Datenschutz # Datensicherheit

Blog

    Investitionen in die Datensicherheit schützen Arbeitsplätze

    Datensicherheit


    Digitalisierung


    Cyberversicherung


    Beim Thema Datensicherheit stellen sich bei Unternehmern häufig die Nackenhaare auf. Das erkannte Risiko wird gerne ausgesessen, in der Hoffnung, dass man verschont bleibt. (02.06.2024)

    Beim Thema Datensicherheit stellen sich bei Unternehmern häufig die Nackenhaare auf. Das erkannte Risiko wird gerne ausgesessen, in der Hoffnung, dass man verschont bleibt. Datenschutz hingegen sorgt oft für Unverständnis und Abwehr. Für viele Unternehmen bedeutet Datenschutz Bürokratie, eine Bremse für die Digitalisierung und unnötige Ausgaben. Wir kennen diese Bedenken und Meinungen der Unternehmer und können sie auch gut nachvollziehen.

    Digitalisierung und KI sind unaufhaltsam

    Dennoch sollten sich die deutschen Unternehmen den gesetzlichen Entwicklungen im Rahmen der Harmonisierung der EU-Rechte und der unbestreitbaren steigenden Cyberkriminalität widmen. Besonders jetzt, in Zeiten der Digitalisierung und dem vermehrten Einsatz von Künstlicher Intelligenz (KI), werden mehr Daten in Unternehmen verarbeitet als je zuvor. Dies führt zu noch größeren Gefahren und Risiken, da Unternehmen immer interessanter für Hacker werden. Die Schadenssummen durch Cyberangriffe steigen weiter an.

    Cyberversicherungen helfen nur bedingt

    Angesichts der zunehmenden Bedrohungen durch Cyberkriminalität erwägen immer mehr Unternehmen den Abschluss von Cyberversicherungen und nehmen entsprechende Angebote wahr. Dabei ist es von entscheidender Bedeutung, dass eine grundlegende Basissicherheit im Unternehmen gewährleistet ist, da die Versicherung sonst im Schadensfall nicht zahlt. Besonders wichtig ist es, die Angaben in den Fragebögen zum Sicherheitsstand präzise und wahrheitsgemäß auszufüllen. Ein Schadensfall kann schneller eintreten, als man denkt, und die Versicherung wird unwahre Angaben bei der Schadensregulierung rasch aufdecken, was ebenfalls zur Ablehnung der Schadenszahlung führen kann.

    Wir müssen den Gefahren ins Auge sehen und die Strukturen der Unternehmen daraufhin anpassen. Dazu gehört, dass Unternehmen anfangen, in die Sicherheit ihrer Daten zu investieren. Datensicherheit ist keine optionale Zusatzleistung, sondern eine grundlegende Notwendigkeit für jedes moderne Unternehmen. Ohne ihre Daten sind Unternehmen nicht mehr leistungsfähig.

    Investitionen in die Datensicherheit = Arbeitsplatzschutz

    Eine effektive Datensicherheit schützt nicht nur die sensiblen Informationen des Unternehmens, sondern sichert auch die Arbeitsplätze. Denn nur ein Unternehmen, das seine Daten zuverlässig schützt, kann langfristig erfolgreich und wettbewerbsfähig bleiben. Investitionen in Datensicherheit sind daher Investitionen in die Zukunft des Unternehmens und seiner Mitarbeiter.

    Der Schutz vor Cyberkriminalität und die Einhaltung der Datenschutzvorschriften sind keine Bürden, sondern essentielle Maßnahmen, um die Leistungsfähigkeit und Stabilität des Unternehmens zu gewährleisten. Es ist Zeit, die Chancen der digitalen Transformation zu ergreifen und die Sicherheit der Daten als Fundament für den Unternehmenserfolg zu sehen.

    NIS2 Richtlinie
    NIS2 Richtlinie

    Stand der Technik im Datenschutz

    Datensicherheit


    Digitalisierung


    Art. 32 DSGVO


    Im Datenschutz und insbesondere im Teilbereich der „Datensicherheit“ spielt der Stand der Technik eine große Rolle. Aber was bedeutet "Stand der Technik?" (07.02.2024)

    In der Datensicherheit (Art. 24 und 32 DSGVO) geht es darum, durch verschiedene Maßnahmen die personenbezogenen Daten in der Organisation/Unternehmen zu schützen.

    Wovor müssen Daten geschützt werden?

    Denkbar sind viele verschiedene Szenarien, die eintreten könnten und die personenbezogenen Daten in der Organisation gefährden. Es müssen alle Szenarien durchdacht werden, die einen Verlust, eine Vernichtung, eine unberechtigte Offenlegung oder z.B. eine Löschung dieser Daten zur Folge haben könnten. Alle in Frage kommenden Szenarien sind in einem ersten Schritt zu identifizieren und dann im Hinblick darauf zu bewerten, ob das Szenario eintreten könnte (Eintrittswahrscheinlichkeit) und wie hoch der Schaden sein würde (Schaden). Mögliche Szenarien sind unter anderem:

    • Datendiebstahl durch Hacker (Verlust, Vernichtung)
    • Einbruch allgemein (unberechtigte Offenlegung, Verlust)
    • Verlust von mobilen Speichermedien (z.B. USB-Stick, Laptop, Tablet) (Verlust, Vernichtung)
    • Indiskretion am Telefon (unberechtigte Offenlegung)
    • Unbeabsichtigte Löschung von Daten durch das Personal (Vernichtung)
    • Unautorisierte Offenlegung von Daten im Dienstwagen durch ungeschützte Akten auf dem Beifahrersitz (unberechtigte Offenlegung)
    • usw.

