Nachrichten aus der Welt des Datenschutzes
Anweisung des BfDI an BPA: Einstellung der Facebook-Fanpage
Am Mittwoch wurde das Bundespresseamt (BPA) vom Bundesbeauftragten für Datenschutz und Informationssicherheit (BfDI) angewiesen, den Betrieb der Facebook-Fanpage der Bundesregierung einzustellen. Er habe lange darauf hingewiesen, dass der Betrieb der Facebook-Fanpage datenschutzkonform nicht möglich sei. Er sieht Behörden in der Verantwortung, sich vorbildlich an Recht und Gesetz zu halten. Das sei beim Betrieb einer Fanpage wegen der umfassenden Nutzung der Daten nicht der Fall, somit würden die Grundrechte der Bürger nicht gewahrt. Weil sich die Interessen von Meta und Fanpage-Betreiber deckten, liege eine gemeinsame Verantwortung für die bei der Nutzung von Fanpages verarbeiteten Daten vor. Den Nachweis, dass die Grundsätze
Abmahnungen Google Fonts
Falls auch Sie sich einreihen dürfen in die Gruppe der Unternehmer, die kürzlich Post (Abmahnung, Unterlassungserklärung …) zu Google Fonts bekommen haben: Wir hatten vor geraumer Weile hier schon darauf hingewiesen und fassen nochmals zusammen: Verantwortlich für seine Website ist – wie der Name schon sagt, der Verantwortliche, respektive die Geschäftsführung eines Unternehmens. Sicherlich weist manche Agentur vorab als Service (wenn sie etwas mitbekommen) auf Urteile, die Änderungen an der Website erforderlich machen, hin. Die Umsetzung der Änderungen bzw. die Entscheidung dafür liegt jedoch bei der Geschäftsführung. Dies gilt auch für die Entscheidung, ob man zahlt oder ob bzw. wie
Teslas Wächtermodus-Daten: Beweismittel oder Datenschutzverstoß?
Erst kürzlich konnte man in der südbadischen Presse von einem Tesla lesen, der eigenständig einen Angreifer, der ihm hässliche Blessuren im Lack zufügte, filmte – dank Wächtermode. Die Diskussion, ob die Videoaufzeichnungen als Beweismaterial vor Gericht verwendet werden dürften oder ob nicht eher ein zu sanktionierender Datenschutzverstoß vorliege, haben Verbraucherschützer nun beantwortet: Sie verklagen Tesla wegen des Wächtermodes (und offenbar einiger anderer Punkte). Und in der Tat ist es aus Datenschützerbrille gar nicht so eindeutig, wie der Fall zu bewerten ist – oder wäre, wenn denn alles „richtig“ gelaufen wäre. Natürlich entzündet sich das nun am Beispiel Tesla, aber wenn
Sein oder nicht sein – auf Facebook
Es gibt – mal wieder – neue Entwicklungen bei Facebook-Fanpages, und zwar weil die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) ein Dokument herausgegeben hat, aus dem sich konkrete Handlungsempfehlungen ableiten lassen. Bislang waren Facebook-Fanpage-Betreiber seit einem EuGH-Urteil mit Facebook gemeinsam Verantwortlicher nach Art. 26 DSGVO. Seit Facebook daraufhin sein „Addendum“ zu bestehenden Verträgen erstellt hatte, zweifeln die Aufsichtsbehörden, ob das Addendum ausreicht und ob ein legaler Betrieb möglich ist. Sowohl Unternehmen als auch Aufsichtsbehörden konnten hier zu unterschiedlichen Ansichten gelangen. Doch Status bislang war: Prüft die zuständige Aufsichtsbehörde eine Fanpage, stuft den Betrieb als nicht vertretbar ein,
Analyse DSGVO-Bußgelder
Seit knapp 5 Jahren gilt die DSGVO und seit ca. 3 Jahren ist die Übergangsschonfrist zur Umsetzung für die Verantwortlichen vorbei. Zeit, sich einmal die europäische Praxis der Bußgelder anzusehen. Die europäische Praxis? Nun ja, grundsätzlich gilt die DSGVO wegen des Marktortprinzips ja weltweit für jeden Verantwortlichen, der in der EU Waren oder Dienstleistungen anbietet. Dennoch trifft es natürlich vorwiegend die EU-Mitgliedsstaaten. Innerhalb der EU-Staaten fällt auf, dass einige Länder wenige und niedrige Bußgelder verhängen, andere zwar vielleicht zahlenmäßig nicht vorne liegen, jedoch hohe Bußgelder verhängen – hier sticht die französische CNIL mit (hohen) Bußgeldern gegen große Datenverarbeiter (Google, Facebook,
