Eine Datenschutzschulung mit aktuellem Inhalt zu versehen ist oft einfacher als gedacht!
Hier ein sehr gutes Beispiel dafür aus "Datenschutz Praxis":
https://www.datenschutz-praxis.de/fachartikel/corona-listen-als-datenschutz-beispiel/
Eine Datenschutzschulung mit aktuellem Inhalt zu versehen ist oft einfacher als gedacht!
Hier ein sehr gutes Beispiel dafür aus "Datenschutz Praxis":
https://www.datenschutz-praxis.de/fachartikel/corona-listen-als-datenschutz-beispiel/
Diesen sehr aufschlussreichen Artikel vom Autor Dr. Kevin Marschall der Geschäftsführer der GDPC GbR, einer auf Datenschutz spezialisierten Unternehmensberatung mit Sitz in Kassel, können Sie über den folgenden Link bei WEKA lesen:
https://www.weka.de/datenschutz/datenerhebung-von-gaesten-kunden-das-ist-zu-beachten/
Ein EU-Urteil zum Datentransfer in die USA sorgt für Unruhe in der deutschen Wirtschaft. Ziehen betroffene Firmen nicht die richtigen Konsequenzen, drohen harte Strafen.
Führende Vertreter der Digitalwirtschaft in Deutschland haben sich besorgt darüber gezeigt, dass im Fall der gekippten EU-US-Datenschutzvereinbarung „Privacy Shield“ deutschen Unternehmen Bußgelder drohen können.
„Das Quasi-Verbot vieler Datenübermittlungen wirkt sich auf zahlreiche etablierte Geschäftsmodelle aus und verkennt die Realität einer globalen Datenwirtschaft“, sagte Susanne Dehmel, Mitglied der Geschäftsleitung des IT-Verbands Bitkom, dem Handelsblatt. „Die betroffenen Unternehmen können nicht von heute auf morgen ihre Prozesse umstellen, gleichzeitig drohen Strafen von Aufsichtsbehörden – all das führt zu großer Verunsicherung.“
Auch der Verband der Internetwirtschaft Eco zeigte sich alarmiert. Für alle Unternehmen, die auf den freien Verkehr und Austausch personenbezogener Daten angewiesen seien, berge das Urteil des Europäischen Gerichtshofs (EuGH) von Mitte Juli, mit dem das „Privacy Shield“ für nichtig erklärt worden war, „enorme Risiken“, sagte Eco-Geschäftsführer Alexander Rabe dem Handelsblatt.
In dem EU-US-Abkommen wurde geregelt, dass Unternehmen personenbezogene Daten unter bestimmten Schutzvorkehrungen von EU-Ländern in die USA übermitteln dürfen. Daten werden häufig in den USA gespeichert – selbst wenn es sich um Firmen aus Europa handelt. Diese greifen oft auf Cloud-Dienste in den USA wie Amazon AWS, Microsoft Azure oder Google Cloud zurück.
Die Luxemburger Richter begründeten ihr Urteil vor allem damit, dass Überwachungsbefugnisse der US-Behörden zu umfangreich seien. Aus ähnlichen Gründen hatte der EuGH 2015 bereits die Vorgängerregelung „Safe Harbor“ gekippt.
Der baden-württembergische Datenschutzbeauftragte Stefan Brink hält nach dem neuen EuGH-Urteil Bußgelder gegen deutsche Unternehmen für möglich. Die Aufsichtsbehörden versuchten derzeit, einen Ausweg aus einer „nahezu unlösbaren Situation“ zu finden, sagte Brink dem Handelsblatt. Andernfalls müsse jedes deutsche Unternehmen geprüft und mit Bußgeld belegt werden, wenn es seine Infrastruktur auf US-Datenverarbeiter aufgebaut habe.
Eco-Geschäftsführer Rabe sieht dringenden Handlungsbedarf. „Die EU muss deshalb möglichst rasch praktikable und nachhaltig verlässliche Lösungen für den Datentransfer in die USA präsentieren und so für Unternehmen wieder Rechtssicherheit schaffen“, sagte er. Dies sei im Interesse der gesamten Wirtschaft in Deutschland und Europa.
