Datenpanne: Offener Newsletter-Verteiler führt zu Bußgeld – Augen auf beim Direktmarketing

By | 21. August 2017

Schon jedem Mal passiert – Newsletter oder Email an viele Empfänger verschickt

Sie kennen das bestimmt aus Ihrem eigenen Arbeitsalltag. Eine wichtige Nachricht soll per Email oder Newsletter verteilt werden. Mail- oder Newsletter-Programm geöffnet, Text geschrieben, aus dem Adressbuch schnell die Empfänger zusammengeklickt oder komfortabel eine Verteiler-Liste genutzt und auf Senden gedrückt. Auf Seiten des Empfängers werden sich dann die Augen gerieben. Stehen doch alle Email-Empfänger im Klartext im AN:/TO: Feld der Email. Ordentlich wie der Absender seine Adressen gepflegt hat, akkurat mit Vor-, Nachname und Email-Adresse. Üblicherweise macht man den Absender freundlich auf sein Missgeschick aufmerksam und läßt es darauf beruhen.

Offene Newsletter-Verteiler kommen nicht immer gut an

Die Mitarbeiterin eines bayerischen Handelunternehmens hatte weniger Glück. Sie schrieb eine solche Email an Kunden des Unternehmens. Kurzer Inhalt, nette Geste. Jedoch leider standen vor dem eigentlichen Text (halbe DIN A4 Seite) über neun (9!) Seiten Email-Adressen im Klartext. Einem oder mehreren Empfängern mißfiel dies und der Stein des Anstoßes wurde an die zuständige bayerische Landesdatenschutzbehörde weitergeleitet.

Landesdatenschutzbehörde prüft offene Newsletter-Verteiler und verhängt Bußgeld

Das Bayerische Landesamt für Datenschutzaufsicht (kurz BayLDA) hat in der Vergangenheit bereits mehrfach über die eigene Webseite und auf Veranstaltungen vor und mit Unternehmen auf die datenschutzrechtliche … Weiterlesen

Personalausweis einfach kopieren – einfach rechtswidrig

By | 18. August 2017

Personalausweis als Pfand, Personalausweis-Kopie als Beleg – üblich, aber verboten

Usus, Rechtsverstoß inklusive. Der Personalausweis wird als Pfand hinterlegt, eine Kopie zur Identifikation im Vertragsordner abgelegt oder als Scan ins Dokumenten-Management-System gespeichert. Branchenübergreifend üblich, vom Fitness-Studio bis zur Autovermietung.

Der neue Personalausweis

Seit dem 01. November 2010 wird nur noch der neue Personalausweis herausgegeben, gerne auch als „ePerso“ bezeichnet. Im Zuge der Umstellung hat das Personalausweisgesetz (PAuswG) einige Änderungen erfahren. Zahlreiche Kommentierungen und Begründungen begleiten den neuen Ausweis.

Kein ausdrückliches Kopierverbot, aber …

Neben der bisher üblichen Ausweisfunktion beinhaltet der „ePerso“ nun auch die Möglichkeit zu Signatur und zur Authentisierung. Zum Schutz dieser Funktionen schreibt unsere Regierung in ihrer Begründung zur Neuregelung: „Die Erhebung und Verwendung personenbezogener Daten aus oder mithilfe des Ausweises darf künftig nur über die dafür vorgesehenen Wege erfolgen. (.) Weitere Verfahren z.B. über die optoelektronische Erfassung („scannen“) von Ausweisdaten oder dem maschinenlesbaren Bereich sollen ausdrücklich ausgeschlossen werden.“ In den Auslegungen hierzu wird deutlich davon gesprochen, weder Kopien des Personalausweises zuzulassen, noch diesen aus der Hand zu geben.

Warum den Personalausweis nicht kopieren?