Wohin mit den Corona-Daten? Weg …
Wochen und Monate haben Unternehmen Gesundheitsdaten erfasst, damit die Beschäftigten überhaupt in den Räumen des Unternehmens arbeiten durften. Da wurde teils Fieber gemessen, Impf- und Genesenenstatus sowie Corona-Testergebnisse dokumentiert. Nun ist es an der Zeit, diese Daten auszumisten. Denn mit dem Auslaufen der Schutzmaßnahmen ist der Zweck der Datenverarbeitung entfallen, also sollte man als Verantwortlicher spätestens jetzt prüfen, ob und welche Daten man im Zusammenhang mit Pandemiebekämpfungsmaßnahmen verarbeitet hat. Hat man Zutrittskontrollen zum Arbeitsplatz nach 3G-Regel und andere Maßnahmen durchgeführt, waren diese rein „zweckgebunden“ und hätten bereits mit Ende der entsprechenden gesetzlichen Pflicht gelöscht werden müssen. Lediglich in bestimmten Bereichen
Schmerzensgeld für Cookies
Kennen Sie das? Als Sie noch ein Kind waren, hat ihre Mutter Ihnen Essen auf den Teller gehäuft, ohne lange zu fragen, ob Sie überhaupt noch etwas wollen. Ungefähr so machen es – trotz zahlreicher Warnhinweise – auch noch einige Unternehmen mit Cookies: Ungefragt lassen Sie Websitebesucher davon kosten. Doch das kann nun je nach Traffic auf der Website teuer werden. Was war da los?
BSI meldet „Code Red“
Wer sich mit BSI-Meldungen befasst, kennt die TLP-Level Weiß bis Rot. Nun gab es ein TLP.WHITE, also eine Sicherheitslücke, für die unbegrenzte Weitergabe erlaubt ist, die entsprechend aber auch die IT-Bedrohungslage Rot beschreibt. Es geht um eine Protokollierungsbibliothek für Java-Anwendungen namens Log4j und die betroffenen Hersteller sind so zahlreich wie namhaft (z. B. VMWare, UniFi, Apache). Die kritische Schwachstelle in Log4j (Versionen 2.0 bis 2.14.1) trägt den sperrigen Namen CVE-2021-44228, wird in vielen Java-Anwendungen verwendet und hat ggf. Auswirkungen auf Java-Anwendungen, die aus dem Internet erreichbar sind. Mit log4j werden Teile der Nutzeranfragen protokolliert und das können Angreifer unter Umständen
Ein Cocktail namens TTDSG
Was macht einen guten Cocktail aus? Gute Zutaten, eine nette Darreichungsart … Offenbar versucht sich auch unser Gesetzgeber nun als Cocktailmixer und bedient sich dazu (bildlich gesprochen) eines Kölsches und eines Ales, fügt reichlich Hefe dazu und bedient sich zum Mischen eines Stabmixers – heraus kommt ein Cocktail namens Telekommunikation-Telemedien-Datenschutz-Gesetz, kurz TTDSG. Wenn Sie sich nun fragen, ob wir endgültig abgedriftet sind, kann die Antwort nur „nein“ lauten. Allerdings sagen wir das nicht im Brustton der Überzeugung, sondern in gewisser Weise resigniert. Doch warum sollten Sie sich für das TTDSG interessieren? Weil Ihr Unternehmen dessen Regeln einhalten muss, und zwar
Stell dir vor …
es ist Patchday und keiner geht hin … So oder auch mit „Murmeltiertag“ könnte man grob umschreiben, was da gerade passiert. Es gibt eine Sicherheitslücke bei Microsoft. Naja, genauer gesagt sind es 6 kritische und 49 wichtige, von denen 2 auch bereits angegriffen werden. Die Schwachstelle trägt die Kennung CVE-2021-42321 und Angriffe auf sie können unter Umständen erfolgreich sein. Wohl dem, der sein Patchmanagement im Griff hat bzw. keine eigenen Exchange Server bzw. Hybride hat. Denn so unangenehm die Beschäftigung mit Exchange Online in puncto Drittlandübermittlungen (und ja, auch bei Microsoft Ireland ist das Thema nicht vollends vom Tisch) sein
Neue Software – ein alter Hut?!