    Die Szenarienvielfalt ist unendlich groß. Nach der Ermittlung und Bewertung der Szenarien müssen Vorsichtsmaßnahmen getroffen werden, um

    a) das Szenario zu verhindern und/oder
    b) die Auswirkungen des Szenarios zu minimieren.

    Vor vielen der beschriebenen Schreckensszenarien können sich Organisationen nicht zu 100% schützen. Darum geht es aber auch nicht im Datenschutzrecht. Es geht vielmehr darum, das Risiko insgesamt zu minimieren. Und das funktioniert nur dadurch, dass Organisationen verschiedene Schutzmaßnahmen clever kombinieren.

    Stand der Technik

    Es gibt zahlreiche technische Helferlein auf dem Markt, die die aufgezeigten Szenarien verhindern sollen. Zusätzlich müssen Organisationen durch Mitarbeiterregeln, Schulungen und Prozesse den Schutz der Daten gewährleisten. Welche technischen Helferlein zum Einsatz kommen müssen, bestimmt die DSGVO wie folgt:

    „Unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen …“ (Art. 32 DSGVO)

    Ausschlaggebend für die Art der Schutzmaßnahmen sind neben der Risikoberechnung und den Implementierungskosten auch der Stand der Technik.

    Beispielfrage: Muss jeder Laptop für Mitarbeiter, der auch mobil genutzt wird, mit einer Blickschutzfolie ausgestattet sein? Unter Berücksichtigung des Standes der Technik lautet die Antwort „Ja“.

    Was bedeutet Stand der Technik?

    Dieser Frage haben sich schon viele gestellt. Die 3-Stufen-Theorien nach der Kalkar-Entscheidung des Bundesverfassungsgerichtes vom 08.08.1978 bemisst den Stand der Technik nach der Allgemeinen Anerkennung und der Bewährung der Schutzmaßnahme in der Praxis. Es geht also nicht darum, die beste verfügbare Technik nutzen zu müssen, sondern eine etablierte Maßnahme.

    Welche Maßnahmen haben sich etabliert?

    Um auf das oben geschilderte Beispiel zurückzukommen: Es hat sich etabliert, dass mobile Geräte bereits herstellerseitig mit einem Blickschutz ausgestattet werden. Alte Geräte oder Geräte ohne herstellerseitigen Blickschutz müssen demnach mit einer Blickschutzfolie nachgerüstet werden. Der Blickschutz schützt die Geräte vor neugierigen Blicken. Damit können Nutzer auch in der Bahn oder im Cafe ihre E-Mails mit personenbezogenen Daten problemlos lesen und bearbeiten. Welche etablierten Schutzmaßnahmen zu welchem Schadensszenario passen ist sehr individuell. Dazu wird die Organisation in der Regel durch den/die Datenschutzbeauftragte/n beraten. Ein nützliches Hilfsmittel stellt auch das Grundschutzkompendium des BSI dar.

    Sie haben noch keinen Datenschutzbeauftragten oder benötigen eine individuelle Beratung zu datenschutzrechtlichen Fragen?

    Wir vereinbaren gerne mit Ihnen einen Beratungstermin (hier).

    Das Problem mit dem Captcha

    Webseite - Kontaktformular


    Datenübermittlung USA


    Spamschutz


    Viele Webseiten enthalten ein Kontaktformular. Um das Kontaktformular mit einem SPAM-Schutz zu versehen, werden sogenannte Captchas eingesetzt. Nicht selten verstößt der Einsatz dieser Captcha gegen das Datenschutzrecht. (11.01.2024)

    Captcha sind kleine Programme auf der Webseite, die den Webseiten-Inhaber vor unliebsamen SPAM-Nachrichten schützen soll.
    Damit automatische Bots die Kontaktformulare nicht missbrauchen können werden Hürden eigebaut, die nur menschliche Nutzer zu bedienen wissen.

    captcha1Beispiel hCaptcha (Anbieter USA)

    captcha2Beispiel Captcher Wordpress Plugin Securimage-WP ohne Datenübermittlung

    captcha3Beispiel reCaptcha von Google (Anbieter USA)

    Diese Hürden sind die sogenannten Captcha, die aber zeitgleich auch Daten der Nutzer speichern oder an Fremde übermitteln. Die Übermittlung der Daten findet nicht selten in die USA statt. An dieser Stelle greift unsere Datenschutzgrundverordnung (DSGVO) ein. Programme und Systeme von amerikanischen Dienstleistern sind häufig schwer mit unserem europäischen Recht vereinbar. Sie sind schlichtweg in Europa kaum verwendbar, zumindest aus der rechtlichen Sicht des Datenschutzes. Es gibt unterschiedliche Captcha, die mal weniger und mal mehr Daten "fressen". Dennoch ist die große Problematik häufig die Datenübermittlung in ein Land außerhalb der Europäischen Union.

    Warum ist das datenschutzrechtlich problematisch?

