Blog

Online-Meeting-Tools fürs Home Office datenschutzkonform?

25. März 2020 / Sarah Weiß

Da uns aus aktuellem Anlass unzählige Fragen zur Gestaltung des Home Office erreichen, hier ein kurzer Ausflug in die Welt der Online-Meeting-Tools, ohne auch nur im geringsten eine Empfehlung aussprechen zu wollen. Es gibt einige Tools, die man bei entsprechener Konfiguration und Beachtung einiger Punkte durchaus datenschutzkonform nutzen kann – auch wenn im Netz gerade gegenteilige Informationen gestreut werden. Bekannte Tools sind zoom, Microsoft Teams, GoToMeeting, Cisco Webex und Nextcloud Talk. Daneben gibt es natürlich auch noch Produkte deutscher Anbieter wie Swyx – und vermutlich ließe sich diese Liste nachgerade endlos fortsetzen. Eine pauschale Empfehlung für ein Produkt wollen wir wie gesagt gar nicht aussprechen – da geht es um die eigene Umgebung, Gewohnheit und in mancher Hinsicht auch Geschmack … Was Sie aber bei all diesen Tools beachten sollten, sind eigentlich nur 2 Dinge zu regeln: Ein Auftragsverarbeitungsvertrag mit dem Anbieter muss her – sofern noch nicht geschehen. Die

Corona und der Datenschutz

13. März 2020 / Sarah Weiß

Die Verbreitung des Corona-Virus nimmt an Fahrt auf und geht einher mit zahlreichen Auswirkungen auf das Geschäft: Absage von Meetings, keine Begrüßung per Handschlag … und was hat all das nun mit Datenschutz zu tun? Nun, viele Firmen weisen ihre Beschäftigten soweit möglich an, im Home-Office zu arbeiten. Soweit so gut, doch wenn die Beschäftigten zuhause personenbezogene Daten verarbeiten, müssen auch dort die technisch-organisatorischen Maßnahmen der Datensicherheit gewahrt werden … gar nicht so einfach. Und dann gibt es ja auch Unternehmen, die von ihren Kunden oder Lieferanten verlangen, Corona-Verdachtsfälle gemeldet zu bekommen, um diese am Betriebsgelände abweisen zu können. Oder Unternehmen, die am Werkstor Fieber messen oder Fragebogen zu Symptomen verteilen. Darf man das denn überhaupt? Was menschlich und wirtschaftlich sinnvoll ist, könnte schnell zum Datenschutzeigentor werden …

Zeitgesteuerte Passwortwechsel

26. Februar 2020 / Sarah Weiß

Eine Weile war es ruhig, doch kürzlich verabschiedete das BSI (Bundesamt für Sicherheit in der Informationstechnik) die neue Ausgabe des BSI-Grundschutz-Kompendiums. So weit so gut. Doch warum ist das einer Erwähnung wert? Weil das BSI in besagtem Kompendium eine 180-Grad-Kehrtwende zu Passwortwechseln vollzieht: Statt einen Wechsel nach Ablauf einer Zeit X zu empfehlen heißt es nun, dass Passwörter nur noch geändert werden sollen, wenn es dazu einen validen Grund gebe. Das ist im Leben eines Passworts genau in zwei Situationen der Fall: Initialpasswort und kompromittiertes Passwort. Und warum machen wir da jetzt so eine Welle? Weil die technisch-organisatorischen Maßnahmen Ihres Unternehmens anzupassen sind, denn das BSI fordert auch, dass Maßnahmen ergriffen werden müssen, mit denen man ein kompromittiertes Passwort erkennt – ansonsten geht eine Baustelle auf …

Vorläufiger Tod der ePrivacy-Verordnung

4. Dezember 2019 / Sarah Weiß

Von manchen heiß ersehnt, von anderen sehr gefürchtet: die ePrivacy-Verordnung – eine Verordnung, die die DSGVO (schon seit geraumer Weile) ergänzen sollte. Nun ist ihr vorläufiger Tod beschlossene Sache: Thierry Breton, das zuständige Mitglied der EU-Kommission, teilte diese Woche mit, dass die EU-Kommission unter der anstehenden kroatischen EU-Präsidentschaft einen überarbeiteten Vorschlag zum „Schutz der Privatsphäre im Internet“ vorzulegen plant. Auf konkrete Regeln zur ein oder anderen drängenden Frage werden wir also weiterhin warten müssen.