Kürzlich rollte Microsoft Windows 11 aus, also die neue Version des eigentlich ja nicht mehr umzubenennenden Windows 10, aber sei’s drum … neue Software eben und das, wo es immer noch zahlreiche Unternehmen gibt, die sogar noch XP im Einsatz haben sollen. Dass das keine so brillante Idee sein könnte, bekam kürzlich ein niedersächsisches Unternehmen am eigenen Leib zu spüren … Dass die DSGVO von Unternehmen verlangt, Software einzusetzen, die Privacy by Design bzw. by Default gewährleistet, ignoriert so manche Geschäftsführung geflissentlich. Schließlich ist das IT-Budget ohnehin hoch genug! Im konkreten Fall wäre das Geld aber besser in Software investiert
Preisschild an „Foto ohne Einwilligung“
Ein wenig komme ich mir vor wie Don Quijote am Murmeltiertag: Um den Stichtag 25. Mai 2018 herum haben wir zahlreiche Verantwortliche im Rahmen von Websiteüberholungen auf Mitarbeiterfotos auf den Unternehmensseiten angesprochen. Da gab es Verantwortliche, die die Fotos vom Mitarbeiterausweis auf die Website gestellt haben, um den Kunden das Mitarbeiterteam zu präsentieren, oder solche, die zur Dokumentation der tollen Arbeitsbedingungen Fotos am Arbeitsplatz machen ließen. Auf unsere Frage nach der Rechtsgrundlage für diese Datenverarbeitung reichte die Reaktion von Unverständnis über Empörung bis zu purem Unwillen. Warum ist es aber wichtig, sich zu überlegen, wie man die Veröffentlichung von Mitarbeiterfotos
Konzertierte Aktion der Aufsichtsbehörden
In der Regel verteidigen Datenschützer die Aufsichtsbehörden, die meisten zumindest (zugegeben, manchmal reiben auch wir uns ob der einen oder anderen Einschätzung verwundert die Augen). Zurzeit bin ich unschlüssig, was von der aktuellen konzertierten Aktion der Aufsichtsbehörden zu halten ist. Doch der Reihe nach … Nach dem Schrems-II-Urteil letzten Sommer stehen Datenübermittlungen in die USA auf tönernen Füßen und will man die Standardvertragsklauseln (SCC) als Basis für Datenexporte nutzen, bedarf es evtl. zusätzlicher Schutzmaßnahmen, um ein angemessenes Schutzniveau zu garantieren. Da die Aufsichtsbehörden gehalten sind, „mit aller gebotenen Sorgfalt ihre Aufgabe zu erfüllen, die darin besteht, über die umfassende Einhaltung
Sicherheitslücke bei fast allen WLAN-Routern durch FragAttack
Erneut warnt das BSI und ruft die IT-Bedrohungslage Stufe 3/Orange aus. Grund dafür ist eine Sicherheitslücke bei WLAN-Geräten. Kleine Erinnerung, das Hafnium Exploit vor einiger Zeit war auch „nur“ eine Stufe kritischer. Die aktuelle Schwachstelle kann „geschäftskritisch“ sein und eine „massive Beeinträchtigung des Regelbetriebs“ verursachen und betrifft nahezu alle Geräte. So viel zur schlechten Botschaft, die gute Botschaft ist: Der Angreifer muss aus der Nähe operieren (Was daran die gute Botschaft ist? Dass ein Angriff nicht direkt aus der Ferne gelingt …) und es gibt bei den meisten Herstellern Abhilfe in Form von Updates. Was also tun? Wenn Sie WLAN
„Proaktive Ansprache“ klingt toll, leitet aber den nächsten Akt im Drama um Schrems II ein
Seit der EuGH letzten Sommer den Privacy Shield als Rechtfertigungsbasis für Datenübermittlungen in die USA kippte, operieren Unternehmen in diesem Punkt ggf. auf dünnem Eis. Und an dieses halten die Aufsichtsbehörden nun noch ein Feuerzeug – vielleicht auch einen Flammenwerfer … denn es sind nicht einzelne Aufsichtsbehörden, sondern eine Taskforce der Datenschutzkonferenz (DSK), die Aktivitäten angekündigt hat. Was passiert da?! Seit letztem Sommer sind die Möglichkeiten, Daten in die USA zu übermitteln, sehr begrenzt (es gab ohnehin schon nur 3 zulässige Wege, von denen der gekippte Privacy Shield einer war und die verbliebenen zwei Wege haben es in der Praxis
Automatisierte Entscheidungsfindung in der Notaufnahme?