Da der neue Personalausweis aufgrund dessen Gestaltung noch eine sog. Berechtigungsnummer trägt, weist das Bundesinnenministerium auf einen zusätzlichen Sachverhalt hin. Die Berechtigungsnummer soll
Weiterlesen

„Ich bereue den Passwort-Wahnsinn“

By | 11. August 2017

Wieso bisher ein Passwort dauernd gewechselt werden musste

8 Seiten, die es in sich haben. Die „NIST Special Publication 800-63. Appendix A“. Verfasst 2003 von Mister Bill Burr. Seinerzeit Mitarbeiter des National Institute of Standards and Technology (NIST). Das NIST ist eine US-Behörde, die unter anderem für Technologiestandards zuständig ist. Die damalige Empfehlung hielt Einzug in die Sicherheitsliteratur und hält sich seither dort hartnäckig. Auch der BSI IT-Grundschutz und andere Sicherheitsstandards bauen auf dieser Empfehlung auf.

Bisher galt ein Passwort als sicher, wenn es komplex war und dauernd geändert wurde

Das NIST empfahl bisher zur Passwortsicherheit:

  1. Passwörter sollen komplex sein (Großschreibung, Kleinschreibung, Zahlen, Sonderzeichen)
  2. Passwörter sollen alle 90 Tage gewechselt werden

Im Ergebnis fluchten die Endanwender rund um den Globus. Sicherer sind Passwörter hierdurch nicht geworden. Dafür haben diese Empfehlungen viel Nerven und Zeit gekostet.

„Ich bereue den Passwort-Wahnsinn“

In einem Interview hat sich der nun in Rente stehende Burr gegenüber der Washington Post geäußert. „Die Wahrheit ist: Ich war auf dem falschen Dampfer.“ Wir haben auf unserem Sicherheitsblog in 2016 bereits einen Artikel hierzu verfasst „Über Bord mit veralteten starren Passwort-Richtlinien“.

Das NIST hat nun im Sommer 2017 diese 14 Jahren alten Empfehlungen und Regelungen zur Passwortsicherheit komplett Weiterlesen

Auslegungshilfen zur EU Datenschutzgrundverordnung veröffentlicht

By | 7. Juli 2017

Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) hat erste Auslegungshilfen zum neuen Datenschutzrecht der EU Datenschutzgrundverordnung (EU-DSGVO) veröffentlicht.

Diese Hilfen stehen auf der Webseite der Landesbeauftragten für den Datenschutz Niedersachsen zum Download zur Verfügung.

Wie bereits in einem früheren Beitrag beschrieben, ist die Unterstützung mit Vorlagen und Hilfsmitteln zur Umsetzung der EU-DSGVO noch recht „überschaubar“. Dies wird auch am Umfang der jetzt veröffentlichten – und noch zu erweiternden – Auslegungshilfen deutlich. 3 Themen werden behandelt:

  1. Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DS-GVO
  2. Aufsichtsbefugnisse / Sanktionen
  3. Verarbeitung personenbezogener Daten für Werbung

Der Hype um das (private) Whatsapp-Abmahnrisiko

By | 28. Juni 2017

Kaum hat das Amtsgericht Bad Hersfeld sein Urteil gefällt und die Begründung veröffentlicht, grassiert ein medialer Hype um ein angebliches Abmahnrisiko für private Whatsapp-Nutzer durch das Netz. Doch was steckt dahinter?

Etwas Aufklärung zur privaten Nutzung von Whatsapp

Das Amtsgericht Bad Hersfeld, wohlgemerkt ein Amtsgericht, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risiko eines privaten Whatsapp-Nutzers, aufgrund der nicht eingewilligten Datenübermittlung der Kontakte in dessen Adressbuch durch den automatisierten Abgleich mit den Whatsapp-Servern durch die Kontakte selbst auf Unterlassung in Anspruch genommen zu werden. Selbst eine kostenpflichtige Abmahnung wird nicht ausgeschlossen. Kaum war die erste Nachricht hierzu im Web lanciert, ging der Copy & Paste – Mechanismus des Boulevardjournalismus inklusive der sozialen Netzwerke los. Angst und Panik für Quote und Klicks lautet die Devise.

Was davon zu halten ist, können Sie unter anderem im Blog des Anwalts Dr. Carsten Ulbricht nachlesen, der zu diesem Thema kein Unbekannter ist.

Whatsapp und geschäftliche oder dienstliche Nutzung?

