nehmen.

Mitarbeiter:

Da Mitarbeiter auf Anweisung des Verantwortlichen die personenbezogenen Daten verarbeiten dürfen, sind entsprechende interne Datenschutzregelungen (Betriebsanweisung/Dienstanweisung) zu erstellen. Auch wenn private Arbeitgeber nach der DS-GVO nicht mehr verpflichtet sind, die Mitarbeiter zur Verschwiegenheit zur verpflichten, ist es ratsam eine Verschwiegenheitserklärung unterschreiben zu lassen und die Mitarbeiter im erforderlichen Umfang im Datenschutz zu schulen.

Löschkonzept:

Ist ein Zweck für die Verarbeitung von personenbezogenen Daten erfüllt oder macht ein Betroffener sein Recht auf Löschung geltend, sind diese zu löschen. Ausnahmen bilden die gesetzlichen Aufbewahrungsfristen oder wenn andere zwingend schutzwürdige Gründe angegeben werden können. Daher ist es sinnvoll ein Löschkonzept zu etablieren, aus dem hervorgeht wie lange bestimmte Daten aufbewahrt werden müssen und dies zu dokumentieren. Wer personenbezogene Daten an Dritte zur Auftragsverarbeitung weitergibt oder im Internet veröffentlicht, sollte festhalten an wen welche Daten weitergegeben wurden, um diese bei Bedarf löschen zu können.

Zertifizierungen:

Zertifizierungen die von einer Datenschutzaufsicht genehmigt wurden, können als Nachweis herangezogen werde, dass die Vorgaben der DS-GVO eingehalten werden. Dies ist entsprechend zu dokumentieren.

Fazit:

Grundsätzlich gilt, was die Dokumentation angeht: „so wenig wie möglich – so viel wie nötig“. Denn die DS-GVO soll ein Unternehmen nicht lähmen, sondern Betroffene schützen. Dazu muss ein Unternehmen nachweisen können, dass es sich an die Datenschutzgrundsätze hält und alles getan hat um die Daten zu schützen.

/von

Datenschutz wird 2019 noch schlimmer?

Das Datenschutzjahr 2018 ist endlich vorbei! Haben Sie es heil überstanden? Wie viele Haare haben Sie in 2018 an den Datenschutz verloren? Hat Sie Ihre Familie zum Jahresende 2018 noch wiedererkannt, nachdem Sie 2018 so viele Überstunden für den Datenschutz machen mussten? Kaum war ein Jahr für den Datenschutz aufregender und hektischer als 2018. Doch was ist mit 2019? Wird alles noch schlimmer? Kommt noch mehr „Hardcore-Datenschutz“?

Wir haben einen Helden! Wir nennen Ihn „Datenschutzbeauftragter“!

Eines hat sich in 2018 definitiv verändert: Es ist die Rolle des Datenschutzbeauftragten (DSB)! Früher oft nur müde belächelt oder sogar als „kauzig“ gemieden, ist die Wahrnehmung von Unternehmen gegenüber dem Datenschutzbeauftragten – und ggf. auch seinem Team – mittlerweile eine deutlich andere. Der durchschnittliche Datenschutzbeauftragte hat in 2018 insbesondere bei Workshops deutlich an Publikum dazugewonnen, ihm hören mittlerweile vom Pförtner bis zum Vorstand alle sehr genau zu, er wird wesentlich häufiger von Mitarbeitern zu unterschiedlichsten Fragestellungen kontaktiert. All die Unsicherheiten aufgrund der neuen Gesetzeslage, aber auch aufgrund der oftmals nicht vorhandenen „Best Practice“, haben ganzjährig dafür gesorgt, dass der DSB so gefragt war wie noch nie.

Das gleiche Bild auch im Privatleben: Während es bis 2018 nie jemand wirklich interessierte, was man eigentlich beruflich macht, es oftmals auch keiner verstand, war man 2018 selbst bei Familientreffen gefeierter Star einer eifrigen Fragerunde, in der mitunter auf Servietten mitgeschrieben wurde. Selbst zum noch so besinnlichsten Weihnachtskaffeetrinken wurde man teilweise mit den Worten, „Ich hab‘ da nachher noch mal ’ne Frage…“, begrüßt.

Was kommt 2019 in Sachen Datenschutz?