Als ich vor dem Wochenende aus Datenschützerkreisen von der unten geschilderten Neuigkeit erfuhr, brauchte ich den Samstag, um frei nach Sascha Lobo erstmal „angemessen auszuflippen“; den Sonntag brauchte ich, um mich wieder zu beruhigen … Dass wir öfters als sonst üblich unser Gesundheitssystem diskutieren, ist inzwischen leider nicht mehr neu; was aber neu ist, ist ein Gesetzesentwurf aus dem Gesundheitsministerium, wonach Jens Spahn sich eine Software wünscht. So weit so gut, dass so manches in diesem System verbesserungs- bzw. digitalisierungsbedürftig sein dürfte, ist wohl unstrittig. Dass aber genau jener Minister, der kürzlich erst die Berliner Beauftragte für Datenschutz und
Was tun bei Datenpannen und Exploits
Nein, wir werden Sie nicht mit der x-ten Meldung darüber langweilen, wie Sie feststellen, ob Sie vom Hafnium Exchange-Exploit betroffen sind, wie Sie dann vorgehen sollten bzw. dass Sie sich nun auf Cyberkriminelle einrichten dürfen, die diese Lücken nutzen – und nein, auch nicht dass Microsoft schon seit etwa 2 Monaten von dem Problem Kenntnis hatte … Nein, es soll vielmehr darum gehen, was Sie daraus in puncto Datenschutzmanagement für Ihre Organisation lernen können. Gehen wir zu Ihren Gunsten davon aus, dass nicht erst das BSI Sie anschreiben musste, dass Sie Opfer der Attacke waren, sondern dass Sie selbst entdeckt
Wenn der Postmann zweimal klingelt …
hat er vielleicht Post vom Anwalt dabei. Und was will der dann? Unabhängig voneinander mehren sich die Hinweise, dass der Datenschutz offenbar missbraucht werde, um Reibach zu machen. Wie das? Über mutmaßlich missbräuchliche Anfragen zu Betroffenenrechten gem. Art. 15 – 22 DSGVO. Das „Spiel“ geht so: Es steht die Drohung eines gerichtlichen Verfahrens im Raum. Aus der Welt lässt sich das schaffen, indem man sich außergerichtlich einige – nach Zahlung eines immaterriellen Schadensersatzes zuzüglich angeblich entstandener Anwaltskosten. Offenbar gibt es zwei typische Szenarien: Über das Kontaktformular wird das Unternehmen um Rückruf gebeten. Geht das Unternehmen dieser Bitte nach, erreicht es
Leistungskontrollen durch Teams?