Bitkom-Expertin Dehmel appellierte ebenfalls an die EU, „schnell für Rechtssicherheit zu sorgen und eine Datenverarbeitung in Drittländern wie den USA langfristig zu ermöglichen“. Von den Aufsichtsbehörden verlangte sie, die betroffenen Unternehmen jetzt zu beraten und praktische Hinweise zu geben.
Das EuGH-Urteil hat laut Dehmel für europäische Unternehmen mit einer Datenverarbeitung in den USA „massive“ Auswirkungen. „Wer bislang allein auf Basis des Privacy Shield Daten verarbeitet hat, muss zumindest auf die Standardvertragsklauseln umstellen“, erläuterte sie. „Aber auch das bietet nicht für alle Prozesse ausreichend Rechtssicherheit“, fügte Dehmel hinzu. „Pauschale Lösungen sind bisher kaum in Sicht.“
Die EU-Kommission hatte indes betont, dass der Datenfluss zwischen Europa und den USA nach dem EuGH-Urteil nicht grundsätzlich unmöglich sei – denn es gebe noch die sogenannten Standardvertragsklauseln für den Datentransfer zwischen EU-Ländern und Drittstaaten.
Der Datenschützer Brink wendet indes ein, dass die „Standard-Datenschutz-Klauseln“ laut EuGH alleine „keine hinreichende Grundlage sein könnten, sondern durch zusätzliche Garantien unterstützt werden müssten“. Das heißt: Es müsse sichergestellt sein, dass US-Behörden nicht im Rahmen ihrer gesetzlichen Befugnisse auf Daten von Europäern bei US-Unternehmen zugreifen.
Brink hält eine solche vertragliche Zusicherung für kaum vorstellbar. „Seit wann kann ein Unternehmen seinem Kunden den Bruch geltenden Rechts seines Landes vertraglich zusichern?“, fragte er. „Mehr als ein Feigenblatt sind auch die Standardverträge also nicht mehr.“
Somit wären nach den Regeln der EU-Datenschutz-Grundverordnung DSGVO nur noch Einzelfall-Transfers auf Einwilligungsbasis oder zur Erfüllung von Einzelverträgen möglich, wie Brink erklärt, also keine regelmäßige Kooperation mit US-Anbietern mehr.
Autor: Dietmar Neuerer, Handelsblatt
Angreifer können Medienberichten zufolge sensible Daten auf Tausenden Servern in Deutschland ausspionieren. Der Grund: Die Server seien fehlerhaft eingerichtet.
Tausende Server in Deutschland sind so fehlerhaft eingerichtet, dass Angreifer darauf sensible Daten ausspionieren können. Das berichten die Wochenzeitung „Die Zeit“ sowie das Computermagazin „c't“ in ihren aktuellen Ausgaben. „Angreifer haben ein leichtes Spiel und können neben Code auch Zugangs- und Nutzerdaten abgreifen“, schreibt die „c't“.
Der Flensburger IT-Sicherheits-Unternehmer Matthias Nehls hatte zuvor rund 41.000 Systeme ermittelt, die fehlerhaft konfiguriert sind. Damit könne man ohne großen Aufwand Codearchive von Programmen auslesen lassen, in denen zum Beispiel Zugangsdaten zu Datenbanken mit sensiblen Daten von Kunden gespeichert sein können. Dabei handelt es sich im so genannte Repositories des Versionskontrollsystems Git.
Wie Recherchen der „Zeit“, der „c't“ und des NDR zeigen, waren von der Schwachstelle auch Server von Dax-Konzernen oder Hochschulen betroffen. Zudem fanden sich unter den betroffenen Systemen auch Server von Mittelständlern, Arztpraxen, Online-Shops und Stadtwerken - und das, obwohl die Problematik seit Jahren bekannt ist.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) zeigt sich davon nicht überrascht. „Viele kleine und mittelgroße Organisationen machen sich um ihre IT-Sicherheit keinen Kopf, da muss es erstmal knallen, bevor sie die richtigen Schutzmaßnahmen einleiten“, teilte Deutschlands Cybersicherheitsbehörde der „Zeit“ mit.
Wer für jedes Online-Konto ein eigenes Passwort verwendet, kann sich die vielen verschiedenen Kombinationen kaum merken. Passwortmanager helfen dabei, den Überblick zu bewahren. Stiftung Warentest prüft 14 Lösungen und findet auch einen kostenlosen Helfer gut.
Für die Sicherheit ist es wichtig, für jeden Internet-Zugang ein eigenes Passwort zu verwenden. Doch viele Nutzer tippen immer wieder die gleiche Kombination ein, weil sie den Aufwand scheuen oder befürchten, sich nicht alle Passwörter merken zu können. Das ist aber gar nicht nötig, wenn man einen Passwortmanager nutzt. Er verwahrt alle Kombinationen verschlüsselt in einem virtuellen Tresor und Nutzer müssen sich lediglich das Sesam-öffne-dich für die Software merken. Stiftung Warentest hat sich 14 Lösungen angesehen.
Drei Passwortmanager erhielten die Note "gut", sechsmal gab es ein "befriedigend" und zweimal das Urteil "ausreichend", berichtet die Stiftung in ihrer Zeitschrift "test" (Ausgabe 2/2020). Drei Browser-basierte Lösungen liefen außerhalb der Bewertung.
Den Testsieger Keeper Security (rund 30 Euro pro Jahr) und das zweitplatzierte 1Password (circa 38 Euro pro Jahr) gibt es auch kostenlos, dann allerdings mit eingeschränkten Funktionen. Ärgerlich fanden die Prüfer bei den Testsiegern, dass ihre Datenschutzerklärungen und AGB sehr deutliche Mängel aufweisen. Das führte zu Abwertungen.
Auf dem dritten Platz landete die kostenlose und datensparsame Open-Source-Software KeePass. Ihre Nutzung setzt allerdings etwas Technikwissen voraus. Unter anderem müssen Nutzer die Synchronisation über einen Cloud-Dienst selbst einrichten. Die Software gibt es zwar offiziell nur für Windows, unter keepass.info/download.html findet man aber Drittanbieter-Varianten für andere Betriebssysteme, die ebenfalls Open Source und damit vertrauenswürdig sind.
Am einfachsten zu handhaben ist nach Einschätzung der Warentester Dashlane (40 Euro pro Jahr). Auch das kostenlose Bitwarden erhielt eine Empfehlung. Beide Programme wurden mit "befriedigend" beurteilt.
Der Vorteil eines soliden Passwortmanagers liegt auf der Hand: Er hilft beim Erstellen, Speichern und Verwalten komplexer und guter Passwörter. Bei immer mehr Online-Konten kann man sich schließlich kaum jedes einzelne Passwort merken. Über die Zwischenablage oder Browser-Erweiterungen werden die Anmeldedaten auf Wunsch auch beim jeweiligen Dienst eingegeben.
Die Passwortmanager bringen also mehr Sicherheit und weniger Stress - aber auch ein Risiko. Vergisst man sein Master-Passwort, mit dem die gesammelten Passwörter gesichert sind, ist guter Rat teuer. Da Hacker gewöhnlich nicht in Wohnungen einbrechen, ist es durchaus eine gute Idee, das Master-Passwort aufzuschreiben und an einem sicheren Ort aufzubewahren.
Wichtig ist, dass die Kombination für den Passwortmanager selbst nicht zu einfach zu erraten ist. Einige Testkandidaten erlauben Kennwörter mit weniger als fünf Zeichen. Das hat unter anderem KeePass den Testsieg gekostet, da Warentest solche Manager abwertete.
Die Tester untersuchten neben den Softwarepaketen auch die Passwortlösungen der Browser Firefox, Safari und Chrome. Alle drei bieten die Speicherung und Verwaltung von Zugangsdaten an.
Apples Safari nutzt dafür zum Beispiel den iCloud-Schlüsselbund und kann damit auf allen Geräten mit aktivem Nutzerkonto Zugangsdaten bereitstellen. Chrome verwendet das Google-Konto. Firefox nutzt den Firefox Account mit dem Synchronisierungsdienst Sync oder das Programm Lockwise.
Nach Ansicht der Tester erfüllen die Passwortmanager im Browser zwar ihren Zweck, sie haben aber einen Nachteil: Will man nicht dauernd zwischen den Browsern wechseln, muss man sich mehr oder weniger für alle Online-Tätigkeiten an einen Browser binden. Eine Note erhielten die Browser-Lösungen nicht. Die Passwortfunktionen ließen sich dafür nicht sauber genug vom Rest des Browsers trennen, so die Warentester.
Quelle: ntv.de, kwe/dpa
Wer Windows 10 nutzt, sollte sich unbedingt auch die Datenschutzeinstellungen des Betriebssystems anschauen. Vieles ist Geschmackssache, doch einige Anpassungen sind auf jeden Fall sinnvoll.
Windows 10 hat in Sachen Datenschutz einen fragwürdigen Ruf. Es gibt zwar spezielle Tools, um der Datensammelei von Microsoft beizukommen. Die simpelste Maßnahme ist aber, die entscheidenden Schalter direkt in den Windows-Einstellungen zu betätigen. Weil die Optionen verstreut sind, erklären wir hier einzelne Einstellungen für die Windows-10-Version 1903 und 1909.
Die ersten Maßnahmen führen in die Einstellungs-App von Windows 10, und dort ins Menü "Datenschutz". Die Einstellungen öffnen Sie per Klick auf das Zahnrädchen unten links im Startmenü. Im Prinzip können Sie hier alle Optionen in allen Untermenüs abschalten oder auf die niedrigste Einstellung reduzieren. Allerdings sind nur einige davon essenziell, denn nicht alle beziehen sich auf Datensammelei durch Microsoft.
Wichtig sind die Schalter in den Untermenüs "Allgemein" und "Spracherkennung": Hier können Sie abschalten, dass Ihre Aktivitäten im System von Windows analysiert und mit einer eindeutigen ID verknüpft werden, um Ihnen personalisierte Werbung anzeigen zu können.
Im Untermenü "Diagnose und Feedback" stellen Sie die Diagnosedaten auf "Standard". Sonst können bei Stabilitäts- oder Leistungsproblemen auch persönliche Daten an Microsoft gehen, etwa Dokumente, die beim Absturz geöffnet waren, oder deren Bearbeitung das System arg ausbremst. Zwar fließen auch auf der "Standard"-Einstellung noch Telemetriedaten nach Redmond, doch betreffen diese primär Infos zu Ihrem System und Programmen, und nicht zu Ihrer Person.
Deaktivieren Sie ebenfalls die Schalter vor "Freihand und Eingabe verbessern" und "Individuelle Benutzererfahrung" - sie beeinflussen die Übermittlung von Nutzungsgewohnheiten und Tastatureingaben. Setzen Sie außerdem die Feedbackhäufigkeit auf "Nie".
Im Untermenü "Aktivitätsverlauf" schauen Sie zudem, ob ein Häkchen vor "Meinen Aktivitätsverlauf an Microsoft senden" gesetzt ist - und ob Sie dieses dort gesetzt haben wollen. Dabei geht es um eine Komfortfunktion, die nur im Zusammenspiel mit einer Anmeldung an Windows per Microsoft-Konto funktioniert. Ist sie an, steht per Windows-Taste+Tab ein Aktivitätsverlauf zur Verfügung, der anzeigt, wann Sie was in welcher App getan haben, und zwar auf allen Geräten, die Sie mit demselben Microsoft-Konto nutzen. Dabei landen die Verlaufsdaten allerdings auch bei Microsoft.
Im selben Untermenü finden Sie auch die Option "Meinen Aktivitätsverlauf auf diesem Gerät speichern". Sie ist nicht entscheidend für den Datenschutz gegenüber Microsoft, denn hier geht es lediglich um einen lokalen Verlauf. Ähnliches gilt für das Untermenü "Freihand- und Eingabeanpassung": Ist die Funktion "Mich kennenlernen" an, ergänzt Windows das werksseitig mitgelieferte lokale Wörterbuch um individuelle Eingabedaten, die es aus Ihren Tastatur- und Stifteingaben zusammenstellt. Ob Sie das abschalten, sollten Sie dennoch genau abwägen, denn auch lokale Verlaufsdaten können problematisch sein, etwa wenn Sie bei der Arbeit von fremden Augen beobachtet werden.
Für die Untermenüs im Bereich "App-Berechtigungen" gilt: Schalten Sie es einfach alles ab - sollte eine App doch einmal Zugriff auf eine verweigerte Funktion brauchen, wird sie Sie darauf aufmerksam machen. Bedenken Sie, dass es hier um Store-Apps ("Kachel-Apps") geht; auf klassische Desktop-Programme haben die meisten Einstellungen keine Auswirkung.
Bei den meisten App-Berechtigungen können Sie auch auswählen, wie weitgehend Sie den Zugriff entziehen möchten: systemweit oder nur für Ihr angemeldetes Benutzerkonto. Zudem können Sie die Rechte auch gezielt für einzelne Apps steuern - praktisch, um etwa ausschließlich Skype den Kamera- und Mikrofonzugriff zu erlauben.
Im Untermenü "Hintergrund-Apps" steuern Sie, ob geschlossene Apps Daten übertragen dürfen. Deaktivieren Sie das, empfangen Apps wie Skype und Mail keine Nachrichten mehr, wenn sie zu sind. Datenschutzrelevant ist das allenfalls in ungesicherten WLANs; ansonsten dürfte es einen kleinen positiven Einfluss auf die Akkulaufzeit von Laptops haben.
Tipps und Werbung
Bei anderen Optionen geht es nicht direkt um Datenschutz, sondern um lose gestreute Tipps zu Windows 10, aber auch um Werbung. Um sie loszuwerden, deaktivieren Sie in den Einstellungen unter "System/Benachrichtigungen und Aktionen" die Optionen "Windows-Willkommensseite anzeigen" und "bei der Nutzung von Windows Tipps erhalten". Unter "System/Multitasking" schalten Sie "Vorschläge in der Zeitachse anzeigen" ab, sowie unter "System/Zwischenablage" den Zwischenablageverlauf (falls er überhaupt eingeschaltet ist). In "Personalisierung/Start" deaktivieren Sie den Schalter "gelegentlich Vorschläge im Startmenü anzeigen".
Unter "Personalisierung/Sperrbildschirm" können Sie zudem den Hintergrund auf etwas anderes als "Windows-Blickpunkt" umstellen. Diese Funktion versieht den Sperrbildschirm täglich mit schicken Hintergrundbildern, die hin und wieder Werbe-Links zu bestimmten Microsoft-Store-Aktionen mitbringen - ob Sie das abschalten, ist Geschmackssache.
Lokales Benutzerkonto
Sich mit einem Microsoft-Konto an Windows anzumelden, kann Vorteile haben. Die Nutzung über mehrere Geräte hinweg wird komfortabler, weil sich etwa Hintergründe, Ordneroptionen, der Inhalt der Zwischenablage und der Verlauf Ihrer App-Aktivitäten auf alle Geräte synchronisieren lassen. Aus Datenschutzsicht ist es aber bedenklich - die einfachste Methode, das abzustellen, ist ein Wechsel zum lokalen Benutzerkonto.
Sofern Sie nicht ohnehin schon mit einem solchen unterwegs sind, können Sie die Anmeldung ganz einfach umstellen. Öffnen Sie in den Einstellungen das Menü "Konten". Klicken Sie im Untermenü "Ihre Infos" auf "Stattdessen mit einem lokalen Konto anmelden". Dann bestätigen Sie Ihre Identität per Pin oder Kennwort und vergeben Benutzername, Kennwort und Kennworthinweis für den Betrieb als lokales Konto. Wenn Sie den Komfort doch vermissen, können Sie auf gleichem Wege jederzeit wieder auf den Login per Microsoft-Konto umstellen.
Apps, die ein Microsoft-Konto brauchen, können Sie weiterhin verwenden. Der Account bleibt im System hinterlegt. Das bedeutet auch, dass Sie aus Apps wie OneDrive nicht automatisch abgemeldet werden - erledigen Sie das daher im Zweifelsfall nachträglich von Hand.
Wenn Sie sich an Windows nie mit einem Microsoft-Konto angemeldet haben, aber Apps verwenden möchten, die eines voraussetzen, müssen Sie die Windows-Anmeldung nicht umstellen. Tipps dazu lesen Sie in unserer FAQ zum Microsoft-Konto.
Profi-Tipp: Websuche abschalten
Eine Unart, die Sie Windows 10 nur per Registry-Eingriff abgewöhnen können, ist die Websuche im Startmenü: Drücken Sie die Windows-Taste und tippen drauflos, landen Ihre Eingaben bei Microsofts Suchdienst Bing, um Web-Ergebnisse anzeigen zu können.
Um das zu ändern, starten Sie den Registry-Editor (Windows-Taste, regedit, Eingabetaste) und klicken Sie sich zum Schlüssel "HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Search" durch. Klicken Sie mit der rechten Maustaste in einen leeren Bereich der rechten Fensterhälfte und wählen Sie "Neu/DWORD-Wert (32-Bit)". Nennen Sie den Eintrag "BingSearchEnabled"; der Wert muss auf Null stehen bleiben. Doppelklicken Sie dann den Eintrag "CortanaConsent" und geben Sie ihm den Wert 0. Nach einem Neustart sollte das Startmenü beim Suchen keine Web-Ergebnisse zeigen und das Cortana-Menü sollte aus den Einstellungen verschwunden sein.
Wer es einfacher haben möchte: Wir von der "c't" haben beide Registry-Schlüssel in eine REG-Datei verpackt, die Sie hier herunterladen können. Allgemein gilt: Bei Änderungen in der Registry sollten Sie sehr vorsichtig sein. Unbedachte Anpassungen hier könnten weitreichende Folgen für Ihr System haben.
Autor: Jan Schüßler (Spiegel)
Datenpannen durch Fehlversendungen
Eine Mail mit personenbezogenen Daten geht per cc versehentlich an Adressaten, die sie gar nicht erhalten sollten. Personalunterlagen werden per Post an den falschen Herrn Meier geschickt. Alles nicht so schlimm? Eine kurze freundliche Entschuldigung, und alles ist wieder gut? So einfach ist es leider nicht!
Pflicht, Datenpannen zu melden
Die Datenschutz-Grundverordnung (DSGVO) enthält eine Verpflichtung, Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde für den Datenschutz zu melden. Dies muss im Normalfall binnen 72 Stunden geschehen.
Eine Ausnahme hiervon gilt nur dann, wenn voraussichtlich nicht mit Risiken für die betroffenen Personen zu rechnen ist. So regelt es Art. 33 Abs. 1 DSGVO.
Jedes Unternehmen muss sich so organisieren, dass es Datenpannen tatsächlich bemerkt. Anders gesagt: Es muss seine Mitarbeiterinnen und Mitarbeiter dazu verpflichten, Datenpannen auch zu melden.
Vorbeugende Maßnahmen
Noch besser ist es natürlich, wenn solche Pannen erst gar nicht vorkommen. Die häufigste Art von Pannen sind Fehlversendungen. Das zeigen die Statistiken der Aufsichtsbehörden. Sie betreffen sowohl klassische Briefsendungen als auch Mails. Die Gründe sind jeweils unterschiedlich.
Pannen bei Briefsendungen
Bei Briefsendungen ist es schlicht so, dass vor allem jüngeren Mitarbeiterinnen und Mitarbeitern die Übung im Umgang mit Briefen fehlt. Privat schreiben sie kaum welche. Und im Unternehmen sind Briefe tendenziell ebenfalls seltener geworden.
Der Klassiker in diesem Bereich: Es müssen Unterlagen an eine größere Zahl von Adressaten verschickt werden. Auf den Unterlagen steht jeweils die Anschrift des Adressaten, und zwar fehlerfrei. Die Umschläge werden getrennt davon mit der jeweiligen Anschrift versehen. Beim Zusammenführen von Umschlägen und Unterlagen passieren dann die Fehler. Die Unterlagen kommen jeweils in den falschen Umschlag. Das geschieht besonders oft, wenn Praktikanten oder andere wenig geübte Personen damit beauftragt werden.
Schnell stellt sich dann heraus, dass auch solche scheinbar einfachen Arbeiten eben doch nicht „jeder kann“.
Fensterumschläge als Lösung?
Manche Aufsichtsbehörden empfehlen inzwischen, in solchen Fällen Fensterumschläge zu verwenden. Dann ist es nicht mehr nötig, die Umschläge gesondert zu beschriften. Vielmehr wird die entsprechende Unterlage so in den Umschlag hineingesteckt, dass die Anschrift im Brieffenster erscheint. Das ist an sich keine schlechte Idee. Freilich kann dabei ein anderes Problem auftauchen. Immer wieder beginnt nämlich der Text auf einer Unterlage so nah an der Anschrift, dass Teile des Textes im Brieffenster zu sehen sind. Auch wenn es sich banal anhört, ist hier also genaues Falten des Papiers gefragt. Das verlangt ebenfalls Übung.
Vier-Augen-Prinzip
Eine andere Möglichkeit wäre, nach dem Vier-Augen-Prinzip vorzugehen. Das bedeutet allerdings, dass jeder Brief von zwei Mitarbeitern in die Hand genommen werden muss. Dieser Aufwand ist oft schlicht zu groß.
Pannen bei E-Mails
Klassische Datenpannen beim Versand von E-Mails ist die versehentliche Nutzung der cc-Funktion anstelle der bcc-Funktion, um ein und dieselbe Mail an eine größere Zahl Adressaten zu schicken. Sie wissen nicht, was der Unterschied ist? Dann sollten Sie offen gesagt die Finger davon lassen, mit diesen Funktionen zu arbeiten.
Nur kurz zur Erinnerung: Bei der bcc-Funktion sieht ein Adressat die Mailadressen der anderen Adressaten nicht, bei der cc-Funktion dagegen schon. Auf diese Weise ist dann schnell einmal eine komplette Kundenliste offengelegt. Dadurch kann dann ein Problem entstehen, das weit über den Datenschutz hinausreicht.
Die Funktion „an alle“
Eine ausgesprochen tückische Funktion ist auch die Funktion „an alle“. Mit „alle“ sind dabei dann beispielsweise sämtliche Mitarbeiter eines Unternehmens gemeint, die ein Mailsystem benutzen. Das können Tausende von Mailadressen sein.
Viele Unternehmen behalten die Nutzung dieser Funktion deshalb bestimmten Personen oder Funktionseinheiten vor (beispielsweise der Pforte, wenn sie etwa in einem Notfall eine Warnung verschicken muss, und der Firmenleitung, wenn es zum Beispiel um Weihnachtsgrüße an alle geht). Solche Beschränkungen sind weder Schikane noch Misstrauen. Sie verhindern im Gegenteil Pannen größerer Art.
Wegducken hilft nicht!
In jedem Fall gilt: Sollte es zu einer Versendungspanne kommen, muss dies sofort dem Vorgesetzten gemeldet werden. Denn nur so kann das Unternehmen seine Meldepflicht gegenüber der Datenschutzaufsicht erfüllen.
Die Gerichtsentscheidungen sowie das Positionspapier der Datenschutzkonferenz vom 01.04.2019 zu den Facebook-Fanpages haben bei den betroffenen Wirtschaftsunternehmen zu einer erheblichen Verunsicherung geführt. Mehrfach wurde an die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) die Frage herangetragen, ob unternehmenseigene Facebook-Fanpages noch weiterbetrieben werden können oder diese sofort abzuschalten sind.
Den Ausgangspunkt der aktuellen Verunsicherung bildet eine EuGH-Entscheidung aus dem Jahr 2018 zu den Facebook-Fanpages (Urteil vom 05.06.2018 – C-210/16). In dieser Entscheidung hat der EuGH den Betreiber einer Facebook-Fanpage als mitverantwortlich für die Datenverarbeitung im Zusammenhang mit der Fanpage angesehen, obgleich dieser selbst keinerlei Zugriff auf die Datenverarbeitung hatte und die Ergebnisse der Verarbeitung nur in anonymisierter Form in Form von Besucherstatistiken erhielt. Der Fanpage-Betreiber konnte im Rahmen der Einrichtung der Fanpage lediglich beeinflussen, nach welchen Parametern die Statistiken erstellt werden, z.B. Alter, Geschlecht und geografische Daten (Facebook Insight). Facebook hat auf diese EuGH-Entscheidung reagiert, indem es seine Nutzungsbedingungen um eine Vereinbarung im Sinne von Art. 26 DS-GVO („Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“) ergänzt hat. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) vertritt allerdings die nicht im Detail begründete Auffassung, dass die von Facebook vorgelegte Vereinbarung den Vorgaben der DS-GVO nicht genügt. Die Aufsichtsbehörden weisen darüber hinaus auf die Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) der Fanpage-Betreiber hin. Ohne hinreichende Kenntnis über die Verarbeitungstätigkeiten, die der eigenen Verantwortung unterliegen, seien Verantwortliche nicht in der Lage, zu bewerten, ob diese Verarbeitungstätigkeiten rechtskonform durchgeführt werden. Bestünden Zweifel, gehe dies zulasten der Verantwortlichen, die es in der Hand hätten, solche Verarbeitungen zu unterlassen, so die Datenschutzkonferenz. Nach dieser Ansicht können Facebook-Fanpages derzeit nicht rechtskonform betrieben werden.
Die jüngste Entscheidung in Sachen Facebook-Fanpages erging am 11.09.2019 durch das Bundesverwaltungsgericht (BVerwG 6 C 15.18). Danach muss die Datenschutzaufsicht, wenn sie die bei Aufruf der Fanpage ablaufende personenbezogene Datenverarbeitung als rechtswidrig erachtet, nicht vorrangig gegen Facebook selbst vorgehen, sondern darf aus Effektivitätserwägungen das die Fanpage betreibende Unternehmen zur Deaktivierung der Fanpage verpflichten.
Ob die im Zusammenhang mit der Fanpage stattfindenden Datenverarbeitungsvorgänge rechtmäßig sind oder nicht, wurde weder vom EuGH noch vom BVerwG entschieden. Diese Frage ist also noch nicht verbindlich geklärt. Die Frage der Rechtmäßigkeit der Datenverarbeitung für das der EuGH- und BVerwG-Entscheidung zugrundeliegende Ausgangsverfahren zu klären, nämlich die Fanpage der Wirtschaftsakademie Schleswig-Holstein, wird nun Aufgabe des OVG Schleswig-Holstein sein. Maßstab des OVG Schleswig-Holstein ist hierbei allerdings nicht das aktuell geltende Datenschutzrecht sein, sondern die Vorgaben des im Zeitpunkt der letzten Behördenentscheidung gültigen Datenschutzrechts. Dies sind insbesondere die Regelungen des Telemediengesetzes.
Ob Facebook-Fanpages weiter betrieben werden, ist damit im Ergebnis auf Grundlage einer unternehmerischen Risikoabwägung zu entscheiden. Festgestellt werden kann jedenfalls, dass viele deutsche Unternehmen ihre Facebook-Fanpages nach wie vor betreiben. Dies gilt insbesondere für die großen Unternehmen. Es ist auch nicht bekannt, dass aktuell von Aufsichtsbehörden mittels Deaktivierungsverfügung gegen Fanpage Betreiber vorgegangen wird. Sofern Verantwortliche sich zum Fortbetreiben ihrer Facebook-Fanpage bzw. ihrer sonstigen Social Media Auftritte entscheiden, sollten sie die weitere Entwicklung der Thematik und insbesondere die Vollzugspraxis der Aufsichtsbehörden im Auge behalten.
Die Pressemitteilung des BVerwG finden Sie unter folgendem Link: https://www.bverwg.de/pm/2019/62
Autor: GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) 07.10.2019
Seite 8 von 10
Wir freuen uns über Ihre Kontaktaufnahme. Sie erreichen uns über das Kontaktformular oder unter der Telefonnummer 0163 - 70 53 684 sowie 040 - 69 70 26 50.