    Grundsätzlich lässt die Datenschutzgrundverordnung zu, dass Daten zum Beispiel in die USA übermittelt werden, wenn der Webseitenbesucher einer Datenübermittlung zugestimmt hat. Dies haben Webseitengestalter auch häufig umgesetzt in Form eines Cookie-Banners. Ein derartiges Captcha, welches auch Daten in die USA übermittelt, wäre also in Kombination mit einem Cookie-Banner prinzipiell möglich. Dies bedeutet aber auch, dass, wenn der Webseitenbesucher Cookies ablehnt, das Captcha deaktiviert sein müsste oder komplett von der Webseite verschwinden sollte. Dies ist aber selten der Fall und auch aus der Sicht der Praktikabilität kaum möglich. Die Unternehmen müssten zwei verschiedene Webseiten zur Verfügung stellen, abhängig von der Auswahl im Cookie-Banner. Dieses Vorgehen ist sehr unrealistisch, was dazu führt, dass der Einsatz solcher Captcha einfach nicht möglich ist.

    Was können Webseiten-Inhaber also tun?

    Sie könnten zum Beispiel eigene Captcha einsetzen in Form von Bildern, die eine Zahlen-Buchstabenkombination darstellen. Sie können aber auch eine einfache Rechenaufgabe in das Kontaktformular einbauen oder Captcha von europäischen Anbietern nutzen. Auch wenn die Captcha europäischer Anbieter ebenfalls personenbezogene Daten speichern oder übermitteln, ist dies mit der DSGVO einfacherer vereinbar. Hier könnte das Unternehmen beispielsweise mit einem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO argumentieren und dadurch auf eine Einwilligung über ein Cookie-Banner verzichten. Das oben beschriebene Problem wäre damit nicht existent.
    Wichtig an dieser Stelle zu erwähnen: Das berechtigte Interesse hat seine Grenzen erreicht, wenn Daten die europäische Union verlassen. Deshalb ist diese Lösung nicht für Dienste aus den USA anwendbar.

    Bitte verlassen Sie sich nicht auf den Webdienstleister!

    Bitte verlassen Sie sich nicht blind auf den Webdienstleister, der Ihnen die Webseite gestaltet hat. Die Anbieter arbeiten nach bestem Wissen bzw. erstellen nur das, was der Kunde gewünscht hat. Wenn der Kunde nicht deutlich eine datenschutzkonforme Webseite in Auftrag gibt, erhalten Sie auch keine datenschutzkonforme Webseite. Außerdem muss der Kunde klare Vorgaben für das gewünschte Endergebnis machen. Ohne eine umfassende Beratung ist es dem Kunden aber häufig nicht möglich die Tragweite seiner Wünsche und Vorgaben zu begreifen. Gute Webdienstleister warne Ihre Kunden, wenn rechtlich bedenkliche Inhalte wie z.B. Google Maps, Facebook oder Instagram PlugIns gewünscht werden und finden für den Kunden datenschutzkonforme Lösungen.

    Dieser Beitrag stellt keine Rechtsberatung dar. Bei individuellen Fragen melden Sie sich bitte an Ihren Datenschutzbeauftragten oder einen Anwalt. Haben Sie noch keinen Datenschutzbeauftragten, dann dürfen Sie sich selbstverständlich auch an mich wenden.

    NIS2 Richtlinie

    Fotoveröffentlichung auf Facebook Schaden von 10.000 €

    Foto


    Urheberschutz


    Löschrecht


    Ein ahnungsloser Handwerker wollte mit einem Badewannenfoto 🛀 auf Facebook für eine Spendenaktion werben. Das Foto wurde von einem Fotografen (Künstler) für einen Spendenkalender angefertigt. Der Handwerker beabsichtigte, mit einem Post und dem Foto auf die Spendenaktion aufmerksam zu machen. (08.12.2023)

    🙏 Zunächst möchte ich dem Handwerker für sein Engagement danken. Das Ziel des Installateurs war offensichtlich rein uneigennützig, und wir brauchen mehr Menschen dieser Art, die im Sinne der Gesellschaft handeln.

    Leider hatte dieses Engagement für den Installateur ein „teureres Nachspiel“. Das Foto und der Post wurden 2015 auf der Social-Media-Plattform „Facebook“ veröffentlicht. Im Dezember 2021 erhielt der Handwerker eine erste Abmahnung und unterzeichnete die verlangte Unterlassungserklärung. Damit löschte ❌ er dann auch das Bild von seinem Facebook-Profil.

    Nach kurzer Zeit überprüfte der Urheber die Löschung. Leider war das Foto über die Google-Suche und in einer Übersicht lokaler Geschäfte im Internet noch auffindbar. Der Urheber ließ den Installateur erneut abmahnen 🤦‍♀️, verlangte eine strengere Unterlassungserklärung und forderte eine Vertragsstrafe in Höhe von 2.500 €. Der Versuch einer außergerichtlichen Einigung scheiterte und im Februar 2023 erhielt der Handwerker das Urteil zur Zahlung eines Schadenersatzes in Höhe von knapp 3.650 €. Dieser Schadenersatz wurde als ausgefallene Lizenzgebühr berechnet. Neben dem Schadenersatz musste der Handwerker für weitere Gerichts- und Anwaltskosten sowie Zinsen aufkommen 💰 .

    In Summe entstanden dem Beklagten damit Kosten von ca. 10.000 €. Das Gericht meinte dazu, dass der Beklagte verpflichtet gewesen wäre, „jegliche Auffindbarkeit des Fotos im Zusammenhang mit seinen eigenen Internetauftritten zu überprüfen und zu unterbinden“ (Urteil Az.: 14 O 48/122 vom 02.02.2023 des LG Köln).