Datenschutz im Unternehmen

22. August 2019 / Sarah Weiß

Die Bestellpflicht für einen Datenschutzbeauftragten in Deutschland wird sehr wahrscheinlich gelockert. Grund für Unternehmen, zu jubeln? Keinesfalls, denn die datenschutzrechtlichen Anforderungen werden nicht gelockert. Die gesetzlichen Voraussetzungen sind unverändert und damit auch die Pflicht jedes Unternehmens, diese zu erfüllen. Man muss nur niemanden mehr benennen, der sich mit Datenschutz auskennt, einem Querschnittsthema, das eine Menge Fachkunde voraussetzt – wie Steuern und wer macht die schon selbst? Warum sich also nicht auch beim Datenschutz helfen lassen, auch wenn man weniger als 20 Beschäftigte hat? Wer seine Pflichten nicht erfüllt, könnte schnell in die Röhre schauen: Denn die Aufsichtsbehörden gehen nach dem ersten Jahr mit verstärkter Beratung langsam wieder in den Kontrollmodus. Wer dann seine Hausaufgaben nicht gemacht hat, wird unerfreuliche Diskussionen führen. Doch worin bestehen denn nun die Hausaufgaben? Um zu zeigen, dass Datenschutz im Unternehmen gelebt wird, muss man mindestens drei Punkte auf dem Schirm haben: formale Dokumentation (Verzeichnis der

Lassen sich die Auskunftsrechte durch die DSGVO missbrauchen?

14. August 2019 / Sarah Weiß

Die DSGVO räumt Betroffenen umfangreiche Auskunftsrechte ein – die würde doch nie jemand missbrauchen, oder? Oh doch: Auf einer Hacker-Konferenz in Las Vegas warnte ein Doktorand der Universität in Oxford vor der Verwundbarkeit eines Unternehmens durch die Auskunftsrechte der DSGVO. Er hatte 150 Anfragen verschickt und bekam von Passwörtern bis zur Sozialversicherungsnummer so ziemlich alle Daten seiner Verlobten. Das gelang, weil Unternehmen binnen einem Monat antworten müssen, um keine Geldbuße zu riskieren. Das Problem ist den Aufsichtsbehörden bekannt: Das Unternehmen hat die Wahl zwischen Pest und Cholera – Anfrage schnell beantworten, aber aufpassen, dass die Daten nicht an die falsche Person gehen, um keine Datenpanne zu produzieren. Und das wäre der Fall, wenn man dem Falschen Antwort auf sein Auskunftsersuchen gäbe.

Erneut steht Facebook in der Datenschutz Kritik

31. Juli 2019 / Sarah Weiß

Ein neues Urteil des Europäischen Gerichtshofes (EuGH) lässt aufhorchen: Die heimliche Sammlung von Daten über Facebooks Like-Button ist nicht in Ordnung. Im verhandelten Fall ging es um den Onlineshop von Peek & Cloppenburg, wo der Like-Button eingebunden war und lustig u. a. IP-Adresse und gegebenenfalls die Facebook-ID des Nutzers an Facebook übermittelte – und das sogar, der Besucher der P&C-Seite nicht mal ein Facebook-Konto hat. Das geht künftig nicht mehr: Website-Betreiber müssen die Nutzer informieren, welche Daten durch die Einbindung des Like-Buttons übermittelt werden. Ob dafür eine Einwilligung nötig ist, könnte eine Einzelfallentscheidung werden. Facebook kündigte an, das Urteil zu prüfen. Einmal mehr bestätigt das Urteil aber, dass Gerichte mit Facebook kooperierende Unternehmen als gemeinsam mit Facebook verantwortlich ansehen.