Und was passiert nun 2019? Wird alles noch schlimmer mit dem Datenschutz? Die bedauerlicherweise uneindeutige Antwort lautet hier: „Na ja…!“

Zunächst stehen nach wie vor die Datenschutz-Grundverordnung (DS-GVO) sowie die jeweiligen nationalen Gesetze mit ihren Anforderungen im Raum. Diesen gilt es weiter entschlossen und fleißig gerecht zu werden. Eine Verschärfung oder ein „Schlimmerwerden“ im eigentlichen Sinne ist hier erstmal nicht zu erwarten.

Der Hysterie-Welle betreffend die bereits seit längerem verhandelte ePrivacy-Verordnung (ePVO) sollten Sie sich aber eher nicht anschließen. Diese wird voraussichtlich 2019 nicht fertig verhandelt worden sein, weshalb auch das viel beschworene und zu Unrecht befürchtete Ende des Online-Marketings mit großer Wahrscheinlichkeit erst in 2020 kommen wird.

Höchst fraglich ist jedoch, wie sich die Datenschutzaufsichtsbehörden 2019 verhalten werden. Auf der einen Seite haben diese immer noch nur sehr begrenzte Kapazitäten, auf der anderen Seite kommen die Aufsichtsbehörden jedoch dann in Schwung, wenn sich ihnen ein Anlass bietet. So geschehen etwa beim Bußgeld in Höhe von 400.000 Euro der portugiesischen Datenschutzaufsichtsbehörde, mit dem ein portugiesisches Krankenhaus belegt wurde, sowie beim Bußgeld in Höhe von 20.000 EURO der baden-württembergische Datenschutzaufsichtsbehörde, mit dem das soziale Netzwerk Knuddels.de belegt wurde. Auch der Besuch eines Datenschutzexperten der ANMATHO AG bei der portugiesischen Datenschutzaufsichtsbehörde in Lissabon Ende November 2018 sowie mehrere Gespräche der ANMATHO AG mit Vertretern deutscher Aufsichtsbehörden konnten hier noch kein Licht ins Dunkel bringen. Es bleibt also mit Blick auf das Verhalten der Aufsichtsbehörden – auch was die eigentliche Ausschöpfung des Bußgeldrahmens angeht – in 2019 sehr spannend.

Gute Vorsätze für das Jahr 2019

Ein Rat von Herzen in Sachen Datenschutz für das Jahr 2019: Ein weiteres Jahr schreiend panisch im Kreis zu laufen hilft keinem weiter! Gehen Sie die Herausforderungen des neuen Datenschutzrechtes mit Herz, Verstand sowie mehr Gelassenheit in 2019 an und behalten Sie vor allem die weitere Entwicklung des Datenschutzes immer im Auge. Schlimmer als in 2018 kann es vermutlich nicht werden. Bleiben Sie tapfer!

/von
,

Rückblick ANMATHO Forum 2018

Unter dem Motto: „Mission (Im)possible“ brachte unser Forum am 11.12.2018 Kunden aus unterschiedlichen Branchen zusammen. Für die brennenden Themen zur Informationssicherheit und Datenschutz konnten wir Experten gewinnen, die die Probleme aus unterschiedlichen Perspektiven betrachten.

Nach einer kurzen Begrüßung durch unseren COO, Herrn Westerkamp, hat Herr Dondera vom LKA Hamburg in dem Vortrag „Cybercrime – reale Gefahren im Netz“ kurzweilige und mit vielen Fallbeispielen auf die aktuelle Bedrohungslage in der digitalen Welt aufmerksam gemacht. Er hat besonders darauf hingewiesen, wie wichtig neben der technischen Sicherheit auch die Schulung der Mitarbeiter ist. Denn niemand sollte der Meinung sein, dass er im Unternehmen blindlings Mailanhänge öffnen kann – so nach dem Motto „Das Firmennetzwerk ist doch gut geschützt“.

In dem Vortrag „Wirtschaftsspionage durch Social Engineering“ machte Herr Peine-Paulsen, vom Wirtschaftsschutz Niedersachsen, deutlich, dass das größte Risiko heute nicht mehr von dem klassischem Hacker im Keller ausgeht, der versucht auf technischem Wege an interessante Daten zu gelangen. Unternehmen werden heute mithilfe von gezielt geknüpften Kontakten und dem Aufbau von Vertrauen ausspioniert. Mitarbeiter jeder Hierarchiestufe werden manipuliert und so verleitet Interna preiszugeben. Dies betrifft nicht unbedingt nur die großen Unternehmen. Im Visier von Kriminellen sind besonders innovative Firmen. Und auch hier wurde darauf hingewiesen, wie wichtig die Sensibilisierung der Mitarbeiter ist.
Der Part „Technische Lösungen für mehr Sicherheit“ hat Herr Blohm von der Dr. Netik und Partner GmbH übernommen. Er zeigte technische Lösungen auf, die den Vorgaben der Informationssicherheit entsprechen und in der Praxis erfolgreich eingesetzt werden.