    Was hat das mit Datenschutz zu tun?

    Grundsätzlich betrifft das Urteil nicht das Datenschutzrecht. In diesem Verfahren wurde um die Rechtslage im Urheberrecht gestritten. Allerdings gibt es eine ähnliche Rechtslage im Datenschutz.

    Der Artikel 17 DSGVO -Löschrechte der Betroffenen- wurde im Zuge der Digitalisierung verschärft. Das „neue Löschrecht“ in der DSGVO umfasst nicht nur den herkömmlichen Löschanspruch (BDSG_alt), sondern wurde unter dem sogenannten „Recht auf Vergessenwerden“ viel weitreichender verfasst. Wurde ein Foto beispielsweise veröffentlicht und die betroffene Person beauftragt eine Löschung nach Art. 17 Abs. 2 DSGVO, dann muss der Veröffentlichte dafür sorgen, dass die Löschung aller Links zu dem Foto oder der Kopien erfolgt. Diese Regelung wurde dem Umstand Rechnung getragen, dass jedem Menschen grundsätzlich bekannt ist, dass das „Internet nichts vergisst“. Dennoch hat eine betroffene Person den Anspruch, dass Daten aus dem Internet vollständig gelöscht werden. Das ist beispielsweise dann der Fall, wenn die Veröffentlichung unrechtmäßig ist oder eine Einwilligung widerrufen wurde.

    Das Urteil des Landgerichts Köln zeigt, dass das Gericht eine umfassende Löschung von Daten sehr wohl verlangen kann. Aufgrund der Komplexität des Internets und der extrem intransparenten Vernetzung sei gesagt, dass eine geplante Veröffentlichung von Informationen und Fotos immer sehr genau geprüft werden sollte. Unbedachte Veröffentlichungen sind nur mit einem sehr hohen finanziellen und technischen Aufwand widerrufbar. Mit unseren Datenschutzkunden erstellen wir eine individuelle Einwilligungsvorlage für die Veröffentlichung von Fotos und schulen die Mitarbeiter in der sicheren Handhabung.

    Wenn Sie noch keine Datenschutzbeauftragte benannt haben oder den internen Beauftragten entlasten wollen, dürfen Sie sich gerne vertrauensvoll an uns wenden 😉.

    Schon wieder eine neue Richtlinie im Datenschutz

    NIS 2


    Diakonie und Lebenshilfen


    Datenschutz


    In naher Zukunft stehen diakonische Einrichtungen, die als Dienstleister im Gesundheitswesen tätig sind, vor der Umsetzung der neuen NIS2-Richtlinie. (15.11.2023)

    Diese Richtlinie, die für die Sicherheit der Daten und Systeme durch die EU konzipiert wurde, bezieht das Spektrum des Gesundheitswesens mit ein. "Dienstleister im Gesundheitswesen" umfassen dabei Pflegedienste, Pflegeheime, Tagesförderungen für behinderte Menschen und ähnliche Einrichtungen, die legitime Gesundheitsdienstleistungen im Hoheitsgebiet der EU erbringen.

    Obwohl die NIS2-Richtlinie derzeit lediglich eine Richtlinie der EU ist, steht Deutschland vor der Herausforderung, eine eigene Gesetzgebung zu erlassen. Die Uhr tickt, denn die Frist zur Umsetzung endet am 17. Oktober 2024.

    Diakonische und caritative Einrichtungen haben also weniger als ein Jahr, um sich auf die neuen gesetzlichen Anforderungen vorzubereiten.

    Wie gehen wir bei unseren Kunden vor?

    Als externe Datenschutzbeauftragte betreue ich auch Kunden im caritativen Bereich. Dabei berate ich nicht nur im Datenschutz sondern genauso umfangreich in der Datensicherheit. Dadurch ist die NIS2 Richtlinie für unsere Kunden grundsätzlich keine große oder neue Herausforderung.

    Der erste Schritt 👣 besteht darin, den erforderlichen Aufwand zu ermitteln und einen umfassenden Maßnahmenplan zu erstellen. In diesem Kontext wird bereits jetzt begonnen, bei Datenschutz-Kunden den notwendigen Aufwand zu evaluieren. Ein wesentlicher Vorteil liegt darin, dass die NIS2-Richtlinie, der BSI-Grundschutz und der Datenschutz viele Überschneidungspunkte aufweisen. Dies bedeutet, dass die bisher getroffenen Datenschutzmaßnahmen gleichzeitig einige Anforderungen der NIS2-Richtlinie und des BSI erfüllen können.

    🕑 Die frühzeitige Planung und Umsetzung von Datenschutzmaßnahmen ermöglichen es den diakonischen Einrichtungen, den Übergang zur NIS2 reibungslos zu gestalten. 🔄 Die Synergien zwischen den verschiedenen Vorschriften eröffnen die Möglichkeit, Effizienzgewinne zu erzielen und Ressourcen effektiv zu nutzen. Angesichts der bevorstehenden Frist ist eine proaktive Herangehensweise entscheidend. Konkrete Informationen zur Umsetzung der NIS2 werden noch folgen.