Microsoft Teams gibt Unternehmen die Möglichkeit, seine Beschäftigten zu überwachen. „Potzblitz“ werden Datenschützer sagen und alle, die schon frühere Berichtswellen über diesen Umstand mitbekommen haben. Da das Thema nun jedoch wieder an manchen Stellen aufgegriffen ist, nutzen wir die Gelegenheit und befassen uns mal ein wenig mit dem Thema. Grundsätzlich geht es um marketingtechnisch geschickt als „Produktivitätsbewertung“ titulierte Analyse-Tools von Office 365. Hochgekocht wird das Ganze nun, weil der Microsoft-CEO Teams in einem Interview erklärte, Teams sei bald eine digitale Plattform, deren Relevanz der des Browsers gleichkomme. Das ist eine Ansage, vor allem jetzt, wo so viele Menschen Corona-bedingt mit
Datenschutz bei Corona-Verdachts- oder -Infiziertenfällen im Unternehmen
Eigentlich dachte ich, zu Corona sei so langsam alles gesagt, doch da lag ich wohl falsch: „Lockdown light“ … was hat das nun schon wieder mit „dem Datenschutz“ zu tun, der zurzeit ja in jeder Talkshow als mindestens für die halbe Misere Verantwortlicher ausgemacht wird? Angesichts steigender Infiziertenzahlen wächst die Wahrscheinlichkeit, dass sich auch in den Betrieben die Infizierten- bzw. Verdachtsfälle mehren werden. Und dann? Einmal kurz wie im Supermarkt an der Kasse Durchsage an alle „Der Müller ist infiziert – bitte alle, die mit ihm Kontakt hatten, melden“? Besser nicht … Arbeitgeber dürfen Daten von Beschäftigten verarbeiten, wenn es
Irische Datenschutzbehörde macht Facebook Druck
Blogtechnisch herrschte eine Weile Ruhe, das liegt aber vorwiegend an der Unruhe „hinter den Kulissen“, die das EuGH-Urteil zum Privacy Shield verusachte. Nun geht das Ganze quasi in die 2. Runde: Denn die irische Datenschutzbehörde (DPC) versucht Facebook nun dazu zu „motivieren“, EU-Bürger-Daten nicht mehr in die USA zu übertragen. Das wäre nämlich die Konsequenz, wollte man das EuGH-Urteil mit Leben füllen. Um Facebook in Wallung zu bringen, hat die DPC dem Unternehmen eine Anordnung zugestellt. Allein, das mit der Wallung hat nicht geklappt, hat Facebook doch verlauten lassen, man übertrage auch künftig Daten – zumindest, bis es weitere Anweisungen
Er hat es wieder getan
Kenner der Materie kennen ihn (wer schafft es schon, dass EuGH-Urteile den eigenen Namen als Alias erhalten), allen anderen sei er kurz vorgestellt: Max Schrems, seines Zeichens österreichischer Jurist, Autor und Privatsphäre-Aktivist, auf dessen Initiative hin schon das Safe-Harbor-Abkommen in Rauch aufging. Nun war es gestern wieder so weit: Der vom irischen High Court angerufene Europäische Gerichtshof entschied, dass der Privacy Shield ungültig ist. Nur eine Randnotiz? Mitnichten, denn damit ist die noch gängige Praxis, europäische Nutzerdaten ungeprüft in die USA zu übermitteln, für unrechtmäßig erklärt worden. Worum geht’s denn da genau? Zwischen der EU und den USA wurde eine
Ein kleiner Schritt für den Unternehmer, ein großer für seine Beschäftigten
Spät kam sie, doch sie kam und seien wir ehrlich: Besser leben wir nach der Devise „Was lange währt, wird endlich gut“ als dass wir mit heißer Nadel Gestricktes Wollgeknubbel sortieren müssen. Doch kaum ist die Corona-App da, wachsen die Begehrlichkeiten und der Kreativität so mancher Geschäftsführung sind kaum Grenzen gesetzt: Gute Idee? Als Arbeitgeber hat man ja auch Fürsorgepflichten – wäre es da nicht ratsam, seine Beschäftigten zu verpflichten, die App zu installieren? Die Antwort könnte allenfalls „ja“ lauten, wenn es um Dienst-Smartphones geht. Gehen wir also mal von diesem (und ja, wirklich nur diesem) Fall aus: Wie gesagt,
Sonnenklar … Whatsapp – Anti-Covid-App