Nutzt ein Unternehmen oder eine Behörde nun Whatsapp sieht die Rechtslage etwas unbequemer aus. Das Bundesdatenschutzgesetz schreibt für die betriebliche Nutzung personenbezogener Daten die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen vor. Bedient man sich bei der Umsetzung eines Dritten (in … Weiterlesen

Keine Panik: Die EU-Datenschutzgrundverordnung kommt

By | 11. Juni 2017

Wer die letzten Woche und Monate die Meldungen in den Nachrichten, auf Blogs, in sozialen Netzwerken und auch per Post verfolgt, kann es nur mit der Angst bekommen. Da kommt die EU-Datenschutzgrundverordnung im Mai 2018 auf Unternehmen und Behörden zu und man könnte meinen, die Welt stehe kurz vor ihrem Untergang. Einzige Abhilfe natürlich, jetzt schnell diverse Seminare buchen oder diverse Literaturzusammenstellungen kaufen. Doch ist das wirklich so schlimm, was da auf Unternehmen und Behörden zu kommt?

Rechtliches zur EU-Datenschutzgrundverordnung (EU-DSGVO)

Ja, es stimmt. In der Nacht vom 24.05.2018 auf den 25.05.2018 wird es ein hartes Umschalten zwischen unseren bisherigen nationalen Datenschutzgesetzen und der EU-DSGVO geben. Sind wir bis zu diesem Termin noch an das Bundesdatenschutzgesetz und die Landesdatenschutzgesetze gebunden, so werden diese zum og. Termin durch die EU-DSGVO verdrängt. Hinzu kommen in den EU-Mitgliedsstaaten mögliche Anpassungsgesetze, in Deutschland für Bund und Länder jeweils separat. Diese beruhen auf den sogenannten Öffnungsklauseln in der EU-DSGVO, zu denen die Mitgliedsstaaten eigene nationale Regeln ergänzen können. Der Spielraum ist hier jedoch begrenzt, dem Sinn der EU-DSGVO wird es schwer zu widersprechen sein.

Vor diesem Hintergrund ist auch der Arbeitstitel „BDSG-neu“ für das deutsche Anpassungsgesetz nicht ganz korrekt. Daher heißt es auch im richtigen Wortlaut … Weiterlesen

Externer behördlicher Datenschutzbeauftragter (Bayerische Kommunen)

By | 24. April 2017

DIE EU-DSGVO macht es möglich – der externe Datenschutzbeauftragte für bayerische Kommunen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) macht es für bayerische Kommunen möglich, was in anderen Bundesländern schon länger geübte Praxis ist: Die Bestellung eines externen behördlichen Datenschutzbeauftragten. Sah das Bayerische Landesdatenschutzgesetz (BayDSG) bisher eine externe Bestellmöglichkeit eines Datenschutzbeauftragten für bayerische Kommunaleinrichtungen nicht vor, so ändert sich dies zum 25.05.2018 einheitlich. Ab diesem Zeitpunkt können und dürfen bayerische Kommunen endlich einen externen Datenschutzbeauftragten zum behördlichen Datenschutzbeauftragten bestellen.

Entlastung für kleinere Kommunen

Gerade kleinere Kommunen haben sich mit der Bestellung eines Datenschutzbeauftragten stets schwer getan. Neben den vielfältigen Aufgaben einer Verwaltung und den nicht gerade üppig vorhandenen Personalressourcen war meist wenig „Luft“ für die Bestellung eines internen Datenschutzbeauftragten. Und selbst wenn es zu einer internen Bestellung kam, so wurde die Funktion nicht selten mit wenig bis keinem Leben erfüllt. Hinzu kamen gravierende Nachteile eines mit wenig Zeit und Ressourcen ausgestatteten internen Datenschutzbeauftragten. Nämlich der viel zu geringe zeitliche Spielraum zur Ausübung der Tätigkeit, das fehlende Know-How (meist keine Ausbildung zum DSB vorhanden) und damit einhergehend die fehlende Übung im Umgang mit den alltäglichen Datenschutzfragen.