    NIS2 Richtlinie
    Image

    Datenschutz in der Arbeitnehmerüberlassung

    Auftragsverarbeitung


    gemeinsame Verantwortung


    DSGVO


    Viele Unternehmen haben die Vorteile der flexiblen Arbeitnehmer erkannt und setzten daher Leiharbeiter ein. Dieses Vorgehen ist datenschutzrechtlich zu bewerten und vertraglich zu dokumentieren. Schließlich geht es um nicht unerhebliche Haftungsansprüche. Ohne eine klare Regelung kann ein Datenschutzverstoß oder eine Datenpanne zu immensen Schäden für ein vielleicht "unschuldiges" Unternehmen führen.

    Welcher Vertrag ist der richtige? (01.11.2023)

    Das Datenschutzrecht (DSGVO) sieht bei einer datenschutzrechtlichen Zusammenarbeit zwei mögliche Wege vor:

    1. Auftragsverarbeitung nach Art. 28 DSGVO.

    2. Gemeinsame Verantwortung nach Art. 26 DSGVO.

    Welcher Vertrag der richtig ist hängt von der Art der Zusammenarbeit und der sich daraus resultierenden Verantwortung ab.

    Die neusten Erkenntnisse aus der Rechtsprechung zeigen allerdings, dass vorwiegend von einer gemeinsamen Verantwortung ausgegangen werden sollte. Sowohl das ausleihende als auch das leihende Unternehmen verarbeiten zum Teil unterschiedliche und zum Teil gemeinsame Daten. So werden z.B. Bewerbungsdaten, Mitarbeiterstammdaten oder auch Abrechnungsdaten gemeinsam verarbeitet. Zutrittsdaten oder andere organisatorische Daten werden hingegen vermutlich nur beim leihenden Unternehmen erfasst oder gespeichert. Und genau diese Differenzierungen müssen vertraglich festgehalten und die unterschiedlichen Verantwortlichkeiten geregelt werden. In der Gesamtbetrachtung der rechtlichen Situation geht der Gesetzgeber daher von einer gemeinsamen Verantwortung aus. Die Vertragsinhalte können an die bekannten Verträge zur Auftragsverarbeitung angelehnt werden. Die Aufsichtsbehörde für den Datenschutz in Baden Württemberg stellt auch eine entsprechende Vertragsvorlage zur Verfügung. Unter Umständen hat der Anbieter der Arbeitnehmerüberlassung eine Vertragsvorlage für die Kunden vorbereitet. Es lohnt sich demnach auch dieses Kriterium in einem Anbietervergleich einfließen zu lassen.

    Image
    Image
    Image

    Datenschutz in Dänemark - Urlaubserlebnisse

    Dänemark


    Digitalisierung


    Praktischer Datenschutz


    In den Sommerferien 🏝 habe ich einen faszinierenden Urlaub in Dänemark erlebt, der meine Sicht auf Datenschutz verändert hat. Als Datenschutzberaterin war ich überrascht über den pragmatischen Umgang mit Daten dort.
    Lesen Sie in meinem kurzen Urlaubsblog, wie der Datenschutz in Dänemark gelebt wird. (31.08.2023)

    Obwohl die DSGVO in der gesamten Europäischen Union gilt, so auch in Dänemark, wird sie unterschiedlich interpretiert und angewendet. Vielleicht liegt das daran, dass Datenschutz in Deutschland einen besonderen Stellenwert hat, da er bereits im Grundgesetz verankert ist. Kollegen aus meinem Bereich verstehen sicherlich, wie man nach Jahren im Datenschutz nur noch mit der Datenschutz-👓 durchs Leben geht. Das kann sowohl positiv als auch negativ sein. Lassen Sie mich kurz erzählen, was ich durch diese Brille in Dänemark gesehen habe.

    🚘 𝐏𝐚𝐫𝐤𝐡ä𝐮𝐬𝐞𝐫: Fast überall wurden die Kennzeichen der einfahrenden Autos gescannt, um die Einfahrtszeit zu registrieren. Keine Schranken, nur Smartphone-Zahlung beim Ausfahren, meistens per Kreditkarte. Zahlungsverweigerer erhalten später eine Rechnung mit Strafgebühr. Ich fragte mich: Wie viele Daten werden allein für das Parken erfasst? Wo sind die Datenschutzhinweise? Was passiert mit den Daten? Und die Kunden? Sie scheinen es zu begrüßen. Die Vorteile habe ich natürlich erkannt. Es spart Kosten für Schranken und Personal und den Kunden das Aufsuchen der Kassenautomaten.

    🎦 𝐊𝐚𝐦𝐞𝐫𝐚𝐬: Viele Kameras in Dänemark, aber keine Warnhinweise. Bedeutet das, dass Dänemark im Datenschutz hinterherhinkt? Oder sind wir Deutschen einfach zu vorsichtig? Vielleicht sollten wir in Deutschland pragmatischer im Datenschutz sein, besonders in Bezug auf Digitalisierung.

    🚌 𝐁𝐮𝐬𝐭𝐨𝐮𝐫: Ich wollte eine Stadtrundfahrt mit Hop-On-Hop-Off-Bussen machen, aber man benötigte eine App, um Tickets zu kaufen und zu nutzen. Das Ticket war ein QR-Code, also zwei Apps erforderlich. "Daumen hoch" für die Digitalisierung, aber "Kopfschütteln" für die komplizierte Handhabung und die Wartezeiten beim Scannen. Ein Papierticket wäre vermutlich schneller gewesen.

    😲 Leider endeten meine ersten Erfahrungen in einer durchdigitalisierten Welt fast in einem Fauxpas. Die Energie meines Smartphones ging, aufgrund der intensiven Nutzung, dem Ende entgegen. Grundsätzlich stellt dieser Umstand für mich kein Problem dar. Ich bin auch gerne mal ohne Smartphone unterwegs. Allerdings habe ich vergessen, dass sowohl das Busticket, als auch andere Funktionen in Dänemark nur mit dem Smartphones nutzbar sind. Deshalb habe ich zwar spät, aber noch rechtzeitig die Brisanz in meiner Situation erkannt. Jetzt verstehe ich, warum viele Menschen eine Powerbank mitnehmen. Dänemark ist in der Digitalisierung weiter als Deutschland, sicherlich, weil nicht jeder Schritt datenschutzrechtlich geprüft wurde. Diese Erfahrungen werden sich positiv auf meine beratende Tätigkeit auswirken.

    Häufig vergessen und zunehmend wichtiger: Datenschutz in Firmenfahrzeugen

    Firmenfahrzeug


    Bordcomputer


    Profiling von Daten


    Immer mehr Unternehmen stellen ihren Mitarbeitern Dienstfahrzeuge zur Verfügung, die mit fortschrittlicher Technik ausgestattet sind. Dabei werden auch immer mehr personenbezogene Daten über IT-Komponenten im Fahrzeug erfasst und an Hersteller oder Dritte übermittelt.

    Doch was wird alles erfasst und übermittelt? (13.03.2023)

    Sowohl die Boardcomputer als auch verbaute Fahrtenschreiber zeichnen eine große Menge an Daten auf, die als personenbezogene Daten auch unter die Datenschutzgrundverordnung (DSGVO) fallen.

    Es handelt sich dabei um Daten wie Kilometerstände, Fehlermeldungen, Sensordaten (z.B. Anzahl der Mitfahrer), Benutzereinstellungen (z.B. Sitzeinstellungen), SIM-Karten-Daten (Ortung ist möglich), Daten aus der Koppelung mit Smartphones (z.B. Telefonbuch, Musikdaten, Nachrichten) usw.

    Da sämtliche neuen Fahrzeuge eine Reihe von personenbezogenen Daten verarbeiten, spielt der/die Datenschutzbeauftragte bei der Anschaffung der Fahrzeuge eine immer wichtiger werdende Rolle.

    Der/die Datenschutzbeauftragte muss sich weiterbilden, um auch in diesem Umfeld fachlich beraten zu können.

    Mit voranschreitender Digitalisierung wird es immer schwieriger, die Prozesse und IT-Systeme professionell zu bewerten. Daher sind Weiterbildungen unabdingbar. Der/die Datenschutzbeauftragte muss bei jeder Anschaffung eines Dienstwagens Kriterien prüfen, um das Risiko für die Geschäftsführung kalkulierbar zu machen.

    Welche Kriterien sollten geprüft werden?

    Wie erfolgt ein Update? Muss das Auto in die Werkstatt gefahren werden oder erhält das Fahrzeug die Updates Over-the-Air (OTA). Das bedeutet, dass das im Fahrzeug eine SIM-Karte verbaut wurde, die über das Mobilfunknetz oder manchmal über WLAN ein Update erhält. Durch die SIM-Karte verarbeitet das Auto fast die gleichen Daten wie ein Smartphone. Deshalb sind an das Fahrzeug ähnliche Anforderungen zum Datenschutz zu stellen, wie an ein Smartphone.

    Im Datenschutz ist auch eine entsprechende Richtlinie anzustoßen. In einer Richtlinie für die Nutzung von Dienstwagen sollte festgelegt werden welche Verhaltensweisen von den Mitarbeitern erwartet wird. So sollte es beispielsweise ausgeschlossen werden, dass Mitarbeiter alle Daten eines dienstlichen Smartphones auf das Fahrzeug übertragen. Gegen eine Verbindung via Bluetooth zur Nutzung einer Freisprecheinrichtung ist datenschutzrechtlich nichts einzuwenden. Verbindungsübersichten sollten gelöscht werden, sobald das Fahrzeug durch eine andere Person genutzt wird. Ebenso sollte die Richtlinie Regelungen enthalten, die das Verhalten bei Unfällen und Diebststählen beschreibt. Aus der Sicht des Datenschutzes sind dabei die Risiken für die Daten an Board (Bordcomputer, mitgenommene Akten, digitale Geräte) zu berücksichtigen.


    👉 Fazit: Datenschutz ist auch in Fahrzeugen unerlässlich! 👈

    Ohne den/die Datenschutzbeauftragte(n) sollten keine Prozesse oder Anschaffungen durchgeführt werden, um das Risiko einer Fehlentscheidung zu minimieren.

    Damit sowohl die Datenschutzbeauftragten als auch Unternehmen ohne Datenschutzbeistand die Firmenfahrzeuge datenschutzkonform einsetzen können stellen wir Ihnen eine kleine Checkliste zur Verfügung.

    Image
    Image

    GPS Ortung in Firmenfahrzeugen

    Dienstfahrzeuge


    GPS-Daten


    Ortung und Tracking


    In der heutigen Zeit spielen Daten eine immer größere Rolle, auch im Zusammenhang mit Firmenfahrzeugen 🚘. Viele Fahrzeughersteller sammeln umfangreiche Informationen über Standort, Kilometerzahl und das Fahrverhalten der Fahrerinnen und Fahrer, ohne dass diese darüber Kenntnis haben oder ausdrücklich zugestimmt haben. Doch wie steht es um den Datenschutz bei Firmenfahrzeugen? (25.03.2023)

    In diesem Beitrag wollen wir einen Blick auf dieses wichtige Thema werfen und den Unternehmen und Datenschutzbeauftragten zeigen, welche Maßnahmen Sie ergreifen sollten, um die Mitarbeiterdaten zu schützen.

    Sobald die Mitarbeiter ihre dienstlichen Smartphones 📱 mit dem Fahrzeug verbinden erhalten auch Werkstatt und Hersteller die Kundendaten z.B. Telefonnummern, Anruflisten, Nachrichten. In den wenigsten Datenschutzhinweisen wurde dieser Umstand berücksichtigt. Ich behaupte mal, die meisten Unternehmen haben dazu keine Einwilligung der Kunden vorliegen. Zugegeben, dieses Vorgehen ist wenig praxisnah. Dennoch müssen die datenschutzrechtlichen Vorgaben der DSGVO und BDSG berücksichtigt werden. Eine entsprechende Rechtsgrundlage für die Offenlegung der Daten ist erforderlich.

    Da die Hersteller der Fahrzeuge bisher kaum den Schutz der Daten in der Entwicklung der Autos berücksichtigen bzw. bewusst diese Daten für eigene Zwecke nutzen, müssen die Unternehmen als Fahrzeugnutzer diesen Missstand beheben. 😕

    Im Vorfeld sollten die Hersteller dahingehend umfangreich geprüft werden. Die Unternehmen, als Fahrzeugnutzer, sind verpflichtet die Kunden transparent über eine mögliche Datenübertragung an Werstätten und Hersteller zu informieren.

    Wie sollten Unternehmen und Datenschutzbeauftragte vorgehen?

    1. Fahrzeughersteller sollten genausten unter die 🔎 genommen werden. Weniger ist mehr. Vielleicht reichen einfache Firmenfahrzeuge ohne viele Infotainmentsystem aus.

    2. Es sollten Regelungen im Umgang mit Firmenfahrzeugen getroffen werden. Mitarbeiter dürfen die Daten des Smartphones nicht mit dem Fahrzeug synchronisieren. Vor dem Besuch der Werkstatt sollten Daten im Fahrzeug gelöscht werden z.B. Anruflisten, Telefonnummern.
    Die Mitarbeiter müssen wissen welche Infotainmentsysteme von ihnen genutzt werden dürfen und welche nicht.

    Für eine bessere Übersicht haben wir die wichtigsten Prüfpunkte in der folgenden Checkliste zusammengefasst.

    Datenschutzhinweise müssen nicht akzeptiert werden

    Webseiten


    Datenschutzhinweise


    Informationspflichten


    Der kleine Haken zum Akteptieren der Datenschutzhinweise unter vielen Kontaktformularen ist nicht erforderlich. (20.06.2023)

    Häufiger Fehler auf Webseiten.

    Datenschutzhinweise sind Informationen, die den Nutzern lediglich zur Verfügung gestellt werden müssen (siehe Art. 13 und 14 DSGVO).Das Gesetz spricht von einer proaktiven Informationspflicht.
    Diese Informationen bedürfen keiner Zustimmung. Häufig wird an dieser Stelle die Informationspflicht auch mit einer Einwilligung zur Datenverarbeitung verbunden. Beide Anforderungen, Einwilligung und Informationspflicht, sind getrennt zu betrachtende Vorgänge. Ob eine Einwilligung in eine Datenverarbeitung überhaupt erforderlich ist muss im Einzelfall geprüft werden. Beim Betreiben einer gewöhnlichen Webseite ist eine Einwilligung beispielsweise nur beim Einsatz von Analysetools (z.B. Google Analytics) oder der Bestellung eines Newsletters erforderlich.

    Die Datenschutzhinweise stellen keine deartige Einwilligung dar. Dennoch müssen die User auf diversen Webformularen z.B. kontaktanfragen die Datenschutzhinweise akzeptieren, um eine gewünschte Funktion auslösen zu können. Dieses Vorgehen ist schlicht weg unkorrekt und völlig überflüssig.

    Das Datenschutzrecht ist in der Tat sehr kompliziert. Aber an einigen Stellen wird unnötig mit "Kanonen auf Spatzen" geschossen. Dies liegt dann allerdings an der Unwissenheit der Webseitengestalter und nicht, wie immer behauptet, am komplizierten
    Datenschutzrecht. 😵

    Vermutlich wird dieser Umstand  verwechselt mit dem AGB-Recht. Denn AGB müssen durch den Vertragspartner tatsächlich akzeptiert werden. Nicht aber Datenschutzhinweise.

    Fazit: Versuchen Sie die Kunden und Nutzer zu entlasten und lassen Sie unnötige Zustimmungen einfach weg.

    Datenschutzhinweis müssen nicht akzeptiert oder unterschrieben werden!

    Genauso wenig müssen Datenschutzhinweise unterschrieben 📝 werden. Es handelt sich um eine reine Informationspflicht. Unternehmen, die sich Datenschutzhinweise massenhaft unterschreiben lassen, sollten dringend über das sich ergebende Einsparpotenzial nachdenken. Sparen Sie sich die Lager-, Papier- und Personalkosten für diese überflüssige Aufbewahrung.
    Image
    Image

    Kann die Meldung einer Datenpanne zu einem Bußgeldverfahren führen?

    Datenpannen


    Bußgelder


    Anzeigepflicht


    Viele Verantwortliche scheuen immer noch die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde. Erfahren Sie, in diesem Beitrag weshalb es keinen Grund für Bedenken gibt. (08.01.2023)

    Grundsätzlich ist jede Datenschutzverletzung (auch „Datenpanne“ genannt) meldepflichtig. Ausnahmen von dieser Regel gibt es nur für Datenpannen, die voraussichtlich kein Risiko für die Betroffenen (z.B. Kunden oder Mitarbeiter) bedeuten. Um das zu prüfen, muss demnach eine Risikoabschätzung durchgeführt werden. Organisationen mit einem/einer Datenschutzbeauftragten können sich für die Risikoabschätzung auf die Expertise des/der Beauftragten verlassen. Übrige Organisationen sind gut beraten vorsorglich jede Datenschutzverletzung zu melden.

    Was ist eine Datenschutzverletzung?

    Datenschutzverletzungen sind sehr vielfältig. Fälschlicherweise werden häufig nur die typischen "Hackerangriffe" als Datenschutzpanne gesehen. Das Datenschutzrecht legt bei der Beurteilung einer Datenpanne die Maßstäbe allerdings viel strenger an. So ist bereits der Verlust eines Speichermediums mit personenbezogenen Daten (z.B. Kundenlisten) eine Datenschutzverletzung. Oder auch die Unachtsamkeit im Büro, so dass Anzeigen auf dem Monitor durch Besucher eingesehen werden können, wird als Datenschutzverletzung gewertet.

    Beispiele aus meiner praktischen Tätigkeit:

    • Verlust eines USB-Sticks mit zahlreichen Dokumenten und Kundenlisten
    • Serverdefekt von 3 Tagen. Nicht Erreichbarkeit der Daten.
    • Einbruch in einen Dienstwagen und Diebstahl des Laptops.
    • Vergessene Löschung von Berechtigungen im Buchhaltungssystem eines bereits ausgeschiedenen Mitarbeiters.
    • Verlust von Patientenakten beim Postversand.
    • Vergessene Ausdrucke im Gemeinschaftsdrucker über Nacht.
    • Fehlendes Update am Server.
    • Nutzung von Systemen mit Sicherheitslücken.
    • Hackerangriff auf privates E-Mail Konto, welches widerrechtlich zum Teil beruflich genutzt wurde.

    Natürlich führen deratige Vorfälle nicht pauschal zu einer Datenschutzverletzung. Grundsätzlich ist immer eine Einzelfallbetrachtung erforderlich. Diese Beispiele aus unserem Berateralltag sollen die Vielfältigkeit der Datenschutzverletzungen aufzeigen.

    Welche Schritte müssen ergriffen werden?

    Sobald eine Datenschutzverletzung in Sinne der DSGVO vorliegt sind Verantwortliche verpflichtet die Verletzung der zuständigen Behörde innerhalb einer Frist von maximal 72 Stunden anzuzeigen.
    Neben der Anzeigepflicht, gegenüber der Behörde, gilt es noch weitere Gegenmaßnahmen zu ergreifen und Dokumentationen anzufertigen, bei denen der/die Datenschutzbeauftragte ebenfalls beratend unterstützen kann.

    Dennoch stellen sich die Verantwortlichen die Frage, ob die Meldung einer Datenpanne ein Bußgeld nach sich ziehen kann. Derartige Unsicherheiten führen, meinen Erfahrungen nach, häufig dazu, dass Verantwortliche Datenpannen bewusst nicht melden.

    Einen wichtigen Hinweis möchte ich Ihnen vorweg geben. Die Unterlassung einer Meldung an die Behörde ist keine gute Idee. Aufgrund der umfangreichen Vernetzung der Mitarbeiter wird eine Datenpanne früher oder später bekannt. Eine unterlassene Meldung an die Behörde ist definitiv ein bußgeldbehafteter Verstoß gegen den Datenschutz.

    Mit der Frage, ob eine fristgemäße Meldung dennoch mit einem Bußgeld bestraft werden kann, hat sich 2019 bereits die Aufsichtsbehörde Thüringen beschäftigt. In der Pressemeldung vom 23.08.2019 verweist die Behörde auf den § 43 Abs. 5 BDSG. Darin wurde schon vor vielen Jahren rechtlich geregelt, dass die Meldung nicht ohne Weiteres für ein Bußgeld herangezogen werden darf.

    Nicht auszuschließen ist allerdings, dass die Behörde die gemeldete Datenschutzverletzung zum Anlass einer Kontrolle nimmt. Auch dazu sei gesagt, dass meine bisherigen Erfahrungen gezeigt haben, dass eine vernünftige Zusammenarbeit mit der Behörde in erster Linie als Amtsunterstützung gesehen werden kann. Jeder Hinweis der Behörde sollte als Anlass zur Verbesserung gesehen werden, um größere Schäden (ggf. Schadenersatzansprüche) oder Bußgeldverfahren zu vermeiden.

    Bei Meldungen zu Datenschutzverletzungen können Sie sich auf unsere Unterstützung und Erfahrung verlassen.  

    Weitere Leistungen

    Datenschutz
    Alle Leistungen
    IT-Sicherheit
    Alle Leistungen
    © TENCOS IT+Datenschutz 2023