Nach einem leckeren Lunchbuffet in dem angenehmen Ambiente des Business Club Hamburg, ging es weiter mit dem Thema Datenschutz. Herr Dr. Frhr von dem Busche von der Kanzlei Taylor Wessing hat in seinem Vortrag „200 Tage DS-GVO – Erfahrungen aus der anwaltlichen Praxis“, deutlich gemacht, dass die DS-GVO weltweit immer häufiger als Maßstab für richtigen Datenschutz angesehen wird. Vorausdenkende Unternehmen sollten die Umsetzung der DS-GVO als Wettbewerbsvorteil nutzen, denn Sie hat Einfluss auf den nationalen und internationalen Markt.

Im Anschluss hat Frau Thiel, Landesdatenschutzbeauftragte für den Datenschutz Niedersachsen, mit Ihrem Vortrag „Ein halbes Jahr DS-GVO aus Sicht der Aufsichtsbehörde“ die neuen Herausforderungen, die die DS-GVO mit sich gebracht hat, aus Sicht der Behörde geschildert. Sie zeigte den Teilnehmern auf, wie die niedersächsische Behörde in Datenschutzfragen vorgeht und welche Art von Prüfungen bisher in die Wege geleitet wurden und künftig zu erwarten sind.

In der abschließenden Podiumsdiskussion diskutierten die Referenten und Teilnehmer lebhaft und kontrovers aktuelle Fragen zu den Themen Informationssicherheit und Datenschutz.

Alles in Allem war das Feedback der Teilnehmer sehr positiv und wir freuen uns schon jetzt auf die Veranstaltung im nächsten Jahr.

/von

20.000 Euro Bußgeld nach DS-GVO-Verstoß für Knuddels.de

In Sachen Datenschutz gab es erneut ein hohes Bußgeld. Nachdem Nutzerdaten nicht ausreichend geschützt waren, ist Knuddels.de ein fünfstelliges Bußgeld auferlegt worden. Die zuständige Datenschutzaufsichtsbehörde lobte die Chat-Plattform trotzdem.

Das soziale Netzwerk Knuddels.de hat nach eigenen Angaben mehr als zwei Millionen registrierte Mitglieder und muss nun ein Bußgeld in Höhe von 20.000 Euro zahlen, weil es Passwörter von Nutzern unverschlüsselt gespeichert hatte. Damit habe das hinter Knuddels.de stehende Unternehmen gegen die Pflicht verstoßen, die Sicherheit von personenbezogenen Daten zu gewährleisten, teilte der baden-württembergische Datenschutzbeauftragte am Donnerstag mit.

Zugutegehalten wurde dem Unternehmen jedoch, dass es sich nach einem Hackerangriff an die Datenschutzaufsichtsbehörde gewandt habe und die Nutzer sofort und umfangreich über den Angriff informierte. Bei dem Angriff waren nach Angaben von Knuddels.de rund 808.000 E-Mail-Adressen sowie 1.872.000 Pseudonyme und Passwörter erbeutet und im Internet veröffentlicht worden.

Von manchen Nutzern sind so neben dem Chatnamen auch Passwort, Mailadresse sowie Angaben zum tatsächlichen Vornamen oder zum Wohnort öffentlich geworden.

Der baden-württembergische Datenschutzbeauftragte führte jedoch aus, das Unternehmen habe in vorbildlicher Weise mit seiner Behörde zusammengearbeitet und die IT-Sicherheit im Nachhinein erheblich verbessert. Es sei sogar gestärkt aus dem Angriff hervorgegangen, da es dazugelernt habe.

Nach Angaben der Knuddels GmbH & Co. KG selbst, war der Hackerangriff eine echte Belastungsprobe für das Unternehmen. Zudem sei ihm unmittelbar im Anschluss an den Angriff klar gewesen, dass das Vertrauen der Nutzer nur mit einer transparenten Kommunikation und einer sofort spürbaren Verbesserung der IT-Sicherheit zurückgewonnen werden kann.

/von

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen