Veröffentlicht am Schreib einen Kommentar

erst ein Viertel aller Unternehmen setzt DSGVO um – ein Rückblick

Vier Monate nach ihrem endgültigen Inkrafttreten ist klar: erst ein Viertel aller deutschen Firmen setzen die DSGVO wirklich um. Was sind die Ursachen für teilweise gravierende Widersprüche und die fehlende Umsetzung bei den angenommenen anderen drei Vierteln?

http://www.faz.net/aktuell/wirtschaft/diginomics/die-dsgvo-sorgt-bei-vielen-unternehmen-fuer-probleme-15809464.html

Laut FAZ gibt es große Unsicherheit. Frau Thiel, Datenschutzbeauftragte für Niedersachsen, wird folgendermaßen zitiert: “Wir als Aufsichtsbehörden müssen die Rechtsbegriffe erstmal praktisch handhabbar machen.” Die International Association of Privacy Professionals stellte hingegen schon vor gut 2 Jahren fest:

https://www.heise.de/ix/meldung/IAPP-Datenschutzgrundverordnung-schafft-weltweit-Bedarf-fuer-75-000-Datenschutzbeauftragte-3461800.html

Es ist deutlich zu erkennen, dass einerseits seitens fachlich Kundiger und Branchenverbänden immer mal wieder ein erhöhter Bedarf an Datenschützern prognostiziert wird. Andererseits spiegeln sich (derzeit) diese Prognosen (noch) nicht am Markt wider.

Inzwischen wird in Deutschland über Änderungen, besonders über die Entlastung kleinerer Organisationen, Vereine und Betriebe in Sachen Datenschutzbeauftragter und Dokumentationspflichten nachgedacht, da ohnehin immer noch ein Streitpunkt ist, dass durch die Dokumentationspflichten eventuell mehr Daten von Betroffenen gesammelt werden als ohne (z. B. Zeitpunkte von An- und Abmeldung bei bestimmten Diensten):

https://netzpolitik.org/2019/datenschutzgrundverordnung-die-deutsche-umsetzung-ist-ein-laufender-prozess/#spendenleiste

Sicherlich hoffen immer noch viele, dass der anfängliche Wirbel um die DSGVO wieder in Vergessenheit gerät. Bei anderen gibt es immer noch Unsicherheiten, was überhaupt zu tun ist. Wiederum gibt es auch viele, die sich wirklich keinerlei Gedanken um notwendige und bereits eingetretene gesetzliche Änderungen des europäischen Datenschutzes machen. Es lohnt sich den Umgang mit personenbezogenen Daten zu überdenken. Das gilt auch vor dem Hintergrund, dass vielleicht angesichts der Überlastung der Datenschutzbehörden nicht unmittelbar Sanktionen für eine ausbleibende Umsetzung zu befürchten sind. Klar ist: Änderungen sind notwendig. Wir müssen den Umgang mit personenbezogenen Daten grundlegend überdenken. Hier wird sogar grundsätzlich kein Unterschied mehr zwischen Behörden und Firmen gemacht. Unklar ist zwar für viele immer noch, wie das genau passieren soll und oft wird die Wirksamkeit geforderter Maßnahmen bezweifelt, doch daran, dass sich etwas geändert hat, sollte kein Zweifel mehr bestehen.

Update: Tatsächlich hat der Bundestag am 28.06. zur Entlastung kleinerer Unternehmen beschlossen,  dass ein DSB erst ab einer Anzahl von 20 Mitarbeitern, die hauptsächlich mit der Verarbeitung personenbezogener Daten befasst sind, bestellt werden muss. Das mag sich zwar für nicht wenige gut anhören, doch es täuscht darüber hinweg, dass fast keine der bestehenden Unsicherheiten geklärt werden und die Anforderungen an den Datenschutz auch für Unternehmen ohne DSB weiterhin gestiegen sind. 

Veröffentlicht am Schreib einen Kommentar

Facebook vs. DSGVO

Facebook Bild

Große Probleme angesichts des Inkrafttretens der DSGVO dürfte derzeit immer noch Facebook haben. Während Whatsapp und Apple hinsichtlich iCloud ausdrücklich von gewerbsmäßiger Nutzung ihrer Dienste abraten, vertritt das Unternehmen weiterhin aktuell entgegen der Datenschutzkonferenz, einem Gremium bestehend aus den unabhängigen Datenschutzbehörden, die Auffassung, dass die angebotenen Dienste im Einklang mit der DSGVO ständen.

https://www.datenschutz-berlin.de/pdf/publikationen/DSK/2018/2018-DSK-Facebook_Fanpages.pdf

“We want to be clear that Facebook Pages and Page Insights remain legal ”

https://www.facebook.com/business/news/updates-for-page-admins-in-the-eu-and-the-eea

Sollte man nun vor lauter Verunsicherung sämtliche Unternehmensaktivitäten beim weltweit größten “Social” Net verbannen? Eine sehr gute und auch ausführliche Zusammenfassung dazu gibt es bei heise.de:

https://www.heise.de/newsticker/meldung/Analyse-zum-EuGH-Urteil-Noch-kein-Grund-Facebook-Seiten-zu-schliessen-4069690.html

bestehende Situation

Knackpunkt in der ganzen Debatte ist die Mitverantwortung des Nutzers an der Verarbeitung personenbezogener Daten. Viele argumentieren hier, dass sie keinen Einfluss auf die Verarbeitung hätten. Einerseits lassen viele gewerbliche Nutzer die Sorge um personenbezogenen Daten Dritter weitgehend vermissen und sind sich der Folgen leichtfertigen Umganges mit Daten nicht bewusst. Es lässt sich auch wohl nicht von heute auf morgen erwarten, dass sich das ändert. Andererseits zeigt sich Facebook bisher wenig flexibel, was die Anpassung des eigenen Geschäftsmodells an europäischen Datenschutz anbelangt. Facebook trägt hier also ganz klar die Verantwortung ein Produkt anzubieten, das sich ohne Bauchschmerzen in der EU ( s. Facebook – Urteil ) einsetzen lässt. Das sollte auch für Nutzer gelten, welche mitunter nicht so viel zusätzliche Zeit aufbringen können die neuen gesetzlichen Vorgaben im Einzelnen zu verstehen.

Personenbezogene Daten sind natürlich keine Ware, die man handeln könnte, sondern ein schutzwürdiges Gut. Hier fehlt immer noch Bewusstsein, auch im Sinne von Vertrauen erweckenden Geschäftsprozessen. Könnte sich jeder bedenkenlos ohne Sorgen und ohne Angst vor den Gefahren von Wirtschaftsspionage und Überwachung überall anmelden, würde sich das mit Sicherheit auch positiv auf geschäftliche Strukturen in vielen verschiedenen Bereichen auswirken. Andererseits kalkulieren Nutzer den Verkauf ihrer persönlichen Daten mehr oder weniger mit ein. Sie sind sich jedoch oft nicht wirklich über alle Folgen bewusst.

Doch auch dem, der sich schon Gedanken gemacht hat, bleibt es in Sachen Facebook nur abzuwarten. Welche Webdienste sicher eingesetzt werden können, wird sich erst in Zukunft entscheiden.

Bildquelle: https://pixabay.com/de/facebook-meeting-social-personen-260818/

Veröffentlicht am Schreib einen Kommentar

EU-US Privacy Shield und DSGVO – Facebook, Whatsapp, Twitter, Google

EU-US Privacy Shield und DSGVO - Facebook, Whatsapp, Twitter, Google

Vielen Nutzern stellt sich die Frage, welche Webdienste gerade im geschäftlichen Umfeld nach den Vorgaben der DSGVO bedenkenlos genutzt werden können. Es geisterten auch schon einige Meldungen durch die Medien, u. a. dass die Nutzung von Whatsapp für Handwerkerfotos nicht mehr möglich ist. Welche Bedeutung hat die “EU-US Privacy Shield”-Zertifizierung?

EU-US Privacy Shield

Da ein Großteil des genutzten Internets immer noch durch amerikanische Firmen bestimmt wird, spielt hier die nicht unumstrittene “EU-US Privacy Shield”-Zertifizierung eine wichtige Rolle. Nach dem Bruch des “Safe-Harbor Abkommens” (heise.de berichtete) stellt diese eine Orientierung bereit um zu entscheiden, ob Dienste von Unternehmen aus nicht EU-Ländern in Europa genutzt werden dürfen. Die Unternehmen in dieser Liste haben sich zertifizieren lassen und sich damit verpflichtet die Grundsätze des europäischen Datenschutzrechts zu befolgen. Google, Facebook, Twitter, Microsoft und auch Whatsapp finden sich in der Liste der zertifizierten Unternehmen auf https://www.privacyshield.gov/list. Apple findet sich übrigens nicht in der Liste.

AV-Vereinbarung

Spätestens seit dem Urteil in Sachen Facebook wurde klar gestellt, dass eine sogenannte “gemeinsame Verantwortung” des Nutzers zusammen mit dem Anbieter des Webdienstes in Sachen personenbezogene Daten vorliegt. Gerade vor diesem Hintergrund ist allerdings wichtig, dass bei nicht privater Nutzung, also auch z. B. im Verein, eine entsprechende AV-Vereinbarung als organisatorische Maßnahme mit dem jeweiligen Anbieter  zustande kommt.

Rechtliche Position

Wie wackelig der rechtliche Bezug auf die EU-US Privacy Shield Zertifizierung ist, zeigt sich bei Whatsapp. Whatsapp ist zertifiziert, scheidet aber für die Nutzung im nicht privaten Umfeld aus, da ohne Einwilligung des Nutzers personenbezogene Daten erfasst werden, um gewohnte Funktionen bereit zu stellen. Damit ist jedem Nutzer klar, dass gegen die Grundsätze der DSGVO verstoßen wird. So kann man sich auch nicht mehr auf die “rechtliche Krücke” der EU-US Privacy Shield Zertifizierung zurück ziehen. Whatsapp schließt übrigens in seinen AGB’s die Nutzung im nicht privaten Umfeld ohne extra Zustimmung durch Whatsapp aus.

Besonders kritisch ist bei Whatsapp die Freigabe der Kontaktliste zu betrachten. Ein Nutzer darf der Freigabe eigentlich erst zustimmen, wenn er von allen Kontakten, deren Daten nicht öffentlich zugänglich sind, eine Einwilligung hat. Die Kontaktdaten in der persönlichen Kontaktliste sind nämlich gar nicht seine eigenen Daten, sondern gehören der jeweiligen Person. Siehe dazu auch “WhatsApp: Datenschutzkonforme Nutzung möglich?“.

Etwas anders verhält es sich im Falle von Apple. Hier sind Produkte grundsätzlich etwas mehr auf Datenschutz ausgelegt. Dennoch wird z.B. die “iCloud” für Unternehmen zum Problem, s. https://www.datenschutz-guru.de/warum-apples-icloud-fur-unternehmen-derzeit-ein-problem-sein-kann/.

In der Frage der Einwilligung in die Erfassung personenbezogenener Daten laufen im Moment außerdem Verfahren gegen Google und Facebook. Hier wird wiederum deutlich, dass eine wie auch immer geartete Zertifizierung einen Anhaltspunkt, jedoch keine Garantie dafür bietet, dass ein Webdienst im geschäftlichen Umfeld genutzt werden darf oder sollte.

Europäische Rechenzentren

In Sachen Technik und IT-Sicherheit ist es zu Recht umstritten, ob personenbezogene Daten grundsätzlich im Unternehmensnetzwerk oder der Cloud besser aufgehoben sind. Da muss einfach je nach Situation entschieden und abgewogen werden.

Microsoft

Eine Sonderposition nimmt hier aktuell Microsoft ein. Die Firma betreibt für Firmen eigene Rechenzentren in Europa und möchte so ausschließen, dass Daten in die USA übertragen werden. Das führte auch schon zu rechtlichen Auseinandersetzungen zwischen Microsoft und dem FBI (Microsoft setzt sich bei Datenabfrage gegen FBI durch). Aber aufpassen, denn das bedeutet nicht, dass alle von Microsoft angebotenen Dienste als datenschutzkonform nach DSGVO zu betrachten sind. Die Speicherung von Daten in europäischen Rechenzentren zum Beispiel lässt sich Microsoft extra bezahlen.

Fazit

Insgesamt zeigt sich inzwischen deutlich, dass die mittlerweile gewohnte Nutzung einiger Webdienste Probleme im Kontext des europäischen Rechtsraumes mit sich bringt. Rechtskonform in Bezug auf die Nutzung amerikanischer Dienste verhält man sich scheinbar nur durch völligen Verzicht.

Ob der Druck durch die EU Kommission und dem europäischen Markt groß genug wird, dass gerade häufig in Anspruch genommene amerikanische Firmen in Sachen Datenschutz nachbessern, bleibt abzuwarten.

Veröffentlicht am Schreib einen Kommentar

Warum sollten alle Dateisysteme verschlüsselt sein?

Warum Dateisystemverschlüsselung?

In einem Unternehmen sollten alle Dateisysteme, nicht nur die von mobilen Geräten wie Laptops, USB-Sticks und Smartphones, verschlüsselt sein, weil das Vorbeugen gegen Missbrauch unter die vorgeschriebene Sorgfaltspflicht fällt. Kommt es zu einem, nach DSGVO, meldepflichtigen Vorfall oder zu einer Kontrolle durch die Aufsichtsbehörden, können Ihnen unverschlüsselte Dateisysteme als grob fahrlässig ausgelegt werden und zu Strafen führen.

Davon bleibt unbeschadet, dass es Ihnen mit Sicherheit auch lieber ist, dass Diebe mit Ihren Daten nichts anfangen und so auch keine Folgeschäden verursachen können.

Veröffentlicht am Schreib einen Kommentar

Wer benötigt einen Datenschutzbeauftragten?

Wer benötigt einen Datenschutzbeauftragten?

Die DSGVO und das BDSG schreiben für alle Firmen, Unternehmen, Vereine, Organisationen usw. einen Mindeststandard für den Datenschutz vor. Einige müssen sogar einen Datenschutzbeauftragten benennen, der dann dem Landesdatenschutzbeauftragten gemeldet werden muss. Aber wer genau benötigt so einen Datenschutzbeauftragten?

Allgemein bekannt scheint die im §38 Art. 1 BDSG (neu) genannte Regelung zu sein, nach der ein Unternehmen, in dem mindestens 10 Personen (Angestellte oder auch freie Mitarbeiter) ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, einen Datenschutzbeauftragten benötigen. Es gibt aber eine Vielzahl weiterer Regelungen und damit verbundener Auslegungen. Unter folgenden Bedingungen ist beispielsweise auch ein Datenschutzbeauftragter erforderlich:

  • bei Unternehmen mit mehr als 250 Mitarbeitern,
  • in ärztlichen Gemeinschaftspraxen in denen mehr als ein Arzt auf die selben Patientendaten zugreifen kann,
  • in einer Arztpraxis, in der die Anzahl der Betroffenen erheblich über dem Betroffenenkreis eines durchschnittlichen, durch ErwGr. 91 Satz 4 privilegierten Einzelarztes, liegt,
  • in Behörden oder öffentlichen Stellen (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln),
  • bei Verarbeitung besonderer Arten von personenbezogenen Daten nach Art. 9 DSGVO
  • bei Notwendigkeit einer Datenschutzfolgeabschätzung (DSFA)
  • wenn der überwiegende Geschäftszweck die Verarbeitung von personenbezogenen Daten ist
    • dazu werden die meisten IT-Unternehmen gezählt, da durch Zugriff auf unternehmensfremde Systeme i. d. R. ein Zugriff auf personenbezogene Daten gegeben ist, auch wenn diese praktisch nicht verarbeitet werden. Ausnahmen stellen hier lediglich Designer dar, welche keinen umfassenden Zugriff auf Systeme ihrer Kunden erhalten.
  • wenn die „Kerntätigkeit“ eine „umfangreiche regelmäßige und systematische Überwachung von Personen“ beinhaltet,
  • wenn eine geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung vorliegt.