Doch mit der EU-DSGVO kommt Entlastung und Unterstützung für bayerische Kommunen. Ab dem 25.05.2018 können diese nun einen Datenschutzbeauftragten … Weiterlesen

Aushilfskraft (m/w) zur Unterstützung im Backoffice gesucht

By | 30. März 2017

a.s.k. Datenschutz braucht Verstärkung oder anders ausgedrückt – WIR SUCHEN DICH! 🙂

Aushilfskraft (m/w) mit technischem Hintergrund für befristete Unterstützung bei einigen Kundenprojekten gesucht. Kenntnisse im Bereich Cloud, Datenschutz und Informationssicherheit von Vorteil. Tätigkeit kann von jedem internetfähigen (nicht öffentlichen!) PC ausgeführt werden.

Kein Kundenkontakt, keine Akquise, reine Unterstützung im Backoffice.

Befristete Anstellung als Aushilfe, gerne auch Tätigkeit als freier Mitarbeiter – wie Sie es wünschen.

Kurzbewerbungen mit technischem Hintergrund bitte per Post an a.s.k. Datenschutz, Sascha Kuhrau, Schulstrasse 16a, 91245 Simmelsdorf oder per Mail an ed.ztuhcsnetad-ksanull@407102eflihsua. Bitte bei Email-Bewerbungen beachten: Ihre Daten werden unverschlüsselt übertragen, solange Sie nicht unser S/MIME-Zertifikat für die Verschlüsselung einsetzen. Gerne senden wir Ihnen dies vorab per Mail zu.

 

Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?

By | 14. März 2017

Letzte Woche haben wir diese Frage in unserem Blog zur Informationssicherheit behandelt: „Müssen bayerische Kommunen ein Informationssicherheitskonzept einführen?“, diese Frage wird nach wie vor oft bei Seminaren, Veranstaltungen, telefonisch und per Mail an uns herangetragen. Wir haben dies zum Anlass genommen, hierzu ein Webvideo zu erstellen, in dem wir auf die Notwendigkeit und rechtlichen Grundlagen für die Einführung und den Betrieb eines Informationssicherheitskonzepts vertiefend eingehen. Denn die Antwort auf die Frage kann nur lauten „Ja!“. Wer es nicht glaubt, ist herzlich dazu eingeladen, sich in unserem Video davon überzeugen zu lassen.

Sie finden das Webvideo eingebettet hier bei uns im Blog oder auf unserem neuen Youtube-Kanal.

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA) stellt Tätigkeitsbericht 2015/2016 vor

By | 8. März 2017

Auf 158 Seiten gibt der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA), Thomas Kranig einen Überblick über die Arbeit der Datenschutzaufsichtsbehörde für den nicht-öffentlichen Bereich in Bayern für die Jahre 2015 und 2016 ab.

Das BayLDA ist für ca. 700.000 verantwortliche Stellen im nicht-öffentlichen Bereich (Unternehmen, Vereine, Verbände, freiberuflich Tätige etc.) in Bayern zuständig.

Im vorderen Teil des Berichts wird anschaulich auf die Entwicklung von Bürgerbeschwerden, Datenpannen, aber auch Beratungsanfragen seitens nicht-öffentlicher Stellen eingegangen. Der Übersicht ab 2013 ist zu entnehmen, dass es sich bei der zunehmenden Steigerung nicht um einzelne Spitzen, sondern klar um einen Trend handelt. Sind 2013 „nur“ 925 Beschwerden über bayerische Unternehmen und Unternehmer eingegangen, so waren es 2016 schon 1.424. Identisch verhält es sich mit der Zahl der Datenpannen (2013 32 gegenüber 85 in 2016). Wobei hier eine deutlich höhere Dunkelziffer seitens des Amts vermutet wird. Bei den Beschwerden liegt das Thema Videoüberwachung auf dem vordersten Platz. Unter anderem sind dafür die mittlerweile sehr preiswerten Überwachungskameras (wie Wildkameras, Dashcams usw.) verantwortlich, jedoch auch ein gesteigertes Sicherheitsbedürfnis. Letzteres führt schnell mal dazu, nicht nur (zulässigerweise) das eigene Grundstück zu observieren, sondern (zumeist unzulässig) angrenzende Grundstücke oder öffentliche Verkehrsflächen mit einzuschließen.

Klassische Datenpannen wie Verlust, Diebstahl oder … Weiterlesen