Erstes neunstelliges DSGVO-Bußgeld in Großbritannien

8. Juli 2019 / Sarah Weiß

Großbritannien schreibt in mehrfacher Hinsicht Geschichte, denn dort wird mit dem in Großbritannien erstmals verhängten DSGVO-Bußgeld gleich auch das erste Bußgeld verhängt, dessen Betrag 9 Stellen aufweist. Ja, 9 Stellen … denn es geht um umgerechnet knapp 205 Millionen Euro. Zahlen soll das Bußgeld British Airways (BA). Und warum? Weil die Fluggesellschaft im Sommer 2018 eine Datenpanne bei den Online-Buchungen von Flugtickets hatte. Betroffen waren laut britischer Datenschutzbehörde ICO etwa 500000 Kunden, die teilweise bei der Buchung auf eine Betrugswebsite umgeleitet wurden. Dort wurden Login-, Kreditkarten-, Reise- und Adressdaten abgegriffen. Zwar hatte BA schnell reagiert und Betrugsaktivitäten seien nicht festgestellt worden, doch die Behörde kritisierte “schwache Sicherheitsvorkehrungen” der Airline. Bleibt abzuwarten, ob der vom Chef des Airline-Mutterkonzerns IAG angekündigte Widerspruch gegen die Entscheidung erfolgreich ist.

Gläserne Passagiere bei Flugreisen

17. Juni 2019 / Sarah Weiß

Ich fliege gern und nicht selten nach Irland, Norwegen, Island, nördliche Länder halt. Und Sie? Spanien, Marokko, Ägypten – da ist es wärmer, es gibt tolle Pauschalangebote und das Essen … ein Gaumenschmaus. Na, vielleicht vergeht Ihnen die Lust ja bald, denn seit ca. einem Jahr sammelt das BKA alle Daten zu Flugbuchungen in und aus Deutschland. Ein Zusammenhang zu einer Straftat ist nicht nötig. Und was sammeln die da so? Neben den „üblichen Verdächtigen“ wie Namen, Reiserouten sind das auch Sitzplatzwahl und Angaben zum Gepäck – und das Ganze für 5 Jahre, also deutlich länger als bei der Vorratsdatenspeicherung. Nötig? Eher nicht: Gesuchte Kriminelle zieht man bei der Passkontrolle raus, da genügt der Blick in die offenen Fahndungen. Und wenn es keine Passkontrolle gibt wie oft bei Flügen im Schengenraum? Nun, pfiffige Straftäter wählen eine unbekannte Identität. „Beifang“ in der Datenbank sind alle Reisenden: So füllt sich eine riesige

Datenschutz – ein Wettbewerbsvorteil?!

10. Juni 2019 / Sarah Weiß

1978 erschien ein Roman von Johannes Mario Simmel mit dem Titel „Hurra wir leben noch“ – und heute können wir den Titel bemühen: Ein Jahr Datenschutzgrundverordnung (DSGVO) und wir leben noch. Die Behörden sind nicht über Metzgereien und Bäckereien hergefallen und verlangten den Datenschutzbeauftragten zu sprechen. Doch war die DSGVO auch der oft gerühmte große Wurf? Die EU-Justizkommissarin Věra Jourová ist für das Gesetz zuständig und schwankt: Sie höre die Beschwerden kleinerer Unternehmen, sieht aber auch die Chancen: Nicht zuletzt durch den „Cambridge Analytica“-Skandal machten sich mehr Menschen Gedanken darüber, was mit ihren Daten geschieht. Und schwupp, wird Datenschutz zum Wettbewerbsvorteil. Manches große deutsche Unternehmen hat das schon vor geraumer Weile erkannt. Doch inzwischen denken eben auch viele kleinere Unternehmen VOR der Verarbeitung von Daten nach, wozu das überhaupt gut sein soll. Lautes Jammern wird also nicht helfen, denn inzwischen fühlt sogar Mark Zuckerberg sich von der DSGVO inspiriert und