Was eingefleischten (darf man das in Zeiten vermehrter Corona-Fälle in Schlachthöfen noch sagen?) Datenschützern schon längst sonnenklar war, unterstreicht der Bundesdatenschutzbeauftragte Ulrich Kelber nochmal für alle, die bis dahin nicht „mitgeschrieben“ hatten: Seine Kollegen aus den Landesaufsichtsbehörden hatten oft genug auf die problematische Verwendung von Whatsapp in Unternehmen hingewiesen, nun sah Kelber sich vor dem erhöhten Kommunikationsbedarf durch Corona gezwungen, Klartext zu reden: Bundesbehörden dürfen Whatsapp nicht zur Kommunikation benutzen. Dieser Hinweis ging an alle Bundesministerien und -behörden, nachdem bei Kelber Beschwerden über die Nutzung von Whatsapp durch Bundesbehörden eingingen. Das war dann wohl doch zu viel „Wasser predigen und
Das Allheilmittel
Im Kampf gegen Corona und seine Folgen scheint fast jedes Mittel recht. Nun soll es eine App richten. Nach vehementer Kritik am zunächst geplanten Ansatz sollen es die Deutsche Telekom und SAP richten, Fraunhofer und Helmholtz sollen beraten, der BfDI Ulrich Kelber und das BSI sollen eingebunden werden. Auch Pepp-PT will sich nicht von der Platte putzen lassen und sein bislang gesammeltes Wissen zur Verfügung stellen. Und prompt will auch eine Gruppe aus PwC Deutschland, dem Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI), SIS Software und Eventim eine Lösung vorlegen – angeblich schon funktionsfähig. Auch Apple und Google, ohne deren Schnittstellen
Ob ihr wirklich richtig steht, seht ihr, wenn das Licht angeht …
Manche werden das Zitat oben erkennen, es stammt aus einer Kindersendung, bei der Kinder aus 3 gegebenen Antwortmöglichkeiten die richtige raten sollen. Ähnlich ging es kürzlich der Bundesregierung bzw. dem Gesundheitsminister: Auch die stand vor der Wahl dreier Konzepte für eine App zur Bekämpfung der Corona-Verbreitung und um in der Formulierung der Titelzeile zu bleiben: Das Licht blieb aus, die Entscheidung war wohl falsch – und nun ist ja auch der Richtungswechsel da … Unabhängig von der Frage, ob eine Tracing-App zur Pandemiebekämpfung freiwillig, obligatorisch zu nutzen ist o. Ä., kurz zur Historie. Es gab drei Ansätze für eine derartige App:
Und es hat Zoom gemacht …
Diese Liedzeile aus den 1980er Jahren ist eigentlich eine sehr treffende Beschreibung der aktuellen Lage, denn „Zoom“ ist in aller Munde – mal mehr, mal weniger berufenem … daher eine tagesaktuelle Einschätzung der Lage: Das Konferenztool „Zoom“ ist zweifellos einer der Gewinner der Corona-Krise, doch es steht in der Kritik, und zwar „wegen dem Datenschutz“. Unabhängig von der sprachlichen Korrektheit hinkt das auch sachlich. Doch der Reihe nach: Ja, es gab Probleme bei „Zoom“ und ja, die waren Datenschützern ein Dorn im Auge, darunter auch Vertreter der Aufsichtsbehörden. Doch nach der Kritik ließ Firmenchef Eric Yuan alle aufgedeckten Sicherheitslücken stopfen,
Verpflichtende Corona-Apps?
Corona versetzt uns in eine außergewöhnliche Situation – dass der Schutz des Lebens vorrangig ist, dürfte unfraglich sein. Doch rechtfertigt der Schutz auch tiefe Eingriffe in unsere grundgesetzlich verankerten Rechte? Nach ersten Eilanträgen bzw. Verfassungsbeschwerden vor dem Bundesverfassungsgericht erklärt dieses die Verbote zur Eindämmung der Pandemie zunächst für nicht verfassungswidrig. Aber rechtfertigt die Situation auch verpflichtende Datenerhebungen wie die Installation von Apps, die Nutzung von Kreditkartenabrechnungen oder den Zugriff auf Betriebssysteme der Smartphones bzw. Handys? Vergleiche zum verpflichtenden Tragen von Motoradhelmen werden hier nicht weiterführen, dennoch: Rechfertigt die Situation nicht die Aushebelung unserer Freiheiten – also auch des Datenschutzes, dessen
Online-Meeting-Tools fürs Home Office datenschutzkonform?
Da uns aus aktuellem Anlass unzählige Fragen zur Gestaltung des Home Office erreichen, hier ein kurzer Ausflug in die Welt der Online-Meeting-Tools, ohne auch nur im geringsten eine Empfehlung aussprechen zu wollen. Es gibt einige Tools, die man bei entsprechener Konfiguration und Beachtung einiger Punkte durchaus datenschutzkonform nutzen kann – auch wenn im Netz gerade gegenteilige Informationen gestreut werden. Bekannte Tools sind zoom, Microsoft Teams, GoToMeeting, Cisco Webex und Nextcloud Talk. Daneben gibt es natürlich auch noch Produkte deutscher Anbieter wie Swyx – und vermutlich ließe sich diese Liste nachgerade endlos fortsetzen. Eine pauschale Empfehlung für ein Produkt wollen wir
Corona und der Datenschutz
Die Verbreitung des Corona-Virus nimmt an Fahrt auf und geht einher mit zahlreichen Auswirkungen auf das Geschäft: Absage von Meetings, keine Begrüßung per Handschlag … und was hat all das nun mit Datenschutz zu tun? Nun, viele Firmen weisen ihre Beschäftigten soweit möglich an, im Home-Office zu arbeiten. Soweit so gut, doch wenn die Beschäftigten zuhause personenbezogene Daten verarbeiten, müssen auch dort die technisch-organisatorischen Maßnahmen der Datensicherheit gewahrt werden … gar nicht so einfach. Und dann gibt es ja auch Unternehmen, die von ihren Kunden oder Lieferanten verlangen, Corona-Verdachtsfälle gemeldet zu bekommen, um diese am Betriebsgelände abweisen zu können. Oder
Zeitgesteuerte Passwortwechsel
Eine Weile war es ruhig, doch kürzlich verabschiedete das BSI (Bundesamt für Sicherheit in der Informationstechnik) die neue Ausgabe des BSI-Grundschutz-Kompendiums. So weit so gut. Doch warum ist das einer Erwähnung wert? Weil das BSI in besagtem Kompendium eine 180-Grad-Kehrtwende zu Passwortwechseln vollzieht: Statt einen Wechsel nach Ablauf einer Zeit X zu empfehlen heißt es nun, dass Passwörter nur noch geändert werden sollen, wenn es dazu einen validen Grund gebe. Das ist im Leben eines Passworts genau in zwei Situationen der Fall: Initialpasswort und kompromittiertes Passwort. Und warum machen wir da jetzt so eine Welle? Weil die technisch-organisatorischen Maßnahmen Ihres
Vorläufiger Tod der ePrivacy-Verordnung
Von manchen heiß ersehnt, von anderen sehr gefürchtet: die ePrivacy-Verordnung – eine Verordnung, die die DSGVO (schon seit geraumer Weile) ergänzen sollte. Nun ist ihr vorläufiger Tod beschlossene Sache: Thierry Breton, das zuständige Mitglied der EU-Kommission, teilte diese Woche mit, dass die EU-Kommission unter der anstehenden kroatischen EU-Präsidentschaft einen überarbeiteten Vorschlag zum „Schutz der Privatsphäre im Internet“ vorzulegen plant. Auf konkrete Regeln zur ein oder anderen drängenden Frage werden wir also weiterhin warten müssen.
Datenschutz im Unternehmen
Die Bestellpflicht für einen Datenschutzbeauftragten in Deutschland wird sehr wahrscheinlich gelockert. Grund für Unternehmen, zu jubeln? Keinesfalls, denn die datenschutzrechtlichen Anforderungen werden nicht gelockert. Die gesetzlichen Voraussetzungen sind unverändert und damit auch die Pflicht jedes Unternehmens, diese zu erfüllen. Man muss nur niemanden mehr benennen, der sich mit Datenschutz auskennt, einem Querschnittsthema, das eine Menge Fachkunde voraussetzt – wie Steuern und wer macht die schon selbst? Warum sich also nicht auch beim Datenschutz helfen lassen, auch wenn man weniger als 20 Beschäftigte hat? Wer seine Pflichten nicht erfüllt, könnte schnell in die Röhre schauen: Denn die Aufsichtsbehörden gehen nach dem
Lassen sich die Auskunftsrechte durch die DSGVO missbrauchen?
Die DSGVO räumt Betroffenen umfangreiche Auskunftsrechte ein – die würde doch nie jemand missbrauchen, oder? Oh doch: Auf einer Hacker-Konferenz in Las Vegas warnte ein Doktorand der Universität in Oxford vor der Verwundbarkeit eines Unternehmens durch die Auskunftsrechte der DSGVO. Er hatte 150 Anfragen verschickt und bekam von Passwörtern bis zur Sozialversicherungsnummer so ziemlich alle Daten seiner Verlobten. Das gelang, weil Unternehmen binnen einem Monat antworten müssen, um keine Geldbuße zu riskieren. Das Problem ist den Aufsichtsbehörden bekannt: Das Unternehmen hat die Wahl zwischen Pest und Cholera – Anfrage schnell beantworten, aber aufpassen, dass die Daten nicht an die falsche
Erneut steht Facebook in der Datenschutz Kritik
Ein neues Urteil des Europäischen Gerichtshofes (EuGH) lässt aufhorchen: Die heimliche Sammlung von Daten über Facebooks Like-Button ist nicht in Ordnung. Im verhandelten Fall ging es um den Onlineshop von Peek & Cloppenburg, wo der Like-Button eingebunden war und lustig u. a. IP-Adresse und gegebenenfalls die Facebook-ID des Nutzers an Facebook übermittelte – und das sogar, der Besucher der P&C-Seite nicht mal ein Facebook-Konto hat. Das geht künftig nicht mehr: Website-Betreiber müssen die Nutzer informieren, welche Daten durch die Einbindung des Like-Buttons übermittelt werden. Ob dafür eine Einwilligung nötig ist, könnte eine Einzelfallentscheidung werden. Facebook kündigte an, das Urteil zu prüfen.
Erstes neunstelliges DSGVO-Bußgeld in Großbritannien
Großbritannien schreibt in mehrfacher Hinsicht Geschichte, denn dort wird mit dem in Großbritannien erstmals verhängten DSGVO-Bußgeld gleich auch das erste Bußgeld verhängt, dessen Betrag 9 Stellen aufweist. Ja, 9 Stellen … denn es geht um umgerechnet knapp 205 Millionen Euro. Zahlen soll das Bußgeld British Airways (BA). Und warum? Weil die Fluggesellschaft im Sommer 2018 eine Datenpanne bei den Online-Buchungen von Flugtickets hatte. Betroffen waren laut britischer Datenschutzbehörde ICO etwa 500000 Kunden, die teilweise bei der Buchung auf eine Betrugswebsite umgeleitet wurden. Dort wurden Login-, Kreditkarten-, Reise- und Adressdaten abgegriffen. Zwar hatte BA schnell reagiert und Betrugsaktivitäten seien nicht festgestellt
Gläserne Passagiere bei Flugreisen
Ich fliege gern und nicht selten nach Irland, Norwegen, Island, nördliche Länder halt. Und Sie? Spanien, Marokko, Ägypten – da ist es wärmer, es gibt tolle Pauschalangebote und das Essen … ein Gaumenschmaus. Na, vielleicht vergeht Ihnen die Lust ja bald, denn seit ca. einem Jahr sammelt das BKA alle Daten zu Flugbuchungen in und aus Deutschland. Ein Zusammenhang zu einer Straftat ist nicht nötig. Und was sammeln die da so? Neben den „üblichen Verdächtigen“ wie Namen, Reiserouten sind das auch Sitzplatzwahl und Angaben zum Gepäck – und das Ganze für 5 Jahre, also deutlich länger als bei der Vorratsdatenspeicherung.
Datenschutz – ein Wettbewerbsvorteil?!
1978 erschien ein Roman von Johannes Mario Simmel mit dem Titel „Hurra wir leben noch“ – und heute können wir den Titel bemühen: Ein Jahr Datenschutzgrundverordnung (DSGVO) und wir leben noch. Die Behörden sind nicht über Metzgereien und Bäckereien hergefallen und verlangten den Datenschutzbeauftragten zu sprechen. Doch war die DSGVO auch der oft gerühmte große Wurf? Die EU-Justizkommissarin Věra Jourová ist für das Gesetz zuständig und schwankt: Sie höre die Beschwerden kleinerer Unternehmen, sieht aber auch die Chancen: Nicht zuletzt durch den „Cambridge Analytica“-Skandal machten sich mehr Menschen Gedanken darüber, was mit ihren Daten geschieht. Und schwupp, wird Datenschutz zum
